我有两台CentOS 7.0的机器。 第一个是只有OpenLDAP的域控制器。 我根据本教程configuration了OpenLDAP: http : //www.server-world.info/en/note? os=CentOS_7&p=openldap 然后,我有另一台机器与GitLab。 我正在尝试configurationLDAP身份validation,但每次收到“无效凭据”错误。 我的GitLabconfiguration: gitlab-rails": { "ldap_enabled": true, "ldap_servers": { "main": { "label": "LDAP", "host": "192.168.50.4", "port": 389, "uid": "uid", "method": "plain", "bind_dn": "CN=gitlab,OU=people,DC=courseproject,DC=org", "password": "mypass", "active_directory": false, "allow_username_or_email_login": false, "base": "OU=people,DC=courseproject,DC=org", "user_filter": "" } 我必须使用普通身份validation和LDAP,而不是LDAPS的另一个项目。 我的用户和群组configuration: dn: dc=courseproject,dc=org objectClass: top objectClass: dcObject objectclass: organization o: courseproject org […]
假设以下网站布局 www.contoso.com – 作为CONTOSO \ sitePool运行 www.contoso.com/subSite1 – 作为CONTOSO \ subPool1运行 www.contoso.com/subSite2 – 作为CONTOSO \ subPool2运行 这些页面应该使用Kerberos进行身份validation – 所以我将SPN HTTP / www.contoso.com分配给了CONTOSO \ sitePool ,这对于www.contoso.com网站来说很好。 现在我想为Kerberos的subsite1和subsite2使用。 我无法将SPN分配给池,因为它已被分配。 我也不能以HTTP / www.contoso.com / subSiteX的forms分配一个SPN,因为浏览器不知道这一点(他们只用域名计算所需的SPN)。 那么如何在子站点中使用Kerberos身份validation呢?
我们遇到了一个问题,即IIS对站点上的所有目录发出挑战,包括标记为允许匿名用户的目录。 只有在通过HTTPS访问站点时才会发生这种情况。 当通过HTTP访问站点时,仅在需要authentication时才会发出挑战。 目录结构与此类似: / +–secure +–unsecure 根文件夹被configuration为所有用户都被授权,匿名和摘要authentication都被启用。 “安全”文件夹被configuration为拒绝匿名用户。 最初,IIS向Firefox发出挑战,不pipe目录如何。 IE和Chrome只在“安全”目录中收到挑战。 从客户机注销并重新login后,只有IE才能体验到预期的行为,Chrome和Firefox在所有目录中都会遇到挑战。 另一个可能相关的细节。 发生这种情况的服务器使用子域名,因此URL是www.dev.mydomain.com,但通配符SSL证书发布到* .mydomain.com。 在另一台服务器上使用自签名证书,我们不能复制问题。 更新:我们发现,closures默认文档会导致问题消失(重新启用导致它返回)。 这是一个解决方法,但我们更想知道真正的原因。 这有一个IIS错误的结合IE的知道一些“秘密握手”其他浏览器没有的气味。
在SSH服务器上,我有以下(截断)configuration: PubkeyAuthentication yes PasswordAuthentication yes 在我的客户端,我有一个密钥对,并在服务器上添加了我的公钥: ssh-copy-id <my-server> 现在,如果我将PasswordAuthentication选项更改为no ,连接到我的SSH服务器的唯一方法是validation密钥,对吧? 那么,如果我想添加一个新的客户端,我需要: 临时启用已经授权的客户端的PasswordAuthentication选项,并使用新客户端的ssh-copy-id 或者将新客户端的~/.ssh/authorized_keys从已经授权的客户端复制/粘贴到服务器的~/.ssh/authorized_keys中。 但是我觉得这些方法很无聊。 问题:是否有更简单的方法将新密钥添加到服务器上的~/.ssh/authorized_keys文件中?
