(这是ssh的问题,不是gitolite)
我已经在我的家庭服务器(ubuntu 12.04 服务器,open-ssh)上配置了 gitolite。我想要一个特殊的身份文件来管理存储库,因此我需要使用两个不同的身份密钥通过 ssh 访问我自己的主机。
这是我的 .ssh/config 文件的内容:
Host gitadmin.gammu.com
User git
IdentityFile /home/alvaro/.ssh/id_gitolite_mantra
Host git.gammu.com
User git
IdentityFile /home/alvaro/.ssh/id_alvaro_mantra
这是我的主机文件的内容:
# Git
127.0.0.1 gitadmin.gammu.com
127.0.0.1 git.gammu.com
所以我应该能够通过这种方式与 gitolite 通信以访问“正常”帐户:
$ssh git.gammu.com
以及通过管理帐户访问的这种方式:
$ssh gitadmin.gammu.com
当我尝试使用普通帐户访问时,一切正常:
alvaro@mantra:~/.ssh$ ssh git.gammu.com
PTY allocation request failed on channel 0
hello alvaro, this is gitolite 2.2-1 (Debian) running on git 1.7.9.5
the gitolite config gives you the following access:
@R_ @W_ testing
Connection to git.gammu.com closed.
当我对管理帐户执行相同操作时:
alvaro@mantra:~$ ssh gitadmin.gammu.com
PTY allocation …您使用哪些产品来管理您环境中的身份传播?
例如,Joe 被公司聘用。HR 在 HR 员工管理应用程序中输入 Joe 的个人资料。一张票被传递给 IT 以手动创建 Joe 的 Active Directory 帐户,为他的工作角色添加一堆用户组。他们还将在其他不使用 Active Directory 进行身份验证的不同系统中手动创建 Joe 的帐户。当 Joe 获得所有访问权限时,他已经在公司时间浪费了一周的时间来摆弄他的拇指和上网。
然后有一天,他们在 Joe 的 PC 上发现了 pr0n,日期可以追溯到他工作的第一个星期,所以他们带他去了门。现在,所有相同的人都必须重复这项工作,以撤销 Joe 在他有权访问的所有系统中的访问权限。
如果有人改变工作角色,例如到另一个部门,同样的过程也会重复。
我正在寻找的是一种专为系统管理员设计的工具,用于管理用户帐户,以便在主数据库(在本例中为 HR 应用程序)中更改后,此类更改可以完全自动化。
我知道 Microsoft 的ILM 2007及其前身 MIIS。我发现这些产品的文档很差,完全难以管理,而且我在网上几乎找不到任何支持。
哪些产品可能符合此标准?
在工作中,我们正处于身份管理项目的早期阶段。这都是在高等教育的背景下,我们有几千名教职员工和大约两万名学生。
有没有人使用带有 AD 域(kerberos 域)的 Sun LDAP 服务器来存储密码?有没有人运行过一个包含 25 万个条目的 AD 域?
我们对身份管理的一个选择是将活跃员工推送到 AD,并将密码/身份信息的另一份副本推送到 LDAP。如果我们这样做,我们需要有一个中央位置来更改密码,以便如果您更改 AD(或 ldap)密码,更改会同步到另一个(或者允许它们发散)
另一种选择是让 AD 成为密码的单一权限,然后我们必须拥有所有附属机构(以及所有旧附属机构)的委托人一两年,这样我们在 AD 中可能有 25 万个实体,其中任何频率只能访问 20-30k。
AD会在负载下爆炸吗?是否有其他方法可以使 Sun 的 LDAP 和 AD 之间的密码保持同步?其他人的经历是什么?
我想确保在停止之前我们没有任何连接到我们的 AD 控制器,但有些运行 Microsoft Identity Management for Unix / Server for NIS。我有一段时间试图找到该服务的任何相关日志记录,但在事件查看器中没有看到它。它是否在安全日志中记录特定事件(即,将其与正常 AD 登录区分开来的事件)?还是某处有单独的日志?
unix active-directory identity-management windows-server-2008-r2
我在一个大学环境中工作,该环境过去几乎只为已经在中央用户数据库中拥有“正式”帐户的大学附属机构提供服务。我们越来越多地向不适合这种传统模型的外部合作者(托管的 Subversion/git 存储库、Wiki 访问等)提供服务。
我正在寻找一种工具,可以让我们管理“轻量级”帐户,其中“轻量级”的意思是:
默认情况下,拥有帐户不会授予对任何内容的访问权限(授权将通过组成员身份或特定服务 ACL 获得)。这是流行的 Web 服务的一个非常典型的模型,但我没有太多运气找到一个开箱即用的工具(而且我们真的没有时间或资源自己编写一个)。
有许多工具可以提供自助式密码更改和元数据编辑,但我还没有找到一种可以处理注册部分的工具。我希望 FreeIPA 能够处理这个问题,但据我所知它没有。
您是否知道可以启用此模型的任何工具?我对商业解决方案持开放态度,如果您对类似的事情有很好的经验。
我在一个小型组织中工作,该组织使用带有 Active Directory 域的单个文件和打印服务器进行用户管理。
引入新人的办公室管理员是非技术人员,通常会创建 AD 用户帐户,因为现场没有永久性 IT 支持,用户立即需要他们的帐户。但是,此后需要完成一些后续工作(在 PBX 上创建分机、设置语音邮件、填写表格等),这些工作需要分给不同的人。
我们的手动流程在大多数情况下都有效,但存在差距,有时会忘记一些事情。我没有资格重新构建这些业务流程,例如它们,所以就这个问题而言,请我们可以将其视为业务流程是不可变的。我的解决方案需要与现有流程相结合。
从本质上讲,我认为我需要的是一种在 Active Directory 中手动创建新用户时生成电子邮件通知的方法 - 一种轻量级工作流引擎,仅通过电子邮件向人们和/或我的票务系统发送需要执行的后续任务。是的,我知道这不是最佳实践,是的,我知道这并不酷,但鉴于我的情况,我认为这是最务实的解决方案。
有没有一种简单、轻量级的方法来做到这一点?我正在考虑 PowerShell 脚本或类似的东西(没有适当的 IDM 系统的预算,而且正如我所提到的,业务流程是不可变的)。
active-directory identity-management user-management lifecycle
我正在使用 Ubuntu 服务器 10.04。
ssh-add /foo/cert.pem 给出了以下输出:
无法打开与您的身份验证代理的连接。
这些是我正在运行的进程:
ps -aux | grep ssh
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
root 1523 0.0 0.0 49260 632 ? Ss Dec25 0:00 /usr/sbin/sshd
root 10023 0.0 0.3 141304 6012 ? Ss 12:58 0:00 sshd: padmin [priv]
padmin 10117 0.0 0.1 141304 2400 ? S 12:58 0:00 sshd: padmin@pts/1
padmin 11867 0.0 0.0 7628 964 pts/1 S+ 13:06 0:00 grep --color=auto ssh
root 31041 0.0 0.3 141264 5884 ? …我遇到了 IIS 池标识问题。我需要为其用户授予正确的权限,但我找不到设置为 IIS 池标识的用户,即 ApplicationPoolIdentity。我发现用户 NetworkService 可能是 IIS 池标识的用户。将 IIS 池标识更改为 NetworkService 后,有什么问题或我必须考虑的任何事项吗?
OBS:我使用的是 Windows 7 (IIS 7.5)