标签: authentication

我已将几个 Outlook 2007 客户端（连接到 Exchange 2003）配置为使用 RPC over HTTPS。这允许我们的用户远程连接到 Exchange 服务器，而无需使用 VPN 隧道进行连接。

所有计算机都是域成员，但 Outlook 拒绝记住连接到 Exchange 服务器的用户凭据，尽管选中了记住密码复选框。

有关信息，客户端上的操作系统似乎无关紧要，WinXP、Vista 和 Windows 7 都显示相同的问题。

有谁知道如何解决这一问题？

我正在尝试将 SonicWALL 配置为允许 VPN 用户进行 LDAP 身份验证。我以前用另一台设备做过这件事，我记得这很简单。但这次我不能让它在我的生活中工作。

当我启用“LDAP + 本地用户”模式，输入 LDAP 服务器信息和 AD 组名称时，我不断收到“LDAP 身份验证失败”或“LDAP 服务器上的凭据无效”错误。我已经尝试了所有对我有意义的设置的不同排列，结果相同。到目前为止，SonicWALL 支持绝对没有帮助。我已按照他们的手册说明进行了操作，但没有解决方案。

这里有人遇到过同样的情况吗？我觉得我错过了某个地方的设置......

我正在考虑删除 SSH 的基于密码的登录。但是，我不想允许无密码的 ssh 密钥，因为那会更糟。

如何确保只有具有密码的 SSH 密钥才能连接？

如果无法做到这一点，是否有替代方案，例如集中管理 SSH 密钥生成，以及阻止用户生成和/或使用他们自己的密钥？我想像PKI这样的东西。

首先，我不是现场的 AD 管理员，但我的经理要求我尝试将我的个人 Redmine 安装与 ActiveDirectory 集成，以便对其进行测试以进行更大规模的部署。

我们的 AD 服务器在 host:port 上ims.example.com:389，我有一个 user IMS/me。

现在，我me在 Redmine 中也有一个使用本地身份验证的用户。

我在 RedMine 中使用以下参数创建了一个 ActiveDirectory LDAP 身份验证方法：

Host: ims.example.com
Port: 389
Base DN: cn=Users,dc=ims,dc=example,dc=com

On-The-Fly User Creation: YES
Login: sAMAccountName
Firstname: givenName
Lastname: sN
Email: mail

测试此连接工作正常。

但是，我没有成功通过它进行身份验证。

我已经创建了一个备份管理员用户，这样我就可以在发生me故障时重新访问该帐户，然后我尝试更改me为使用 ActiveDirectory 凭据。但是，一旦我这样做，就无法登录。我已经尝试了所有这些登录名选项：

• me
• IMS/me
• IMS\me

我使用了我已知的域密码，但没有任何乐趣。

那么，我有什么设置错误，或者我需要获取哪些信息才能使这项工作发挥作用？

我在 Windows 上使用 Putty 和基于密钥的身份验证来访问我的一些服务器。

它使用 ~3700 位密钥完全正常，但使用 ~17000 位密钥，它会在客户端思考 20 秒，然后只是说“拒绝访问”并要求输入密码。

OpenSSH 中是否有用于基于密钥的身份验证的密钥长度限制或超时？

我知道使用这么大的键没有多少实际意义，尤其是在查看这 20 秒的计算时，只是试图解决我面临的任何问题:-)...

我希望 sshd 验证用户的公钥，然后提示输入他们的密码，而不仅仅是其中一个。这可能吗？

我正在研究为用户提供跨多台计算机的单一身份的软件。也就是说，用户应该在每台计算机上拥有相同的权限，并且该用户应该可以访问他或她在每台计算机上的所有文件（漫游主目录）。这个总体思路似乎有很多解决方案，但我正在努力确定最适合我的解决方案。以下是一些详细信息以及要求：

1. 机器网络是运行 Ubuntu 的 Amazon EC2 实例。
   • 我们使用 SSH 访问机器。
   • 这个局域网上的一些机器可能有不同的用途，但我只讨论特定用途的机器（运行多租户平台）。
2. 系统不一定有恒定数量的机器。
   • 我们可能不得不永久或暂时改变正在运行的机器数量。这就是我研究集中式身份验证/存储的原因。
3. 这种效果的实现应该是安全的。
   • 我们不确定用户是否可以直接访问 shell，但他们的软件可能会在我们的系统上运行（当然，在受限制的 Linux 用户名下），这与直接 shell 访问一样好。
   • 为了安全起见，让我们假设他们的软件可能是恶意的。

