问题[identity-management](server)

我正在将 NFS v3 共享（ZFS 数据集）从域用户拥有的 Solaris 文件服务器连接到 Windows 计算机，但这个概念基本上应该适用于任何 POSIX 样式的服务器。我希望找到一种直观的方式让权限跨平台持久化，这也可以应用于使用同一客户端的多个用户。

mountSolaris 服务器在使用命令 in装载数据集时无法识别用户身份cmd，尽管数据集被设置为服务器上存在的同一域用户，但使用 AD LDAPuidNumber和gidNumber.

我已经看到了一种uid/gid可以在注册表中设置的解决方案，允许 NFS 共享作为具有一个用户身份的匿名共享安装在 Windows 中。这不仅不方便，而且只适用于一个用户。

我正在使用 MSYS2（例如“Git Bash”）并注意到该命令在's 属性选项卡中的集合id附近没有显示任何内容。我知道 Windows 使用s 来识别用户和设备，这与 Unix id 系统完全不同——但是从哪里得到这个数字呢？uidNumber/gidNumberADUCSIDMSYS2

我希望通过阐明这一点，它可以帮助我找到一些设置用户属性的方法，这样mount命令 incmd将以我的 Solaris 服务器可以理解的方式传递我的用户身份。

这是我正在谈论的一个例子：

在ADUC中，让我们回顾uid/gid一下Administrator：

Active Directory Users and Computers
----------------------------------------------
    [Menu]  View --> Advanced Features -->
+ [Domain] Users --> Administrator --> Properties -->
  + [Tabs] Attribute Editor -->
+ [Tables] uidNumber, gidNumber

uidNumber: 2500
gidNumber: 2512

好的，那么让我们检查Administrator一下：idMSYS2

└─ ▶ id administrator
uid=1049076(Administrator) gid=1049089(Domain Users) groups=1049089(Domain Users)

显然，这些是非常不同的数字。显示用户的 Unix 不是更有意义uid/gid吗？

从哪里MSYS2得到这些看起来很奇怪的数字，有没有办法uid/gid在命令行中使用用户指定的 AD 作为身份？

我试图弄清楚当向身份提供者（带有证书身份验证的 SAML）进行身份验证时，Google CHrome 从哪里获取我的身份我尝试过的内容：

删除所有 cookie、保存的密码、缓存文件

从我的个人商店中删除我的个人证书（我使用的证书））

在 Firefox 上，如果我刷新页面，这足以让 IDP 注销我并再次提示我输入证书，但在 Chrome 上，它只会让我重新登录！

在 chrome://password-manager-internals/ 上，我可以看到加载密码的过程（我不知道是哪个密码，因为我输入的唯一密码是解密我删除的用户证书的密码！）：

Message: PasswordAutofillAgent::DidStartProvisionalLoad
PasswordManager::DidNavigateMainFrame: false
The new state of the UI: 0
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: false
Security origin: https://ADFS-IDP/
Number of all forms: 1
Message: PasswordAutofillAgent::SendPasswordForms
only_visible: true
Security origin: https://ADFS-IDP/
Number of all forms: 1
Form found on page: {
    Action : https://ADFS-IDP/ ,
    Form name or ID :
}
Form is visible: false
Some control elements not associated to a form element are visible: false
Message: PasswordManager::CreatePendingLoginManagers
Message: PasswordManager::OnPasswordFormsRendered
Message: PasswordManager::IsAutomaticSavePromptAvailable
Message: No provisional save manager
HTML form for submit: {
    Action : https://ADFS-IDP/ ,
    Form name or ID :
}

我的问题是：Chrome 从哪里获得我的身份，而 Firefox 没有？我猜 Chrome 有许多基于 Windows 的身份验证功能，因为在 Edge 浏览器上也会发生同样的事情，请问有什么想法吗？

