タグ付けされた質問 「authentication」

IISサイトがNTLMまたはKerberosを使用しているかどうかを確認するにはどうすればよいですか？また、認証をKerberosからNTLMに変更するにはどうすればよいですか？IIS 7.5を使用しています。

10 authentication  iis  web  kerberos  ntlm 

Active Directoryを使用してLinux（Debian）ボックスでユーザーを認証するためのベストプラクティスは何ですか？ 私がそれを機能させる方法は、ADユーザーをグループに追加することです。たとえば、linux管理者またはlinux webserverとし、グループメンバーシップに基づいて、特定のサーバーへのアクセスを許可するかどうかを指定します。理想的には、標準的な方法で維持されるのはrootアカウントのみです。 これを行う私の目標は次のとおりです。 1か所でパスワードの変更を許可するには 特定のユーザーに、AD資格情報を使用してLinuxサーバーへのアクセスを自動的に許可するには すべてのユーザー情報を1つのデータベースにまとめる 私が避けたいことは次のとおりです。 Active Directory管理者が管理するのが難しい/直観に反するもの 何らかの理由でADサーバーに到達できない場合にユーザーをロックアウトする（つまり、何らかの方法で資格情報をキャッシュする必要がある） 次回サーバーをアップグレードするときに壊れる、複雑すぎる、または標準的でないもの。

10 linux  active-directory  debian  authentication 

ユーザーに複数のコンピューターで単一のIDを提供するソフトウェアを調べています。つまり、ユーザーは各コンピューターで同じアクセス許可を持っている必要があり、ユーザーは各コンピューターのすべてのファイル（ローミングホームディレクトリ）にアクセスできる必要があります。この一般的なアイデアには多くの解決策があるようですが、私は自分に最適なものを決定しようとしています。要件と一緒にいくつかの詳細があります： マシンのネットワークは、Ubuntuを実行するAmazon EC2インスタンスです。 SSHを使用してマシンにアクセスします。 このLAN上の一部のマシンでは用途が異なる場合がありますが、ここでは特定の用途（マルチテナンシープラットフォームを実行している）のマシンについてのみ説明します。 システムは必ずしも一定数のマシンを備えているとは限りません。 実行中のマシンの数を永続的または一時的に変更する必要がある場合があります。これが、認証/ストレージの集中管理を検討している理由です。 この効果の実装は安全なものでなければなりません。 ユーザーがシェルに直接アクセスできるかどうかはわかりませんが、ユーザーのソフトウェアはシステムで（もちろん制限されたLinuxユーザー名の下で）実行される可能性があり、直接シェルアクセスと同じくらい優れています。 彼らのソフトウェアがセキュリティのために潜在的に悪意のあるものであると仮定しましょう。 私の目標を達成するためにいくつかのテクノロジー/コンビネーションを聞いたことがありますが、それぞれの影響についてはよくわかりません。 以前のServerFaultの投稿ではNFSとNISが推奨されていましたが、Symantecによるこの古い記事によると、この組み合わせにはセキュリティの問題があります。この記事はNIS +への移行を提案していますが、このWikipediaの記事は古くなっているため、SunによるNIS +からのトレンドを示唆する声明を引用しています。推奨される代替品は、私が聞いた別のことです... LDAP。LDAPを使用して、ユーザー情報をネットワーク上の集中管理された場所に保存できるようです。「ローミングホームフォルダー」の要件をカバーするためにNFSを使用する必要がありますが、それらの参照が一緒に使用されているのがわかります。シマンテックの記事はNISとNFSの両方でセキュリティの問題を指摘しているので、NFSを置き換えるソフトウェアはありますか、それともロックダウンするためのその記事の提案に注意する必要がありますか？私たちのアーキテクチャーのもう1つの基本的な部分であるRabbitMQにはLDAP用の認証/許可プラグインがあるため、私はLDAPを使用する傾向があります。RabbitMQはシステム上のユーザーに制限された方法でアクセスできるようになるので、できればセキュリティシステム同士を結びつけたいと思います。 Kerberosは、私が聞いたもう1つの安全な認証プロトコルです。私は数年前に暗号学のクラスでそれについて少し学びましたが、それについてあまり覚えていません。私は、いくつかの方法で LDAP と組み合わせることができるという提案をオンラインで見ました。これは必要ですか？KerberosなしのLDAPのセキュリティリスクは何ですか？カーネギーメロン大学が開発した別のソフトウェアでKerberosが使用されていることも覚えています... Andrew File System、またはAFS。OpenAFSは使用可能ですが、セットアップは少し複雑に見えます。私の大学では、AFSが両方の要件を提供しています...どのマシンにもログインでき、「AFSフォルダー」はいつでも利用できます（少なくともAFSトークンを取得するとき）。 どのパスを調べるべきかについての提案に加えて、特に役立つガイドはありますか？太字のテキストが指摘しているように、LDAPが最良の選択のように見えますが、セキュリティに関して実装の詳細（Keberos？NFS？）に特に興味があります。

