我想让我的 MacBook Pro 对在 Windows 2008 上运行的 Active Directory 进行身份验证。几年前,我尝试在 OS X 10.4 和 Windows 2003 之间进行设置,但没有成功。详细的分步指南和有关域安全策略的陷阱列表会很棒。
我目前有我的 apache 服务器通过从 htpasswd 创建的密码文件进行身份验证。配置如下:
AuthType Basic
AuthName "Secured Site"
AuthUserFile "/etc/apache2/users.passwd"
如何将其更改为通过本地系统帐户进行身份验证并另外限制为仅指定组中本地系统帐户的子集?
我想保护 VirtualHost 中的路径,但允许用户使用多种身份验证选项(例如mod-auth-cas,mod-auth-openid和mod-auth-digest。)如何设置虚拟主机定义以允许auth-type同一位置有多个s?
在我工作的地方,我们多年来一直在没有内部证书颁发机构的情况下溜达。这对我们有用,因为没有受信任的实体没有明显的影响。然而,现在这种趋势似乎已经迅速逆转——大多数新技术现在都不愿与不可信实体进行可信通信。
不幸的是,我是第一个提到我们公司应该建立内部 CA 的人,所以我负责实现它(尽管我不知道我在做什么)。我的问题涉及设置和维护 CA 所需的工作量。另外,我想验证我选择在 serverfault 上问这个问题是正确的,而不是 stackoverflow(这更像是“服务器组”野兽而不是“软件开发人员”野兽,对吗?)
我的主要问题是:设立 CA 是否需要聘请专门负责维护 CA 的常驻专家/全职人员?或者它是一种“一劳永逸”的野兽?
我是一名软件工程师,我担心我的职业生涯会严重偏离轨道。我的雇主已经想将证书用于一切(无线安全、代码签名、服务器身份验证、电子邮件签名,列表还在继续……)
我应该担心吗?帮助!
编辑 - 附加信息:
我的雇主在国际上雇佣了 2000-3000 名员工。我们是一家基于微软的公司。
据我所知,我们希望将 PKI 用于以下目的:
几个开发人员在测试服务器上使用共享帐户,使用公钥身份验证。有什么方法可以找出用于身份验证的密钥(例如密钥注释)?
在我们的校园里,我们有大约 60 台 Mac 加入了我们的 Active Directory 域。大多数用户在登录 Mac 时没有问题,只要他们的帐户配置正确。
但是,我们有一个特定用户无法登录到某些Mac。他对其中的大多数都没有问题,但有一组(全部由同一图像构建)他无法登录。有问题的机器运行的是 OS X 10.6.2。来自 secure.log 的相关条目如下,主机名和用户名已编辑。
Aug 16 10:32:43 hostname SecurityAgent[4411]: Could not get the user record for username from DirectoryServices.
Aug 16 10:32:43 hostname SecurityAgent[4411]: Will sleep 1 seconds and try again (retryCount = 4)
Aug 16 10:32:44 hostname SecurityAgent[4411]: Could not get the user record for username from DirectoryServices.
Aug 16 10:32:44 hostname SecurityAgent[4411]: Will sleep 2 seconds and try again (retryCount = 3)
Aug 16 …我想使用 nginx PAM 模块在 FreeBSD 系统上使用现有用户对站点进行身份验证。我尝试使用 pam_unix.so,但没有成功。它只是不让我使用我的 usr/psw 对。:(
nginx配置:
location / {
root html;
auth_pam "Secure Zone";
auth_pam_service_name "nginx";
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /var/www/$fastcgi_script_name;
include fastcgi_params;
}
目录中的nginx文件/usr/local/etc/pam.d:
auth required pam_unix.so
account required pam_unix.so
如果有人能告诉我一个工作配置,我将不胜感激。:)
以下是我在本地计算机上执行的步骤:
ssh-keygen -t rsa
cat ~/.ssh/id_rsa | ssh root@remotehost.com -p 1234 "cat > ~/.ssh/authorized_keys"
当我做一个ssh root@remotehost.com -p 1234它仍然要求输入密码时:o
root@remotehost.com's password:
为什么会这样?我已经将它添加到授权密钥中,但它仍然要求输入密码。sshd_config:
Port 1234
Protocol 2
SyslogFacility AUTHPRIV
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication yes
ChallengeResponseAuthentication no
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
UsePAM no
AcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGES
AcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENT
AcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGE
AcceptEnv XMODIFIERS
Subsystem sftp /usr/libexec/openssh/sftp-server
这是结果-vvv:
$ ssh root@remotehost.com -p 1234 -vvv
OpenSSH_4.6p1, OpenSSL 0.9.8e 23 Feb …我在 RHEL 5 上运行了 389 Directory Server,其中包含组、用户、posix 等。RHEL 客户端正在使用 LDAP 对用户进行身份验证 - 没问题,一切正常,但密码以纯文本形式发送,并且可以通过网络嗅探器看到。因此,决定使用 SSL 运行:
不起作用。
如何?安全集成的最佳方法是什么?
这个问题实际上与这个问题相同,但区别在于认证服务器是 Ubuntu 上的 freeRADIUS,接入点是 DD-WRT。
此外,我想知道禁用 TTLS 是否有任何风险(据我所知,身份验证过程中需要证书的部分)或者这是否是一种选择。
我现在明白 TLS 和 TTLS 之间存在差异。我想使用 TTLS,因为它不需要客户端配置。我已将答案分配给下面的帖子,因为它有助于实现这一点,并且我编辑了标题以更好地反映他的结论。