在这一点上,这更多的是好奇心问题。 我已经解决了我的问题,我会发布解决scheme,为我工作。 问题 当我尝试从Windows 7盒子(使用腻子)login到Linux RHEL5盒子时,我的authentication时间相当慢。 初始连接请求很快。 然而,input我的用户名后,authentication时间非常缓慢(用我的git推送成倍地厌恶)。 固定 我检查了日志,发现ssh尝试使用GSSAPI身份validation。 我的20秒authentication超时很明显。 我只是调整腻子(和egit)不使用GSSAPI身份validation。 login和authentication时间是正常的。 这个问题 我的RHEL盒子从来没有碰过。 自一年前以来,SSHconfiguration(和确认的时间戳)没有改变。 我的腻子设置从未改变,AFAIK GSSAPI授权默认为在腻子上。 如果其他人看到这个问题,我只是不可思议的好奇? 如果GSSAPI过去因为我没有使用这个function而失败了,那为什么突然间超时了呢,让我放慢脚步呢?
这个问题的背景:我想在同一个服务器上托pipe多个电子商务网站,每个网站都有自己独立的客户login应用程序。 每个站点的login应用程序需要通过SSL进行保护。 我不确定如何最好地处理这个问题。 例如,是否需要为每个站点获取单独的SSL证书(在这种情况下,我如何dynamic执行此操作(因为网站已创build),还是使用一个login网关风格的应用程序处理此问题代表所有的网站通过一种透明的redirect? 我会很感激任何指针或build议。 谢谢。
我遇到了我们的networking上的IIS 7应用程序的问题。 问题如下: 如果用户通过IP地址( http://172.16.10.32/site )浏览该站点,则该应用程序加载正常,没有错误,并且完美。 如果同一用户通过主机名( http://dms-live/site )浏览到该站点,则显示“Internet Explorer无法显示该网页”消息。 挖掘更深的结果在实际的错误代码401.2 – 未经授权。 一些更多的信息: 这是一个没有任何外部访问的内部网站 Internet Explorer由组策略设置将站点放置在Intranet区域中 该应用程序允许“匿名身份validation”(使用IUSR),“ASP.NET模拟”(设置为authentication用户),“基本身份validation”(不指定默认域或领域)和“Windows身份validation”(启用内核模式身份validation) 用户可以ping dms-live,返回正确的IP地址172.16.10.32 用户可以浏览到http://172.16.10.32和http://dms-live而不会出现问题,并可以看到默认的IIS 7启animation面 主机名“dms-live”是在DNS中指定的额外的Alogging,指向172.16.10.32 服务器的实际主机名是“accserver16”。 使用这个来代替“dms-live”给出了完全相同的结果(401.2错误) 使用FQDN而不是简短的主机名也给出相同的结果(401.2错误) 该网站已绑定到dms-live,accserver16和172.16.10.32,以及相关的FQDN 我们的networking在两个森林中有两个域,即森林A中的域A和森林B中的域B.所有用户和工作站都在域A中,IIS服务器在域B中。域A和域之间configuration了双向信任B. 这两个域都有自己的DNS服务器 这个问题最近才出现,在一个非常具体的DNS更改之后。 域B的DNS区域最初由域B DNS服务器托pipe,并设置了条件转发器条目来转发来自域A DNS服务器的请求。 为了提高永续性,已更改此域,以便域A DNS服务器具有为域B区域设置的辅助正向和反向区域。 辅助区域加载正常,正确地复制更改并返回正确的DNSlogging以ping和nslookup请求。 还有一点奇怪的信息 – networking上的一些电脑能够毫无问题地加载http://dms-live/site 。 个人电脑的工作模式似乎没有多大的作用。 这不是由用户决定的(两台不同PC上的同一用户不一定会得到相同的结果),浏览器(这已经用IE8和IE9testing,结果不一致)或操作系统(问题似乎与Windows XP或Windows 7正在使用)。 到目前为止, 一次启用一种forms的身份validation 禁用内核模式身份validation 为DMS-LIVE和关联的FQDN设置SPNlogging 在尝试之间清除IEcaching 重新启动电脑 用ipconfig / flushdns刷新DNScaching 将“DisableStrictNameChecking”registry项设置为1并重新启动服务器 将ACCSERVER16 […]
假设Apache在<Files> <Location>指令之后应用了<Location>指令,那么如何将一个“require all granted”应用于位置中的单个文件? 在下面的例子中,我想RSS的饲料是公开的,而其他一切都是有限的… 或者将这个改为一个<Directory>呢? 例: <Location "/doku"> Options FollowSymLinks Order deny,allow Allow from all AuthBasicProvider ldap AuthLDAPURL ——– AuthLDAPBindDN ——– AuthLDAPBindPassword ——- AuthType Basic AuthName "test" Require ldap-user user </Location> <Files "/doku/feed.php"> Allow from all require all granted </Files>
我们公司有多个目录(Active Directory,Domino,OpenDS)。 多米诺骨牌(似乎AD)给予同一用户(别名)多个login的能力。 有没有办法实现与OpenDS目录相同的东西? 我试图把一个用户(这是授权)多个cn没有成功:用户只能绑定与他的主cn。 我也看看LDAP别名对象,但我发现一个资源,说明它显然是有限的search,而不是绑定。 Active Directory 有类似的问题,有一个工作的解决scheme。
运行:Ubuntu 12.10 32位服务器版本。 我试图连接到saslauthd并得到我提到的标题(权限被拒绝)的错误。 $ /usr/sbin/testsaslauthd -u myuser -p mypassword connect() : Permission denied 但是,当我尝试以根(sudo)连接时,它连接成功。 我需要能够以用户身份进行连接。 任何想法?
