我已经获得带有SSL的OpenLDAP,并且在带有签名证书的testing框中工作。 我可以在Windows上使用LDAP工具来查看LDAP上的LDAP(端口636)。 但是,当我运行dpkg-reconfigure ldap-auth-config来设置我的本地login使用ldaps时,我在该目录下的用户名下login不起作用。 如果我改变configuration使用普通的ldap(端口389),它工作得很好(我可以在目录下的用户名login)。 当它的设置ldaps我得到Auth.log显示: Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: ldap_simple_bind Can't contact LDAP server Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: reconnecting to LDAP server… Sep 5 13:48:27 boromir sshd[13453]: pam_ldap: ldap_simple_bind Can't contact LDAP server 我会提供任何需要的。 我不知道还有什么要包括的。
我已经configurationApache来使用mod_auth_kerberos 。 到目前为止,对于连接到Active Directory的客户端以及浏览器启用NTLM,一切正常。 当客户端不在域中或浏览器configuration为不自动进行身份validation时,会通过2次login提示进行提示。 第一个login提示是空的,第二个是我们configuration的 首次login提示: 第二次login提示: 从日志(第一次authentication): [Wed Jan 06 15:47:29 2010] [debug] src/mod_auth_kerb.c(1684): [client xxxx] [pid 2562] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos 在第一次login提示中,我可以放任何用户名和密码的文本。 一旦第一个login表单提交,它将要求第二个login提示。 Apache有以下configuration: <Directory /web/apache2/htdocs> AllowOverride All AuthType Kerberos AuthName "Staff Access ONLY Kerb-Auth" KrbAuthRealms EXAMPLE.COM Krb5Keytab /etc/httpd/conf.d/example.ktab Allow from localhost Require valid-user <Directory> 什么可能是第一个身份validation的原因,我怎么能摆脱他们?
更新 :我认为我需要问的真正的问题是: 技术人员如何debugging与Internet Explorer的用户界面问题,而不是HTML渲染问题,有很好的工具 ? 我知道SysInternals工具和下面提到的其他工具,但也许我没有正确地利用他们的权力。 我提到的TechNet论坛中的其他人也有类似的问题。 再次,我有很多数据,我不知道如何正确地解释它。 原帖 :所以我尝试了古老的Technet论坛来解决这个问题 。 简而言之,Windows安全对话框没有放置证书的地方,渲染几乎没有用处。 这恰好适用于我们的一大堆Intranet网站,只有less数使用笔记本电脑的用户有这个问题。 它最终看起来像这样。 目前为止我尝试过的东西: 禁用本地组策略(未连接域) 禁用本地安全策略 重置IE设置 一些系统恢复 重新注册一堆IE DLL和所有其他步骤 重新安装IE8( dism /online /disable-feature /featurename:"internet-explorer-optional-x86 ,reboot, dism /online /enable-feature /featurename:"internet-explorer-optional-x86 ,并重新启动) 和SFC扫描,什么都没发现 依然没有。 我不仅感到厌倦,而且开始真正使用TechEx原创中提到的APIExplorer和Procmon,因为我想知道发生了什么,而不是仅仅修复它。 有什么想法吗?
我正在尝试configurationIIS 7.5下托pipe的网站,以便对特定位置的请求需要客户端证书身份validation。 使用我目前的设置,当使用我的客户端证书访问位置时,我仍然收到“401 – 未经授权:由于证书无效而导致访问被拒绝”。 这是设置的web.config片段: <location path="MyWebService.asmx"> <system.webServer> <security> <access sslFlags="Ssl, SslNegotiateCert"/> <authentication> <windowsAuthentication enabled="false"/> <anonymousAuthentication enabled="false"/> <digestAuthentication enabled="false"/> <basicAuthentication enabled="false"/> <iisClientCertificateMappingAuthentication enabled="true" oneToOneCertificateMappingsEnabled="true"> <oneToOneMappings> <add enabled="true" certificate="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"/> </oneToOneMappings> </iisClientCertificateMappingAuthentication> </authentication> </security> </system.webServer> </location> 我在Web浏览器中使用的客户端证书与我在web.config中放置的内容匹配。 我在这里做错了什么?
