タグ付けされた質問 「authentication」

ソフトウェア開発会社でWindowsサーバーとLinuxサーバーの両方を利用しています。 このセットアップの問題点の1つは、シングルサインオンソリューションがないことです。ADに対して認証したいLinuxショップよりもマイクロソフトのショップであること。 オンラインでいくつかの記事を読みましたが、これが可能であることを理解しています。 現在、認証が必要なLinuxで次のサービスを使用しています。 -gitサーバー（SSH経由） -Sendmail- 現在.htaccessファイルを使用しているApache Webサーバー。 -SAMBAファイル共有 私が知りたいのは、この種のセットアップがどれほど実用的かということです。それは本当に機能しますか、それともエラーを起こしやすいですか？

18 linux  windows  authentication  single-sign-on 

むかしむかし、南アメリカに美しい温かい仮想ジャングルがあり、そこにイカのサーバーが住んでいました。ネットワークの知覚イメージは次のとおりです。 <the Internet> | | A | B Users <---------> [squid-Server] <---> [LDAP-Server] Usersインターネットへのアクセス要求時に、squid名前とパスポートを尋ね、認証をLDAP行います。LDAPが承認した場合は、許可します。 ユーザーとイカの間のパスでスニファーがパスポートを盗むまで、誰もが幸せでした[パスA]。この災害は、squidがBasic-Authenticationメソッドを使用したために発生しました。 ジャングルの人々は問題を解決するために集まった。NTLMメソッドの使用を提供するバニーもいます。木によって推奨されているDigest-Authentication間、ヘビが好まKerberosれた。 結局のところ、ジャングルの人々によって提供された多くのソリューションとすべてが混乱していた！ライオンはこの状況を終わらせることにしました。彼はソリューションのルールを叫んだ。 ソリューションを安全にしましょう！ ほとんどのブラウザーとソフトウェア（ダウンロードソフトウェアなど）でソリューションが機能するか ソリューションはシンプルで、他の巨大なサブシステム（Sambaサーバーなど）を必要としません。 メソッドが特別なドメインに依存してはならない。（例：Active Directory） それから、猿によって提供される非常に手ごろな包括的で賢い解決策は、彼をジャングルの新しい王にした！ あなたは解決策が何であったか推測できますか？ ヒント： 間のパスsquidとLDAPライオンで保護されており、解決策は、それを確保する必要がありません。 注：ストーリーが退屈で面倒な場合は申し訳ありませんが、そのほとんどは本物です！=） /~\/~\/~\ /\~/~\/~\/~\/~\ ((/~\/~\/~\/~\/~\)) (/~\/~\/~\/~\/~\/~\/~\) (//// ~ ~ \\\\) (\\\\( (0) (0) )////) (\\\\( __\-/__ )////) (\\\( /-\ )///) (\\\( (""""") )///) (\\\( \^^^/ …

17 security  authentication  ldap  squid  kerberos 

「remotesystem」という名前のリモートシステムと、そのシステム上のユーザーアカウント「foouser」があるとします。 ローカルシステムで、ローカルユーザー「foouser」としてSSHキーペアを生成し、「remotesystem」の「/home/foouser/.ssh/authorized_keys」ファイルに公開キーを配置できることを知っています。ローカルシステムから「リモートシステム」に「foouser」としてSSH接続する場合、SSHはキーペアを使用して認証します。 しかし、ローカルユーザー名がリモートシステムのユーザー名と同じでない場合はどうなりますか？つまり、ローカルユーザー「baruser」から「remotesystem」にSSH接続する場合はどうなりますか？明らかに、「baruser」のキーペアを生成し、公開キーを「/home/foouser/.ssh/authorized_keys」に追加する必要があります。次に、「baruser」としてローカルにログインしているときに「ssh foouser @ remotesystem」ができるはずです。SSHは認証にキーペアを使用します。 私はこのシナリオでキー認証を成功させようとしているので、私は尋ねています。ユーザー名の不一致が原因なのか、リモートシステム上のSSHサーバーの構成の問題なのかはわかりません。