所以从理论上讲,如果一个人需要Amazon服务器的有效凭证,而不是在他们的访问密钥/密码中进行硬编码,那么可以调用169.254.169.254作为凭证来访问某些资源,例如: js = '' open('http://169.254.169.254/latest/meta-data/iam/security-credentials/<role>') { |f| f.each_line {|line| js += line} } credentials = JSON.load(js) ndnode[:s3_access_key_id] = credentials['AccessKeyId'] ndnode[:s3_secret_access_key] = credentials['SecretAccessKey'] 然后在这里使用访问的东西: conn = AWS::EC2::Base.new(:access_key_id => ndnode[:s3_access_key_id], :secret_access_key => ndnode[:s3_secret_access_key]) # THIS ALWAYS FAILS result = conn.describe_instances(:instance_id => instance_id) 我不喜欢将我的访问密钥和密码硬编码到源代码的想法,我想要一个解决方法。 1)我和我的老板纠正这是一种解决方法吗? 2)如果对1,是这样做的正确方法是什么? 如果不是1,有没有办法避免检查凭证到源(在这里或在configuration文件),它是什么? 3)为了回应@ Edwin的回应,我在AWS gem API中放置了安全令牌? Boto已经被报告让我连接我给的凭据,这意味着分离一个进程,并设置一些环境variables,以便Ruby可以使用Boto连接请求信息。
可能重复: 一个分配SSH公钥的系统 在我们的系统上需要帮助pipe理开发者authentication 我们有多个CentOS服务器(数据库,Web,Redis等),能够以集中(希望)简单的方式控制对它们的访问是非常重要的。 我们现在使用的是authorized_keys文件,我们从开发人员生成的密钥中复制密钥数据。 但是,这样做的可扩展性和灵活性并不高,因为无论何时有人进入/离开团队,我们都需要更新多台服务器。 我们可以利用的一个可能性是在执行sshd restart之前,将一个集中式文件复制到每个服务器上。 然而,我感兴趣的是在确定是否有更好的模式或替代方法来做这件事情之前,我会投入时间来实现这一点。 通常authentication多个用户的模式是什么,特别是在多服务器环境中? 一个解决scheme的红利点也让我们定义某种angular色,封装访问(即前端开发人员可能不需要访问数据库服务器,作为一个非常人为的例子)。 非常感谢!
我所做的大部分阅读都表明可以使用Kerberos来设置RPCSEC_GSS,但是我们还没有设置Kerberos服务器。 我读过其他authentication方法,如LIPKEY,应该是替代(可插入?)授权计划,但我似乎无法find关于它们的许多信息。 如果我想离开AUTH_SYS(又名AUTH_UNIX),是否需要RPCSEC_GSS + Kerberos? 还是有什么比AUTH_SYS更安全,但不像设置Kerberos安装那样复杂? 谢谢,卡尔
我的研究所使用代理validation来监视个人浏览活动。 这通常意味着我需要input我的用户名和密码来使用任何与互联网有关的东西。 但最近我在Windows 7上使用了一个虚拟机(VMware上的Ubuntu),并指出我可以在虚拟机内部浏览,而不需要input任何密码。 我使用干净的系统一次又一次地testing它,以避免密码caching或保存的机会。 这怎么可能 ? 我记得虚拟networking设备被configuration为使用NAT。 即使这样,这不应该是可能的吗? 发生在后面的是什么? 如何加强authentication来处理这样的环路漏洞?