标签: authentication

我想在具有相同用户的同一域中的两台计算机之间使用 SSH，并且我不想键入密码。这是一个例子：

[user@pc1 ~]$ ssh pc2

如果pc1和pc2在同一个域中，使用 NIS 身份验证，并且我使用相同的用户通过 SSH 登录（因为我没有指定一个），我希望我不必再次输入密码，因为我在pc1登录时已经这样做了。

我正在配置服务器 SVN Collabnet（适用于 Solaris 10 的 v1.5.6.1）。我成功使用ldap服务器进行SVN认证。如何避免在以下配置文件（collabnet_subversion_httpd.conf）中写入未加密的密码（XXXXX，这里）？

ServerName mccuatsv10:8080
Listen 8080

User csvn

Group csvn

<Location /svn>
  DAV svn
  SetHandler svn
  SVNParentPath /appli/svn/repositories/
  AuthName "Subversion repository"
  AuthType Basic
  AuthBasicProvider ldap
  AuthzLDAPAuthoritative On
  AuthLDAPBindDN christian.desbordes@ibm.com
  AuthLDAPBindPassword XXXXX
  AuthLDAPURL ldap://eur.msd.world.ibm:389/OU=Users,OU=Accounts,OU=FR,DC=eur,DC=msd,DC=world,DC=socgen?sAM
AccountName?sub?(objectCategory=person)
  Require valid-user
</Location>

我刚刚安装了 IE 8，但现在无法使用集成身份验证对我的 SharePoint 2007 站点进行身份验证。但是，我没有问题，使用完全相同的用户帐户与 Firefox 连接。

考虑到我的问题可能与 IE 8 权限有关，我将该站点添加到 Intranet 站点列表中。在这没有解决问题之后，我也将内网区域的安全级别重新配置为低。我仍然无法进行身份验证。

有趣的是，我能够使用相同的浏览器连接到 Central Admin 站点。此外，正如我之前提到的，我使用 Firefox 连接没有问题。Central Admin 和我的开发站点都配置为 IIS 中的集成 Windows 身份验证。

我已经一一浏览了 IE 中的高级设置，但我无法弄清楚是什么阻止了我使用 IE 8 对我的 SharePoint 网站进行身份验证。

我预先感谢您提供任何信息。

我们正在考虑在我们的 2500 人组织中提供 Safari (windows)、Chrome、Firefox 和 Opera 作为可选浏览器。

我现在只是在测试它们，并且 IE 使用我们的代理服务器自动进行身份验证，所有其他浏览器（尽管我还没有尝试过 Opera）都不会这样做。他们提供了一个带有保存密码选项的登录框。每次第一次加载浏览器时都会弹出这个框，之后偶尔会弹出一些内部站点。

这是一种恼人的，但是当用户重新设置自己的密码真的成为一个问题。他们最终打开了浏览器，像以往登录时那样按“回车”，但该框又重新出现。所以他们又按了几次 Enter，嘿，很快，他们的帐户被锁定了。

有没有办法解决？

在我必须在几个月内进行部署之前，我正在对 OS X Server 进行一些测试。我已经配置了 Open Directory，并创建了一些用户。我已经在 10.5 客户端上配置了目录实用程序，但登录身份验证没有按我预期的方式工作。我希望我可以使用在 Open Directory 中创建的任何用户的用户名/密码，并能够登录到客户端。相反，我似乎需要创建一个本地用户，然后您使用 Directory Utility 将其与目录用户同步。

或者，如果我向客户端添加 Active Directory 配置，我可以使用任何 AD 用户，正如我所期望的。

我希望不可能，还是配置可能有问题？

我有一项服务，我需要能够使用该机器上的本地帐户写入另一台机器上的网络共享。为此，我需要映射服务可以看到的网络驱动器（以运行服务的用户身份登录并且安装驱动器似乎不起作用），或者我需要能够指定 unc 路径使用用户名和密码作为我的服务配置的一部分。

这些事情中的任何一个都可能吗？

我有一个 Web 应用程序，我想对其使用直通 NTLM 进行 SSO 身份验证。但是，存在一个问题，即 NTLMv2 在这种情况下显然不起作用（应用程序没有存储相同的密码哈希）。

我使用其本地组策略在一台客户端计算机 (Vista) 上启用了 NTLMv1：计算机->Windows 设置->安全设置->网络安全：LAN Manager 身份验证级别。我将其更改为发送 LM 和 NTLM - 如果协商使用 NTLMv2 会话安全。

