我有一个运行Apache2 :: AuthenNTLM的Apache 2.2服务器。 我已经成功地将Apache2 :: AuthenNTLMconfiguration到它连接到域控制器的地步。 但是,有效的用户名/密码组合会在日志中显示“错误的用户/密码”,并且不会进行身份validation。 这是Apache的configuration: PerlAuthenHandler Apache2::AuthenNTLM AuthType ntlm AuthName "NTLM TEST" Require valid-user # DOMAIN has is the domain users authenticate to, DOMAIN\username # subdomain points to the domain controller. subdomain.domain.local. # /etc/hosts maps subdomain to the correct IP. PerlAddVar ntdomain "DOMAIN subdomain" PerlSetVar ntlmdebug 1 PerlSetVar defaultdomain DOMAIN PerlSetVar […]
我是最终用户,而不是IT专业人员。 不幸的是,我的企业资源无法解决这个问题。 我正在寻找一些build议给他们。 在过去的四个月里,我一直在我们的公司networking上平均每天login2-3次。 我没有遇到任何问题,并在一天内被locking了7次。 在过去的八年里,我被封锁了两次。 每次locking都需要致电我们的公司服务台以解锁我的账户。 发生locking是因为我们的安全系统“认为”我试图用无效凭证(密码错误)反复validation。 迄今为止,非常繁琐的debugging过程的全部细节都在我的博客文章中: http : //tech.kateva.org/2009/05/debugging-network-account-lockouts.html 。 大约一个星期前,我在Outlook 2007中被黑客入侵,而我的locking已经消失。 成本是,我不得不手动validation(域名/用户名和密码)每个“天”,我的Outlook客户端连接到Exchange服务器的第一次。 讨厌,但我可以忍受。 自从我开始这个过程,我的笔记本电脑已经刷新。 我有一个原始的公司标准磁盘映像新的硬件,我回到了Outlook 2003中。我也回到被locking! 所以我不认为这个问题是在我的笔记本电脑上。 在进一步的调查中,我发现如果我发送Outlook 2003总是请求我没有被locking的凭证。 所以我需要了解身份validation过程如何不同 一个。 Outlook连接到Exchange并使用与我的用户帐户(NTLMnetworking域/ un和pw)相关的凭据自动进行身份validation(标准行为)。 湾 Outlook连接到Exchange,我必须手动input我的networking联合国和pw。 不知何故“B”正常工作。 但是,我认为,使用进程“a”Exchange Server(我们的Outlook?)将错误凭据发送到Active Directory,导致我被locking。 我怀疑我的Active Directory帐户和/或我的Exchange Server邮箱的configuration错误。 我需要向我们的服务台和安全柜台提供他们可以在Active Directory或Exchange Server上进行调查的很好的列表。 如果我不能这样做,我需要获得一个新的公司ID,放弃我现有的用户ID。 我认为,如果我能把他们指向正确的方向,给他们相当准确的指导,他们就能解决这个问题。 任何build议都会有帮助。 我可能只需研究NTLM(AD)身份validation如何与Exchange Server请求一起工作。
好吧,标题说明了一切,真的。 最终目标是为最终用户实施代理authentication。 用户的系统大部分(95%)是基于Windows的,代理是一个运行鱿鱼的Debian Lenny 2.7。 我已经调查了可能的方法来实现它,首先使用ntlm_auth助手,在Lenny squid2.7发货,它失败了, - 一些用户得到authentication就好,有些没有出于某种原因。 我无法find一个corellation,我甚至用wireshark检查实际的数据包stream无济于事 – 这似乎是完全随机的。 我已经在不同的物理机器/帐户上试过了,所以排除了。 然后,看起来有两条可能的路线可用。 使用winbind(使用samba)并使用ldap + kerberos。 我本人反对使用samba,因为首先它需要你跳过像join域等特定的环节,其次(这是cruncher) – 我不需要samba提供的所有function,它是只是不希望在那台机器上拥有所有的function,比如窗口式的共享等等。 如果我不得不求助于使用samba,我真的只想使用一小部分function,就足以让samba的ntlm_auth(用winbind)来authentication用户。 有没有人有这种设置的经验? 我读过这个问题 (不是真的是一个问题:P),我真的很喜欢我所看到的 – Kerberos似乎是一个可能的解决scheme,足迹并不是那么庞大。 问题是,是否有可能在windows-2000版本的域上运行? 那么浏览器如何支持?