我试图find一种方法来为我公司的员工创build一个数字签名,并将其放置在服务器上,从那里他们可以检索他们,并附上任何数字文件(Office或Adobe文档),接收者可以validation它再次通过服务器本身。 我制作了一个.cer文件,但是它在Adobe中附带时会提示没有密码。 有没有什么办法可以将类似的文件或.cer文件本身添加一些密码机制来检索/使用? 另外,怎样才能从服务器validation它? 我对这个数字签名工具非常陌生,所以我要求,如果不详细的话,至less给我一个方向去看看。
我有两个在Google计算引擎上运行的Ubuntu 14.04 LTS实例(主机名是namenode和datanode1)。 我正在努力设置他们之间的SSH根访问。 我提供了一些信息,所以你可以帮我解决这个问题 我在namenode上生成密钥对(namenode,namenode.pub)。 namenode上的公钥看起来像这样 root@namenode:~# cat .ssh/namenode.pub ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCsxYETzfP3Kv9QgRZ5AnJGu6LNTuAJj67DhUzJVad1Cis7qQ7X7GSv1S+HQESiK/H1u3duVunMB+eiV1ktF/V42r5o3HCTTckiChSuu4B+wkHCqaHFYtGJZIMncPb4CvuyhzPz+Zb mlV7YRGqw5lO+cQLSxCQpmBkIR1iQHRbtLIRenUTI3cXnJ22OhRea63R1/d+LspJreI8lnfmVLMr3MLUfi/U2vX3kR2EaH1QAoO1+dnRzuqsZE/ehbzT/DfBifRdoRCzhXuWgNKNxc/O0V3MwflnvPaWxxDC7FNQ7//nFg4gl8j4yV8 XFvuCyzJTQ9nS3wN+6Dms7MfDQtl4v root@namenode 我将这个公钥添加到datanode1的授权密钥。 root@datanode1:~# cat .ssh/authorized_keys # namenode ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCsxYETzfP3Kv9QgRZ5AnJGu6LNTuAJj67DhUzJVad1Cis7qQ7X7GSv1S+HQESiK/H1u3duVunMB +eiV1ktF/V42r5o3HCTTckiChSuu4B+wkHCqaHFYtGJZIMncPb4CvuyhzPz+ZbmlV7YRGqw5lO+cQLSxCQpmBkIR1iQHRbtLIRenUTI3cXnJ22OhR ea63R1/d+LspJreI8lnfmVLMr3MLUfi/U2vX3kR2EaH1QAoO1+dnRzuqsZE/ehbzT/DfBifRdoRCzhXuWgNKNxc/O0V3MwflnvPaWxxDC7FNQ7//n Fg4gl8j4yV8XFvuCyzJTQ9nS3wN+6Dms7MfDQtl4v root@namenode 我join这样的身份 root@namenode:~# eval `ssh-agent -s` Agent pid 4030 root@namenode:~# ssh-add .ssh/namenode Identity added: .ssh/namenode (.ssh/namenode) 这是详细的输出 root@namenode:~# ssh -v -i .ssh/namenode.pub root@datanode1 OpenSSH_6.6.1, OpenSSL 1.0.1f 6 Jan 2014 […]
我有一个lighttpd服务器,我想从中提供一些文件。 不幸的是,服务器目前设置为需要密码authentication,我希望这些文件公开。 我怎样才能让一个特定的子目录中的文件不需要密码? 作为一个进一步的复杂性,configuration文件中的大部分东西都是由其他pipe理员设置的,所以我试图非常小心地打破任何现有的安全设置。 # config stuff that I am hesitant to change ssl.engine = "enable" ssl.pemfile = "/etc/lighttpd/ssl/foo.pem" ssl.ca-file = "/etc/pki/tls/certs/foo.cert" auth.backend = "htdigest" auth.backend.htdigest.userfile = "/etc/lighttpd/.passwd" auth.debug = 2 $HTTP["url"] !~ "^(/portal/.*|/js/.*|/css/.*|/icons/.*|/favicon\.ico)" { auth.require = ( "/" =>( "method" => "digest", "realm" => "Authorized users only", "require" => "valid-user" ) ) } $HTTP["url"] […]
我正在尝试将电话号码redirect到仅在经过身份validation时可访问的SIP地址。 鉴于以下情况,SIP URI将如何(如果可能)? SIP服务器: sip.example.com validation用户: myuser authentication密码: mypass 用户要调用: targetuser 如果未经过身份validation,则调用[email protected]将不会通过。 我只能select指定一个SIP URI。
在本地工作站上,我需要有less数用户可以自由地在$ HOME中写入。 我知道这是一个安全漏洞,在具体情况下,我根本不在乎。 我有另一台服务器(不局域网到局域网),主要用作SCM回购。 上面提到的用户通过ssh访问服务器。 不幸的是,OpenSSH服务器不喜欢可写$ HOME,我发现没有办法规避它(我希望有一些服务器端参数)。 有人可以提出一个解决方法吗?
我正在开发一个Linux机器集群。 我需要的是在这个集群中的机器之间不需要身份validation,但是需要从外部进行validation。 我已经考虑过在成对机器之间设置ssh密钥的想法,但是这需要n台机器间的n *(n-1)设置。 有没有更好的办法?