我正在testing以下设置: RADIUS服务器使用EAP-TLS协议。 客户端和服务器有以下证书: 客户 公钥: clientcert_intermediatecert_chain.pem CA证书: rootcert.pem 服务器 公钥: servercert_intermediatecert_chain.pem CA证书: rootcert.pem 客户端证书( clientcert.pem )和服务器证书( clientcert.pem )都由相同的中间证书( intermediatecert.pem )签名,中间证书由根证书( rootcert.pem )签名。 这两个被设置为公钥的链都像这样放在一起(通过Shell命令): cat servercert.pem intermediatecert.pem > servercert_intermediatecert_chain.pem cat clientcert.pem intermediatecert.pem > clientcert_intermediatecert_chain.pem 现在,客户端尝试连接到服务器。 双方发送他们的公钥,并尝试使用rootcert.pemvalidation接收到的公钥 我知道“正常”的方式是,公钥只是服务器或客户端证书。 而CA证书将成为imcert-rootcert-chain,但我必须知道这是否也能起作用。 现在我的问题: 公钥是由服务器/客户端证书和中间证书组成的链是否合法? 如果是这样,这是否适用于双方(服务器和客户端)? 如果服务器(如FreeRADIUS)或客户端能够使用根证书validation这些链接,如果他们从柜台部分接收到这些链接? 根据我的经验,FreeRADIUS不validation这样的证书链权利。 如果我没有弄错FreeRADIUS使用OpenSSL库,并在上面的情况下执行以下命令: openssl verify -CAfile rootcert.pem clientcert_intermediatecert_chain.pem 我很确定这是行不通的。 OpenSSL无法使用根证书来validation这样的链。 尝试将信任链放在一起时失败了。 它是否正确? 顺便说一下,FreeRADIUS返回的错误与verify命令相同: error 20 […]
我正在尝试SharePoint,我已经安装了MOSS2007试用版。 我在安装过程中select了Kerberos身份validation方法。 它安装了一切,当我试图从IE浏览器中央pipe理网站,我得到401.1错误。 在安全事件日志中,我收到了失败审计事件。 如果我尝试通过Firefox访问该网站,它工作正常,它使用NTLM作为authentication方法。 我为服务帐户创build了SPN,并按照此处的说明为计算机和服务帐户的委派configuration了信任。 任何想法,我可能做错了什么? 编辑:在安全事件日志故障审计有用户作为NT AUTHORITY \ SYSTEM。 我希望看到那里的服务器农场帐户。 OfficeServer应用程序池和中央pipe理应用程序池都在服务器场帐户下运行。 对于Windows SharePoint Servicespipe理和Windows SharePoint Services计时器服务也是如此。 我错过了别的吗?
有没有人有任何使用Kerberos作为pipe理基于Cisco IOS的networking的身份validation机制的经验? 本文似乎表明这是可能的,但是我的Kerberos知识仅限于集中pipe理的UNIX / Linux系统上的用户。 在我花几个小时来试验这个之前,我想我会在这里征求意见。 特别是,如果Kerberos身份validation基础架构正常运行,是否可以将思科设备configuration为接受来自* NIX或Windows计算机的转发的Kerberos证书,而我已经通过身份validation并拥有有效的Kerberos证书? 每次login设备时都不必input密码。 如果这是可能的,一些进一步的扩展: 是否可以使用Kerberos进行身份validation,但要继续使用TACACS +组进行授权? configuration为使用Kerberos身份validation的设备在什么情况下会回退到本地定义的密码? 使用Kerberos对执行RMA /硬件replace有什么影响? (例如,如果仅将SSH用作pipe理手段,如果更换设备,则必须手动重新生成SSH密钥,并且必须删除pipe理站上的旧的known_hosts条目等) 使用Kerberos身份validation时,从EXEC模式升级到特权EXEC(启用)模式时是否还会提示用户input密码?