17 linux  ssh  authentication  solaris 

インターネットではなくイントラネットWebサイトを持っています。 http://mysite Webサイトは、IE経由でコンピューター/クライアントにログインしているユーザーの統合認証を受け入れます。 FQDNに移動した場合 http://mysite.something.com ユーザー名とパスワードの入力を求められます。 それらは同じで、サイトとWebページです。IE /ログインユーザーからの両方の資格情報を受け入れるようにするにはどうすればよいですか？

16 windows-server-2003  iis  authentication 

閉まっている。この質問はトピック外です。現在、回答を受け付けていません。 この質問を改善したいですか？ 質問を更新することがありますので、話題のサーバー障害のため。 7年前に閉鎖されました。 二要素認証にRSA SecurIDの代替を使用し、推奨しますか？

16 security  authentication  securid 

ユーザー向けに数十種類のMySQLサーバーを実行しています。これらは、商用バージョンではなく、MySQLの無料/オープンソースバージョンを使用します。これらのサーバーでアカウントのパスワードを管理するのは大変です。 LDAPを使用してMySQL特権を管理できるプラグインはありますか？少なくとも、LDAPサーバーからいくつかのユーザー名とパスワードを取得したいと思います。 MySQL 5.1および5.5を使用しています。この機能を実現するために必要な場合は、MySQL 5.6にアップグレードしてもかまいません。 ツールはCLIベースであり、GUIまたはWebインターフェイスを必要としないことをお勧めします。

15 mysql  ldap  authentication 

私はかなり最小限のセットアップサーバーを使用しており、キーのみを使用してパスワード認証を許可していません。また、Javaがインストールされていません。通常、スクリプトキディが1日に何千回もパスワードを推測しようとすることには注意を払っていません。システムで無駄になる時間は、パスワード認証を許可するシステムを無駄にしない時間だと思います。しかし、/ var / log / auth.logに次のメッセージが表示されます。 Dec 7 13:43:43 hostname sshd[7412]: Received disconnect from 189.203.240.57: 3: com.jcraft.jsch.JSchException: Auth fail [preauth] 攻撃者から来たJava例外のように見えるものについての言及ですか、それとも私の側の何かからですか？

14 ssh  authentication 

Linuxサーバーの小規模ながら成長しているネットワークがあります。理想的には、ユーザーアクセスを制御したり、パスワードを変更したりするための中心的な場所にしたいです。TLS / SSLで十分ですか？Kerberosの利点は何ですか？GSSAPIとは その他...これらのさまざまな方法の長所/短所を説明する明確なガイドは見つかりませんでした。助けてくれてありがとう。

14 linux  authentication  ldap  kerberos  authorization 

私の新しいサーバーインスタンスは、パスワードを使用してssh経由でルートにログインするように構成されています。Ansibleプレイブックでキーを使用するように再構成し、初回実行時にパスワードでルートログインを無効にするようにしたいので、次のようなものが必要です。 キーでログインしてみてください キーでログインできない場合： パスワードでログイン authorized_keysにキーを追加します パスワードでルートログインを無効にする オプションでキーを使用して再接続します 他のタスクを行う どうすればそれを達成できますか？ 編集：明確にするために、キーを追加する方法やルートを無効にする方法を尋ねているのではありません。それは単にコンテキストのためです。キーで認証できない場合にパスワードにフォールバックする方法を尋ねています。と--ask-passやansible_ssh_passセット、Ansibleも、公開鍵認証を使用しようとはしません

14 ssh  authentication  ansible 

Linux sambaサーバーを使用しており、フォルダーにアクセスできるユーザーを明示的にリストしています。 Windowsから共有にアクセスするときに（smbpasswdなどを使用して）ユーザー名とパスワードを要求するようにSambaを正常に構成しました。 しかし今、私はWindowsマシンの認証キャッシュを強制的にクリアしたいです。同僚のコンピューターにアクセスするとき、保護された共有内のファイルにアクセスするためにアカウントを使用しますが、彼のコンピューターを離れる前に、許可キャッシュがクリアされていることを確認して、彼がそのフォルダーにアクセスできないようにします私の資格情報。 私は数週間前にGoogleのWindowsコマンドプロンプトで使用するコマンドを見つけましたが、私はそれを保存しなかった愚かな私... 誰かが助けてくれることを願っています、ありがとう！ ああ、Sambaはドメインではなくワークグループとして構成されます（それが役立つ場合）。したがって、Windowsユーザーは起動時にドメインにログインしません。

