问题[user-management](server)

我pg_hba.conf的 PostgreSQL-12.6 安装中有这些设置

# "local" is for Unix domain socket connections only
local   all             all                                     md5
local   all             postgres                                trust   # ident
# IPv4 local connections:
host    all             all             127.0.0.1/32            trust   # md5
# IPv6 local connections:
host    all             all             ::1/128                 md5
# Allow replication connections from localhost, by a user with the
# replication privilege.
local   replication     all                                     trust
host    replication     all             127.0.0.1/32            trust
host    replication     all             ::1/128                 trust

我local all postgres trustexecpt shoudl 允许我在本地登录psql 而无需postgres以unix 用户身份查询密码。

然而：

postgres@my-vm:/opt/db/postgres/bin> psql
Password for user postgres:

postgres用户还没有现有的 psql 密码

我正在尝试将数据库上的连接授予用户作为该数据库中的模式所有者。

架构所有者不是超级用户。

我是否需要成为数据库的所有者才能执行

GRANT CONNECT ON DATABASE DBXXX TO USER_YYY; ??

除了超级用户之外，应该授予用户什么角色以允许它授予连接？

与我的 CentOS ID 相比，我在 Ubuntu 系统中的 Active Directory 映射非常长。最后 4 位数字匹配，但 Ubunutu 似乎在开头添加了更多内容。

在 CentOS winbind/samba 中，我使用了一个范围来获取我需要的 ID：

    idmap config * : range = 10000-20000
    idmap config * : backend = tdb
    idmap config MYDOMAIN : default = yes
    idmap config MYDOMAIN : range = 10000-24999999
    idmap config MYDOMAIN : backend = rid

这将在 Centos 上产生类似 1 1695的 ID

Ubuntu 20.04 生成 155880 1695的 guid/uid ，它添加了 155880 并从 11695 中删除了前导 1。

如何格式化 Ubuntu 的 sssd 配置以提供我需要的东西。我所有的文件和文件夹都标有 Centos ID，而 CentOS 无法识别这些较长的 ID？

我希望我解释得很好。

谢谢 ：）

如何检查密码如何存储在本地运行的 OpenLDAP 服务器中？我更喜欢某种查询来说明使用的配置。或者，访问存储的密码以查看它们是否已加密也是可以接受的。仅检查配置文件是不够的。

我已经使用 ldapsearch 列出了用户及其密码

ldapsearch -x -b ou=people -H ldap://127.0.0.1 -D cn=admin -w <password>

并且密码没有以明文形式列出，但这是否真的确认它们没有以明文形式存储，或者 ldapsearch 在返回结果之前对其进行加密？

我正在删除一个用户。

# userdel u1
The memcache was not invalidated by nss responder.

但最终用户被删除。"The memcache was not invalidated by nss responder" 是什么意思？

软呢帽 34

谢谢

我们有一个运行 Linux（Amazon Linux release 2 (Karoo)）和 Wordpress 的 AWS EC2 实例。目前，我们公司的每个人都使用 wordpress.pem 文件通过 SSH 连接到该服务器（以下行只是保存在我们连接的批处理文件中）：

ssh -i %userprofile%\documents\ssh\wordpress.pem [email protected]

我们有一个承包商需要访问我们的 Wordpress 站点和对 Linux 机器的 SSH 访问。我对 Linux 不是很熟悉，所以我想知道是否有人知道解释（希望有明确说明）如何为用户设置访问权限的网站或视频，这样我们就不必给他们我们的 .pem 文件。目前我不知道该怎么做。在 Wordpress GUI 中添加用户是不言自明的……但在 Linux 方面并没有那么多。

如果我打开 Putty 并尝试连接到 IP，它会要求输入用户名，但是当我输入 ec2-user 时，我得到以下信息：

提前致谢！

我必须在每个环境中审核我们的 linux 服务器上的用户帐户，所以我想编写脚本检查每个帐户是否过期。我有一个for 循环，它提取 /etc/passwd 中列出的用户帐户并将它们存储在一个数组中。

