我们使用Apache 2.2.9中的mod_authnz_ldap和mod_authn_alias(在Debian 5.0,2.2.9-10 + lenny7中提供)来对多个Active Directory域进行身份validation以托pipeSubversion存储库。 我们目前的configuration是: # Turn up logging LogLevel debug # Define authentication providers <AuthnProviderAlias ldap alpha> AuthLDAPBindDN "CN=Subversion,OU=Service Accounts,O=Alpha" AuthLDAPBindPassword [[REDACTED]] AuthLDAPURL ldap://dc01.alpha:3268/?sAMAccountName?sub? </AuthnProviderAlias> <AuthnProviderAlias ldap beta> AuthLDAPBindDN "CN=LDAPAuth,OU=Service Accounts,O=Beta" AuthLDAPBindPassword [[REDACTED]] AuthLDAPURL ldap://ldap.beta:3268/?sAMAccountName?sub? </AuthnProviderAlias> # Subversion Repository <Location /svn> DAV svn SVNPath /opt/svn/repo AuthName "Subversion" AuthType Basic AuthBasicProvider alpha beta […]
我们有一个孤立的networking服务。 这些服务需要根据Active Directory服务器对用户进行身份validation。 但是,Active Directory服务器不是直接可用的,所以我必须在隔离networking中设置LDAP代理。 LDAP代理将有权访问AD。 请注意,访问必须是只读的,这个代理将只能访问一个 AD服务器。 这可能/可行吗? 术语“代理”是一个好的术语吗? 微软的AD服务器是强制性的还是OpenLDAP能够正常工作? 我对AD / LDAP知之甚less,学习曲线如何? 几点提示从哪里开始? 谢谢。
我已经在服务器上运行了Nagios(CentOS 5.3 w / Apache 2.2.3-22.el5.centos),并对我的LDAP服务器进行了身份validation,并且运行良好。 但是,我想有一些IP能够看到Nagios状态页面,而无需身份validation。 Nagios有这个选项可以将用户分配给不authentication的用户: authorized_for_read_only=guest default_user_name=guest 这听起来是正确的,但是这不关心Apacheauthentication。 我目前的Apacheconfiguration如下所示: <Directory "/usr/lib64/nagios/cgi"> AllowOverride None Order allow,deny Allow from all AuthName "Nagios Access" AuthType Basic AuthUserFile /etc/nagios/misc/htpasswd.users Require valid-user AuthBasicProvider file ldap AuthzLDAPAuthoritative off AuthBasicAuthoritative On AuthLDAPGroupAttribute LDAPmember AuthLDAPURL (my server stuff) Require ldap-group CN=nagios,ou=groups,DC=local </Directory> 这是行得通的,但我想用某种方式说“这个IP在这里,他可以跳过这个authentication的东西”。 Apache Satisfy指令看起来好像可以工作,所以我尝试了这个: <Directory "/usr/lib64/nagios/cgi"> AllowOverride None Order […]
有谁知道IIS7不同的Windows身份validation提供程序的含义。 有3个可用的提供者 NTLM 谈判 协商:Kerberos的 NTLM是相当明显的我认为它的NTLM和谈判是Kerberos,如果是的话什么是谈判:Kerberos?