14 windows  authentication  samba  cache 

バックグラウンド 私は、VPNシングルサインオンを達成するための最良の方法を決定するために、OS Xログインプロセスのより良い理解を収集しようとしています。 間違っている場合は修正してください。 launchd(8)を呼び出してgettyent(3)、ttys(5)実行元loginwindow.appを決定し/dev/consoleます。 loginwindow.appsystem.login.console認可データベースが以下のメカニズムを指定する認可権限の取得を試みます（それらの機能の私の理解とともにリストされています）。特権のあるものはauthdプロセス内で（rootとして）実行され、特権のないものはSecurityAgentプロセス内で（_securityagentとして）実行されます。 builtin:policy-banner（設定されている場合、ログインウィンドウバナーを表示します）。 loginwindow:login （資格情報のプロンプト）。 builtin:login-begin builtin:reset-password,privileged（Apple IDを使用してパスワードをリセットします）。 builtin:forward-login,privileged （起動時にEFIから資格情報を転送します）。 builtin:auto-login,privileged （ブート時に自動ログイン資格情報を適用します）。 builtin:authenticate,privileged（呼び出すpam_authenticate(3)ためのauthorizationサービス、設定、「UID」コンテキスト値）。 PKINITMechanism:auth,privileged （TGTを取得してKerberosを初期化します）。 builtin:login-success loginwindow:success （ログインセッションを不正なリモートアクセスから保護します;システムのutmpおよびutmpxデータベースにログインを記録します;コンソール端末の所有者と許可を設定します）。 HomeDirMechanism:login,privileged （ユーザーのホームディレクトリをマウントします）。 HomeDirMechanism:status （ホームディレクトリのマウントの進行状況を表示します）。 MCXMechanism:login （構成プロファイルを適用します）。 loginwindow:done （ユーザーの設定をリセットして、グローバルシステムのデフォルトを設定し、ユーザーの設定を使用してマウス、キーボード、およびシステムサウンドを設定し、ユーザーのグループ権限を設定し、ディレクトリサービスからユーザーレコードを取得し、その情報をセッションに適用し、ユーザーのコンピューティングをロードします環境-設定、環境変数、デバイスとファイルのアクセス許可、キーチェーンアクセスなどを含む、Dock、Finder、およびSystemUIServerを起動し、ユーザーのログイン項目を起動します）。 ご質問 各メカニズムの機能の理解を確認したいと思います。 ソースコードは公然と利用可能ですか？ 非builtinメカニズムは、の下/System/Library/CoreServices/SecurityAgentPluginsにあるプラグインによって定義されていることは知っていますが、ビルド元のソースは見つかりません。また、builtinメカニズムがどこで定義されているかもわかりません。 ソースが利用できない場合、メカニズムはどこにも文書化されていますか？ 観察 どのようにすることができloginwindow:login、それが呼び出された場合は資格情報を要求する前 builtin:forward-loginとbuiltin:auto-login、GUIをバイパスさせることがそのいずれか？そのような資格情報のコンテキストを検査し、存在する場合はスキップしますか？奇妙に思えます。 さらに、アップルの802.1X認証テクニカルホワイトペーパーで説明されているように： ログインウィンドウモードが設定され、ユーザーがログインウィンドウでユーザー名とパスワードを入力すると、2つのことが起こります。まず、ログインウィンドウは、ユーザーが入力したユーザー名とパスワードを使用して、802.1X経由でコンピューターをネットワークに対して認証します。802.1X認証が成功すると、ログインウィンドウは同じユーザー名とパスワードを外部ディレクトリに対して認証します。 その認証の第2段階はpam_opendirectory.soモジュールによって処理され、存在するネットワークに依存しているため、第1段階（802.1Xを介したネットワークへの認証）は必ずその前に発生する必要があります。つまり、builtin:authenticateメカニズムの前に発生する必要があります。 loginwindowプラグインバイナリの簡単な検査から、このような802.1X認証を処理しているように見えますが、そのプラグイン内で呼び出される唯一のメカニズムbuiltin:authenticateはloginwindow:loginです。このメカニズムはログインプロンプトを表示するだけでなく、802.1X認証も試みると考えるのは正しいですか？（もしそうなら、それは少しずさんな私見のように見えるだけでなく、EFI /自動ログインからのクレデンシャルを802.1Xログインウィンドウ認証に使用できないことを示唆しています。）

