我有一个SELinux的问题! 我已经在Red Hat Enterprise 6上安装了带有AD组控制和SSL Cert的git。 一切工作正常,如果我做setenforce 0 (设置SELinux只在检测模式),或者如果我做semanage permissive -a httpd_t (设置httpd_t检测只模式) 我不想在我的git生产服务器上使用这个。 有没有人可以帮助我们与SELinux? 以下是您可能需要帮助我的一些信息: 我可以得到的所有帮助将会是: 这是ls -lZa / preproduction / git / repositories / ls -lZa /preproduction/git/repositories/ drwxr-xr-x. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 . drwxr-xr-x. apache apache unconfined_u:object_r:file_t:s0 .. drwxr-xr-x. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 playground drwxr-xr-x. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 shamrock.git drwxr-xr-x. apache apache unconfined_u:object_r:httpd_sys_rw_content_t:s0 test 这里是getsebool […]
如何设置SVN(在Linux机器上 – Centos 5.2)使用Active Directory进行身份validation? 也: 任何提示或技巧? 我应该注意什么? 如何罚款我可以设置访问? 这个小组可以访问这些项目等? 如果我使用类似tortoissvn的东西来访问我的仓库,这是如何工作的? 到目前为止,我学到了什么: 您需要为apache安装以下模块 mod_ldap模块 mod_authnz_ldap模块 mod_dav的 mod_dav_svn的 mod_authz_svn?
我一直坚持这一段时间,不知道我失去了什么权限。 我有域A和域B,信任B,但是B不信任A.我试图在域A中使用来自域B的用户帐户运行服务,并且我不断收到访问被拒绝的信息。 用户名和密码正确后,我正在使用FQDN。 域B中的用户帐户是域A服务器上的本地pipe理员,用户帐户具有本地login,并且作为服务权限。 必须。 得到。 这个。 加工。 更新: 我在日志中发现了一些有趣的东西,我一定错过了。 这应该让我指出正确的方向。 事件ID:40961 – LsaSrv:安全系统无法与服务器build立安全连接ldap / {server fqdn / fqdn @ fqdn}没有可用的身份validation协议。 我已经find了40961的一些修复,但没有任何工作到目前为止。 我已validation反向查找区域。 NSLOOKUP正确parsing正确的DC。 仍然在工作。 UPADTE: 回应埃文; 我运行“runas / env / user:ftp_user @ fqdn”notepad“”然后input用户密码并记事本出现了。 它似乎工作成功。
目前作为2003 DC的客户,我们将其迁移到2012 Hyper-V主机上的2008R2。 他们有一些漫游configuration文件 – 但通常的设置 – 即在实际的漫游configuration文件文件夹,即username.v2唯一的权限是SYSTEM(完全控制)和实际用户(完全控制) – 我必须作为一个pipe理员实际上看到这些权限。 基本上按照: http://technet.microsoft.com/en-us/library/cc737633(WS.10).aspx 我如何迁移这些,因为我对pipe理员没有权限,我可以直接做一个robocopy,然后将AD中的Profile location属性重新指向新的位置? (显然在新服务器上configuration文件夹的共享权限)
域控制器:Windows Server 2008 R2 客户端:Windows 7 在过去的3-4天里,我试图通过ipconfig /registerdns和重新添加到域来注册一些客户端桌面/笔记本电脑来dynamic获取他们的DNS条目。 他们还没有在DC(DNS经理)注册。 在DNS中, Dynamic updates设置为Secure only (它是一个Active Directory集成区域)。 为了testing,我将Dynamic update更改Nonsecure and Secure和Nonsecure and Secure ,运行ipconfig /registerdns ,它被注册。 我不明白为什么当Dynamic update设置为Secure only时,它不会被注册。 我知道Secure only意味着它将注册和更新只有当它得到authentication。 但我的问题是客户端桌面/笔记本电脑已经join到域,我也重新join到域。 仍然不会在DNS中注册(当Dynamic update设置为Secure only ) 如果我将Dynamic update设置为“ Nonsecure and Secure则存在安全风险。
