我在前端有一些逻辑,根据主机和url路由到不同的后端。 逻辑上看起来像这样: if hdr(host) ends with 'a.domain.com': if url starts with '/dir1/': use backend domain.com/dir1/ elif url starts with '/dir2/': use backend domain.com/dir2/ # … else if ladder repeats on different dirs elif hdr(host) ends with 'b.domain.com': # another else if ladder exactly the same as above # … # … else if ladder repeats […]
在进行安全审查之后,我正在拆分当前在公司域中的单个计算机上的Windows 2008 Server应用程序的层。 我想将IIS 7 Web UI移动到域中的新计算机上,以便用户可以使用其AD帐户进行身份validation,并将其余(应用程序层和数据库服务器)留在当前计算机上,但从防火墙后的域中移出。 应用程序层服务需要在域服务器上的各种共享上创build文件。 以前,服务作为一个特殊的域用户运行,可以访问共享。 现在这是不可能的。 有没有办法允许域服务器上的共享文件夹(通常是资源)访问非域用户/机器?
我在Active Directory(W2k8R2 DC)环境中使用了openfiler设备。 我想尽可能使我的股票看起来像我的用户的Windows股份。 大多数事情都很好,但有些让我发疯。 ATM我最大的问题是使Windows客户端所见的ACL清晰: Windows ACL编辑器 正如你看到的, 每个 人都有条目, 没有人 , CREATOR OWNER和CREATOR GROUP 。 我知道所有这些条目都映射从我的POSIX ACL像所有者:组:其他。 对于大多数Windows用户来说,这只是令人困惑,尤其是每个人都会把一些人吓跑,因为他们认为每个人都可以访问。 我怎么能摆脱这些条目,只有: G-PM-PMFS01-ADM =>完全访问 L-PM-PMFS01-DEPOT-C =>更改/修改 L-PM-PMFS01-DEPOT-R =>只读 L-PM-PMFS01-DEPOT-R是唯一完全正确的唯一组合。 G-PM-PMFS01-ADM被列入特别版,但由于它是POSIX中的“主要组”,因此具有完全访问权限。 L-PM-PMFS01-DEPOT-C被列为完全访问权限,因为它在POSIX上得到了rwx。 我试图改变acl map full control但没有得到任何不同的结果设置为false 。 所以我的问题是,我应该在smb.conf中设置几乎100%的窗口外观(和感觉) – 像Samba一样的文件服务器? 我知道这在EMC或NetApp的商业产品上是可能的,所以我认为应该有办法。 当前共享smb.conf的一部分 [depot] comment = depot path = /mnt/vg1/v001/depot read only = no writeable = yes oplocks […]
我在使用NFSv4 ACL的Solaris内核模块的OmniOS服务器上设置了SMB / CIFS文件共享,这些ACL应与Windows客户端正常工作。 我想创build一个共享的目录,其目标如下:一个用户(比方说alice )应该能够创build和修改文件,但不能删除它们。 还应该防止创build子目录。 应该允许读访问。 我已经尝试了以下ACL,基本上工作: /usr/bin/chmod A=\ user:root:rwxpdDaARWcCos:fd—–:allow,\ # root has full access user:alice:rwx—aRc–s:——-:allow,\ # dir: create files, read everything user:alice:rwxp–aARWc–s:fi—-:allow \ # files: wpAW is needed for full file write access, everything is only inherited to files /pool/share 但是,如果alice在Windows资源pipe理器中查看新增文件的“ 安全”选项卡,她可以授予自己完整的访问权限,然后删除该文件,即使她没有共享权限。 如何解释这种行为? 我怎样才能改变它,使ACL不能被修改? 编辑: ls输出似乎是正常的: # /usr/bin/ls -v total 1 -rwx——+ […]
我一直在研究OpenSolaris和ZFS以用于NAS。 迄今为止,我创造了以下内容: /jar/项目 /jar/存储 /jar/开发商 /jar/沙箱 分配给坦克的总空间是3.4Tb(RAIDZ2)。 开发者装载的是我们的Subversion版本库,它应该被locking,所以只有系统pipe理员才能访问那些内容加上suDevelopers组中的内容。 SandBox是一个游戏区域,它是所有打开的门,读/写/删除任何东西。 我想知道如何实现以下function,无论是使用ACL还是只使用标准的Unix权限。 这个NAS有三大类用户,这是用户层次结构。 除了CIFS之外,没有任何广告或其他任何东西可以共享这个NAS。 suDevelopers他们可以访问坦克中的所有内容。 suStaff这些用户是工作人员,除了坦克中的开发人员zfs之外,他们应该可以访问所有内容。 sucontractors这些用户只能看到存储文件夹,不能访问其他文件夹。 问题是存储区域中的一些文件包含我们不希望承包商看到的敏感信息(序列号,许可证密钥)。 我们可以在那里放置文件的用户在Windows中设置这些权限,他们会自动设置到正确的位置? 我不知道如何正确地做上述事情,无论是ACL还是CHMOD我都应该使用。
我有haproxy,需要提供smtp服务器没有直接连接。 这是我的configuration的一部分: listen smtp 10.12.23.10:3025 mode tcp server smtp 172.30.33.12:25 #tcp-request inspect-delay 2s acl white_list src 10.146.5.247 10.146.5.201 tcp-request content accept if white_list tcp-request content reject 任何尝试连接到端口都被拒绝。 如果我删除行tcp-request content reject – 适用于所有人,但haproxy默认接受一切。 只有两个或更多服务器进入的正确方法是什么? 我也试过以下几行: tcp-request content reject unless whitelist tcp-request content reject if !whitelist 我有haproxy 1.4.18,如果有帮助。
