Questions tagged «authentication»

如何检查我的IIS站点是使用NTLM还是Kerberos？以及如何将身份验证从Kerberos更改为NTLM？我正在使用IIS 7.5。

10 authentication  iis  web  kerberos  ntlm 

使用Active Directory在Linux（Debian）机器上对用户进行身份验证的最佳实践是什么？ 我希望它的工作方式是将AD用户添加到组中-例如linux管理员或linux webserver，并根据其组成员身份将/将不会授予他们对特定服务器的访问权限。理想情况下，根帐户将是唯一以标准方式维护的帐户。 我的目标如下： 允许在一处更改密码 自动授予某些人使用其AD凭证访问Linux服务器的权限 将我们所有的用户信息整合到一个数据库中 我要避免的事情是： Active Directory管理员需要管理的任何困难/违反直觉的事情 如果由于某种原因无法访问AD服务器，则将用户锁定（例如，它需要以某种方式缓存凭据） 任何太复杂或不标准的东西都会在下次升级服务器时中断。

10 linux  active-directory  debian  authentication 

我正在研究为用户提供跨多台计算机的单一身份的软件。也就是说，用户应在每台计算机上具有相同的权限，并且该用户应有权访问每台计算机上的所有他或她的文件（漫游主目录）。这个一般想法似乎有很多解决方案，但我正在尝试为我确定最佳解决方案。以下是一些详细信息以及要求： 机器网络是运行Ubuntu的Amazon EC2实例。 我们使用SSH访问机器。 该LAN上的某些计算机可能有不同的用途，但我仅讨论特定用途的计算机（运行多租户平台）。 该系统不一定具有恒定数量的机器。 我们可能必须永久或临时更改正在运行的计算机数量。这就是为什么我要研究集中式身份验证/存储的原因。 实现这种效果应该是安全的。 我们不确定用户是否可以直接进行shell访问，但是他们的软件可能会在我们的系统上运行（当然，使用受限的Linux用户名），这与直接shell访问一样好。 为了安全起见，假设他们的软件可能是恶意的。 我听说过多种技术/组合可以实现我的目标，但是我不确定每种组合的后果。 较早的ServerFault帖子推荐使用NFS和NIS，尽管根据Symantec的旧文章，此组合存在安全问题。该文章建议使用NIS +，但由于年代久远，这篇Wikipedia文章引用了一些声明，暗示Sun逐渐偏离NIS +。推荐的替代品是我听说的另一件事... LDAP。看起来LDAP可用于将用户信息保存在网络上的集中位置。仍然需要使用NFS来满足“漫游主文件夹”的要求，但是我看到它们被一起使用。既然Symantec文章指出了NIS和NFS中的安全性问题，是否有软件可以替代NFS，还是我应该注意该文章的建议以将其锁定？我之所以趋向于LDAP，是因为我们架构的另一个基本部分RabbitMQ具有针对LDAP的身份验证/授权插件。RabbitMQ将以受限方式供系统上的用户访问，因此，我希望将安全系统捆绑在一起。 Kerberos是我听说过的另一种安全身份验证协议。几年前，我在一个密码学课上学到了一些关于它的知识，但对它却不太记得。我在网上看到了一些建议，可以通过多种方式将其与 LDAP 结合使用。这有必要吗？没有Kerberos的LDAP有哪些安全风险？我还记得在卡耐基梅隆大学开发的另一款软件中使用了Kerberos ... 安德鲁文件系统或AFS。可以使用OpenAFS，尽管其设置似乎有些复杂。在我的大学中，AFS同时满足这两个要求...我可以登录到任何计算机，并且“ AFS文件夹”始终可用（至少在获得AFS令牌时）。 除了我应该寻找的建议之外，是否有人有特别有用的指南？粗体指出，LDAP似乎是最佳选择，但是我对与安全性有关的实现细节（Keberos？NFS？）特别感兴趣。

9 linux  ubuntu  security  authentication  ldap 

远程用户使用SSH通过Internet连接到我们总部的多个服务。SSH密码与其LAN A / D帐户同步。 与让用户输入密码相比，让用户使用CD或纸之类的东西将SSH密钥的副本带回家的安全性更高吗？还是我都需要？ 我的问题可能会重新组织为：SSH的密码身份验证协议中是否存在任何漏洞？ 这条消息使我感到怀疑： The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established. RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:. Are you sure you want to continue connecting (yes/no)?

