我们有广告FS 3.0,运作良好。 一个新的依赖方信托已经build立 – 再次,它运作良好。 但是,对于同一login而言,存在一个业务(安全)要求,而不是单一login,也就是说,我们希望用户每次都需要input其凭据。 为此,我为此依赖方configuration了“自定义主要身份validation策略”, 用户需要在每次login框中提供凭据 。 这似乎不起作用 – 用户从第三方站点redirect到联合身份validation服务器,但是被validation到第三方站点而不被要求input其凭据。 有没有什么明显的我错过了? 我还应该检查什么?
在我们的老DC之一,我们看到事件4776每10分钟logging两次。 这台服务器在一年前被降级,所以我甚至不知道为什么Kerberos请求会去。 我已经通过域的DNS,所有的Kerberos条目都设置为当前的数据中心。 事件日志中列出的帐户是一个旧的域pipe理员帐户。 所有这一切,我正在寻找一种方式来追踪他们的身份validation尝试源于。 有任何想法吗? 事件信息: The computer attempted to validate the credentials for an account. Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Logon Account: [domain account] Source Workstation: LUCIANO Error Code: 0xC0000064
我的组织正在尝试将我们的RHEL / CentOS 7服务器join到我们的Microsoft AD域中。 域控制器由2个Windows 2008R2服务器和1个Windows 2016服务器组成。 在Linux方面,我使用realmjoin到我已经成功做到的领域: # realm list mydomain.net type: kerberos realm-name: MYDOMAIN.NET domain-name: mydomain.net configured: kerberos-member server-software: active-directory client-software: sssd required-package: oddjob required-package: oddjob-mkhomedir required-package: sssd required-package: adcli required-package: samba-common-tools login-formats: %[email protected] login-policy: allow-realm-logins 我想只允许某个组的成员访问SSH: # realm permit -g [email protected] 那是我遇到问题的时候 当在两个用户(userA和userB)上testing时,userA被允许进入,但是userB被拒绝。 /var/log/sssd/sssd_mydomain.net.log文件显示userB没有补充组: (Tue Sep 19 20:53:37 2017) [sssd[be[mydomain.net]]] [simple_access_check_send] […]
我是Windows新手。 我在samba上有一个Windows域控制器。 在这个控制器上有一些股票。 每个共享都configuration了具有完全访问权限的安全组。 G1组可以完全访问共享S1。 当然,组G1中的每个用户可以修改该共享S1中的文件/文件夹。 在S1我有3个文件夹 – F1,F2,F3。 有没有办法创build用户U1将有权访问例如F2? 我想安装在U1的笔记本电脑S1作为networking驱动器。 进入这个驱动器后,他应该selectF1,F2和F3,但应该只能进入F2。
标题可能会让人困惑,希望我能简化我的问题: 我有一个通配证书* .domain.com,所以我可以保护我们的网站(domain.com)和我们的服务器2016年AD(域名是ad.domain.com)问题是服务器都列在DNS中svr1.ad. domain.com,svr2.ad.domain.com(2级子域),所以证书不适用于他们。 有没有办法像svr1.domain.com一样为服务器创buildA或CNAMElogging,即使它在ad.domain.com中? 当我在DNS中添加一条logging时,它希望使用FQDN(ad.domain.com)作为每个条目的后缀; 这可能是正确的,因为我创build了域作为ad.domain.com。 谢谢,Matt。
我正试图在2个森林之间创build一个森林信任。 唯一的问题是我们有一个域名company.nl和一个域名company.live在域名company.live域名我们有不同的webservices,webservice1.qvision.nl。 如果我在company.live域的company.nl上创build一个条件转发器,那么所有的dns对web服务的请求都会被发送到company.nl域。 是否有另一种方式来实现这一点,没有条件的货运代理
我们有两个网站(办公室和工厂)。 在工厂现场我们有只读的域控制器。 两个地方的连接是无线电无线,昨天因为风暴而失去了联系。 现在用户无法login工厂的客户端。 他们看到关于失去信任关系的错误。 并修复连接可能是两天。 如果用户在工厂拔掉网线,他们可以login和访问文件,但工厂的共享驱动器不能访问。 我将驱动器共享权限更改为“所有人”,并closures客户端防火墙(在工厂和其他客户端共享驱动程序要使用它),但没有机会。 在连接修理之前,我应该怎么做?
我正在尝试使用Samba 4.5将我的Debian框设置为活动目录域控制器。 在通过samba-tool domain provision –use-rfc2307 –interactive Samba服务不启动并发出systemctl start samba说samba服务被屏蔽了, systemctl unmask samba什么都不做,服务仍然被屏蔽了。 根据https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=837679然后屏蔽Samba服务是devise,但据我了解,然后将服务器configuration为AD DC后,该服务应被揭穿,但它不会发生在我身上,我想知道为什么? 而据我了解,那么该服务需要运行,以运行所有其他服务所需要的,所以我的客户可以find服务器作为一个DC,并连接到他们现在没有做的域。 这是我的smb.conf,如果有帮助 # Global parameters [global] netbios name = SERVER realm = SERVER.DOMAIN.LAN workgroup = DOMAIN dns forwarder = 192.168.168.1 server role = active directory domain controller idmap_ldb:use rfc2307 = yes [netlogon] path = /var/lib/samba/sysvol/server.domain.lan/scripts read only = No [sysvol] […]
什么是mAPId,当模式导入到AD林中时,是否应将其放入ldif文件中?
我有一个IIS的问题,我想让用户击中一个网站,并使用Active Directory进行身份validation。 我已经通过ASP.NET代码完成了这一切,并且它可以正常工作,但是IIS正以一种毫无意义的login提示方式进行操作。 当我访问网站上的任何页面(使用chrome)时,系统会提示您进行login。 如果我按取消,它会再次问我几次,然后继续加载网页。 加载页面时不包含任何css,图像或js文件。 如果我立即按刷新,页面将重新加载和所有的CSS,图像和JS文件现在将在那里,我可以继续使用正常的网站。 我已经修改了IIS中的身份validation设置,使用NTLM作为首选(我也做了这个select),“扩展保护”设置为“接受”。 我已经尝试使用Anonymouse身份validation启用和禁用此testing。 它没有做一个不同的ASP页面,但如果它被禁用,它给了我一个401当我尝试直接在浏览器(如website.com/style.css)查看任何外部资产,如CSS文件。 最终,我知道权限和一切工作,因为我可以打开所有login表单后打网站。 如果我login到服务器,并使用本地主机,我没有得到authentication问题,但如果我使用适当的领域,我得到login提示。 任何人都知道为什么IIS可以提示用户input他们的密码和用户名,尽pipe如果他们不这样做实际上阻止他们? 我已经检查了控制台,我没有在这里得到任何错误。 如果我使用Firefox,那么在401旁边有一个“原因”,它被列为“Js文档”。 我不知道这是什么意思。 任何人都知道这里发生了什么? 我在Windows Server 2008 R2上使用IIS 7.5