我可以从LDAP客户端getent passwd getent group成功获取密码和组。但是,当我尝试使用'su USERNAME'来自LDAP服务器的名称或'ssh USERNAME @ localhost'时,它会提示我一个用户密码,我完全键入了USERNAME密码,但返回“su:authentication失败”或“权限被拒绝,请重试”。 我不知道为什么? 只有当我在客户端的根目录和“su USERNAME”
我工作的一所学校的一位老师问,如果不让学生发送彩色打印的文件 – 考虑到学生不允许使用彩色打印机,但工作人员可以 – 可以在学生的笔记本电脑上添加彩色打印机,但要求教师对每个打印工作进行authentication。 做了一些Googlesearch,这显然不可能,但也不清楚是不可能的。 有问题的计算机正在运行使用CUPS的Mac OS X 10.5。
我试图在我的nginx.conf中使用这个指令来提供受保护的文件: location /secure/ { internal; alias /home/ldr/webapps/nginx/app/secure/; } 我通过path的forms:“/ myfile.doc” 该文件的path是:/home/ldr/webapps/nginx/app/secure/myfile.doc 当我访问“http://myserver/secure/myfile.doc”(在http后面插入空格以停止ServerFault将其转换为链接) 我已经尝试了跟踪/closures位置指令,这没有什么区别。 两个问题: 我如何解决它! 我怎样才能debugging这样的问题呢? 我怎样才能让Nginx报告它正在寻找哪个path? error.log显示什么都没有,access.log只是告诉我哪个url被请求 – 这是我已经知道的位! 没有任何反馈的随机尝试是没有意思的。 这是我的整个nginx.conf: daemon off; worker_processes 2; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; server { listen 21534; server_name my.server.com; client_max_body_size 5m; location /media/ { alias /home/ldr/webapps/nginx/app/media/; } location / { proxy_set_header […]
我正在评估SharePoint的能力以满足我团队的文档pipe理需求。 我遇到了一些让人感觉非常“笨拙”的问题,并且认为这可能是由于configuration不正确。 一般来说,无论何时打开存储在SharePoint中的Word文档,都会要求input我的凭据。 如果我选中该框来记住我的凭证,则只有在下一次Word被closures并重新打开时才会这样做。 因此,对于大多数操作,我被要求input我打开的每个文档的密码,这是非常令人沮丧的。 如果我通过SharePoint Workspace(Groove重命名为2010)打开文档,我发现如果在凭证框处单击取消,文档将打开,但是只读。 要编辑文档,当文档打开时,我必须input密码。 如果我通过Web界面或通过Windows资源pipe理器打开文档,那么我可以点击取消,文档可以被编辑。 为了不让我疯狂,我需要它的行为如下: 如果我select记住我的凭据,那就这样做。 当我通过资源pipe理器或SharePoint工作区打开时,自动打开为可编辑状态。 networking界面询问我是否打开它只读或可编辑 – 它应该执行选定的操作。 服务器软件:Server 2008 R2,SharePoint Server 2010 客户端软件:Windows 7 x64,Microsoft Office 2010 由于我不能添加评论: @迈克尔·斯塔姆:同样的行为发生。
我需要在Windows 2008 Server计算机上设置一个SFTP服务器,用于接收大文件(〜200MB)。 我需要服务器来validation所有试图login的用户,对公司的LDAP / ActiveDirectory。 我试图用OpenSSH for Windows(AKA SSHWindows)做到这一点,但没有运气。 Linux似乎可以通过摆弄OpenSSHconfiguration文件来实现,但在SSHWindows中似乎不可能。 我可以用什么(最好是免费的)软件来实现这个目标?
我已成功安装ProFTPD以使用mod_sql进行身份validation。 但是我仍然可以用linux用户的凭据login,即使我已经AuthPAM off 。 我如何使ProFTPD不使用PAM?
在对LDAP服务器进行AuthType Basic身份validation时,首先绑定Apache来search用户的DN,然后绑定该DN来testing用户的密码。 挑战在于,对于AD,您通常不能执行匿名绑定。 所以,你必须设置AuthLDAPBindDN 。 但是,我说,我已经知道DN了! 我不必绑定search绑定,我可以绑定为cn=_username_,OU=Employees,DC=megacorp,DC=com ! 这似乎是不可能的,但我想我会问:我是否可以说服Apache通过简单构build一个DN即可跳过绑定和searchDN的绑定使用绑定,或者做我必须和当地的官僚机构谈一个特殊的账户,我可以通过这个账户来寻找我想要authentication的用户? 谢谢! -danny