我听说过几种技术/组合来实现我的目标，但我不确定每种技术/组合的后果。

• 较早的 ServerFault 帖子推荐了 NFS 和 NIS，但根据赛门铁克的这篇旧文章，该组合存在安全问题。这篇文章建议转向 NIS+，但是，由于它是旧的，这篇 Wikipedia 文章引用了表明 Sun 正在远离 NIS+ 的声明。推荐的替代品是我听说过的另一件事......
• LDAP。看起来 LDAP 可用于将用户信息保存在网络上的一个集中位置。仍然需要使用 NFS 来满足“漫游主文件夹”的要求，但我看到它们被一起使用的参考。既然赛门铁克的文章指出了 NIS 和 NFS 中的安全问题，是否有软件可以替代 NFS，或者我应该听从那篇文章的建议来锁定它吗？我倾向于使用 LDAP，因为我们架构的另一个基本部分 RabbitMQ 有一个用于 LDAP 的身份验证/授权插件。系统上的用户将以受限方式访问 RabbitMQ，因此如果可能，我想将安全系统联系在一起。
• Kerberos 是我听说过的另一种安全身份验证协议。几年前我在密码学课上学到了一点，但不太记得了。我在网上看到有人建议它可以通过多种方式与LDAP结合使用。这是必要的吗？没有 Kerberos 的 LDAP 有哪些安全风险？我还记得卡内基梅隆大学开发的另一款软件中使用了 Kerberos...
• 安德鲁文件系统，或 AFS。OpenAFS 可以使用，但它的设置似乎有点复杂。在我的大学，AFS 提供了这两个要求……我可以登录到任何机器，并且我的“AFS 文件夹”始终可用（至少在我获得 AFS 令牌时）。

除了我应该研究哪条路径的建议之外，有人有任何特别有用的指南吗？正如粗体文本指出的那样，LDAP 看起来是最佳选择，但我对安全方面的实现细节（Keberos？NFS？）特别感兴趣。

我正在运行一个基于 linux 的小型家庭网络服务器，它充当互联网路由器、torrent 客户端和文件服务器。我在将 Windows 客户端连接到服务器 Samba 共享时遇到问题（“用户名或密码无效”）。如何启用 Samba 身份验证/授权过程的所有阶段的日志记录，例如“客户端连接”、“客户端提供的用户名......和密码......”等，以便我可以找出到底是什么错误，因为我确定我提供了正确的用户名和密码？

目前，我限制了哪些客户端可以通过 iptables 使用 IP 地址访问我的服务器，只有经过批准的 IP 地址才能连接。

但是，问题在于如果客户端在笔记本电脑上并转到不同的位置，他们将无法再连接，因为 IP 已更改。

由于各种原因，iptables 身份验证是我唯一的选择。

有没有办法通过设备而不是 IP 地址来限制访问。例如，只允许某些 MAC 地址连接到端口 5000。

是否可以通过 iptables 做到这一点？请注意，计算机不在同一网络上，它们可以从世界任何地方连接。

用例：2FA 登录 Active Directory（例如登录 AD 上的公司台式计算机）

期望的解决方案：Google Authenticator 风格的、基于 RFC 的 MFA 系统。这条路径引人注目，因为它基于 RFC，并广泛用于基于 Internet 的应用程序，并且用户群已经拥有并一直使用它。我们认为这将内置到 Server 2016 中，但似乎不是？

终极梦想：通过 2FA 以这种方式提升 AD，我们使用的其他使用 AD 作为目录的应用程序将（我们希望）神奇地获得 2FA 的好处。

为清楚起见：我们不会尝试使用谷歌（或其他）帐户登录 AD。我们正在尝试使用 google 身份验证器工具（或 authy 或任何其他实现该 RFC 的工具）将 2FA 添加到 AD 本身。（我们将谷歌身份验证器与 Amazon AWS 和许多其他托管系统一起使用——这些系统中的每一个都有自己的用户数据库。）例如，这与面向 Web 的 OpenID 等无关。

我们今天的立场：今天，登录台式机和 PC 是通过简单的 jane 密码进行的。但是一些工具（比如我们的 vpn 服务器），使用 AD 进行身份验证，并在此基础上支持 Google Authenticator。我们希望物理登录与 VPN 一样紧密（并使用类似的身份验证工具）。

迄今为止所做的研究

有一篇关于如何将谷歌身份验证器与 Active Directory 联合服务 (AD FS) 结合使用的技术网文章：https : //blogs.technet.microsoft.com/cloudpfe/2014/10/26/using-time-based-one-time -passwords-for-multi-factor-authentication-in-ad-fs-3-0/

奇怪的是，它似乎是一个开发项目，需要一些代码和它自己的 SQL DB。

我们在这里不是专门谈论 …