9 security  ssh  authentication 

我正在Windows上使用具有基于密钥的身份验证的Putty来访问一些我的服务器。 使用〜3700位密钥，它完全可以正常工作，但是使用〜17000位密钥，它在客户端认为大概20秒，然后只说“拒绝访问”并要求输入密码。 OpenSSH中是否存在基于密钥的身份验证的密钥长度限制或超时？ 我知道使用这么大的键并没有太多实际意义，尤其是在看这20秒的计算时，只是试图解决我面临的任何问题：-）...

9 authentication  ssh  rsa 

我已经在这里的Nagios上运行了对我的LDAP服务器进行身份验证的服务器（带有Apache 2.2.3-22.el5.centos的CentOS 5.3），并且一切正常。但是，我希望某些IP无需身份验证即可查看Nagios状态页面。Nagios具有此选项，可将用户分配给未认证的用户： authorized_for_read_only=guest default_user_name=guest 听起来不错，但这并不能解决Apache身份验证问题。我当前的apache配置如下所示： <Directory "/usr/lib64/nagios/cgi"> AllowOverride None Order allow,deny Allow from all AuthName "Nagios Access" AuthType Basic AuthUserFile /etc/nagios/misc/htpasswd.users Require valid-user AuthBasicProvider file ldap AuthzLDAPAuthoritative off AuthBasicAuthoritative On AuthLDAPGroupAttribute LDAPmember AuthLDAPURL (my server stuff) Require ldap-group CN=nagios,ou=groups,DC=local </Directory> 那行得通，但我想以某种方式说“这里的IP，他可以跳过身份验证”。Apache Satisfy指令看起来可以正常工作，因此我尝试了以下操作： <Directory "/usr/lib64/nagios/cgi"> AllowOverride None Order allow,deny Allow …

9 apache-2.2  authentication  httpd 

首先，我不是站点上的AD管理员，但是我的经理要求我尝试将我的个人Redmine安装与ActiveDirectory集成，以便对其进行大规模试运行进行测试。 我们的AD服务器位于host：port ims.example.com:389，我有一个user IMS/me。 现在，我me在Redmine中也有一个使用本地身份验证的用户。 我在RedMine中使用以下参数创建了ActiveDirectory LDAP身份验证方法： Host: ims.example.com Port: 389 Base DN: cn=Users,dc=ims,dc=example,dc=com On-The-Fly User Creation: YES Login: sAMAccountName Firstname: givenName Lastname: sN Email: mail 测试此连接工作正常。 但是，我还没有成功通过身份验证。 我创建了一个备份管理员用户，以便在遇到问题时可以重新进入该me帐户，然后尝试更改me为使用ActiveDirectory凭据。但是，一旦完成，就无法登录。我已经尝试了所有这些登录名选项： me IMS/me IMS\me 我使用了我已知的域密码，但没有任何乐趣。 那么，为了使这项工作有效，我在什么设置上有误，或者需要获取哪些信息？

9 active-directory  authentication  ldap  ruby-on-rails  redmine 

我正在考虑删除SSH的基于密码的登录名。但是，我不想允许使用无密码的ssh密钥，因为那样会更糟。 如何确保只有具有密码的SSH密钥可以连接？ 如果无法做到这一点，是否还有其他选择，例如集中管理SSH密钥生成以及阻止用户生成和/或使用自己的密钥？我想像PKI。

