我正在使用CNTLM在我的Linux系统上设置代理服务器。 我编辑了cntlm.conf文件并进行了以下更改 – # # Cntlm Authentication Proxy Configuration # # NOTE: all values are parsed literally, do NOT escape spaces, # do not quote. Use 0600 perms if you use plaintext password. # Username myusername Password mypasswordinplaintext # NOTE: Use plaintext password only at your own risk # Use hashes instead. You can use […]
我的公司有一个传统的应用程序需要连接到互联网。 不幸的是,我们的networking工作人员已经改变了代理设置,以便只接受摘要authentication,这个应用程序不支持。 有什么办法来设置这些身份validation方法之间的中间层? Legacy —> (interface, maybe another proxy) —> Digest Auth Proxy (squid). 应用程序和代理(鱿鱼)在Linux上运行。
我已经成功安装了PBIS-open来对活动目录进行validation。 我还使用/opt/pbis/bin/config RequireMembershipOf命令来允许某个域组login。 我现在想允许root和使用/opt/pbis/bin/config RequireMembershipOf命令指定的组,并拒绝所有其他本地用户login。 有没有办法做到这一点?
我已经在Ubuntu上部署了一个开源的公共Web服务(elasticsearch)。 问题是 – 没有安全(只有当你付钱)。 我已经研究了一些阻塞端口的内部请求,同时只允许通过身份validation代理进行外部访问。 最简单的方法是带有基本authentication的nginx。 但在这些情况下最好的做法是什么? 我的其他select是什么?
我们有一个Netscaler VPX负载平衡3个Windows服务器上的3个IIS服务的HTTP请求。 身份validation设置为“Windows身份validation”,但由于我们的环境没有为Kerberos设置身份validation回落到使用NTLM。 由于负载平衡器上的会话设置为不持久,所以每个新的HTTP请求都可能会碰到前一个不同的前端。 在一些Wireshark数据包嗅探之后,我可以看到HTTPstream量中有很多401个挑战,所以我的最终目标是减less401个挑战的数量。 我必须承认,我正试图find关于NTLM如何工作的更多信息,但只是想我会问,如果有人能指出我正确的方向。
我有一个Intranet站点部署到Windows Server 2008 R2中的IIS。 我想用ADauthentication。 目前,该网站只运行在未join域的开发虚拟机上。 在InetMgr中,我在“默认网站”级别和部署了我的网站的应用程序中将“匿名身份validation”设置为“已禁用”,“Windows身份validation”设置为“已启用”。 启用提供程序设置为协商和NTLM。 我已经configuration站点运行在我已经分配在本地帐户“scv.BizTalk”下运行的应用程序池中。 此帐户可以完全访问包含网站的本地文件夹。 在浏览到网站时,我面临着凭据的挑战,并收到401.2错误。 在事件日志中,我看到以下内容: Event code: 4007 Event message: URL authorization failed for the request. Event time: 18/12/2015 14:58:42 Event time (UTC): 18/12/2015 14:58:42 Event ID: fdcfe3ec19ef498ca0c0d66ffca3e961 Event sequence: 2 Event occurrence: 1 Event detail code: 0 Application information: Application domain: /LM/W3SVC/1/ROOT/EsbPortal-1-130949242820806218 Trust level: Full Application Virtual […]
我们使用LDAP来validation用户使用nslcd的用户设备,我们看到系统日志中的消息是这样的: /var/log/syslog.1:Dec 20 06:25:11 T53-1014-014 nslcd[1496]: [398c89] <passwd="*"> "*": name denied by validnames option /var/log/syslog.1:Dec 20 06:25:11 T53-1014-014 nslcd[1496]: [4fe9f9] <passwd="*"> "*": name denied by validnames option /var/log/syslog.1:Dec 20 06:25:14 T53-1014-014 nslcd[1496]: [b5af5c] <passwd="*"> "*": name denied by validnames option /var/log/syslog.1:Dec 20 06:25:15 T53-1014-014 nslcd[1496]: [1226bb] <passwd=-1> ldap_search_ext() failed: Can't contact LDAP server /var/log/syslog.1:Dec 20 […]
我有一个部署与Apache 2.2.22服务器后清漆。 我想完成的是用htpasswd保护一个目录的密码,但是对于来自ips的某些用户来说这个访问是不需要authentication的。 AuthType Basic AuthName "test" AuthUserFile /www/.htpasswd Require valid-user order deny,allow deny from all SetEnvIF X-Forwarded-For "1.2.3.4" AllowIP Allow from env=AllowIP Satisfy any 我现在所做的是这样的,这是一个解决方法,但是它正在工作。 如果X-Forwarded-For IP(客户端)是1.2.3.4,那么让他无需validation就可以观看页面。 这个问题是不安全的,客户端可以设置一个X-Forwareded-For标头并绕过authentication。 我已经尝试了Apache RPAF模块: <IfModule rpaf_module> RPAFenable On RPAFsethostname On RPAFproxy_ips 127.0.0.1 varniship </IfModule> 理论上应该限制来自代理的X-Forwarded-For请求,我甚至不确定在这种情况下我需要这个模块,因为代理将总是把X-Forwarded-For客户端IP放在它的后面。 所以要求如下: X-Forwarded-For: <varniship>, clientip 客户可以再次操纵客户。 有一个更好的方法吗?
我正在testing本地虚拟机上的omnibus gitlab。 禁用匿名注册后,我尝试通过/admin/users/new页面添加一个新用户。 它要求我将电子邮件与新的用户帐户相关联,而且还不允许我指定密码,而是说: 重置链接将生成并发送给用户。 用户将被迫在首次login时设置密码。 现在,这是很好的抽象,但我不想configuration,加强和维护一个单独的邮件服务器,只是为了让gitlab可以发送这些电子邮件。 这台机器的使用者不会太多,我可以手动pipe理他们(即如果他们忘记密码,他们可以直接给我发邮件)。 有没有办法让我简单地创build帐户和分配密码,而不涉及电子邮件? 值得一提的是,虽然我确实发现了这一点 ,而且还是不错的,但是我仍然不想让Gmail或mailgun参与进来,尽pipe他们很容易安装。
在我们的设置上,我们要提醒用户一个客户端SSL证书。 所有证书都由StartSSL颁发。 问题是即使ssl_verify_client on; 设置为“开启”时,网站/浏览器不会提示input证书。 我怎样才能让NGINX提示客户端证书? 这与这个没有答案的问题有关 。 nginx版本:nginx / 1.9.11 我们的服务器configuration: server { listen 80; server_name example.com; # enforce https return 301 https://$server_name$request_uri; } server { listen 443 ssl http2; server_name example.com; # strenghen ssl security ssl_certificate SOMECERT; ssl_certificate_key SOMEKEY; ssl_client_certificate SOMECERT; ssl_verify_client on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:10m; ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; […]