我们使用 Active Directory B2C 来允许我们的客户用户登录到我们的网络应用程序。

最近，我们有 2 个不同客户组织的用户无法登录。他们能够证明以下内容。

1. 他们点击我们网站@ https://www.mycompany.com上的登录按钮
2. 他们被重定向到我们的 IdentityServer @ https://id.mycompany.com
3. 他们被进一步重定向到https://login.microsoft.com

应该发生什么

• 用户现在应该通过正常的登录流程
  • 提供他们之前在我们的 ADB2C 中设置的用户名 ([email protected])
  • 提供他们在邀请过程中设置的密码
• 被重定向回我们的身份服务器
• 被重定向回我们的 Web 应用程序

实际发生了什么

• 用户输入他们的电子邮件地址 ([email protected])
• Microsoft 立即介入并提供以下消息

您似乎正在尝试访问属于未经您的 IT 部门批准的组织的资源。

我认为正在发生的事情是因为 Client.com 自己使用 Microsoft Azure Active Directory/Office 365，他们的管理团队已经设置了一些东西来告诉 Login.Microsoft

“我们拥有域‘client.com’，如果有人试图使用[email protected]邮件地址作为登录尝试其他租户的身份，你应该阻止他们”

这是AD的“功能”吗？显然，这是我们需要与客户公司的 IT 部门讨论的事情，但我更愿意带着更好的信息进行对话，了解我们要求他们将我们列入白名单的功能。

我正在尝试找到一个who -m在 Unix 中运行的 Linux 等价物。在 Unix中，在通过等who -m启动任何新的 shell 会话之前，给出您用于登录的第一个用户 ID 。su

-m切换到在 Linux 中具有不同的效果，who到目前为止，我无法在手册页中找到与我的需求相关的任何内容。

我遇到了最新版本 4.1.1.180 的问题，我无法解决。

安装后，AD 连接器现在失败并抛出错误。它们在导入和导出运行配置文件上失败。

他们同步失败并显示no-start-ma状态

然后事件日志记录两个事件

Event: 6005

The management agent "Domain.INT" failed on run profile "Export" because of an unspecified management agent error.
 Additional Information

 %3

事件 6401

 "ERR_: MMS(2276): ..\libutils.cpp(10143): Failed to start run because of undiagnosed MA error
Azure AD Sync 1.1.180.0"

我已经安装了 .NET 4.5 的最新更新，然后安装了 .NET 4.6.1，但结果相同（因此它现在正在使用 .NET 4.6.1 运行）。

此外，如果您打开连接器本身并尝试刷新架构或查看容器（OU），则会引发错误

我已经重新运行了配置向导——这完成了，没有错误。
如果我保存导入配置文件输出，它不会显示任何内容 - 它正在成功连接到域控制器。

   <ma-connection>
    <connection-log><incident><connection-result>success</connection-result><date>2016-05-13 18:04:35.121</date><server>DC.Domain.int:389</server></incident></connection-log>
   </ma-connection>

配置文件中没有记录任何错误。我还启用了 AD Sync 事件日志 - 但那里也没有记录任何内容。据我所知，没有其他应用程序日志可以检查 Azure AD 目录。另一件值得注意的事情是密码同步继续工作 - 但新对象或对对象的更改不会同步。

我正在尝试在 FIM 2010 中为全局地址列表 (GAL) 同步配置管理代理 (MA)。我无法从“配置 GAL”移至下一步，因为出现错误消息“看来此林未启用交换” ”。我在“配置 GAL”步骤中所做的任何更改都不会改变这种行为。

我正在配置一个独立的测试实验室。我有一台 Windows 2008 R2 x64 服务器，升级为 DC 并安装了 SQL 2008 SP1，DNS 也在本地运行。我曾尝试安装 Exchange 2010 和 2007，但没有区别。

AD MA 工作正常。

任何想法我搞砸了什么？

更新：

@Sam 指出我实际上可能没有安装 Exchange，所以我现在又做了一遍，仔细阅读消息。我已经完成了所有先决条件，并且安装了全绿色，甚至没有警告。哦，伙计，这不是一个简单的设置。

