问候。 我是一个成长中的小型行业协会的站长。 很快,我将不得不为网站实施一个仅限会员的部分。 问题是,我们的组织成员既包括大公司,也包括业余“俱乐部”(这是一个相对较新的行业……)。 很明显,这些俱乐部将分享loginID,他们将用于login到我们的网站。 问题是要检测他们的成员之一是否会与通常不应该访问该网站的人分享login凭据(对于这样的俱乐部是否有所有成员login该网站都没有异议)。 我曾经考虑过每次loginIP地址以及使用的操作系统和浏览器, 如果操作系统/浏览器保持不变,并且不超过10个不同的IP地址,则该帐户明显地被less数不同的计算机使用。 但是,如果有50个操作系统/浏览器组合和150个不同的IP地址,证书显然已经被广泛传播,那么就会导致操作,比如修改密码。 当然,当你的密码被单方面改变时,这是非常烦人的。 所以,我想这个问题是考虑到允许“俱乐部”pipe理自己的子账户列表,所以如果怀疑有滥用的话,那么负责的用户就会很容易被扣下来,而这个“下属成员”面对密码更改的烦恼。 问题:有什么潜在的问题会有人看到这样的做法?
编辑:解决! 看到我的答案在下面。 问候,我正在寻找一种方法来以下列方式对Intranet进行单一login: Linux用户通过graphics前端(例如GNOME)login。 他自动向MIT Kerberos KDC请求一个TGT作为他的用户名。 通过某种方式,Apache服务器(我们将假设它与KDC在同一台服务器上)通知该用户已经login。 当用户访问内部网时,他自动被授予访问他的Web应用程序的权限。 我不认为我在searchnetworking时看到过这种function。 我知道存在以下可能性: 使用诸如mod_auth_kerb之类的authentication模块,向用户呈现login提示以input他的用户名和密码,然后对MIT Kerberos服务器进行authentication。 (我想这是自动的。) 当用户是Active Directory的一部分时,IIS支持通过ASP.Net进行集成的Windowslogin。 (我正在寻找Linux / Apache的等价物。) 任何build议,批评和想法,高度赞赏。 这是一个学校项目展示的概念certificate,所以每一个方便的信息是比欢迎。 🙂
如果Kerberos身份validation(由于某种原因)失败,有没有办法使Apache恢复到不同的身份validation方法? validation方法的顺序应该是: Kerberos的 活动目录 RSA令牌 RSA令牌authentication由没有AD帐户的外部用户使用。 让我知道如果你需要更多的信息。 谢谢。 我目前的configuration如下: <Directory "/path/to/directory"> AuthType Kerberos AuthName "Please provide credentials to log in" KrbAuthoritative off AuthzLDAPAuthoritative off AuthBasicAuthoritative off AuthBasicProvider this-sso this-ad this-radius Require valid-user SSLRequireSSL </Directory> authentication别名如下: <AuthnProviderAlias kerberos this-sso> KrbAuthRealms THIS.LOCAL KrbMethodNegotiate on KrbMethodK5Passwd off KrbDelegateBasic on Krb5Keytab /etc/apache2/this.keytab.key KrbServiceName HTTP KrbVerifyKDC off </AuthnProviderAlias> <AuthnProviderAlias ldap […]
我在1年前的RAID机器上安装了Windows Server 2008的新安装(机器以前有Ubuntu)。 Windows服务器安装正常,创buildpipe理员帐户等重新启动安装后,我得到一个奇怪的问题。 键盘和鼠标在login屏幕上无响应(CTRL + ALT + DELETElogin)。 键盘和鼠标都“点亮”,键盘在BIOS级别工作。 这两个设备也在其他机器上工作。 它只有一次Windows加载到他们变得不响应。 在本机上使用不同的键盘/鼠标组合时,我遇到同样的问题。 在Bios级别罚款,在Windowslogin屏幕失败。 尝试在安全模式下启动 – 同样的问题。 尝试关机,留下一点,重新启动 – 同样的问题。 在各种USB端口尝试过各种键盘和鼠标 – 同样的问题。 有没有其他人遇到这个,它让我完全陷入了困境。 在此先感谢您的帮助。
我正在运行Confluence 3.5.13。 我已经通过TechTime的NTLMv2插件获得了对Active Directory林的SSO身份validation。 在Confluence中有活动账户的用户会自动login,没有账户的用户可以匿名浏览空间。 这里没问题。 但是,在Confluence数据库中已经被禁用的用户有一个问题。 无论他们尝试访问什么,他们都会得到一个页面,上面写着“你不能执行这个操作”。 我的问题是这样的:是否可以configurationConfluence,以便一个具有禁用帐户的人能够作为匿名用户浏览? 由于他们过去贡献的内容的参考,删除用户的帐户是不可行的。 他们可以注销,但只要他们转到另一个页面,SSO就会再次对其进行身份validation,并被拒绝访问。 我想我需要一种方法来为禁用帐户的用户提供“使用Confluence”全局权限,同时保持其禁用状态用于其他目的。 我已经在Atlassian的论坛上发布了这个问题,所以这个比赛是很好的答案。 😉
我正在尝试从Heroku中捕获日志。 我已经设置build议http://devcenter.heroku.com/articles/logging#syslog_drains 。 我对rsyslog完全陌生,请耐心等待。 我在哪里可以看到来自heroku的日志? 另外,如何configurationrsyslog把所有的Heroku日志放在/var/log/syslog/heroku_%$YEAR%%$MONTH%%$DAY%.log之类的东西里?