9 linux  ubuntu  security  authentication  ldap 

リモートユーザーは、SSHを使用してインターネット経由で本社のいくつかのサービスに接続します。SSHパスワードは、LAN A / Dアカウントと同期されます。 ユーザーがパスワードを入力するよりも、CDや紙などを使用してSSHキーのコピーを自宅に持ってくる方が安全でしょうか？それとも両方必要ですか？ 私の質問はおそらく次のように再定式化できます。SSHのパスワード認証プロトコルに脆弱性はありますか？ 疑わしいのはこのメッセージです： The authenticity of host 'xxx.xxx.xxx.xxx (xxx.xxx.xxx.xxx)' can't be established. RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:. Are you sure you want to continue connecting (yes/no)?

9 security  ssh  authentication 

私はいくつかの地雷サーバーにアクセスするために、鍵ベースの認証を備えたWindowsでPuttyを使用しています。 それは〜3700ビットのキーで完全に正常に動作しますが、〜17000ビットのキーでは、クライアント側で約20秒間考えられ、「アクセスが拒否されました」と表示され、パスワードを要求します。 OpenSSHにキーベースの認証のキーの長さ制限またはタイムアウトはありますか？ このような大きなキーを使用しても、特にこの20秒の計算を見て、私が直面する問題を解決しようとするだけでは実用的ではないことを理解しています：-）...

9 authentication  ssh  rsa 

私はここでサーバー（CentOS 5.3 w / Apache 2.2.3-22.el5.centos）で実行されているNagiosをLDAPサーバーに認証させており、すべて正常に動作しています。ただし、認証なしでNagiosステータスページを表示できるIPが欲しいです。Nagiosには、認証を行わないユーザーにユーザーを割り当てるためのこのオプションがあります。 authorized_for_read_only=guest default_user_name=guest 正しいように聞こえますが、これはApache認証を処理しません。私の現在のApache設定は次のようになります： <Directory "/usr/lib64/nagios/cgi"> AllowOverride None Order allow,deny Allow from all AuthName "Nagios Access" AuthType Basic AuthUserFile /etc/nagios/misc/htpasswd.users Require valid-user AuthBasicProvider file ldap AuthzLDAPAuthoritative off AuthBasicAuthoritative On AuthLDAPGroupAttribute LDAPmember AuthLDAPURL (my server stuff) Require ldap-group CN=nagios,ou=groups,DC=local </Directory> それは機能していますが、「このIPはここで、彼はその認証に関するものをスキップできます」と言う方法が欲しいのですが。Apache Satisfyディレクティブはうまくいくように見えるので、私はこれを試しました： <Directory "/usr/lib64/nagios/cgi"> AllowOverride None …

9 apache-2.2  authentication  httpd 

まず、私はオンサイトのAD管理者ではありませんが、私からの大規模なロールアウトのために自分のRedmineインストールをActiveDirectoryと統合して試してみるように依頼されました。 私たちのADサーバーはhost：portにims.example.com:389あり、私はユーザーを持っていますIMS/me。 現在、meRedmineにはローカル認証を使用するユーザーもいます。 RedMineで次のパラメーターを使用してActiveDirectory LDAP認証方法を作成しました。 Host: ims.example.com Port: 389 Base DN: cn=Users,dc=ims,dc=example,dc=com On-The-Fly User Creation: YES Login: sAMAccountName Firstname: givenName Lastname: sN Email: mail この接続のテストは問題なく機能します。 しかし、私はそれで認証に成功していません。 問題が発生したme場合にアカウントに戻ることができるように、バックアップ管理者ユーザーを作成しme、ActiveDirectory資格情報を使用するように変更してみました。ただし、一度ログインすると何もログインできません。次のログイン名オプションをすべて試しました。 me IMS/me IMS\me 私は既知のドメインパスワードを使用しましたが、喜びはありません。 では、どの設定が間違っているのか、またはこれを機能させるためにどのような情報を取得する必要があるのでしょうか。

9 active-directory  authentication  ldap  ruby-on-rails  redmine 

SSHのパスワードベースのログインの削除を検討しています。ただし、パスワードなしのsshキーは許可されないようにします。 パスワードのあるSSHキーだけが接続できることを確認するにはどうすればよいですか？ これが実行できない場合、SSHキー生成を一元管理し、ユーザーが自分のキーを生成および/または使用できないようにするなどの代替策はありますか？PKIのようなものだと思います。