一个用户(我们称之为“用户名”)不断被locking,我不知道为什么。 另一个错误的密码每20分钟logging一次。 PDC模拟器DC正在运行Server 2008 R2标准版。 logging事件ID 4740locking,但来电显示名称为空白: Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 5/29/2015 4:18:14 PM Event ID: 4740 Task Category: User Account Management Level: Information Keywords: Audit Success User: N/A Computer: FQDNofMyPDCemulatorDC Description: A user account was locked out. Subject: Security ID: SYSTEM Account Name: MyPDCemulatorDC$ Account Domain: MYDOMAIN Logon ID: 0x3e7 Account That […]
我没有创造这个环境/混乱 – 只是试图“修复”它。 目前只有networking中的DC是2000服务器。 刚刚购买了两台2016服务器,准备安装/configuration。 我知道我目前无法join2016域名服务器,因为他们不会join到2000年。所以,我最好的升级/replaceDC的select是什么? 这是一个20个办公室的环境,总共有大约175个用户。 DC只是DC,AD和DNS,没有DHCP,没有FS,没有其他的应用程序。 我是否真的想要安装2003或2008服务器来将2000转换到2016年将要讨论的问题? 如果是这样,那么最好的步骤是什么? 我只是在networking外部从头开始构build2016服务器,就像是一个新的networking,手动input用户和DNS信息(如果这是更简单的选项,不用担心时间),然后拔掉2000服务器并插入2016服务器? 如果我做了后者,那么我需要让每台PC再次join域名吗? 或者他们只是validation,如果我手动键入设备/用户信息到新的服务器? 有什么我可以从2000服务器导出,我可以恢复/导入到2016年的服务器? 我在网上search,找不到具体的情况。 任何想法,不胜感激。 试图为用户群做出最简单的过渡,尤其是因为它们遍布于许多远程办公室。 在其他地区的额外的DC是未来的一个问题。
有人可能会发现Powershell命令尝试从Active Directory中为某些用户提取pwdLastSet的错误吗? 对于一些帐户它的作品: PS C:\> get-aduser -filter "name -like 'Admin*'" -Properties pwdLastSet | Select -first 1 name,pwdLastSet | format-list name : Administrator pwdLastSet : 131254235816382539 对于一些它不: PS C:\> get-aduser -filter "name -like 'G*Ol*'" -Properties pwdLastSet | Select -first 1 name,pwdLastSet | format-list name : Grzegorz Olędzki pwdLastSet : 需要注意的是,从GUI中检索时,该属性似乎被设置: 这个问题始终影响到多个帐户,所以我怀疑有些事我根本不明白。
TL; DR 如何在服务器上告诉AD-RMS保护哪些文档 我inheritance了Active Directory权限pipe理服务正在使用的小型环境。 服务器即将结束,我们不想replace它,不再需要RMS。 这个问题是,有数以百计的RMS保护文件,我不知道如何检查哪些文件,没有打开每一个。 我担心服务器会死机,我会发现哪些文件受到保护,因为没有人能够打开它们了。 有没有办法快速/轻松地确定哪些文件从服务器打开时查询AD-RMS?
我最近遇到了一个问题,就是我的AD集成在一些debian盒子上。 我使用SSSD和krb5来允许PAM根据Active Directory同步和validation用户。 这已经工作了一年多,直到ADpipe理员将AD用户的UPN从[email protected]更改为[email protected] 。 现在,同步和用户名识别仍然有效,但authentication突然失败,因为发送给krb5的名称似乎是“ [email protected] ”。 krb5不知道这个领域,所以无法authentication用户。 将krb5.conf文件领域更改为ABCCOMPANY不起作用,因为领域实际上没有改变。 我可以kinit [email protected]使用kinit [email protected] ,它可以很好地logging我。 我不能,但是做kinit [email protected]因为它使krb5抱怨以下消息: kinit: Cannot find KDC for realm "ABCCOMPANY.DK" while getting initial credentials 我觉得这是有道理的。 SSSD将UPN中的ABCCOMPANY.DK发送到krb5,但krb5不能识别该领域,因为它不存在。 所以,问题是:我如何configurationkrb5来识别领域不同于UPN? 而纯粹的好奇心是一个额外的问题:这种做法(将UPN设置为除域名之外的其他东西)是一种可以接受的做事方式吗? 有一个域组件并不匹配一个域,这似乎很奇怪。 (Mon Jan 23 13:12:59 2017) [sssd[nss]] [sss_cmd_get_version] (0x0200): Received client version [1]. (Mon Jan 23 13:12:59 2017) [sssd[nss]] [sss_cmd_get_version] (0x0200): Offered version [1]. […]