我有一个Windows 7系统,是一个域的一部分。 当它无法访问域控制器时,是否仍然运行login脚本? 现在,我们有一个从registry运行部分启动的本地脚本,用于检查连接性。 如果无法与服务器通话,则会修改某些设置,以防止在使用机器时出现严重错误。 这可能是这样做的最糟糕的方式,但这是以前的技术设置。 使用GPO和活动目录设置login脚本的最佳做法是什么? 无论我设置的系统还是需要在系统closures的情况下运行。 谢谢
在一个旧的GNU / Linux Ubuntu框中,我看到类似的东西 lorenzo@metropolis:~ $ w 09:58:18 up 651 days, 19:30, 5 users, load average: 0.28, 0.30, 0.24 问题是,我login了其他三个会话。 这个数字应该是四,而不是五。 任何线索为什么报告的用户数量更高? 然而,检查lastlog返回一个正确的值: lorenzo@metropolis:~ $ sudo last -ain 7 | grep 'still logged in' | wc -l 4 这是who在另一个场合,但仍然显示两个用户的输出,三个由w报告 lorenzo@metropolis:~ $ who lorenzo pts/0 Dec 28 13:10 (XXX) lorenzo pts/1 Dec 28 13:07 (XXX) lorenzo@metropolis:~ […]
我正在尝试使用Kerberos在我的Apache Web服务器上设置SSO,以便login到本地域的用户能够被立即识别并login。 我已经按照本指南的信,但一旦设置完成,我不能摆脱用户名/密码提示。 我使用Ubuntu 8.04,已经为Apache安装了mod_auth_kerb 5.4。 我的/etc/krb5.conf: [libdefaults] default_realm = COMPANY.LOCAL [domain_realm] .company.local = COMPANY.LOCAL company.local = COMPANY.LOCAL [realms] COMPANY.LOCAL = { default_domain = company.local kdc = DC01.COMPANY.LOCAL:88 admin_server = DC01.COMPANY.LOCAL } 我的Apacheconfiguration: <Location /> AuthType Kerberos AuthName "server login" KrbMethodNegotiate On KrbMethodK5Passwd On KrbAuthRealms COMPANY.LOCAL KrbServiceName HTTP Krb5KeyTab /etc/apache2/httpd.keytab KrbVerifyKDC off KrbLocalUserMapping on require […]
我在一家小公司工作,自从我大约8年前就从事技术支持工作(自那时以来,大部分时间都是软件工程师),所以我负责所有与计算机有关的事情。 我已经inheritance了当前的networking/服务器configuration。 我是Windows Server 2008的新手,请耐心等待。 我觉得有一个令人难以置信的简单的答案,我只是没有看到。 我们正在使用Windows 2008服务器标准,并试图通过远程桌面和使用数据库软件将新用户添加到远程服务器。 我已经在Active Directory中设置了用户,并将用户添加到RDS组,Domain Users组和Domain Admins组(因为其他可以正常login的用户都在该组中,但我宁愿不要这样做如果我可以避免它的用户在该组)。 当我以用户身份(在本地控制台或远程login)login时,根据我所知,什么样的加载看起来是Windows服务器pipe理器(或MMC)。 没有启动button,任务栏只有一个服务器pipe理器的快速启动button。 什么看起来像桌面上的图标,但他们都没有做任何事情。 右键单击“桌面”或任务栏不起作用。 如果我按下Ctrl-Alt-Del并select启动任务pipe理器来试图找出explorer.exe是否正在运行,那么一个窗口会闪烁,然后消失。 我GOOGLE了这个和search这个论坛和StackOverflow,看到类似的问题,但不一样。 基于这个链接,我猜explorer.exe不是启动 – 而是MMC /服务器pipe理器,但我不确定。 我觉得一定有一些设置的地方,我错过了,将允许explorer.exe启动和桌面显示。 以pipe理员身份login(本地和远程)都可以正常工作,并且还有其他用户(他们的ADconfiguration文件中的设置与我刚刚设置的新用户具有相同的设置)login无误。 本地用户中的唯一用户是pipe理员,而另外一个我现在不记得(我不在服务器位置),但是问题是当前没有任何用户login正常。