9 ssh  authentication  keys  password 

我们正在开发.net应用程序，并将向其添加身份验证。我们想为此使用Active Directory，但目的是使用于开发的测试服务器尽可能简单。 如何启动和运行Active Directory？我可以在Win7安装上本地运行吗？我听说过ADAM和AD LDS，但是除了知道它们是轻量级的实现外，还不真正了解这些细节。 所以; 正常工作的Active Directory进行测试的最简单方法是什么？

9 active-directory  authentication 

我们正在与一家公共机构一起进行一项练习，以安装不同的开源工具供他们进行试验，并查看最适合他们的工具。 因此，我们正在安装： Wiki（DokuWiki） 地精 GNU社交 醚垫 乙醚 可能还有更多。 我们正在考虑使用LDAP协调登录。 但是通常感觉好像不再对LDAP插件进行维护，并且配置很难正常工作，某些工具的LDAP文档不足。 今天通过LDAP还是一个好主意吗？OAuth也许是更好的选择？ 我知道这不是代码问题，但是我们想了解的是我们是否应该坚持使用LDAP的决定，还是应该考虑其他途径。非常感谢

8 ldap  authentication  single-sign-on 

我正在创建一个Java开源程序包，该程序包使与HttpClient 3.1轻松连接到受NTLm v1 / v2和Kerberos保护的资源。 我需要针对实际服务器测试该工具。是否有我可以获取要测试的用户和密码的，受NTLM或Kerberos保护的任何公共可用端点？ 基本上，我正在寻找类似NTLM / Kerberos的Browserspy。使用自签名证书的公共站点也将有助于测试。

8 authentication  windows  java  kerberos 

对于针对Active Directory DC进行身份验证的应用程序，显然最好将它们指向主域DNS记录，而不是将特定DC用于故障转移，负载平衡等。 那些迫使您对DC的IP进行硬编码的应用程序的最佳实践是什么？我们可以对负载均衡器的IP地址进行硬编码，因此，如果一个DC断开，该应用程序仍将能够进行身份验证。有更好的选择吗？

8 active-directory  load-balancing  ldap  authentication 

我对Kerberos在Active Directory环境中的工作方式及其用于在网络上对用户和工作站进行身份验证的方法有基本的了解，但是我的问题是..因为Kerberos依赖于发布最终用户随后用来访问的安全令牌。网络资源，域中的系统（笔记本电脑）如何不能仅使用活动目录用户的用户名和密码来访问相同的网络资源？ 我猜想，如果仅使用用户凭据，Kerberos就会生成一个安全令牌并将其颁发给系统，但是似乎应该有更多的安全性，以防止非域系统访问网络资源。 如果有人能启发我，我将不胜感激！

8 active-directory  domain  authentication  kerberos  authorization 

我们的网络工程团队使用多个linux服务器进行syslog收集，配置备份，tftp等。 我们希望在Cisco ACS机器上使用TACACS + 作为我们的中央身份验证服务器，在这里我们可以更改密码并考虑这些Linux服务器上的用户活动。如果tacacs +服务关闭，我们还需要使用静态密码。 我们如何sshd在CentOS上针对我们的Cisco ACS tacacs +服务器进行身份验证？ 注意：我在回答自己的问题

8 linux  ssh  cisco  authentication  tacacs+ 

我有一个（假设的）家伙的用户名和SSH密钥，我需要授予他对Linux（Ubuntu）服务器的管理员访问权限。 我希望他能够通过SSH登录，然后由他自己通过安全连接设置密码，而不是传递密码。 我知道如何使密码过期并迫使他在首次登录时重设密码。除非他已经有一些密码，否则这是行不通的，然后我必须告诉他。 我考虑过将密码设置为空-SSH不允许登录，但是任何人都可以su进入该用户。 我的问题是，以这种方式创建帐户是否有一些最佳做法？还是不可避免地要设置默认密码？

8 linux  ubuntu  ssh  debian  authentication