有防火墙ACLpipe理工具,可以为我的所有networking生成一组ACL,包括交换机,检查站,思科路由器,Windows,Linux等? 我认为这样的工具是有意义的,因为这样networkingACL可以从单点控制,而且防火墙规则在每个设备上基本相同,有时也可以是硬件支持,也可以是正常的硬件过滤或状态包检测。 这样的工具需要定义所有设备,接口(如vlans),服务和协议,然后通过拒绝所有规则开始,我可以只添加需要的东西,生成文件并上传它们。 例如,我不得不发布一个新的服务,所以我需要更新核心路由器,交换机和服务器上的防火墙,并通过检查点进行访问。 当我点击这个规则时,它会显示所有有权访问的人。我不认为这样的工具会是一个问题,因为统一生成防火墙ACL策略非常容易。
我正在尝试的是添加一个允许目录,子孙,孙子等目录和文件在Linux下inheritance删除('D')标志的NFS v4 ACL。 服务器上的底层文件系统是xfs和。 我也不是特别熟悉。 服务器是Centos 6.3,客户端是Centos 6.4。 通过阅读man页面,“ i ”标志意味着在子文件/目录上设置这个acl,但是不把它应用到当前的目录。 我没有在父( /var/www/tauweb )上设置' i '标志,但它似乎被设置在创build的任何/var/www/tauweb上。 当我在dir /vaw/www/tauweb上使用nfs4_getfacl写下列ACE时会发生什么: A::OWNER@:rwaDxtTcCy A::GROUP@:rwaDxtcy A::EVERYONE@:rxtcy A:fdi:OWNER@:rwaDxtTcCy A:fdi:GROUP@:rxtcy A:dg:[email protected]:rwaDxtcy A:fdi:EVERYONE@:rxtcy 是系统实际上写这个: [root@tau www]# nfs4_getfacl tauweb/ A::OWNER@:rwaDxtTcCy A::GROUP@:rwaDxtcy A:g:[email protected]:rwaDxtcy A::EVERYONE@:rxtcy A:fdi:OWNER@:rwaDxtTcCy A:fdi:GROUP@:rxtcy A:fdig:[email protected]:rwaDxtcy A:fdi:EVERYONE@:rxtcy 注意倒数第二个用户tau条目中的'i'。 当我编辑ACE时没有设置,但立即出现 – 系统似乎添加了它。 现在阅读我能find的所有docoo指出,在最上面一组ACE中的第一个冒号后的“dg”应该导致ACL被inheritance到子目录(据我所知,“g”表示委托人是一个组,而不是一个用户)。 现在“我”的标志显然意味着,使这个ACE被inheritance,但不考虑它在实际的烫发检查。 然后当一个孩子dir /var/www/tauweb/d2被创build时,它会得到这些: [kkassahn@tau tauweb]$ nfs4_getfacl d2/ A::OWNER@:rwaDxtTcCy A::GROUP@:rxtcy A:g:[email protected]:rxtcy A::EVERYONE@:rxtcy A:fdi:OWNER@:rwaDxtTcCy […]
我在AD中有一个名为SQL的OU。 我已经委派一个名为sqladmin的用户的完全控制权。 如果我以sqladmin身份login到成员服务器,则可以使用Active Directory用户和计算机创build两个不同的计算机对象AG和群集。 我可以使用ADUC来设置AG计算机对象上的安全性,以使群集计算机对象具有完全控制权。 但是,如果我尝试通过从AG获取当前ACL并添加ACE来使用PowerShell执行此操作,则当我尝试在AG计算机对象上设置ACL时,出现Access Denied错误。 这是我的代码 $AG = Get-ADComputer AG $cluster = Get-ADComputer cluster $AGDistinguishedName = $AG.DistinguishedName # input AD computer distinguishedname $AGacl = Get-Acl "AD:\$AGDistinguishedName" $SID = [System.Security.Principal.SecurityIdentifier] $cluster.SID $identity = [System.Security.Principal.IdentityReference] $SID $adRights = [System.DirectoryServices.ActiveDirectoryRights] "GenericAll" $type = [System.Security.AccessControl.AccessControlType] "Allow" $inheritanceType = [System.DirectoryServices.ActiveDirectorySecurityInheritance] "None" $ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $identity,$adRights,$type,$inheritanceType $AGacl.AddAccessRule($ace) Set-Acl […]
我试图让一个帐户更新所有用户对象的非常具体的属性。 我在“用户”对象上设置此安全性。 当我在安全选项卡上添加帐户时,进入高级,编辑帐户权限,并开始通过属性列表,我只能find一些,如名字,但我想让他们的大多数属性写入丢失。 我如何授予帐户对这些属性的写权限? 我需要授予以下权限的属性: 名字(givenName) 姓氏(Sn) 缩写(首字母缩写) 部门(部门) 公司(公司) 标题(标题) 经理(经理) 位置信息(physicalDeliveryOfficeName,streetAddress,postOfficeBox) 工作电话(telephoneNumber) 寻呼机(寻呼机) IP电话(ipPhone) IP电话其他(otherIpPhone) ThumbnailLogo(thumbnailLogo) jpegPhoto(jpegPhoto) 说明(displayName) 谢谢