我使用双因素身份验证管理服务器。输入普通服务器密码后，我必须使用Google Authenticator iPhone应用程序获取6位验证码才能输入。此处描述了设置：http : //www.mnxsolutions.com/security/two-factor-ssh-with-google-authenticator.html

我想要一种仅使用我的笔记本电脑而不是我的 iphone 来获取验证码的方法。必须有一种方法可以为命令行应用程序生成这些验证码，并为您提供当前 30 秒窗口的代码。

有没有程序可以做到这一点？

编辑：将其重新格式化为问答。如果有人可以将其从社区 Wiki 更改为典型问题，那也可能更合适。

如何针对 Active Directory 验证 OpenBSD？

在过去的几天里，我设置了一些带有 LDAP 身份验证的 Linux 系统，一切正常，但是经过大量研究，我仍然无法真正理解 NSS 和 PAM。

引用：

NSS 允许管理员指定将存储和搜索身份验证文件、主机名和其他信息的源列表

和

PAM 是一组库，为应用程序和底层操作系统提供可配置的身份验证平台

我不明白的是 PAM 和 NSS 如何一起工作和交互。在这本书的架构是解释得很好：我PAM配置为使用pam_ldapLDAP的帐户和pam_unix本地帐户，然后我配置nsswitch.conf来从本地文件和LDAP信息。

如果我理解正确，LDAP 使用了两次：首先pam_ldap由 NSS使用，然后由 NSS 调用，它本身从pam_unix. 那正确吗？LDAP 真的使用了两次吗？但是为什么我需要同时配置 NSS 和 PAM？我的解释是 PAM 执行与 NSS 不同的任务，它被其他程序使用。但是，正如我在本页中所读到的那样，应该可以仅使用 NSS 或仅使用 PAM 。

所以我进行了一些试验，我首先尝试从nsswitch.conf（并且身份验证停止工作，好像只有 pam_ldap 不足以完成这项工作）中删除 LDAP 。然后我在 NSS 中重新启用了 LDAP，并从 PAM 配置中删除了它（这次一切正常，好像pam_ldap没用一样，而且 NSS 足以验证用户的身份）。

有没有人可以帮我澄清一下？提前谢谢了。

更新

我现在刚刚尝试了一些东西。我再次删除了所有pam_ldappam 配置字段中的所有条目，并且还shadow: ldap从 …

我们是否应该删除 root 密码、禁用远程登录并基本上要求管理员使用 sudo 来执行管理操作？

对于我的家，我想成为一个好邻居，实际上我已经让我的 wifi 开放了大约 6 或 7 年。我知道 WEP 等可以在几分钟内破解，但我在 IT 工作的邻居儿子告诉他妈妈，她告诉我我在做坏事，你知道这个故事。

你认为让你的 wifi 对公众开放可以吗？我住在一个郊区，有一条小街和大约 8 所房子可以连接到我的 wifi。我有一条 16k DSL 线路，所以如果有人加入我几个小时，我可能不会注意到。

我很想知道您是否应该对我的 wifi 进行加密。

假设我有四台电脑，Laptop、Server1、Server2、Kerberos 服务器：

• 我使用 PuTTY 或 SSH 从 L 登录到 S1，并提供我的用户名/密码
• 从 S1 我然后 SSH 到 S2。由于 Kerberos 对我进行身份验证，因此不需要密码

描述所有重要的 SSH 和 KRB5 协议交换：“L 向 S1 发送用户名”，“K 向 S1 发送……”等。

（此问题旨在进行社区编辑；请为非专家读者改进它。）

我知道有数以千计的人在将集成 Windows 身份验证与 IIS 一起使用时遇到问题的报告，但它们似乎都导致网页不适用或我已经尝试过的解决方案。我之前已经部署了几十个这样的站点，所以要么服务器/配置发生了一些奇怪的事情，要么我已经研究了太久而没有看到明显的情况。

简而言之，一切都在我的本地机器上完美运行，但在生产服务器上却崩溃了，据我所知，它具有完全相同的配置。

在本地机器上：

• 该机器运行的是 Windows 7 Ultimate、Service Pack 1、IIS 7.5。
• 该站点已成功测试，使用 IIS 和 VS Web 开发服务器。
• IIS 站点配置禁用了除Windows 身份验证之外的所有身份验证方法。
• 本地机器不在任何域中。
• 设置的提供程序是 Negotiate 和 NTLM（不是 Negotiate:Kerberos）。
• 扩展保护关闭。
• 所有经过测试的浏览器（IE、Firefox、Chrome）都会显示质询提示，并允许我使用我的（本地）Windows 帐户登录到localhost域。
• 所有经过测试的浏览器也使用不透明的本地 IP 地址工作 - 因此浏览器本身似乎并不关心该站点是“本地”还是“远程”。
• 我在网页上添加了一条显示行，显示当前登录的用户，它准确地显示了我的期望（无论我使用哪个本地用户登录）。

在远程机器上：

• 服务器运行的是 Windows Server 2008 R2、IIS 7.5。
• 加载网页会立即导致401.2 错误：由于身份验证标头无效，您无权查看此页面。 从来没有出现过挑战提示。
• IIS 站点配置禁用了除Windows 身份验证之外的所有身份验证方法。
• 远程机器不在任何域中。
• 设置的提供程序是 Negotiate 和 NTLM（不是 Negotiate:Kerberos）。
• 扩展保护关闭。
• 在远程计算机（远程桌面会话）上，无论域是localhost还是外部 IP 地址，Internet Explorer 中都会出现相同的错误。 …

我们的软件开发公司同时使用 Windows 和 Linux 服务器。

此设置的摩擦点之一是我们没有单点登录解决方案。我们更像是一家 Microsoft 商店而不是 Linux 商店，我们希望针对 AD 进行身份验证。

我在网上阅读了几篇文章，我明白这是可能的。

我们目前在 Linux 上使用以下需要身份验证的服务：
- git 服务器（通过 SSH）
- Sendmail
- 当前使用 .htaccess 文件的 Apache Web 服务器。
- SAMBA 文件共享

我想知道这种设置有多实用？它真的有效还是容易出错？

我要访问远程 SFTP 服务器。管理员为我创建了一个用户，并为我生成了一个公钥/私钥对。然后他安全地向我发送了我用于身份验证的私钥文件。我认为这不好，我应该是生成密钥对的人，并将公钥交给他。但是，如果我仅使用此密钥登录该服务器，而不使用其他服务器，我想不出有什么好的理由说明这很糟糕。有没有这样的原因？

我正在评估将我的组织转移到 Mercurial 的可能性，但是我遇到了两个基本要求，我找不到合适的指针。

我如何设置 Mercurial 的中央存储库以使用中央 Active Directory 对用户进行身份验证，并且只允许他们在拥有正确凭据的情况下进行推送或拉取？

如何设置 Mercurial 项目存储库以仅允许属于特定组的用户推送/拉取源代码？我们需要这个来获得每个项目的授权。

在哪些 HTTP 服务器（IIS 或 Apache 等）上支持上述两个要求？

如果我问的是一些明显的问题，或者我遗漏了有关身份验证和授权工作原理的一些基本知识，我深表歉意。