问题[authentication](server)

我们有一个应用程序将请求发送到 IBM Tivoli Netcool/OMNIbus 8.1 服务器的 ObjectServer REST API。http://1.2.3.4/objectserver/restapi/alerts/status?filter=Severity=5%20and%20Manager%20not%20like%20'^.*Watch$'它发送带有以下 HTTP 标头的GET 请求：

Authorization: Basic DHCteF92S53fhUY6jlF=
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Content-Type: application/json

该请求在我们的开发环境中运行良好，并且 REST API 返回请求的警报信息。但是，在我们的测试环境中，REST API 返回“401 - 需要授权”错误。

Authorization 标头中的值DHCteF92S53fhUY6jlF=似乎是某种身份验证令牌，并且在我们的应用程序中进行了硬编码。编写该代码的开发人员早已去世，我不知道该值是如何生成的。也许这对于我们的测试环境来说是不正确的，因此会出现 401 错误。该身份验证令牌是如何生成的？

我们最近设置了一个 FreeIPA 服务器。我们将其用于中央用户管理、DNS 和 CA。除了一个例外，它一直运行良好。

使用此 FreeIPA 服务器进行身份验证的一些工作站位于数千英里之外。往返时间约为 300 毫秒。我们注意到这些机器上出现了一些不可预测的身份验证失败。一秒钟后，他们将无法对登录尝试进行身份验证，然后他们将在几秒钟后成功进行身份验证。我们认为延迟是罪魁祸首。

有没有办法延长客户端的超时时间？或者，我们一直在考虑在这些工作站所在的位置设置一个 IPA 副本。高延迟链接将如何影响副本与主服务器进行复制的能力？

中央 LDAP 服务器将用户数据提供为posixAccount，其中属性homeDirectory和loginShell为空。我希望允许此中央 LDAP 服务器中的用户访问 Linux 系统。

如果我使用syncrepl将数据复制到本地 LDAP 服务器，我可以使用sssd设置homeDirectory. 我也可以sssd用来将每个人的设置 loginShell为/usr/bin/bash.

但是，我希望能够loginShell在每个用户的基础上进行设置，主要是允许将 shell 设置为/sbin/nologin以将单个用户锁定在系统之外。

是否可以通过这种方式将复制的数据与本地数据结合起来？如果是这样，怎么做？

我正在运行 IMAPS 服务，并且用户使用 X.509 证书进行身份验证。使用 Thunderbird 可以正常工作。但是如何使用 openssl 手动连接到 IMAPS 服务？我在 Thunderbird 中使用与openssl s_clientthan 相同的证书，但我没有经过身份验证。

$ openssl s_client -connect $myimapsserver:993 -key my.key -cert my.crt -quiet 
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = $myimapsserver
verify return:1
* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION AUTH=EXTERNAL ENABLE UTF8=ACCEPT] Courier-IMAP ready. Copyright 1998-2019 Double Precision, Inc.  See COPYING for distribution information.

与我的 CentOS ID 相比，我在 Ubuntu 系统中的 Active Directory 映射非常长。最后 4 位数字匹配，但 Ubunutu 似乎在开头添加了更多内容。

在 CentOS winbind/samba 中，我使用了一个范围来获取我需要的 ID：

    idmap config * : range = 10000-20000
    idmap config * : backend = tdb
    idmap config MYDOMAIN : default = yes
    idmap config MYDOMAIN : range = 10000-24999999
    idmap config MYDOMAIN : backend = rid

这将在 Centos 上产生类似 1 1695的 ID

Ubuntu 20.04 生成 155880 1695的 guid/uid ，它添加了 155880 并从 11695 中删除了前导 1。

如何格式化 Ubuntu 的 sssd 配置以提供我需要的东西。我所有的文件和文件夹都标有 Centos ID，而 CentOS 无法识别这些较长的 ID？

我希望我解释得很好。

谢谢 ：）

需要帮助验证加入子域的 linux (Ubuntu) 服务器。我可以在域控制器上看到服务器名称，并且能够成功运行身份验证测试，但是我无法使用我的域帐户登录。似乎 SSSD 或 KRB5 配置的某个配置设置需要指定子域。这也不是域信任问题，因为加入子域的 Windows 服务器正在接受来自父帐户的凭据。

kinit -V [email protected]
Authenticated to Kerberos v5

root@SERVER:/var/log/sssd# systemctl status sssd

Oct 22 17:55:09 SERVER [sssd[ldap_child[27928]: Failed to initialize credentials using keytab [MEMORY:/etc/krb5.keytab]: Client '[email protected]' not found in Kerberos database. Unable to create GSSAPI-encrypted LDAP connection.

