我正在试图在一个只能通过ssh使用authorized_keys中指定的密钥login的Linux机器上创build一个用户。 用户不应该能够通过密码login,既不通过SSH也不在本地在控制台。 我将如何做到这一点? 目前我做: useradd -m myuser passwd myuser vi /etc/shadow 并用“*”replace密码字段。 一定会有更好的办法? 如果我先不设置密码,ssh将不会在日志中显示“用户myuser不允许,因为帐户被locking”
有没有办法限制用户的su尝试次数? 例如,恶意用户进入具有su访问权限的用户login名。 反复运行su以获得超级用户访问权限。 这个例子将是一个罕见的情况,但它似乎是一个好主意,join保护。 尝试Faillock: 我添加了以下几行到/etc/pam.d/su来testing它: auth required pam_faillock.so preauth silent audit deny=1 unlock_time=120 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=1 unlock_time=120 account required pam_faillock.so 但是,它不会阻止任何人。 我正在监视通过faillock,我看到: # faillock user: When Type Source Valid root: When Type Source Valid 2015-01-30 20:55:05 TTY pts/1 V 2015-01-30 20:55:20 TTY pts/1 V 但是,这个条目是在根目录下的(所以它会locking每个人的root用户?),这个条目对su没有影响。
我们正在使用GPO将网站应用到区域分配给我们的用户,以便我们可以将一些特定的地址添加到他们的Internet Explorer的内联网和信任区域。 使用站点到区域GPO设置我已经安装.. * .domain.com 1 “domain.com”是我们的内部域名,所以我想anywebsite.domain.com被视为一个内部网站,以允许一些支持这些网站的SSO身份validation。 但是,这似乎并不奏效,在尝试访问使用SSO的网站时,在本地Intranet区域添加* .domain会提示input密码。 当我将提示input密码“mywebsite.domain.com”的内部站点的完整地址添加到本地Intranet区域时,SSO将工作,并且不会提示用户input密码。 我试图设置这个,所以我们并不总是必须添加网站到这个GPO设置,并等待它应用在客户端电脑等。而是使用* .domain.com覆盖任何子域。 为什么我们不能在站点中使用通配符来为本地Intranet分配区域,还是我的语法不正确? 回顾一下,像这样的设置不允许SSO: * .domain.com 1 这工作: mywebsite.domain.com 1 support.domain.com 1 数字“1”是Internet Explorer中的区域分配,在本例中是“本地Intranet区域”。 谢谢。
我试图限制login到Debian 8中的特定LDAP组。系统configuration为使用OpenLDAP(PAM)作为身份validation方法。 我的目标是将系统configuration为允许所有本地用户(包括root)加上属于LDAP组列表的LDAP用户。 在服务器中,组是具有objectClass作为posixGroup的条目,因此memberUid属性包含该组中的用户。
我正在尝试使用Sharepoint Online(Office 365)的基于声明的身份validation和面向Internet的访问,在本地安装上configuration新的Dynamics CRM 2016。 我们目前有一个Windows 2012 R2 Essentials域控制器与Office 365同步,我知道我们不应该更改任何在线服务的密码,而是使用本地帐户,以便同步新的密码。 当时我们希望在办公室的设置方面尽可能地精益,所以Essentials是明智的select,但是现在我认为当你想要添加其他服务时,这是非常重要的! 那是对的吗? 我见过这篇文章,它解释了如何利用ACS来处理CRM的主张联邦,这将整理CRMlogin。 但是我略微担心没有在目录中configuration单一login的情况下将其展开。 例如,将密码从Azure同步到onprem AD,显然这不适用于此设置,请参阅https://social.technet.microsoft.com/Forums/windowsserver/en-US/97cdba31-afda-49a0-bd71-cdd408b22fe6 / Windows的服务器-2012-R2-要领,和蔚蓝的主动目录同步工具?论坛= winserveressentials 在我承诺使用ACS(仅在Azure高级版中提供)之前,我想确保我们也能够在整个目录中实现单点login,或者如果我们需要迁移到新的DC(不是在要领),并使用AADConnect来代替? 请参阅https://azure.microsoft.com/en-us/documentation/articles/active-directory-aadconnect/ ,其中包含ADFS,因此不需要ACS。 我只是混合概念? 我的担忧是没有根据的吗? 有没有人能够做这种设置之前? 任何帮助,将不胜感激。
我正在寻找将ADFS作为SAML2服务提供商的IDP进行集成的方法。 我已经使用validation证书等configuration了SAML2提供程序。我们使用“添加依赖方信任向导”来configurationADFS以及SAML2 SP的详细信息。 但是我不确定这里的工作stream程的其他部分。 感谢有人能指导我一篇好文章。
我无法弄清楚这个问题,而且这个问题很模糊,我无法确定合适的search条件来研究它。 道歉,如果这是经常问! 在我们域中的许多服务器上,当我检查Administrators组中的成员资格时,经常会看到似乎是重复条目的东西 – 一个是域login名或组,另一个是SID之后的相同条目。 例: OURDOMAIN\WebLogin OURDOMAIN\WebLogin (S-1-5-21-2000478354-guid-etc-etc) 他们似乎没有影响性能或安全,但他们混淆。 这是什么意思? 他们是怎么来的? 最重要的是,删除冗余外观是否安全?
我有一台运行Mac OS 10.5.7的Mac。 我想为git使用设置几个SSH帐户。 帐户最初configuration了/ dev / null的主目录和/ usr / bin / false的loginshell。 在此设置中,帐户不会显示在login屏幕或快速用户切换下拉列表中。 但是,为了让他们使用git,我需要将其loginshell更改为/ opt / local / bin / git-shell。 一旦做出更改,他们突然出现在login屏幕和用户下拉菜单中。 是否有可能阻止这些帐户出现在这些名单?
在我的活动目录中,我目前在包含login脚本的域对象上有一个GPO。 我想创build一个新的组,我可以添加用户,并运行一个额外的/不同的login脚本。 我试着创build一个新的OU,把这个组放入OU中,把用户添加到组中。 在OU中,我创build了一个GPO并设置了用户login脚本 – 我使用浏览button导航到脚本文件。 UNCpath看起来是正确的,我validation了用户/机器可以真正到达并正确运行。 问题是它似乎不工作。 我重新启动机器,login,脚本似乎并没有运行。 我猜测这可能是因为在其他域GPO的login脚本(这是设置为不覆盖)(也许这是不重写,这是问题…?)? 您是否只能从单个GPO定义一个login脚本,或者您是否可以拥有多个具有login脚本的GPO?
我想钩入域用户login系统,并处理我自己的本地configuration文件创build。 我有两个基本的相关问题: 我如何拦截域用户身份validation? 我可以自己处理用户configuration文件的创build吗? 使用漫游configuration文件不是一个选项 使用强制configuration文件也不是一个选项 目标平台 – Windows 7企业版,专业版,家庭高级版(可选) 我不介意使用Active Directory,但我更喜欢使用Linux(Samba 4?)软件,因为我的服务器都将运行Linux。 这是相对不相关的,因为我只是想要一些文档,甚至是在Google上search什么。 所有域用户都可以login到一个本地configuration文件? 在Windows中,什么是“用户configuration文件”? 编辑:我发现这个链接在微软的msdn网页。 我也发现这对于开始定制GINA非常有帮助。 我是否需要任何特殊软件来创buildauthentication包? 我可以从此脚本访问Web或networking资源来validation凭据吗?