我知道这样做似乎没有在这里做过研究,因为我已经完成了,我知道有多less相关的问题和教程。 我已阅读每个教程,我可以在网上find这个。 我已经浏览了serverfault上Samba / Kerberos / AD /身份validation主题的完整列表。 实际上,只是因为我能够validation每个阶段的成功,所以让我最远的教程是http://www.howtoforge.com/samba_active_directory 。 唉,它仍然没有工作。 不用再说了,我的问题是: 我有一个运行CentOS 6.5的KVM客户机。 我已经安装了Samba 3.6.9。 我想使用Samba共享用户的主目录,以便他们可以将它们映射为Windows 7机器上的networking驱动器。 我已经用本地帐户使用smbpasswd 成功完成了这个任务 。 问题是我想要使用Kerberos(Active Directory,我无法控制)validation这些用户。 我不需要或不需要来自Kerberos / AD / LDAP的任何types的用户,组或策略信息。 我只想validation用户提供的用户密码到Windows驱动器映射GUI并发送到Samba。 同样值得注意的是,我已经在相同的KVM guest虚拟机上为相同的用户configuration了Kerberos来进行SSH访问。 通过/etc/passwd条目和/etc/passwd设置的密码,用户在SSHlogin时inputKerberos密码并进行身份validation。 这正是我想要的Samba。 我希望用户能够“映射networking驱动器”,inputSamba服务器的FQDN,input他们的用户名和密码,然后让Samba使用该密码对其进行身份validation,方法与SSH通过密码进行身份validation的方式相同成功映射。 我已经做好了: service winbind start service smb start service nmb start 用于SSHauthentication的krb5.conf是: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log […]
在我的学校有两个领域 A (小学)和B (中学)。 A包含了工作人员和学生所需的资源。 连接到无线networking需要使用B下的帐户进行身份validation。 学校已经获得了几个Win8平板电脑,并希望他们通过无线访问A (他们没有以太网连接)。 我没有权限configuration域,因为它们是外部pipe理的(如果可能,在我联系之前,我宁愿自己排除),但是我确实可以访问join一台机器的域名。 这可能吗? 我曾尝试将机器join域A,但不能。
我试图连接到我们创build的asp.net网站。 它使用Windows身份validation,并拒绝访问未经身份validation的用户 web.config中: <authentication mode="Windows" /> <authorization> <deny users="?" /> </authorization> 该网站在我们的DMZ。 服务器连接到域。 当我尝试从我们的内部networking连接到网站时,它没有任何问题。 我得到一个需要身份validation的popup框,填写我的凭据,我可以进入该网站。 当我从外部networking连接时,它不起作用。 浏览器正在连接到该网站,但从未显示popup框。 最终我得到一个连接被重置 显然,防火墙将我的请求视为漏洞,并将其屏蔽。 这个消息可以在firewal的networking包中find: 401 – Unauthorized: Access is denied due to invalid credentials. 这是我从内部位置连接到站点时所得到的错误,并单击取消或填写错误凭据。 我已经试过这个没有运气: 将NTLM移到我的提供者的顶部 使用Kerberos身份validation 检查IIS中的模块:WindowsAuthentication和WindowsAuthenticationModule都在那里 将DisableStrictNameChecking和DisableLoopbackCheck添加到registry 允许匿名身份validation(IIS级别) 允许基本身份validation(IIS级别) 允许所有用户使用Windows身份validation(在web.config中):基本上删除授权节点。 这使用匿名和它的作品。 该网站可以访问,但用户没有通过身份validation,并没有看到他的个人报告(如此无法使用) 更改应用程序池用户 授予arp文件夹的访问权限给IUSR 为什么当我去现场时有两个401状态? 这会导致防火墙阻止stream量,从而不会显示“需要身份validation”popup窗口。
我想允许首先使用密码为新用户通过ssh进行远程login。 之后,authentication应该限制在公钥上。 如何处理? 我的意思是如何限制第二个和下一个login到SSH密钥,但允许第一个密码。
我有一个企业域的网站,使用Kerberos自动login从IE和Chrome身份validation就好了,只要用来访问它的DNS属于AD FQDN AD域不是公有领域,在这个例子中,我们把它叫做company.internal.corp.net 。 标准SPNconfiguration了IIS域用户帐户,例如HTTP / somesite.company.internal.corp.net mycompany \ svc_iis ,IEconfiguration为将此站点视为Intranet站点(允许自动login) FQ AD Domain: company.internal.corp.net NETBIOS domain name: MYCOMPANY DNS for my website: somesite.company.internal.corp.net IIS App Pool account: MYCOMPANY\svc_iis SPN: HTTP/somesite.company.internal.corp.net MYCOMPANY\svc_iis 我已决定将此站点的DNS更改为另一个名称somesite.mycompanypublic.com ,以利用我公共证书上的SSL证书链。 我不打算让网站可以外部访问。 DNSlogging将指向同一台服务器,仅用于内部parsing和访问,并将IEconfiguration为将此站点视为Intranet站点(允许自动login)。 所以现在我有这个设置: FQ AD Domain: company.internal.corp.net NETBIOS domain name: MYCOMPANY DNS for my website: somesite.mycompanypublic.com <– new DNS name, not […]
