在多个服务器上使用相同的OTP秘密是否存在(“不是微不足道的”)安全隐患? 在我的networking中,我正在运行gitlab-ce , nextcloud和LTB自助服务密码 。 GL和NC都通过TOTP支持2FA,但作为单独的附加组件,而不是通过中央authentication(如LDAP)或其他共享方式。 我正在开发一个PR到SSP来启用2FA密码更改,但是我想知道是否有可能让GL使用相同的LDAP存储的OTP秘密。 我想build议向GL提供支持,但前提是不削弱系统。 不集中它的后果并不是很大:每个应用程序/服务器将存储它自己的2FA秘密,所以用户必须单独pipe理它们。 与技术上不需要密码pipe理器的密码不同,我不知道谁能够记住他们的OTP秘密并在头上生成代码,因此用户被迫使用pipe理应用程序(例如Google Authenticator或FreeOTP身份validation器)。 从多个秘密列表减less到大多数只是方便。 同样,除了方便之外,集中OTP秘密存储还有哪些优点?
我有一个IIS服务器是一个独立的服务器不在域上。 因此,用户不必login到本地用户数据库,我可以拥有IIS服务器,对照域控制器validation用户,还是至less让用户的login名传递给IIS应用程序? 可以假设用户将信任该网站。
我一直在遵循Apache指南来使用mod-auth-digest模块,但我似乎无法使其正常工作。 我的.htaccess和.htpasswdtesting文件位于'localhost / php / private'中,包含的代码是: .htaccess: <Location /private/> AuthType Digest AuthName "protected" AuthDigestDomain /private/ http://localhost/php/private/ AuthDigestFile C:/dev/xampp/htdocs/php/private/.htpasswd require valid-user </Location> .htpasswd: somedude:protected:e0529e7873a39baca5a9906364258014 #user = somedude, pwd = pwd 浏览器不断返回错误500.相应的Apache错误日志条目说:“位置不允许在这里”,但谷歌似乎没有任何有用的信息在这个错误。 一个基本的mod-authtesting以前工作正常,根据php-info()加载mod-auth-digest模块。 我真的不知道怎么回事,谁能帮忙?
我已经安装了ASL,并build议我实现双向SSHauthentication。 我有一些关于它的问题。 我了解您需要使用密钥和密码login的一般想法。 我从笔记本电脑上工作,如果我的笔记本电脑被盗,会发生什么事情。 我将永远无法再次login?
我需要build立一个Linuxnetworking:中央authentication服务器和笔记本电脑(也许桌面)。 笔记本电脑必须caching凭据。 现在最好的方法是做什么? Kerberos可以强迫这样做吗? 我应该安装Samba WAD等效并使用吗?
我只是用openssh-server设置了一个vanilla ubuntu lucid(10.04)系统。 我试图设置公钥authentication,只有当我第一次连接使用密码authentication,并保持打开该会话才有效。 所有新的并发会话将使用publickey。 我已经采取了所有步骤,以确保正确的权限在我的服务器端主目录。 chmod go-w ~/ chmod 700 ~/.ssh chmod 600 ~/.ssh/authorized_keys 我的客户端RSA 2048位公钥被附加(仅一行)到authorized_keys文件中。 我的RSA密钥也有空白密码。 我很困惑什么可能会导致这一点。 我知道它必须是我的服务器configuration的东西。 我听说如果configuration不够“安全”,它不会允许公钥authentication,但我很困惑,可能是什么。 # Authentication: LoginGraceTime 120 PermitRootLogin no StrictModes yes RSAAuthentication yes PubkeyAuthentication yes #AuthorizedKeysFile %h/.ssh/authorized_keys # Don't read the user's ~/.rhosts and ~/.shosts files IgnoreRhosts yes # For this to work you will also need […]
我们正在寻找一个更好的浏览器界面的maven repo,并且在使用Artifactory或Nexus时,是否可以用.m2 / settings.xml中的纯文本密码replace为SSH密钥。 可能吗?
我目前正在尝试为两个项目select硬件。 第一个项目 :有一个五层的公寓楼,通过Wi-Fi接入互联网。 计划在屋顶上放置一个网格天线。 因特网连接的地方距离build筑物500米,因此在该build筑物的屋顶上也使用网格天线。 Internet连接的带宽是7 Mib。 计划将其划分为7个用户。 从五层楼公寓楼(这7个用户居住的地方)的屋顶,计划铺设7条双绞线,连接到7间公寓的每一间。 请问我能否select双方硬件(有互联网连接的build筑物,以及通过Wi-Fi接入互联网的build筑物,有7个用户将互联网连接在一起)。 Internet连接最好能够稳定工作。 build立一个计费系统也是必须的,用户需要能够使用Webauthentication屏幕login,我们应该能够控制特定用户的带宽。 可以有一个PPTP(VPN)服务器,取决于什么更简单和更快build立(我们仍然需要控制每个用户的带宽,而不是一个Webauthentication屏幕)。 我认为我们可以为双方使用一些Mikrotik产品。 你认为这是一个好主意吗? 任何关于精确设备的想法是适合的? 第二个项目 :一层有六层公寓楼,一楼有两个ADSL2 +连接(一个连接2个Mib,另一个连接10个Mib)。 我们需要select一个路由器(最好是Mikrotik),它可以同时连接到两个ADSL调制解调器(换句话说,可以同时有两个WAN接口通过两个调制解调器连接到互联网)。 计划将路由器连接到6个Wi-Fi接入点(使用双绞线电缆),每层一个(所以,如果是10端口路由器,我们仍然有2个空闲端口)。 这种情况下的接入点以桥接模式工作,所以连接的用户直接进入主networking。 并计划使用2 Mib链接的networkingstream量(80和443,但也许一些其他特定的端口),并为所有其余的10 Mib链接。 所以路由器应该支持这种划分(对于特定的stream量使用一个Internet连接,对于所有其他stream量使用一个Internet连接)。 此项目也需要Webauthentication屏幕或VPN服务器。 那么你能告诉我如何更好地做这些事吗? Mikrotik是不错的select? 什么设备更适合第二个项目? 或者你也许对这些项目有一些总体的build议?
ISA Server 2006发布一个网站; ISA对Active Directory域(ISA本身join的)进行基于表单的身份validation,然后,如果用户被授权,则ISA使用HTTP身份validation将用户的凭据发送到发布的网站。 问题:发送到发布的网站的凭据格式为“DOMAIN \ UserName”,而网站期望它们仅包含用户名。 在我们要求开发人员修改他们的网站以从用户名剥离“DOMAIN”部分之前,有没有办法让ISA发送这些凭证,而不需要在域名前面添加? 我已经尝试了以下内容: 不在侦听器属性中设置默认域:ISA将AD域的FQDN预先设置为用户名。 在侦听器属性中设置默认域:ISA将AD域的NetBIOS名称预先设置为用户名。 我们需要的只是发送到发布的网站只有用户名 。 如果ISA Server 2006无法完成,但可以通过TMG 2010完成,请告诉我。
在IIS中,可以select“创build域证书”。 除了一个问题,这个工作很好。 此过程使用的模板是CA中具有仅1024位密钥的“Web服务器”模板。 我重复了这个模板,然后将最小密钥长度更改为2048。 我有一个企业CA在Windows Server 2008 R2上运行。 是否有可能在我的域中的所有IIS服务器使用新模板时,通过“创build域证书”向导?