我有一个基本的身份validationsetuped与用户和组 AuthType Basic AuthName "GSD Dev Area" AuthUserFile /coding/conf/passwords/gsdesign/htpasswd AuthGroupFile /coding/conf/passwords/gsdesign/groups Require valid-user 现在我想保护一个文件夹只有一个组 require group myGroup 它有效,但有一个问题。 如果我没有访问该文件夹我再次login窗口,我想通过禁止。 我怎样才能做到这一点。 非常感谢。 以后编辑我已经login了一个有效的用户名,但是当我访问一个区域有一个需求组,我不是我的一部分,我想得到一个身份validation拒绝而不是login框。
我的网站是在Apache上运行的PHP。 我的一个用户在有2个IP的广域网上,他的连接被其中的任何一个路由到我们的服务器。 如果它检测到IP的变化,PHP似乎将用户注销。 这是一个开源的应用程序,我认为一些常用的stream行文件必须已经被使用。 有什么办法来防止它?
这是我很好奇的。 有一个由Windows XP机器组成的局域网。 有一个pipe理员帐户说admin-xyz可以用来login到networking上的任何机器。 但是,当我运行pwdump来获取密码哈希在一台机器上,我没有看到admin-xyz帐户。 我只是好奇如何authentication发生。 有人可以请说一说吗? 谢谢。
我有一台服务器在debian lenny中运行apache2。 由.htaccess保护的文件夹会发生一些奇怪的事情。 基本上,如果你input一个错误的密码,但由the_correct_password + _more_chars组成,它让你进入。 如果你以其他方式input不正确的密码,当然它会告诉禁止的。 所以我问,这是正确的行为? 如果你先input正确的密码+其他字符,让你input? 我怎样才能使Apache检查一个完全正确的密码,而不是在input的密码开始正确的密码。 我希望我已经以更清晰的方式解释了这个问题:)
在我盲目地跳过“试错”testing之前,我想问一些关于Web服务器的Kerberos身份validation的一般性问题。 我想评估Kerberos的可能性。 主要好处当然是单点login。 但它也可能是LDAPauthentication等的一个合适的替代scheme(幸好我们的Active Directory已经包含了一个Kerberos KDC)。 帮助,提示和讨论是最受欢迎的! 我想讨论一个相当复杂的设置,以find限制:MS浏览器 – > Linux Squid代理 – >(Linux httpd反向代理) – > Linux的httpd Web服务器 1)据我所知,Web服务器和浏览器都需要永久连接到KDC来获取和validation身份validation票,对吧? 2)我们的KDC只能在我们的内部networking上访问。 这是否意味着我们networking之外的客户将无法在我们的网站上进行身份validation? 如果是这样,那么是否有可能在我们的networking(通过访问我们的KDC)中放置反向代理来代表浏览器获取Kerberos票据? Web服务器能够代表浏览器自己获取一个Ticket吗? 这将是一个适当的解决方法? 我是否应该使用后备ldap身份validation来处理外部客户端(LDAP服务器只需要可用于Web服务器而不是浏览器)? 3)当使用代理服务器(如鱿鱼的正常代理服务器)时,Kerberos如何工作? 代理服务器是否代表浏览器获取票证? 我可以使用某种直通机制吗? 我真的需要改变我的代理上的任何东西,以防止它打破Kerberos身份validation? 我在互联网上发现了很多HOWTO,但是他们中没有一个清楚地表明他们是允许一般访问代理还是访问代理之后的网站。 我将probalbypopup一些更多的问题,但我认为这可能是一个很好的起点,以获得对基于票证的authentication的一些洞察力。 感谢提前!
我想只允许一个用户login到域中的特殊计算机。 我怎样才能做到这一点 ?
鉴于以下标准工作stream程: 用户提供用户名和密码给应用程序(即networking邮件)。 应用程序根据LDAP或AD对用户进行身份validation。 LDAP或ADlogging身份validation尝试,包括作为应用程序IP出现的请求源。 是否有可能将用户的IP包含在LDAP或AD请求中,以这种方式结束于LDAP或AD身份validation日志条目中? 要么:追加信息,要么replace应用程序IP?
背景 :我将OTP令牌authentication添加到我的Web服务器。 我使用ForceCommand /token/script命令修改了/etc/ssh/sshd_config文件。 问题 :我有一个本地Jenkins实例连接到Web服务器进行部署; jenkins不能input令牌信息或回复电话(尽pipe谁知道,我打赌甚至有一个插件!)。 可能的解决scheme :使用~/user/authorized_keys命令参数强制除了jenkins使用的密钥之外的所有密钥上的令牌脚本。 问题 :authorized_keys方法的全局sshd_config方法的安全性如何? 你会认为这是一个可以接受的权衡? 有没有更好的解决scheme(允许jenkins做奴隶部署,同时让其他人locking令牌authentication?)。 我已经尝试了两种方法,都像魅力一样工作。 第二种方法我觉得在部署方面比较实用,但是却为我提供了一些内部的红旗。 我不知道我是不是在追着鬼(红旗)。 讨论!
我的Ubuntu 12.04服务器使用google-authenticator pam模块为ssh提供两步validation。 我需要这样做,以便某个IP不需要inputvalidation码。 /etc/pam.d/sshd文件如下: # PAM configuration for the Secure Shell service # Read environment variables from /etc/environment and # /etc/security/pam_env.conf. auth required pam_env.so # [1] # In Debian 4.0 (etch), locale-related environment variables were moved to # /etc/default/locale, so read that as well. auth required pam_env.so envfile=/etc/default/locale # Standard Un*x authentication. @include common-auth […]
我在/etc/hosts.allow中/etc/hosts.allow了自己的域名 ALL: localhost, .domain.tld 加上我所有的IP地址。 我在/etc/hosts.deny也有大约4k行。 一切正常,但我不明白我不时得到的警告,因为不是所有的连接返回不匹配: Feb 4 09:01:13 my sshd[24068]: warning: /etc/hosts.allow, line 14: host name/name mismatch: UNKNOWN-110-75-188-34.aliyun.com != my.domain.tld 更新: 我的IP映射到domain.tld,domain.tld映射到我的IP。 * .aliyun.com是一些BruteForcing机器,攻击我的服务器。