SSSD 日志文件中的错误

Fri Oct 22 17:32:51 2021) [sssd[be[DOMAIN.SYS]]] [confdb_get_domain_internal] (0x0010): Unknown domain [CHILD.DOMAIN.SYS]
(Fri Oct 22 17:32:51 2021) [sssd[be[DOMAIN.SYS]]] [confdb_get_domains] (0x0010): Error (2 [No such file or directory]) retrieving domain [CHILD.DOMAIN.SYS], skipping!

固态硬盘配置

root@SERVER:cat /etc/sssd/sssd.conf
[sssd]
services = nss, pam
config_file_version = 2
domains = DOMAIN.SYS, CHILD.DOMAIN.SYS

[nss]
default_shell = /bin/bash

[domain/DOMAIN.SYS]
id_provider = ad
access_provider = ad
override_homedir = /home/%d/%u

ad_hostname = server.child.domain.sys
#ad_server = dc.child.domain.sys
#ad_domain = DOMAIN.SYS

KRB5 配置

root@SERVER: cat /etc/krb5.conf
[libdefaults]
        default_realm = DOMAIN.SYS
        ticket_lifetime = 24h #
        renew_lifetime = 7d
        rdns = false

The following krb5.conf variables are only for MIT Kerberos.
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

我在 Server 2019 上运行了一个新的 ADFS 实现。设置后，我使用 /adfs/ls/IdpInitiatedSignon.aspx 测试了各种用户帐户的身份验证。我测试的大多数帐户都可以正常工作，没有任何问题。但是，有一些帐户表现出以下行为：

• 使用错误的用户名/密码登录会导致显示用户名/密码不正确的错误消息。这是预期的和可取的。
• 使用正确的用户名/密码登录会导致页面刷新，再次显示登录表单。没有错误信息。我将此称为“刷新登录”。

在 ADFS 服务器上的安全事件日志中，我看到以下三个与“刷新登录”相关的事件：

• 事件 4648 - 尝试使用显式凭据登录。
• 事件 4624 - 帐户已成功登录。
• 事件 4625 - 帐户登录失败（失败原因：未知用户名或密码错误）

几条信息：

• ADFS 配置为使用名为 FsGmsa 的组托管服务帐户。它是 Windows 授权访问组的成员。
• 启用“表单”和“Microsoft Passport 身份验证”作为主要身份验证方法。我最终将添加 Azure MFA。
• 所有测试都在内网运行。
• 所有证书均有效且未过期。
• 无论使用什么计算机/设备，对于相同的用户，我都会得到相同的结果。
• 我找不到有效的帐户和无效的帐户之间的任何相似之处或差异。

我需要通过 sftp 连接以编程方式上传和下载文件到远程服务器。我的用户名有权通过密码访问某个远程目录，但不能访问 .ssh 目录。实际上我根本无法 ssh 进入远程服务器。我得到回应：

This service allows sftp connections only.
Connection to www.example.com closed.

但是出于这个问题的目的，假设我根本没有权限将我的私钥复制到远程 .ssh 目录中。所以我的问题是：

如何配置我的本地/.ssh/config文件，以避免提示输入密码身份验证？

显然，由于上述原因，我无法将新生成的密钥对复制到远程目录，正如这里所建议的那样。但是我的本地机器上必须有一个用于 ssh 连接的私钥，对吧？我不能简单地将该文件的目录传递给 IdentityFile 选项吗？

以下是 Apache HTTP Kerberos 模块配置/etc/apache2/sites-available/my.server.tld.conf：

# ...
<Location />
  Authname "SSO Authentication"
  AuthType Kerberos
  KrbAuthRealms MY.DOMAIN.TLD
  KrbServiceName HTTP/[email protected]
  Krb5Keytab /etc/apache2/kerb5.my.server.tld.ktab
  KrbMethodNegotiate On
  KrbMethodK5Passwd On
  Require valid-user
</Location>
# ...

和 Kerberos 配置/etc/krb5.conf：

[libdefaults]
  default_realm = MY.DOMAIN.TLD

# ...

[realms]
  MY.DOMAIN.TLD = {
    kdc = my.ad.server.1.tld
    kdc = my.ad.server.2.tld
    admin_server = my.ad.server.1.tld
  }

# ...

[domain_realm]
  friendly.domain.tld = MY.DOMAIN.TLD
  .friendly.domain.tld = MY.DOMAIN.TLD

# ...

Apache HTTP Web 服务器安装在 Debian GNU/Linux 10 上。

密钥表文件是在my.ad.server.1.tldWindows 服务器上使用ktpass命令生成的。使用此配置，在域中
的 Windows 机器上的 Edge 和 Firefox 上一切正常。MY.DOMAIN.TLD