它没有帮助，仍然是相同的效果，但我在进入“配置 GAL”步骤时注意到新的消息框“LDAP 服务不可用”。我可以正确配置 AD MA 并在其上运行同步，因此 LDAP 应该可以正常运行。

更新：

我在“扩展”设置步骤中使用了启用了 Exchange 的 AD MA。工作正常，提供联系，他们在 GAL 中看到......而 GAL MA 也有同样的问题。有什么想法吗？

我正在尝试为大量 Windows 和 Linux 服务器（包括网络设备（Cisco、HP、Juniper））找到一种集中用户管理和身份验证的方法。选项包括 RADIUS/LDAP/TACACS/... 想法是跟踪员工变动以及对这些设备的访问。

最好是与 Linux、Windows 和那些网络设备兼容的系统。似乎 Windows 是其中最顽固的一个，对于 Linux 和网络设备，实现解决方案更容易（例如使用 PAM.D）。

我们是否应该寻找适用于 Windows 的 Active Directory/域控制器解决方案？有趣的旁注；我们还管理通常已经在域中的客户端系统。域控制器之间的信任关系并不总是我们的选择（由于客户端安全限制）。

我很想听听有关如何为这些系统实施这种集中式身份验证“门户”的新想法。

希望删除当前是 NIS 主机的域控制器，用于我们的 unix 服务身份管理。需要知道如何将主服务器迁移到不同的 Windows 服务器。

添加下属时，即使它是 Windows 机器，它也总是被识别为 unix 服务器。如何将 NIS 主机迁移到不同的 Windows 服务器？

让我们确定一个平均设置：

• 网络公司
• 大约 50 个用户
• 一些用户组（管理、支持、开发人员、系统管理员、测试人员、销售人员）
• 一堆权限（只允许管理人员访问敏感的业务数据，只允许管理员访问生产系统等。pp。）
• 视窗工作站
• Linux 服务器
• 通信（电子邮件、内部 IM 等）
• 一些具有原生 AAA 的 Web 应用程序（例如 Mantis、Mediawiki 等）
• 一些需要使用 Basic Auth 保护的 URL
• 可能是来自 ISV 的一些带有 LDAP 连接器的商业应用程序

在这样的环境中使用 OpenLDAP 可能是可行的，但肯定不好玩，尤其是当您不熟悉 LDAP 时。

一个标准的答案是 Active Directory（考虑到它们的 Kerberos 和 LDAP 后端，它们甚至在某种程度上符合标准），但是是否有任何不同的产品非常适合这种环境，甚至可能比 AD 或 OpenLDAP 更有优势？

这更像是一个调查问题，而不是一个具体问题。（我认为这仍然可以）。

我是一名从事身份管理项目的顾问。我们主要关注 Novell 的 Identity Manager 产品，我们发现它非常好。

我很想知道您使用过哪些 IDM 产品，以及您在其中看到的优点和缺点。

我可以从 Novell 的产品开始。

许多真正双向的连接器，包括密码同步，而不仅仅是推送密码。（我们已经部署了 AD、eDir、Notes、AS400、NIS/NIS+、LDAP、JDBC、HTML Screen scraper、TN3270 Screen scraper、SAP HR、SAP UM、Remedy 驱动程序，还有很多我们还没有接触过，比如SAP GRC、Netweaver、RACF/TopSecret/ACF2 驱动程序）

事件驱动，可以非常强大。

良好的工作流引擎。

可扩展。（我们有一个在生产中拥有 150 个 eDir 和 AD 驱动程序的客户，50 万用户）。

优秀的设计工具。（Identity Manager 的 Novell Designer）。

用于操作事件的简单设计语言。（DirXML 脚本）。

还有很多其他产品：IBM 的 Tivoli Identity Manager (TIM)。Sun 的 Identity Manager Oracle Identity Manager Courion Hitachi（前身为卡尔加里的 Mtech）的 ID-Synch 和 P-Synch MS ILM

您使用过哪些，您的体验如何？你看到了哪些优点和缺点？