#!/bin/bash
users = $(awk -F: '{ print $1}' /etc/passwd)
uservar=($users)

for value in "${uservar[0]}"
do chage -l $value
done

理想情况下，该脚本将首先显示用户名，然后在新行上显示该用户帐户的帐户到期日期和其他信息。该过程将针对每个帐户重复。目前它只显示没有用户名的所有用户帐户的帐户到期和日期，所以我无法区分这些帐户。一切也都堆叠在一起，因此难以阅读。理想情况下，输出如下所示：

userA
Last Password Change:    1/2/34
Password Expires:        1/2/34
Password Inactive:       1/2/34
.....

userB
Last Password Change:    1/2/34
Password Expires:        1/2/34
Password Inactive:       1/2/34
.....

我将不胜感激任何帮助/建议。

我有一个奇怪的设置。我有一个终端服务器，该终端服务器具有本地用户。终端服务器在域上 正在访问的程序，无法获取域用户，因此我们仅限于该服务器上的本地用户。

DC和终端服务器都是Windows Server 2012 R2。用户都拥有 Windows 10，并使用域凭据登录。

我们遇到了不同用户名之间混淆的问题，我正在尝试在连接到终端服务器时创建无缝体验。我厌倦了重置密码。

我做了研究，我发现你可以在两个独立的域之间建立信任关系，所以将终端服务器环境变成一个独立的域是这个方向，但是用户的命名方案是不同的。为这些用户创建一个单独的域并非不可能。

有没有办法链接 SID。像DC/USER打开 RDP 会话并自动配置为Terminal/User-123

来自 Windows Active Directory 用户和组。我可以看到用户或组何时被修改。从系统内部我也可以看到它是什么时候创建的。有没有办法知道是什么用户创建了对象，或者是什么用户或进程实际禁用了它？

在这种特殊情况下，它是在一年前创建的，最后一次修改是在几周前。

作为一家为我们的客户提供 IT 系统、服务器和一切的 IT 公司。当涉及到 Active Directory 和用户离开公司时，我试图找到最佳实践。我们在不同类型的企业中拥有不同类型的客户，无论大小。所以，我们有相当多的服务器和许多 Active Directory 需要维护。有人告诉我，我们绝不能删除 AD 中的用户对象，如果重用用户名，这是一个很大的安全问题。有人告诉我的原因是，新用户可能会获得与以前使用过的用户名相同的用户名，这可能会给他带来他不应该拥有的访问权限。就像直接在共享文件夹上而不是通过安全组授予的访问权限一样。

我研究并阅读了很多关于这个主题的文档和其他论坛帖子，发现自己不太确定。我学到的关于 AD 的一切都是它为每个与用户名无关的对象使用唯一的 SID。因为用户名可以更改，所以 SID 不能更改或重复使用。根据我的发现，将帐户长时间存储为 AD 中的禁用状态似乎存在很大风险？

我已经研究了制作将用户名转换为哈希的脚本的可能性，该脚本存储在数据库中，我们可以让 AD 检查用户名是否可用或以前使用过。因此，我们可以在一段时间后删除用户对象。但是现在我想知道是否真的有任何理由做所有这些工作，如果重用旧用户名真的那么糟糕吗？我们的一些客户的广告有 2000 名残疾用户，有些超过 2 岁。我们创建了一个新的“OU”，我们将其与用户分离并禁用了 ou，但我们仍然想从 AD 中删除它们，没有看到将对象保留多年以避免用户名被重用的原因。

我想知道这方面是否有已知的最佳实践，常见的做法是什么？重用用户名或“永久”存储用户名是最大的风险吗？会不会有关于 Ldap 查询、citrix、exchange 或其他系统的问题？

感谢您提供任何好的建议和信息。