这行得通，我可以使用 NTLM 登录到 Web 应用程序。现在这个应用程序将被我的所有客户端机器使用......所以我想知道如果我将此策略推送给所有客户端（而不是域控制器本身）会带来什么安全风险？

我正在配置一个 subversion 存储库以使用基本的 LDAP 身份验证。我的http.conf文件中有一个条目，如下所示：

<Location /company/some/location>
DAV svn
SVNPath /repository/some/location
AuthType Basic
AuthName LDAP
AuthBasicProvider ldap
Require valid-user
AuthLDAPBindDN "cn=SubversionAdmin,ou=admins,o=company.com"
AuthLDAPBindPassword "XXXXXXX"
AuthLDAPURL "ldap://company.com/ou=people,o=company.com?personid"
</Location>

这适用于需要登录的活生生的人。但是，我还需要提供对存储库的应用程序帐户访问权限。这些帐户位于不同的 OU 中。我需要添加一个全新的<location>元素，还是可以AuthLDAPURL在现有条目中添加第二个元素 ？

我已经能够让我的一些 linux 服务器根据我的 LDAP 目录服务器对用户进行身份验证，但是我在尝试使用 FreeBSD 中的 nss_ldap 和 pam_ldap 时遇到了一些麻烦。

来自此处的 FreeBSD 官方文档：http : //www.freebsd.org/doc/en/articles/ldap-auth/client.html

我安装了这两个包，并在同一目录 nss_ldap.conf 中创建了一个配置文件 /usr/local/etc/ldap.conf，以及该文件的符号链接。根据文档，他们都可以使用相同的配置文件。我保持它非常简单，直到我可以让它工作：

ldap.conf/nss_ldap.conf：

base    dc=corp,dc=example,dc=org
host    192.168.0.100
ldap_version 3
binddn cn=admin,dc=corp,dc=example,dc=org
bindpw secret

据我所知，NSS 有效。“getent passwd”显示来自 LDAP 目录的信息以及本地内容。

现在我想进行身份验证，所以我在 /etc/pam.d/sshd 中添加了一行：

# auth
auth        sufficient  pam_opie.so     no_warn no_fake_prompts
auth        requisite   pam_opieaccess.so   no_warn allow_local
#auth       sufficient  pam_krb5.so     no_warn try_first_pass
#auth       sufficient  pam_ssh.so      no_warn try_first_pass
auth        sufficient  /usr/local/lib/pam_ldap.so no_warn try_first_pass debug
auth        required    pam_unix.so     no_warn try_first_pass

我重新启动 ssh（不确定是否有必要），然后尝试使用本地不存在的 LDAP 用户（coryj）登录。它静默失败，日志显示：

Sep  9 13:13:54 …

我相信你们中的一些人已经处理过同样的问题。我希望有人有比我现在正在做的更好的答案。

因此，您在 LDAP 目录中有一些用户，有一天您会说“嘿！我可以通过 SSH 验证这个东西！” 这很好。

然后有一天你意识到你只希望某些用户能够进入一台机器。比如说，开发人员应该只能进入开发箱，而不是生产箱。您进行了一些谷歌搜索，并pam_groupdn在您的 LDAP 配置 ( /etc/ldap.conf) 中找到了如下内容：

pam_groupdn CN=developers,OU=groups,DC=yourcompany

而且，这很好。您为产品创建另一个小组，为 QA 设立另一个小组，等等。也许有一天您有第二个产品开发小组，所以他们有自己的小组。任何。

有一天，您将拥有一台服务器，开发人员和 QA 都需要能够登录该服务器。呃...事实证明它pam_groupdn不需要多个值。你做什么工作？好吧，如果你没有多想，你会说“哦，我只是建立一个开发人员和 QA 小组！”。

pam_groupdn CN=developers-and-QA,OU=groups,DC=yourcompany

那……不好，但没关系，对吧？

然后有一天，你就会得到一个开发人员，你意识到你需要将它们添加到15组，因为有developers-and-QA，product1-and-product2，developers-who-have-access-to-prod等。废话。

必须有更好的方法来做到这一点，对吧？我给 的开发人员发了电子邮件pam_ldap，他们说不幸的是没有办法pam_groupdn获取多个值（不用修改代码）。

任何人都想分享他们如何在 LDAP 中管理组组而不诉诸复制/粘贴？