我期待部署openvpn作为一个Linux RAS服务器(而不是站点到站点),我想使用双因素authentication,特别是使用ssl证书和密码绑定到ntlm域或ldap服务器。 这甚至有可能吗? 我真的很努力挖掘有关做这样的事情的信息,所以我开始怀疑这一点。 如果有人这么做了,那么知道(或者知道开源的方式来做这样的事情)会更好,或者更好的是需要openvpn服务器configuration来实现这个function。 编辑:我知道一个SSL证书是不是一个理想的因素。 🙂
目前我有鱿鱼3.2安装与NTLM身份validation和LDAP组拉。 我也有MySar运行拉动报告。 看来,伐木工作的方式是通过两次,一次是authentication,一次是接受。 但是,被拒绝的事情没有logging用户名,这使得鱿鱼很难解决办公室的某些问题,考虑到我们有一个IP地址有多个用户的terminal服务器。 所以我想我的问题是,是否有任何解决方法呢? 无论如何改变它的日志方式,所以我们知道是否有什么被拒绝的用户是什么? 我的squid.conf #======================= # NTLM AUTHENTICATION > #======================= auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 10 auth_param ntlm keep_alive on #auth_param ntlm max_challenge_lifetime_reuses 5 #=============================== # EXTERNAL ACL TO PULL GROUPS > #=============================== external_acl_type nt_group %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl #======================= # ACL > #======================= #ACL for Groups acl CustomerServiceGroup external nt_group […]
有一点上下文,我们有几个Windows 7客户端连接到LDAP支持的Samba PDC。 我们还有一台Zimbra 8服务器,可以从相同的LDAP进行身份validation。 用户login到Windows 7客户端时,批处理脚本会映射Samba服务器上的networking驱动程序的数量。 所有这一切运作良好。 现在我想在用户使用WebDAVlogin时映射每个用户的Zimbra公文包文件夹。 我们添加了: net use Z: https://mail.ourserver.com/dav/user/Briefcase /u:user到我们的批处理脚本,但是只有在用户手动将他们的密码input到打开的命令提示符后才能使用。 显然,我希望能够在这里做的是使用Windowslogin凭据挂载驱动器,并且在他们已经login后不再提示input密码。使用net use Z: https://our.server.com/dav/user/Briefcase /u:user password有效,但是我们没有权限访问用户的纯文本密码,因此不是一个选项。 我遇到了这篇知识库文章中提到的AuthForwardServerListregistry项,当通过WebDAV连接到SharePoint服务器时,这应该解决类似的问题。 我试着添加registry项的值https://*.ourserver.com和它的各种组合,重新启动机器,但这似乎没有任何作用。 net use仍会提示input密码,Windows资源pipe理器中的“Map Network Drive”选项也是如此。 所以我的问题是, AuthForwardServerList实际上是如何工作的? 它只适用于Windows服务器,服务器是否必须支持NTLM,还是可以与任何使用BasicAuth的WebDAV服务器一起工作? 它只适用于IE浏览器而不是Windows Explorer? 另外,有什么办法可以访问用户刚用来login到机器的密码,并以某种方式将其传递给脚本? 该脚本是在samba服务器上dynamic生成的,并在客户端上执行,所以即使密码可以在服务器上以纯文本forms捕获,也可以将其附加到脚本中。
我有一个网站在IIS上运行,并使用Windows身份validation。 所有configuration为访问该站点的用户都是AD域(不是本地用户)。 在网站的属性中,我已经设置使用AD域作为领域。 现在,当使用Firefox,Safari或Chrome – 一切都很好。 当用户试图打开该网站时,他得到了login框。 他只是input“用户名”和“密码”(让我们假装它是一个实际的login名和密码:P),他进入了网站。 当使用IE浏览器,但是,事情变得讨厌。 当用户试图打开网站 – 他得到的login框。 用户再次input“用户名”和“密码”,但被拒绝! 而当第二次login框popup – 它的用户名填写为“web-server-domain-name \ username”这是错误的,因为web服务器域名不是所有用户所在的域(它是“广告域”)。 我花了好几天的时间想弄清楚发生了什么…请注意,如果我手动input“ad-domain \ username” – 我可以毫无问题地进入网站。 所以,我的猜测是IE发送错误的用户名,如果没有指定域。 无论如何,IE是触发这种行为的唯一浏览器! 是否有可能做一个服务器端修复? 也许有可能以某种方式将用户自动映射到AD用户? 如果它不是可解决的服务器端 – 是否有客户端修复? 谢谢。 PS:我更像是一个程序员,而不是系统pipe理员,所以configuration服务器并不是我的强项…… P 更新 : @Evan:是的,还启用了“Windows域服务器的摘要式身份validation”。 @Eric:IIS版本是6.0。 启用的身份validation方法为:集成和摘要 – 禁用所有其他方法。 至于安全日志。 我查看了一下,当在Chrome / Firefox中进行“用户名”和“密码”login时,以及从IE浏览器进行“ad-domain \ username”和“password”login时,生成的日志消息是一样的(我没有区别,无论如何)。 当input“用户名”和“密码”,我没有看到安全(或任何其他)日志中的任何错误,所以不能告诉它试图使用什么方法。 更新2 : 正如埃里克在评论中提到的 – 我和小提琴手一起玩耍…在玩这个游戏时,我注意到,当在FF和IE中input“用户名”和“密码” – 发送的“授权”通过IE发送的时间比FF发送的时间要长(几乎是两倍)。 我试图禁用Windows集成身份validation,只保留摘要启用 […]
我在Apacheconfiguration文件中运行一个应用服务器,在我的Apacheconfiguration文件中有以下几种: ProxyPass /app http://myapplication:8080/myapp ProxyPassReverse /app http://myapplication:8080/myapp 当我打开NTLM身份validation(使用mod_ntlm)身份validation失败(绕过代理时,它工作正常)。 由于特定于连接的NTLM规范,在代理之后运行NTLM时,快速search会显示很多问题。 有没有人有一个工作的Apacheconfiguration,允许通过代理NTLM身份validation? 谢谢你的帮助。
所有客户端浏览器在通过本地代理服务器运行时反复询问NTLM身份validation。 当浏览器通过本地代理指向互联网时,一些但不是所有的客户端都会被重复提示,并向代理服务器进行身份validation。 我已经使用firefox live头文件和fiddler检查了头文件,并且在所有情况下,请求SSL资源时都会发生身份validation提示。 这个例子如下: GET http://gmail.google.com/mail/ HTTP/1.1 Accept: image/gif, image/jpeg, image/pjpeg, image/pjpeg, application/x-shockwave- flash, application/x-ms-application, application/x-ms-xbap, application/vnd.ms- xpsdocument, application/xaml+xml, */* Accept-Language: en-gb User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729) Accept-Encoding: gzip, deflate Proxy-Connection: Keep-Alive Host: gmail.google.com GET http://gmail.google.com/mail/ HTTP/1.1 Accept: […]
我可以让HaProxy将Windows身份validation凭据转发到IIS上吗? 我search了一天,找不到更多的信息。