9 ssh  authentication  keys  password 

私たちは.netアプリケーションを開発しており、これに認証を追加しようとしています。これにはActive Directoryを使用したいのですが、開発に使用するテストサーバーでこれをできるだけ簡単にすることを目指しています。 Active Directoryを起動して実行するには何が必要ですか？Win7インストールでローカルに実行できますか？ADAMとAD LDSについて聞いたことがありますが、それらが軽量な実装であることを知っている以外に、詳細は本当にわかりません。 そう; Active Directoryをテストするための最も簡単な方法は何ですか？

9 active-directory  authentication 

私たちは、公共機関と一緒に、さまざまなオープンソースツールをインストールして実験し、彼らに最も適したものを確認する演習を進めています。 したがって、インストールしています： wiki（dokuwiki） メディアゴブリン GNUソーシャル イーサパッド ethercalc そしておそらくもっと。 ログインを調和させるためにLDAPを使用することを考えていました。 しかし、多くの場合、LDAPプラグインはもう維持されていないと思われ、設定がうまく機能しにくく、一部のツールではLDAPドキュメントが不十分です。 LDAPを介してこれを行うことは、今日でも良い考えですか？OAuthはより良い選択でしょうか？ これはコードの問題ではないことはわかっていますが、LDAPに移行するという決定に固執する必要があるかどうか、または他のパスを検討する必要があるかどうかを理解したいと思います。どうもありがとう

8 ldap  authentication  single-sign-on 

NTLm v1 / v2およびKerberosで保護されているリソースにHttpClient 3.1で簡単に接続できるJavaオープンソースパッケージを作成しています。 このツールを実際のサーバーに対してテストする必要があります。テストするユーザーとパスワードを取得できる、NTLMまたはKerberosによって保護されている公開されているエンドポイントはありますか？ 基本的に私はBrowserspy for NTLM / Kerberosのようなものを探しています。また、自己署名証明書を使用する公開サイトもテストに役立ちます。

8 authentication  windows  java  kerberos 

Active Directory DCに対して認証するアプリケーションの場合、明らかに、フェイルオーバーやロードバランシングなどの特定のDCではなく、メインドメインのDNSレコードを指すようにするのが最善です。 DCのIPをハードコードすることを強制するこれらのアプリケーションのベストプラクティスは何ですか？代わりに、ロードバランサーのIPアドレスをハードコーディングして、1つのDCがダウンしても、そのアプリケーションが認証できるようにすることができます。より良い代替案はありますか？

8 active-directory  load-balancing  ldap  authentication 

Active Directory環境でのKerberosの動作と、ユーザーおよびワークステーションをネットワークに認証するために使用する方法について基本的な理解がありますが、私の質問です。Kerberosは、エンドユーザーがアクセスするために使用するセキュリティトークンの発行に依存しているためです。ネットワークリソース、ドメインにないシステム（ラップトップ）は、Active Directoryユーザーのユーザー名とパスワードのみを使用して同じネットワークリソースにアクセスできますか？ ユーザー資格情報を使用するだけでKerberosがセキュリティトークンを生成してシステムに発行する方が理にかなっていると思いますが、非ドメインシステムがネットワークリソースにアクセスできないようにするには、セキュリティを強化する必要があります。 誰かが私を啓発できたら、私はそれを感謝します！

8 active-directory  domain  authentication  kerberos  authorization 

ネットワークエンジニアリングチームは、syslogの収集、構成のバックアップ、tftpなどに複数のLinuxサーバーを使用しています。 これらのLinuxサーバーでのユーザーアクティビティのパスワードとアカウントを変更できる中央認証サーバーとして、Cisco ACSマシンで TACACS +を使用したいと考えています。tacacs +サービスがダウンした場合に備えて、静的パスワードにフォールバックする必要もあります。 sshdCentOSでCisco ACS tacacs +サーバーを認証するにはどうすればよいですか？ 注：私は自分の質問に答えています

8 linux  ssh  cisco  authentication  tacacs+ 

（架空の）男のユーザー名とSSHキーを持っているので、彼にLinux（Ubuntu）サーバーへの管理者アクセス権を与える必要があります。 私は彼がSSH経由でログインして、安全な接続を介して自分でパスワードを設定できるようにして、パスワードを渡さなくてもよいようにしたいと思っています。 パスワードの有効期限を設定し、最初のログイン時にパスワードを強制的にリセットする方法を知っています。しかし、これは彼がいくつかのパスワードを既に持っている場合を除いて機能しません。 パスワードを空白にすることを考えました-SSHはログインを許可しませんが、誰でもsuユーザーに侵入することができます。 私の質問は、そのような方法でアカウントを作成するためのいくつかのベストプラクティスはありますか？または、デフォルトのパスワードの設定は避けられませんか？

8 linux  ubuntu  ssh  debian  authentication