我可以在多台计算机上使用我的RSA私钥,即我的台式机和笔记本电脑。 还是必须为我拥有的每台计算机创build一个唯一的密钥,并将其各自的公钥添加到必要的服务器/程序中。
在我的工作地点,我们多年来一直没有内部的证书颁发机构。 这对我们是有效的,因为没有可信实体没有明显的影响。 然而,现在看来,这种趋势很快就被扭转了 – 大多数新技术现在都不愿意与不可信实体进行可靠的沟通。 不幸的是,我是第一个提到我们公司应该build立一个内部authentication机构的人,所以我负责实现它(尽pipe我不知道自己在做什么)。 我的问题涉及build立和维护CA所需的努力。 此外,我想validation,我是正确的select在serverfault问这个问题,而不是stackoverflow(这是更多的“服务器组”比“软件开发”野兽,对不对?) 我的主要问题 :设立CA是否需要雇用专门维护CA的常驻专家/专职人员? 或者这是一种“一劳永逸”的野兽types? 我是一名贸易软件工程师,担心我的职业生涯将会受到严重的阻碍。 我的雇主已经想要为一切使用证书(无线安全,代码签名,服务器authentication,电子邮件签名,名单继续…) 我应该担心吗? 帮帮我! 编辑 – 附加信息: 我的雇主在国际上雇用2000-3000。 我们是一家微软公司。 据我所知,我们要利用PKI进行以下工作: 签署电子邮件。 签署文件(Word,PDF等)。 签署代码(ClickOnce)。 使我们的服务器可信(对于RDP会话,terminal服务)。 内部https。 无线安全/authentication。
我已经将us.mycompany.local中的所有用户UPN后缀的公司名称更改为mycompany.com,以便使用声明感知的应用程序。 在更改之前的testing中,我发现即使更改了UPN后缀,用户也可以使用旧的后缀成功进行身份validation。 我不明白的是为什么这仍然有效。
我有一个使用基于声明的身份validation的Web应用程序。 STS是ADFS 2.0。 当我在Intranet中使用IE时,使用IWA,并且不出现login对话框。 当我在Internet区域上时,使用ADFS的基于表单的身份validation。 正是我想要的。 当我在互联网区域时,Chrome和FireFox也按预期工作。 但是当我在内联网区域时,两者都带有一个login对话框,而不是使用IWA。 并提供我的凭据在该对话框不起作用,它不断重复对话框。 任何提示? 更新 :在我问这个问题之前,大约一个小时在互联网上search。 但是在询问之后,我只做了另一个search,给出了答案:-),find了正确的关键字。 这里的答案: https : //stackoverflow.com/questions/5724377/mvc3-site-using-azure-acs-adfs-continually-prompts-for-credentials-when-using
我希望我的MacBook Pro能够在运行Windows 2008的Active Directory上进行身份validation。几年前,我试图在OS X 10.4和Windows 2003之间进行设置,但是我没有成功。 一个详细的分步指南和围绕域安全策略的疑难列表将是很好的。
我有相当复杂的代理设置,其中一个代理需要用户名/密码。 有没有一种方法来configuration用户名/密码,以便用户不必在stream量redirect到这一个代理时input它们? 至less返回PROXY username:password@server:port或PROXY http://username:password@server:port不会工作。
突然间,昨天,我的一个Apache服务器无法连接到我的LDAP(AD)服务器。 我有两个站点在该服务器上运行,当用户login到任一站点时,两个站点都使用LDAP来validationAD服务器。 两天前工作正常。 原因不明,截至昨天,它停止工作。 错误日志只说这个: auth_ldap authenticate: user foo authentication failed; URI /FrontPage [LDAP: ldap_simple_bind_s() failed][Can't contact LDAP server], referer: http://mysite.com/ 我想也许我的自签名的SSL证书已经过期,所以我为mysite.com创build了一个新的,但不是服务器主机名本身,问题依然存在。 我启用了debugging级别的日志logging。 它显示了与LDAP服务器的完整SSL事务处理,并且直到最后我收到“无法联系LDAP服务器”消息时才显示完成。 我可以从这个服务器的命令行运行ldapsearch,我可以login到它,它也使用LDAP,所以我知道服务器可以连接并查询LDAP / AD服务器。 只有apache不能连接。 谷歌search答案什么都没有,所以我在这里问。 任何人都可以提供洞察这个问题? 这是来自apacheconfiguration的LDAP部分: <Directory "/web/wiki/"> Order allow,deny Allow from all AuthType Basic AuthName "Login" AuthBasicProvider ldap AuthzLDAPAuthoritative off #AuthBasicAuthoritative off AuthLDAPUrl ldaps://domain.server.ip/dc=full,dc=context,dc=server,dc=name?sAMAccountName?sub AuthLDAPBindDN cn=ldapbinduser,cn=Users,dc=full,dc=context,dc=server,dc=name AuthLDAPBindPassword password require […]
多位开发人员在testing服务器上使用共享帐户,使用公钥authentication。 有什么办法找出哪个密钥用于身份validation(例如密钥注释)?
有关Active和Open目录的互操作性的绝大多数问题都涉及让Mac客户端看到AD和授权。 我们想要做的是让Windows 7工作站完全针对开放目录进行authentication。 我们尝试将它设置为NT4型PDC,并且不能令人满意地工作。 我们尝试使用pGina和LDAP后端,这允许身份validation,但不支持授权,因此,如果我们挂载NFS共享,用户有权做任何他们该死的请。 对安全性不理想(实际上完全不能接受血腥)。 我们尝试使用Samba服务器(比Open Directory Server更新版本)作为中间服务器,以便了解OD服务器上的LDAP服务器,但使用Samba 4而不是v3。 那也行不通。 我们可以login,但无法登陆,如果我们这样做,我们享有与pGina相同的权利。 如果我们在Windows中右键单击装入的驱动器,并查看NFS UID,则返回-2,而不是正确的(映射的)UID。 所以我最终的计划是在Windows 2008R2虚拟机中使用Active Directory。 我想实现的是让Active Directory同步来自OpenDirectory的用户数据(只读就可以)。 这样,我们就可以将Windows 7客户端连接到一个“虚拟域”,实际上它只是从OD的LDAP中获取信息。 我发现的所有信息都是关于如何去其他方面。 有谁知道我们怎么能做到这一点?
升级到CentOS 7后,不能再通过LDAPlogin。 在CentOS 6中,我使用了可以正常运行的软件包pam_ldap ,但现在pam_ldap不再可用于新版本的CentOS。 通过ldapsearch连接仍然工作正常,但试图通过SSH身份validation不起作用。 我重新安装了软件包nss-pam-ldapd,并通过authconfig-tui重新configuration了身份validation,但仍然无法正常工作。 下面我用user.namereplace我的用户名,用dc = sub,dc = example,dc = orgreplace基础名。 我的主机操作系统是CentOS 7.所有当前可用的更新都已安装。 $ uname -a Linux isfet 3.10.0-123.8.1.el7.x86_64 #1 SMP Mon Sep 22 19:06:58 UTC 2014 x86_64 x86_64 x86_64 GNU/Linux 安装软件包 $ rpm -qa | grep -i ldap openldap-2.4.39-3.el7.x86_64 nss-pam-ldapd-0.8.13-8.el7.x86_64 openldap-clients-2.4.39-3.el7.x86_64 /etc/openldap/ldap.conf的内容 URI ldap://172.16.64.25 BASE dc=sub,dc=example,dc=org /etc/nslcd.conf的内容 ldap_version 3 uri ldap://172.16.64.25 […]