我的问题来自在域外的 Windows 机器上使用 Microsoft Edge（带有 Chromium 引擎的新版本）或 Google Chrome 的客户端。

在第一次连接到my.server.tld时，浏览器会收到WWW-Authenticate: Negotiate和WWW-Authenticate: Basic realm="SSO Authentication"标头。

使用 Microsoft Edge，与 Firefox 不同，弹出的身份验证对话框WWW-Authenticate: Negotiate不是来自浏览器的身份验证对话框，而是 Windows 身份验证对话框，无论我们键入什么内容，它都不起作用。

在第一次登录尝试失败后，浏览器会发出第二次请求，这一次他只收到WWW-Authenticate: Basic realm="SSO Authentication"标头。浏览器身份验证对话框弹出，它可以工作。里面的进一步导航my.server.tld会在后台生成很多 Windows 身份验证对话框。例如，如果页面上有图像，它将显示一个身份验证对话框。

我注意到如果 Windows 机器连接到内部网络MY.DOMAIN.TLD并且我们在 Windows 身份验证对话框中明确指定域，它也可以正常工作（即[email protected]作为用户名）。

考虑到以上所有，我现在想知道...

• 是否真的可以使其与 Windows 机器上的集成 Windows 身份验证对话框一起使用？
• 有没有办法“强制”域用于身份验证，以消除像[email protected]域外机器一样明确指定它的需要MY.DOMAIN.TLD？

我已经尝试default_domain = my.domain.tld在 Kerberos 领域配置中添加或kinit在 Debian GNU/Linux 10 服务器上获取 Kerberos TGT，但均未成功。

在每种情况下读取 Apache HTTP 的日志LogLevel trace8，看起来只要弹出一个 Windows 身份验证对话框，就会返回一个 NTLM 令牌，这使得它无法正常工作。

当它工作时

使用 Firefox
或
使用域内的计算机、内部网络（Edge 或 Chrome）
或
使用域外的计算机、外部网络并使用[email protected]（Edge 或 Chrome）：

mod_authz_core.c(820): AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
mod_authz_core.c(820): AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)
src/mod_auth_kerb.c(1963): kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
src/mod_auth_kerb.c(1296): Acquiring creds for HTTP/my.server.tld
src/mod_auth_kerb.c(1719): Verifying client data using KRB5 GSS-API
src/mod_auth_kerb.c(1735): Client didn't delegate us their credential
src/mod_auth_kerb.c(1754): GSS-API token of length 180 bytes will be sent back
mod_authz_core.c(820): AH01626: authorization result of Require valid-user : granted
mod_authz_core.c(820): AH01626: authorization result of <RequireAny>: granted

当它不起作用时

使用域外的计算机、外部网络（Edge 或 Chrome）：

mod_authz_core.c(820): AH01626: authorization result of Require valid-user : denied (no authenticated user yet)
mod_authz_core.c(820): AH01626: authorization result of <RequireAny>: denied (no authenticated user yet)
src/mod_auth_kerb.c(1963): kerb_authenticate_user entered with user (NULL) and auth_type Kerberos
src/mod_auth_kerb.c(1296): Acquiring creds for HTTP/my.server.tld
src/mod_auth_kerb.c(1719): Verifying client data using KRB5 GSS-API
src/mod_auth_kerb.c(1735): Client didn't delegate us their credential
src/mod_auth_kerb.c(1763): Warning: received token seems to be NTLM, which isn't supported by the Kerberos module. Check your IE configuration.
src/mod_auth_kerb.c(1156): GSS-API major_status:00010000, minor_status:00000000
gss_accept_sec_context() failed: An unsupported mechanism was requested (, Unknown error)

所有这一切令人讨厌的部分是它在 Firefox 上完美运行，但不适用于具有最新 Chromium 引擎的浏览器。是因为它回退到 NTLM 身份验证而不是基本身份验证吗？

有没有办法将整台机器/Docker 守护进程记录到注册表中？

我看到的关于 docker login 和各种专有凭证助手使用的所有内容~/.docker/config.json，即每个用户。

我有一种情况，我想从私有注册表中提取图像；多人在这些机器上都拥有任意 sudo 访问权限，并且应该能够针对我们的注册表使用 Docker。

由于 Docker 访问无论如何都应该被读取为对机器的 root 访问（即，如果用户可以运行 Docker，则用户凭据不是相互安全的），并且 sudo 访问是相同但直接的，我想切入正题并记录整个机器在没有每个用户都必须跳过箍的情况下。

我可以提供一个文件，每个人都可以链接到他们config.json的 .