我正在用squid_passwd文件和Mysqltesting两个身份validation。 这是我的configuration auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/squid_passwd # auth_param basic program /usr/lib/squid3/basic_db_auth –dsn "DBI:mysql:database=abc" –user "root" –password "aaa" –table "user" –usercol "User_Name" –passwdcol "Password" –cond "" –plaintext auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 1 minute auth_param basic casesensitive off # auth_param basic children 5 # auth_param basic […]
我正在尝试安装运行NPS服务的AD服务器,以便AD和非AD机器在向无线networking进行身份validation时将该证书视为有效。 我从GoDaddy拿到一个证书,非AD机器很满意,但是我testing的AD机器却抱怨说它不是有效的证书。 如何configurationNPS使AD成员和非AD成员对证书满意? 编辑:我收到这里提到的错误消息: http : //support.microsoft.com/kb/2518158 “服务器”“呈现由”“颁发的有效证书,但”“未configuration为有效的信任锚为这个configuration文件“。 我宁愿不改变所有广告客户做这个工作。 我更喜欢通过改变服务器的解决scheme。
嗨,我有一个背后的NGINX API。 该API被configuration为要求对所有操作进行身份validation。 我想在它前面有一个NGINX代理来传递一些动作的authentication参数,这样他们就可以在没有authentication的情况下被访问。 身份validation在主要位置上工作正常,但是当我尝试在NGXINX位置指定特定path时,它仍然提示我input凭据。 这里重要的是,我想要允许的唯一行动是STATUS。 其他的一切都不应该被第二个地点拾起。 有没有办法做到这一点没有PCRE或正则expression式匹配? location / { add_header 'Access-Control-Allow-Origin' *; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Headers' 'Content-Type,Accept'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header X-Proxy-Cache $upstream_cache_status; proxy_ignore_headers X-Accel-Expires Expires Cache-Control Set-Cookie; proxy_hide_header Cache-Control; proxy_hide_header Set-Cookie; proxy_pass http://backend; add_header 'Location1' '1'; location /1/2/3?action=STATUS { add_header 'Location2' '2'; proxy_set_header Authorization "Basic BLAHBLAHBLAH"; proxy_pass http://backend; } […]
我有一个类似的问题,如下所述: ARR 3 IIS 7.5 Windows身份validation不起作用 不幸的是,解决scheme不能在我们的服务器上工 在我们的testing环境中,我们有一个ARR服务器(Win 2012,IIS 8.0)和一个Web服务器(Win 2008R2)。 Web服务器上的Web应用程序需要Windows身份validation,并且在客户端使用NTLM作为对协商请求的响应时它已经可用。 但是,当客户端发送Kerberos票据时,请求不会被转发到Web服务器,而是由ARR服务器通过HTTP 401消息来应答。 我已经尝试了很多build议没有成功。 在ARR或networking服务器上validation失败。 我们运行了ARR 2.5,但是我也已经使用ARR 3.0进行了testing,但没有成功。 我还为ARR和Web服务器configuration了SPN条目( http://blogs.iis.net/brian-murphy-booth/archive/2007/03/09/the-biggest-mistake-serviceprincipalname-s.aspx ) 。 并尝试使用ARR和Web服务器上的应用程序池相同的用户帐户。 ——-编辑——- 我尝试了从其他工作解决scheme( ARR 3 IIS 7.5 Windows身份validation不起作用 )的整个方法 禁用ARR和Web(分离)上的Kerberos,以便只支持NTLM(在ARR上失败) 带有应用程序池标识和真实帐户的应用程序池(在ARR和Web上相同)以及不同的SPN方法 升级到ARR 3.0并重复所有尝试 即使ARRconfiguration为匿名,问题始终在于ARR服务器对协商标题作出反应。 顺便说一下:KB 2732764很久以前安装了
在IIS 7.5上,通过证书进行客户端身份validation,如何启用将客户端证书的指纹(或串行或主题dn)logging到IIS日志?