错误

遵循 2018 年 5 月的 Windows 安全更新，当尝试 RDP 到 Windows 10 专业版工作站时，成功输入用户凭据后会显示以下错误消息：

发生身份验证错误。不支持请求的功能。

这可能是由于 CredSSP 加密 oracle 修复

截屏

调试

• 我们已确认用户凭据正确。

• 重新启动了工作站。

• 已确认本地目录服务可运行。

• 尚未应用 5 月安全补丁的隔离工作站不受影响。

可以临时管理永久主机，但关注基于云的服务器访问。尚未在 Server 2016 上发生。

谢谢

有人告诉我，可以制作不需要登录的 Web 应用程序。用户登录到 Windows，它通过 Active Directory (LDAP) 查找进行身份验证。然后，他们应该能够访问我的 web 应用程序并且永远不会看到登录提示。这些客户一直将其称为单点登录（可能是错误的，也是我困惑的一部分）。

但是，从我从 Tomcat 文档中读到的 Single Sign On 是：

当您希望让用户能够登录到与您的虚拟主机关联的任何一个 Web 应用程序，然后让同一虚拟主机上的所有其他 Web 应用程序识别他们的身份时，可以使用单点登录阀。

这对我来说非常清楚。用户必须登录一次才能访问 tomcat 实例上的每个 web 应用程序。但是，我需要做的是以某种方式让他们登录，而无需向我的 tomcat 服务器提供任何凭据。

所以，为了让它起作用，我想：

• 用户请求某个页面
• 服务器看不到会话令牌，然后向客户端请求一些凭据。
• 客户端浏览器无需用户干预即可向服务器提供一些凭据。
• 然后，使用客户端浏览器提供的凭据在 LDAP 中进行查找。

我见过一些使用客户端证书的例子......特别是 DoD PKI 系统，这对我来说很有意义，因为在这些情况下你配置 Tomcat 来请求客户端证书，但只是登录到 Windows 我不明白这是怎么回事将工作以及浏览器将传递给服务器的信息等。这是 NTLM 的用途吗？

我有几台客户端计算机（即笔记本电脑、台式机等），我连接到我管理的几台服务器计算机，并通过 SSH 登录到它们。我可以想象几种有意义的 ssh 密钥管理方案，我很好奇其他人的做法。

选项 1：一个全局公钥/私钥对。

我会生成一个公钥/私钥对，并将私钥放在每台客户端机器上，将公钥放在每台服务器机器上。

选项 2：每台服务器机器一个密钥对。

我会在每台服务器机器上生成一个密钥对，并将每个私钥放在我的客户端机器上。

选项 3：每台客户端机器一个密钥对。

每台客户端机器都有一个唯一的私钥，每台服务器机器都有我想要连接的每台客户端机器的公钥。

选项 4：每个客户端/服务器对一个密钥对

完全落伍了？

这些中哪个最好？还有其他选择吗？您使用什么标准来评估正确的配置？

假设您看到此消息：

FATAL:  Ident authentication failed for user "..."

出现此错误消息的原因是什么？

我正在对 Java EE 应用程序进行更改，该应用程序将使用ServletRequest.getRemoteAddr根据用户的 IP 地址进行身份验证。我们将 IP 地址范围（FROM_IP 和 TO_IP）存储在数据库中，只有当用户的 IP 地址在一个范围内时，系统才会进行身份验证。

现在，测试人员指出在 FROM_IP 和 TO_IP 值中（在任何地方）都不应该允许数字 0（零）。请注意，这是一个面向 Internet 的应用程序，因此我们将仅获取公共 IP 地址。

测试人员建议进行验证是否正确？为什么我们不能在 167.23.0.1 - 167.23.255.255 这样的范围值中设置零？

我不知道这是如何发生的。发行版是 Scientific Linux 6.1，一切都设置为通过公钥执行身份验证。然而，当 sshd 作为守护进程运行时（service sshd start），它不接受公钥。（为了获取这段日志，我已经更改了 sshd 脚本以添加 -ddd 选项）

debug1: trying public key file /root/.ssh/authorized_keys
debug1: restore_uid: 0/0
debug1: temporarily_use_uid: 0/0 (e=0/0)
debug1: trying public key file /root/.ssh/authorized_keys2
debug1: restore_uid: 0/0
Failed publickey for root from xxx.xxx.xxx.xxx port xxxxx ssh2
debug3: mm_answer_keyallowed: key 0x7f266e1a8840 is not allowed
debug3: mm_request_send entering: type 22
debug3: mm_request_receive entering
debug2: userauth_pubkey: authenticated 0 pkalg ssh-rsa
debug3: Wrote 64 bytes for a total of 1853
debug1: userauth-request for user root service ssh-connection …

是否可以配置 Apache 或其他一些 Web 服务器以使用某种公钥身份验证？

理想情况下，我希望能够让用户无需用户名/密码即可访问网站，前提是他们在浏览器中安装了密钥文件（或类似文件），并且该密钥是“已授权的”在服务器端。

我目前有一个运行 OpenSSH 的 Ubuntu Server 12.04 以及 Samba 和其他一些服务。目前我已经设置了公钥身份验证，我想知道是否可以设置两因素身份验证？我一直在查看目前与我的 Gmail 帐户一起使用的 Google 身份验证器。

我发现了一个看起来兼容的 PAM 模块，但似乎您被迫使用密码和生成的代码。

我想知道是否有一种方法可以使用 Google 身份验证器应用程序（或类似的东西）和我的公钥来对我的 SSH 服务器进行身份验证？

IT 部门正在考虑允许将 Google Chrome 浏览器安装和自动部署到 100 多个桌面。要求之一是传递域凭据。所需的行为与 Internet Explorer 相同。

浏览内网资源时出现问题。需要 Active Directory 身份验证的 Intranet 站点显示“需要身份验证”对话框。

对于每个站点，您必须输入域凭据。

问题：Google Chrome 目前或计划支持直通 Windows 身份验证吗？如果是这样，您如何配置此安全设置？

在 Windows 平台上，是否有任何命令行实用程序可以传递username,password domain name以验证凭据（或可能给出帐户被禁用、不存在或过期的错误）？