当我只有FTP访问服务器时,如何密码保护IIS目录? 我无法调整任何IIS设置或添加用户或类似的东西。 答案是: Apache基本授权ala .htaccess / .htpasswd在apache 没有帮助,因为我只能通过FTP访问服务器。 我只需要密码保护一个目录。 我已经尝试了几个变种的web.config文件。 当用户尝试从我的testing目录加载一个页面时,我可以得到一个基本的HTTPauthentication表单,但是我不能configurationauthentication部分。 服务器抱怨: parsing器错误消息:在应用程序级别之外使用注册为allowDefinition ='MachineToApplication'的节是错误的。 此错误可能是由于虚拟目录未被configuration为IIS中的应用程序。 每当我添加一个<authentication>节到我的web.config。 我很感激任何人可以提供帮助。 编辑:我不知道这个服务器上运行的是什么版本的IIS,但这里是错误消息的服务器标签: 版本信息:Microsoft .NET Framework版本:1.1.4322.2490; ASP.NET版本:1.1.4322.2494
我不知道为什么我是唯一遇到这种情况,我认为这是Server 2012和RDS协议的一个更大的问题…使用2008年的计算机,您可以使用TSGateway通过单向信任来跨域进行身份validation服务,但是到了2012年,它在运行一个单向信任时就会中断。 我试图实现一种双向信任,就像TSGateway和RDS服务一样,除了kerberosauthentication外,其他信任都是单向信任。 一个小背景,我目前有一个单向的两个域(A和B),外部信任。 (对A的外发信任,B中的用户可以访问A中的设备) 目前,我可以login域A中的计算机,并使用GUI添加域B中的用户。 (我也可以通过CLI来完成,但在这里没有关系) 当我构build我的testing域时,我可以重新创build这个行为。 如果我使用双向信任创buildtesting域,在两个方向上的域范围validation,这种行为不会改变,虽然它确实允许我在我不想要的相反方向(duh)进行validation。 由于某些原因,我将域B更改为“select性身份validation”时,“用户和计算机”GUI将按预期停止工作。 对于Domain B计算机,我仍然可以像正常一样浏览GUI,甚至可以添加Domain A用户,但由于select性Auth设置,他们不允许login。 对于域A计算机,浏览GUI不允许select用户或组,并且高级search会显示错误消息:“以下错误阻止显示任何项目:未指定的错误” 对于域A计算机,如果我知道域B的用户名,我可以使用“net localgroup”命令添加帐户,并且一切正常,但是GUI被破坏了,这不太可能成为可用的解决scheme我们大部分的用户… 我的问题(对不起,花了这么长时间才能得到它)是为什么select性authentication改变了信任的行为,使其行为不同于单向信任,是否有一些简单的东西,我失踪? 当我从GUI中得到“未指定”错误时,域B上的DC出现错误: Kerberos服务票据被请求。 帐户信息:帐户名称:bob @ DOMAINA帐户域:DOMAINAloginGUID:{00000000-0000-0000-0000-000000000000} 服务信息:服务名称:ldap / DC.DOMAINB / DOMAINB服务ID:NULL SID networking信息:客户端地址::: ffff:192.168.18.70客户端端口:62103 其他信息:票证选项:0x40800000票据encryptiontypes:0xFFFFFFFF失败码:0xC转换服务: – 每次访问资源(如计算机或Windows服务)时都会生成此事件。 服务名称表示请求访问的资源。 通过比较每个事件中的loginGUID字段,可以将此事件与Windowslogin事件相关联。 login事件发生在被访问的机器上,这通常是与发出服务票据的域控制器不同的机器。 票据选项,encryptiontypes和失败代码在RFC 4120中定义。 我不明白为什么当我提供DomainB证书时,它使用来自DomainA的“bob”尝试使用DomainB进行身份validation… 感谢您可以提供的任何帮助,我一直在这一连串3天,没有发现任何有用的东西。
我有一个OpenLDAP服务器,用于各种服务的身份validation和授权。 所有用户都是对象typesinetOrgPerson ,我的组是groupOfNames 。 现在我想configurationSamba以对LDAP进行身份validation(使用基于组的授权)。 我不能/不希望使用samba作为域控制器,而只是作为文件服务器。 我也不想在Samba中单独pipe理用户帐户,因为我拥有LDAP(用户名,密码,组成员资格)所需的所有信息。 我也想避免改变我的DIT。 据我目前的研究,我可以告诉我不能直接这样做,因为 a)Samba使用自己的凭证存储进行身份validation,这意味着我必须为每个现有的LDAP用户smbpasswd b)我的LDAP用户必须具有samba属性 在环顾四周之后,我怀疑我的问题的解决scheme可能是在samba和LDAP之间使用Kerberos。 我没有pipe理Kerberos的经验,所以在做出努力之前,我想澄清下列主题: 我的假设是否正确? 我可以在一台机器上运行Kerberos的身份validation服务器和密钥分发中心,并将其configuration为仅在本地主机上提供授予票证? (OpenLDAP和samba在同一台机器上运行) Kerberos的使用是否允许我保持我的DIT不变并仅使用LDAP中的信息执行身份validation/授权? 有更好/更简单的解决scheme吗? 我在Ubuntu服务器14.04上。 提前感谢任何提示
我有一个应用程序部署在服务器上的testing模式。 通过HTTPauthentication将访问权限限制在一组选定的用户中。 这工作正常。 问题是,如果我通过不同的“位置”指令提供静态文件,nginx给了我一个“没有授权”的文件。 我尝试auth_basicclosures,但没有骰子。 这是虚拟主机conf: # Virtual Host upstream appname { server 127.0.0.1:4000; server 127.0.0.1:4001; server 127.0.0.1:4002; } server { listen 80; server_name appname.domain.com; # write app specific log # make sure you create this file in your log directory before running behind nginx access_log /home/apps/appname/shared/log/nginx.log main; # let nginx serve static files directly […]
我们正在从Linux系统上的NIS迁移到将所有内容绑定到Active Directory。 NIS环境遵循许多Linux发行版使用的通用标准,用户的主要组是与用户(并且其用户通常是唯一成员)相同名称的组。 我已经被告知,在Active Directory环境中,可能没有与用户名称相同的组名(特别是,没有两个AD安全对象可能具有相同的名称)。 这似乎使我们的群组定义进入AD的过程变得复杂。 看起来我们可以使用POSIX属性(例如,不是一个实际的AD安全对象)来维护AD中的NIS组信息,但是这看起来像是次优的修复(因为我们确实想在两个组中都有相同的组成员资格Unix和AD世界)。 您是否将大型传统NIS环境移入Active Directory? 你是怎么处理这种情况的?
我正在为公司内部通信build立一个Openfire XMPP服务器。 我有它authentication对我们当地的直stream罚款。 我们公司有两个不同的办事处(一个在美国,另一个在欧洲),每个都有自己的领域。 我们的两个系统是完全可信的,并通过VPN连接。 我想要做的是设置Openfire以允许来自任一域的用户login到单个主服务器。 我想保持群聊function,所以在每个域名上安装一个服务器并不是一个好的select(但是如果我不能得到这个工作,它是开放的)。 我可以看到Openfire中的所有可信用户(它正在检测他们的联系人列表),但我不能让他们进行身份validation(他们得到一个Not Authorized. Please Try Again消息)。 任何想法如何进行?