13 security  mac-osx  authentication  login  pam 

だから、私はかなり奇妙な問題を抱えています。サーバーがあり、SSHを試行したときに、最初の試行で正しいパスワードを入力するとすぐに接続が閉じられます。ただし、最初の試行で意図的に間違ったパスワードを入力し、2番目または3番目のプロンプトで正しいパスワードを入力すると、コンピューターに正常にログインできます。同様に、公開鍵認証を使用しようとすると、すぐに接続が閉じられます。ただし、キーファイルに間違ったパスワードを入力し、パスワード認証に戻った後に別の間違ったパスワードを入力した場合、2番目または3番目のプロンプトで正しいパスワードを入力すれば、正常にログインできます。 マシンはRed Hat Enterprise Linux Serverリリース6.2（Santiago）を実行しており、認証にLDAPとPAMを使用しています。これのデバッグを開始する場所についてのアイデアはありますか？提供する必要がある設定ファイルを教えてください。喜んで提供します。 デバッグ情報を次に示します。次のコードブロックは、これらの3つのシナリオを順番に表しています：1）最初の試行で秘密キーのパスワードを修正する、2）最初の試行で秘密キーをスキップする、通常のパスワードを修正する、3）秘密キーをスキップして意図的に不正なパスワードを入力する、良いものを入力してください...これは実際に接続させてくれる唯一のシナリオです。 OpenSSH_5.9p1 Debian-5ubuntu1, OpenSSL 1.0.1 14 Mar 2012 debug1: Reading configuration data /etc/ssh/ssh_config debug1: /etc/ssh/ssh_config line 19: Applying options for * debug2: ssh_connect: needpriv 0 debug1: Connecting to [removed for privacy]. debug1: Connection established. debug3: Incorrect RSA1 identifier debug3: Could not load "/home/trevor/.ssh/id_rsa" as …

