我有一个企业Web应用程序,将通过集成Windows身份validation (IWA)与单点login(SSO)服务集成 。 SSO服务仅提供身份validation(不授权)。 此Web应用程序将通过自定义授权模块处理授权。 我们在Windows 2003上运行IIS 6。 一旦用户通过IWA进行身份validation,默认情况下,IIS将在用户login的情况下执行网页。因此,通常我们有一个Active Directory安全组对象,我们在网站目录上分配读/执行权限 – 任何用户对象是这个指定的安全组的成员可以看到/执行的网页。 任何成功通过AD身份validation但不属于此安全组的AD用户都将获得HTTP 401(访问被拒绝)。 对于这个项目,虽然我们不想维护为指定安全组添加/删除AD用户对象。 我们的想法是通过网站目录文件分配Authenticated_Users组读取/执行权限。 这样,如果你可以authentication你将默认能够看到/执行页面请求。 这安全吗? 从我的团队的angular度来看,只要这个Web应用程序中的授权模块起作用就是安全的。 是否有其他人这样做,或者你有另一种方法来pipe理在IIS上使用集成Windows身份validation授权?
我在正确configurationIIS身份validation方面遇到了很多麻烦。 我有一个在IIS 6.0下运行的SharePoint网站,并且IIS网站configuration为集成Windows身份validation。 Web服务器位于一个名为STAGING的域中,我的大多数用户都是另一个域,称为CORP 。 CORP用户具有STAGING域帐户,并且能够跨域(例如,用户login到他们的CORP工作站并能够login到该站点)loginSharePoint站点。 但是, STAGING域用户无法从STAGING域内login。 我的理解是, STAGING域用户应该能够访问该网站而不被提示input凭据,但事实并非如此。 即使如此,一旦进入证书,结果总是401。 我查看了Fiddler中的HTTP会话,看起来简单的服务器并不接受客户端浏览器发送的协商凭证。 这是一个简短的logging: HTTP GET server /sites/mysite with headers: { } –> 401.2, with headers: { WWW-Authenticate: Negotiate, WWW-Authenticate: NTLM } HTTP GET server /sites/mysite with headers: { Authorization: Negotiate <digest1> } –> 401.1, with headers: { WWW-Authenticate: Negotiate <digest2> } HTTP GET server /sites/mysite […]
我希望通过SSH,Web(理想情况下包括SSL,可select使用客户端证书或密码进行身份validation,就像他们在MIT所做的那样)以及任何应用程序想要使用的身份validation。 Kerberos似乎最适合我想要的,但工具支持似乎令人惊讶的差。 这些日子人们用什么?
我们在Snow Leopard上有一个新的iMac,用于对OpenLDAP目录进行身份validation。 家庭(自动挂载)NFSv3(Linux,内核服务器)。 NFS似乎工作得很好(如果有点慢,但我们不想冒险不使用locking)。 但是,当用户使用LDAP帐户login时,会发生奇怪的事情:有时甚至在所有桌面图标初始化之前,机器都会挂起,有时用户可能会稍微工作一段时间,但是一段时间后机器会挂起:New由用户进程不起飞,旧的进程不能退出(甚至强制退出挂起)。 有时候早些时候,有时候以后,docker根本没有反应(不显示程序的上下文菜单),Finder不会关注。 尽pipe如此,即使所有其他东西似乎挂起,我可以通过SSHlogin,至less干净地重新启动机器。 即使对于LDAP用户,SSHlogin也可以工作 如果我禁用LDAP,一切似乎对本地用户正常工作。 我们使用RFC 2307映射的OpenLDAP目录。 我们只是真的使用它帐户数据,所以我尝试删除目录实用程序中除Person,User和Group映射之外的任何映射。 这两种映射都具有相同的不良行为。 编辑:这似乎是同样的问题,这位先生有:苹果论坛1/2