Nagios对监控服务器来说也是一个很好的select。 他们的networking界面也不错。 不过,我不喜欢使用标准的HTTP身份validation。 有没有办法使用另一种身份validation方法? (我并不是说限制在.htaccess文件中通过IP地址访问)基于表单login的东西会很棒,但也许没有这样的东西。 我希望你们find了我没有的东西。
我们有几个应用程序依靠Windows身份validation – 一些AD身份validation打开的Web应用程序,我们通常使用Windows身份validation连接到我们的SQL服务器。 这通常顺利运行。 但是,如果我们VPN'd的客户端网站虽然不起作用。 SSMS 通常从开始菜单中打开SSMS,然后select一个通常接受Windows身份validation的服务器,产生一条消息: login失败。 login来自不受信任的域,不能与Windows身份validation一起使用。 (.Net SqlClient数据提供程序) 如果我放到命令提示符并使用runas /user:domain\user启动SSMS,则可以使用该ssms进程将Windowsvalidation成功执行到我们的SQL服务器实例。 如果我查看任务pipe理器,ssms.exe(开始菜单vs runas)的两个副本具有相同的用户,并且我可以看到procexp中的进程之间没有明显的区别。 ADauthentication网站 如果我打开IE并浏览我们的任何一个需要authentication的Windows用户的网站,我会得到“你是谁”提示,那个对话框认为我是VPN用户。 我可以点击“使用另一个帐户”,然后通过validation。 外表 即使Outlook提示input用户名,当我们VPN'd! 它影响我们的Win7和Vista机器。 我们有一个XP的盒子已经有一段时间了,但我不记得有这个问题在XP的价值。 VPN连接只是使用内置的windows VPN连接,而不是华丽的思科VPN或任何性质的东西。 有没有人知道如何告诉Windows,当我们的域名资源进行身份validation时,我想成为我的普通老域名用户而不是VPN用户? 哎呀,如果我试图访问需要客户端VPN上的资源的Windowsauthentication,我会很高兴的提供一个解决scheme,让我和“你是谁”。 谢谢! 道歉,如果这是更多的超级用户问题,我不知道哪个网站最适合。 这是关于networking和基础设施,在这里困扰我们所有的开发人员,所以我希望这是一个服务器故障Q.
我们的networking工程团队使用多个Linux服务器进行系统日志收集 ,configuration备份,tftp等。 我们希望在Cisco ACS机器上使用TACACS +作为我们的中央authentication服务器,我们可以在这些linux服务器上更改密码并考虑用户活动。 如果tacacs +服务closures,我们还需要回到静态密码。 我们如何在CentOS上使用sshd来validation我们的思科ACS tacacs +服务器? 注:我正在回答我自己的问题
这可能是一个简单的问题,但我不能在文档中find解决scheme。 我想使用BASIC身份validation来密码保护我的网站。 但我想要一个子目录是不受保护的: http://mysite.com/ -> BASIC protected http://mysite.com/somedir -> BASIC protected http://mysite.com/someotherdir -> BASIC protected http://mysite.com/public -> not protected 我没有问题保护所有的网站,但我不知道我怎么能“解除”一个目录。 该网站托pipe在共享主机上,所以我只能访问.htaccess文件来进行configuration。 是否有指示否定身份validation? 谢谢您的帮助 …
我的新服务器实例被configuration为通过ssh使用密码login到root。 我想我的Ansible剧本重新configuration它来使用密钥,而不是在第一次运行密码的rootlogin,所以我需要这样的东西: 尝试使用密钥login 如果不能用键login: 用密码login 将密钥添加到authorized_keys 用密码禁用rootlogin 可select使用键重新连接 做其他任务 我怎么能做到这一点? 编辑 :要清楚,我不问如何添加键或禁用根,这只是上下文。 我问如何回退到密码,如果它无法通过密钥进行身份validation。 使用–ask-pass或ansible_ssh_pass设置,Ansible甚至不会尝试使用公钥authentication
我尝试用smtpauthentication来设置postfix。 我想用/ etc / shadow作为我的领域 不幸的是,当我尝试进行身份validation时,出现“通用错误” # nc localhost 25 220 mail.foo ESMTP Postfix AUTH PLAIN _base_64_encoded_user_name_and_password_ 535 5.7.8 Error: authentication failed: generic failure 在mail.warn日志文件中,我得到以下条目 Oct 8 10:43:40 mail postfix/smtpd[1060]: warning: SASL authentication failure: cannot connect to saslauthd server: No such file or directory Oct 8 10:43:40 mail postfix/smtpd[1060]: warning: SASL authentication failure: Password verification […]