如何允许 Nagios 中的用户查看某些服务器的状态,但不禁用/启用任何内容?
所以我试图调整 GNOME 为特权应用程序验证桌面用户的方式。开箱即用,它要求输入root密码。对于我的部署,这是不可取的,我希望它再次提示用户输入自己的密码,只允许他们访问,如果他们在某一组(wheel)。
我取得了一些进展。如果文件中存在/etc/security/console.apps试图运行的服务名称(例如pirut包管理器),那么 GNOME 将要求输入密码并提升程序。这是pirut文件:
USER=root
PROGRAM=/usr/sbin/pirut
SESSION=true
KEEP_ENV_VARS=http_proxy,ftp_proxy
如果我注释掉/删除该USER=root行,则会提示我输入当前登录的用户,这正是我想要的。问题是只要用户知道他们的密码,它就会启动,所以即使不在我的组中的用户也可以启动特权应用程序。
Aman console.apps是相关的;然而没用:
/etc/security/console.apps/ 目录应该为每个希望允许控制台用户访问的应用程序包含一个文件。文件名应与服务名相同,内容无关;该文件可能是零长度文件。使用该文件的应用程序可以自由地以任何对其有用的方式指定内容。
我的问题:我如何告诉 GNOME/ConsoleHelper 用户也必须在特定位置才能允许执行?
我正在使用 IIS 7,我希望有人告诉我如何用密码保护文件夹。
以及当有人尝试下载该目录中的文件时,您将如何显示用户名和密码对话框。
我目前正在调查是否可以在类似于 gitolite 为 git 所做的设置中为 bzr 提供服务。这意味着一个 unix 帐户,通过他们的 ssh 公钥管理不同的用户。我很乐意将其与 gitolite 集成,在这种情况下,~/.ssh/authorized_keys可以委托用户管理和创建合适的。这将处理身份验证。
让我担心的是授权。在我看来,bzr serve开箱即用只有--directory提供访问控制的标志。这适用于为每个用户提供他或她自己的一组存储库,或者用于将用户分配到组并为每个组提供一组固定的存储库。多做一点工作,一个用户可以使用一个目录,但使用符号链接允许多个用户共享访问存储库。
尽管如此,这仍然远不及gitolite所能做到的。使用这种方法,不可能授予单个用户对某些存储库的只读访问权限,但授予对其他存储库的读写访问权限。也无法防止覆盖推送或在用户目录中创建新存储库。
可能是这些功能还没有实现。在相关的 Stack Overflow 问题中,我问的是如何自己实现这一点。在服务器故障上,我专注于现有的解决方案。是否有任何现成的解决方案赋予bzr serve比简单--directory限制更细粒度的访问控制?像 gitolite 这样的完全集成的解决方案将是最有趣的,但即使是一些可能被配置为解决我提到的问题之一的扩展也会很高兴知道。
我有一个 OpenLDAP 服务器,用于对各种服务进行身份验证和授权。所有用户都是对象类型inetOrgPerson,我的组是groupOfNames.
现在我想将 Samba 配置为也通过 LDAP 进行身份验证(使用基于组的授权)。我不能/不想将 samba 用作域控制器,而仅用作文件服务器。我也不想在 samba 中单独管理用户帐户,因为我在 LDAP 中有我需要的所有信息(用户名、密码、组成员资格)。我也想避免改变我的 DIT。就我目前的研究而言,我不能直接这样做,因为
a) Samba 使用它自己的凭证存储进行身份验证,这意味着我必须smbpasswd为每个现有的 LDAP 用户
b) 我的 LDAP 用户必须具有 samba 属性
环顾四周后,我怀疑我的问题的解决方案可能是在 samba 和 LDAP 之间使用 Kerberos。
我没有管理 Kerberos 的经验,所以在努力之前,我想澄清以下主题:
我在 Ubuntu Server 14.04 上。
非常感谢您提前提供任何提示
我目前正在尝试使用反向/转发代理将授权标头传递给目标服务器。我该怎么做呢?我已经查看了以下来源,其中一条评论指出这仅适用于 Proxy-Auth 标头。但是,代理没有身份验证后端。它看起来像下面
用户 -> 代理(无 Auth Req) -> 后端(HTTP AUTH HERE)
我希望测试在 z/OS 下运行的 JDBC 服务器实现。通常的方法是定义一个 JCL 过程并将其作为启动任务运行。启动的任务需要一个用户 ID,它将在该用户 ID 下运行。JDBC jars 放置在已挂载在 OMVS 中的 ZFS 文件系统中。
启动任务的用户需要某些 RACF 权限 这是随以下 JCL 提供的
//RUNRACF EXEC PGM=IKJEFT01
//SYSUADS DD DSN=SYS1.UADS,DISP=SHR
//SYSLBC DD DSN=SYS1.BRODCAST,DISP=SHR
//SYSTSPRT DD SYSOUT=*
//SYSTSIN DD *
AU JDBCUSR NAME('JDBC STC USER') PASSWORD(JDBCUSR) -
OWNER(IBMUSER) DFLTGRP(STCGROUP) -
UACC(READ) OMVS(HOME(/u/zfs4svr) PROGRAM(/bin/sh) UID(3005) -
FILEPROCMAX(131072))
RDEFINE STARTED SVRPROC.** STDATA(USER(JDBCUSR) GROUP(STCGROUP) -
TRUSTED(NO))
SETROPTS CLASSACT(STARTED)
SETROPTS RACLIST(STARTED) REFRESH
PERMIT BPX.SERVER ACCESS(READ) CLASS(FACILITY) -
ID(JDBCUSR)
SETROPTS CLASSACT(FACILITY)
SETROPTS RACLIST(FACILITY) REFRESH
当我开始任务时,SYSOUT 中出现以下错误消息:
JVMJZBL1001N JZOS …
我的网络中有 1000 多台 Linux/Unix(Solaris) 服务器,我想实现某种集中式登录服务器。这样我在一台服务器上创建用户,他就可以登录我网络中的任何服务器。但是会有一些我想要实现的例外,例如,我不想让每个用户都访问每个服务器。就像开发团队的人不应该能够访问故障管理团队的服务器,反之亦然。
我不想使用 LDAP。我听说过 Kerberos 和 RADIUS 或 Radius+SSH+LDAP。请建议哪种方法更好。我只想要集中的用户管理和服务器访问管理。
感谢和问候拉梅什库马尔
(抱歉,如果我弄错了术语,我对 LDAP 还很陌生)
我正在设置具有以下结构的本地 LDAP 服务器(Apache Directory Server):
o={my organization name} [objectClass=organization]
ou=groups [objectClass=organizationalUnit]
cn=someGroup [objectClass=groupOfUniqueNames]
cn=otherGroup [objectClass=groupOfUniqueNames]
...
ou=users [objectClass=organizationalUnit]
cn=user1 [objectClass=inetOrgPerson]
cn=user2 [objectClass=inetOrgPerson]
cn=user3 [objectClass=inetOrgPerson]
...
一切都很好。
现在我有一个问题。我有另一台运行 Atlassian Crowd 的服务器需要访问此 LDAP,我想为该服务提供自己的 LDAP 授权条目,以划分访问权限。但这不是用户,而是服务。
什么 objectClass 用于服务标识?
(作为 LDAP 的新手,您如何发现 groupOfUniqueNames 用于组,inetOrgPerson 用于用户条目?这似乎是常态。)
我需要安排一个每小时调用给定 url 的任务。URL 不返回任何内容,因此相当简单,但是此 URL 需要授权标头:
Authorization: Basic {SOME AUTH CODE}
如何使用 Windows 任务计划程序将此标头附加到请求中?