我正在使用IIS 7摘要式身份validation来控制对包含文件的某个目录的访问。 用户通过我们networking内部和外部的部门网站访问文件。 我已经在目录上设置了NTFS权限,以允许某个AD组查看这些文件。 当我点击网站上的其中一个文件的链接时,系统会提示input用户名和密码。 对于大多数用户来说,一切正常,但是其中有几个提示input密码3次,然后得到: 401 – 未经授权:由于证书无效,访问被拒绝。 但是其他用户可以在没有问题的情况下进入。 如果我将其切换到Windows身份validation,那么麻烦用户可以正常login。 该目录也是共享的,无法通过网站login的用户可以浏览共享并查看其中的文件,所以我知道权限是可以的。 以下是我尝试下载该文件的IIS日志部分(/assets/files/secure/WWGNL.pdf): 2010-02-19 19:47:20 xxx.xxx.xxx.xxx GET /assets/images/bullet.gif – 80 – 10.5.16.138 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+en-US)+AppleWebKit/532.5+(KHTML,+like+Gecko)+Chrome/4.0.249.89+Safari/532.5 200 0 0 218 2010-02-19 19:47:20 xxx.xxx.xxx.xxx GET /assets/images/bgOFF.gif – 80 – 10.5.16.138 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+en-US)+AppleWebKit/532.5+(KHTML,+like+Gecko)+Chrome/4.0.249.89+Safari/532.5 200 0 0 218 2010-02-19 19:47:21 xxx.xxx.xxx.xxx GET /assets/files/secure/WWGNL.pdf – 80 – 10.5.16.138 Mozilla/5.0+(Windows;+U;+Windows+NT+6.1;+en-US)+AppleWebKit/532.5+(KHTML,+like+Gecko)+Chrome/4.0.249.89+Safari/532.5 401 2 5 0 […]
我正在使用Active Directorylogin到RHEL。 要做到这一点,我遵循这里列出的步骤: http://www.markwilson.co.uk/blog/2007/05/using-active-directory-to-authenticate-users-on-a-linux-computer.htm 我希望能够从Windows服务器共享文件夹读取数据,而不需要提示input密码。 在Windows上,我login到AD域,当我访问局域网(也是AD域的一部分)上的服务器上的Windows文件共享时,我可以访问它们没有身份validation步骤。 我在Linux上使用SMBclient来访问这些共享,但它要求input我的密码。 我希望能够脚本访问的股份上的数据,但我不能如果有一个密码提示的方式。 那么,我可以,但这不是我想要做的。 现在,由于我使用我的活动目录用户名和密码login,我不能只是访问股份,没有跳跃的额外hoop? 我知道我可以使用类似的东西来装载共享: //192.168.0.5/share/mnt/windows cifs auto,username = steve,password = secret,rw 0 0 但访问将取决于谁login…每个用户login应该有自己独特的AD访问privelages。 谢谢阅读!
我有内部网应用程序与Windows身份validation。 匿名用户是不允许的。 现在我正在尝试添加一个应该允许本地域用户的子文件夹。 我在该子文件夹上启用了“匿名访问”iis,并工作。 但我使用AJAX(计时器控制)该子文件夹的页面之一,当timer_ticks它给“sys是未定义的错误”。 任何想法来解决这个问题? 谢谢,
我有一个受基本authentication保护的虚拟目录。 我想要禁用某些IP地址的身份validation,以便所有来自例如127.0.0.1的请求都被允许而不要求提供凭证。 我怎样才能做到这一点?
我需要为我的Apache服务器上的特定文件夹创build一个validation例外。 我们对整个域名拥有全面的密码保护,但是这可以防止Wordpress上传文件并使用Flash上传程序创build文件夹。 HTTP Error 401也会导致插件的上传方法失败。 有什么办法可以特别为/wp-admin和/wp-content文件夹设置一个例外吗? 这样,我可以将例外添加到我们使用WordPress的任何子域名。 我见过很多使用Allow From IP地址的例子,但是没有使用文件夹名称。
一位朋友告诉我,他使用IIS的基本身份validation来validation他的web应用程序。 该系统也使用Kerberos,但Basic Authentication和Kerberos如何协同工作? 我知道基本身份validation在Base64中发送密码(如明文),Kerberos不通过networking发送密码,它使用票据系统。 那么,Kerberos如何使用基本身份validation进行整合?