13 ssh  ldap  authentication  openldap  pam 

症状 職場ではOSX 10.7.3がインストールされており、時々次のような動作が見られます。 画面がロックされている場合、同じユーザー/パスの複数回の試行は受け入れられません。 画面のロックが解除されている場合、新しいbash用語を開くと、次のようなプロンプトが表示される場合があります。 `I have no name$` または lkyrala$ ssh lkyrala@ah-lkyrala2u You don't exist, go away! Macが正常に動作している場合でも、ここの全員が2回ログインする必要があります。ブート後の初回は常に失敗しますが、2回目（同じパスワードで、何も変更せず、もう一度Enterを押すだけ）は成功します。奇妙な？ 回避策 差し迫った問題を解決するいくつかの回避策がありますが、それが再び発生するのを防ぎません： 待機（1〜2時間）すると、問題が解消されることがあります。 'opendirectoryd'を強制終了して再起動します。（Appleサポートコミュニティから：ユーザーID（データではない）が突然削除されましたか？） 電源ボタンを押してコンピューターをリセットします 2012年10月4日更新 ネット管理者は、lockdが関係していると疑っています。lockdは明らかにUDPを使用し、ネットワークが混雑すると、パケットが失われ、ハング動作が発生します。彼らは、混雑を緩和するための手順を検討しています。問題のファイルアクセスがActive Directory認証ハンドルである場合、これらのさまざまな部分はすべて一致し始めます。 討論 さて、上記の証拠は、opendirectoryとログインのクレデンシャルに何か厄介なものがあることを示しています。これらのログインの問題があると報告する人もいますが、実際の問題がどこにあるのかを判断するのは困難です（Mac、またはネットワーク環境？）。 ネットワークのほとんどがWindowsマシンであることを追加する必要がありますが、MacとLinuxマシンもかなりありますが、ネットワーク認証がさまざまなドメインから他のドメインにマッピングされる方法の詳細はわかりません...すべて私の知っていることは、ネットワーク資格情報はWindowsドメインだけでなく、macおよびlinuxログインでも機能することです。したがって、何かが別々のシステムに接続している、または同じグローバル認証システムを使用しています。 追加の詳細 残念ながら、私はこのMacをセットアップしておらず、IT部門もそうでしたので、認証がどのように機能するかは完全にはわかりません。私はそれがネットワークログインであることを知っています（Macの私の経験では珍しいです、彼らは通常外部リソースに接続するローカルアカウントを持っています）が、ここでは、ホームフォルダはローカルではなくネットワーク上にあります。私のLinuxインストールでは、ネットワークへの接続にはyp / NISが関係し（これによりネットワークファイルシステムの一部を任意のマシンから自動マウントできます）、opendirectoryd.logはこれが関係していることを確認しているようです... /var/log/opendirectoryd.log* ショー： 2012-04-04 01:29:12.370 EDT - ddddd.dddddd.dddddd.dddddd - Client: automount, UID: 0, EUID: 0, GID: 0, …

13 networking  mac-osx  authentication  opendirectory 

ユーザー名/パスワードだけでなく、クライアント証明書を使用して、Windowsサーバーへの（RDP）アクセスを制限するにはどうすればよいですか？ 証明書を作成し、これをサーバーにアクセスできるすべてのコンピューターにコピーすることを想像してください。 これはIPベースのルールほど制限されませんが、すべてのコンピューター/ラップトップが特定のドメインにあるわけではなく、IPの範囲を修正するわけではないため、柔軟性が追加されます。

13 security  authentication  rdp  certificate 

サーバー上のシェルへのアクセス、Sambaドメイン、WiFi、OpenVPN、Mantisなどへの単一のユーザーパスワードペアを介してすべてのITリソースが利用できるシステムを構成していますグループメンバーシップまたはユーザーオブジェクトフィールド）。ネットワークには個人データがあるため、EUデータ保護指令（またはポーランド語版）に従って、パスワードエージングを実装する必要があります。 問題は、LDAPのSambaおよびPOSIXアカウントが異なるパスワードハッシュおよびエージング情報を使用することです。パスワード自体の同期は簡単ですが（ldap password sync = Yesin smb.conf）、パスワードエージングをミックスに追加すると問題が解決します。SambaはshadowLastChangeを更新しません。Togetherはobey pam restrictions = Yes、Windowsユーザーが古いパスワードを変更できないシステムを作成しますが、使用しない場合、ホームディレクトリは自動的に作成されません。別の方法は、パスワードの変更にLDAP拡張操作を使用することですが、smbk5pwdモジュールもそれを設定しません。さらに悪いことに、このフィールドは非推奨と見なされるため、OpenLDAPメンテナーはパッチを更新または受け入れません。 だから、私の質問は、最善の解決策は何ですか？それらの利点と欠点は何ですか？ LDAP ppolicyおよび内部LDAPパスワードエージングを使用しますか？ NSS、PAMモジュール、Samba、その他のシステムでどれだけうまく機能しますか？ NSSおよびPAMモジュールは、シャドウではなくppolicyを使用するために特別な方法で構成する必要がありますか？ GOsa²はppolicyで動作しますか？ ppolicy-enabled LDAPで機能する他の管理ツールはありますか？ LDAPのフィールドを更新するパスワード変更スクリプトを一緒にハックします。（ユーザー自身がパスワードを変更せずにフィールドを更新する可能性を残します）

13 domain  authentication  samba  ldap  pam