我正在将我的应用程序与SAML2 IDP启动的单点login的MS Azure AD IDP进行集成。 我正在使用我公司的Office 365帐户和通过它访问的Azure AD服务。 在我的testing环境中,当我考虑一个巨大的时间戳“skew”时,整合效果很好。 现在,当进入prod时,我想解决“skew”问题,并在Azure AD生成的SAMLResponse的AuthnInstant时间戳和SAMLResponse获取的服务器的时间的时间差歪斜的合理的小默认值validation。 所以这里是一个例子。 我在CEST区,2017年9月4日,时间01:26。 从我的Office 365,我得到一个SAMLResponse以下IssueInstant <samlp:Response Destination="…" IssueInstant="2017-09-03T23:23:49.338Z" Version="2.0" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"> (看起来是正确的,因为我比UTC快2小时,这是03.09.2017 23:23:29)和AuthnInstant: <AuthnStatement AuthnInstant="2017-09-03T16:23:16.000Z" SessionIndex="_ad9dd439-9f99-4361-a8ae-497888a292a9"> 我的应用程序运行的服务器有时间正确同步,因为它似乎: [jboss@my-service-2373129067-knfwj ~]$ date Sun Sep 3 23:23:16 UTC 2017 (这是有道理的,因为我的CEST区域比UTC早2个小时)。 现在,从Azure公司获取古怪的AuthnInstant 2017-09-03T16:23:16.000Z ? 我想,在加利福尼亚州的某个地方,这是PDT时区,大概是下午4点半左右。 但时间戳记说“Z”,这是UTC的零增量,因此我的SAMLResponsevalidation失败。 有没有办法configurationμOffice 365以正确指定AuthnInstant中的时区? 我已经看到这篇文章: https : //support.microsoft.com/en-us/help/2718817/time-zone-settings-are-incorrect-or-missing-for-multiple-mailboxes-in 这看起来像一个错误,我有点担心与PowerShell控制台和我所有的公司用户搞乱。
在以下情况下,如何正确debuggingshelllogin? 身份validation通过sssdconfiguration和krb5身份validation服务器进行处理。 在Ubuntu 16.04 LTS上使用相同的.conf文件login。 一旦有人在17.04使用它,使用除root之外的所有内容login将导致重启getty shell – / var / log / syslog states [email protected]: Service has no hold-off time, sheduling restert. Stopped Getty on tty2. Started Getty on tty2. 并在auth.log中注意到以下内容: pam_sss(login:account): Access denied for user <user>: 4 (System error) System error 执行login <user>结果 root@pctest# login <user> password: System error root@pctest# 使用sssctl config-check结果在16.04 LTS的工作configuration中没有错误。 […]
我有一个使用ADFS进行SSO的.NET应用程序。 它在我的本地机器和testing环境中testing时工作,但在部署到客户端环境时失败。 客户端环境是这样的:HTTPS公共IP:443 – > NAT内部IP – >加速器:80 – >负载平衡器:80 – >反向代理服务器:80 – > APP服务器:80 反向代理将URL从app.url.com重写到app-internal.url.com 应用程序应该像这样工作: 用户将访问http://app.url.com/appname。 然后,.NET应用程序在第一次加载时将用户redirect到ADFS服务器:http://adfsurl.domain.com/adfs/ls? 成功validation后,ADFS将redirect回应用程序URL。 我的问题是,应用程序redirect到http://app.url.com/adfs/ls/ ? 而不是http://adfsurl.domain.com/adfs/ls? 有没有其他configuration我需要做出站规则?
我想将Windows 7计算机从PowerShell 2.0更新到5.1( 安装程序链接 )。 由于GPO不支持msu安装程序,因此我创build了运行此msu文件(wusa.exe)的login脚本。 但是,当域用户login时,安装过程将停止要求inputpipe理员帐户的凭证… 我试图做这个文件和runas / savecred的快捷方式,但它不起作用。 另外我试图把安装政策,以电脑启动,但没有发生。 最后,我试图将本地文件保存到DC服务器,本地保存到PC,但同样的问题 你能提醒一下吗? 谢谢
正如在接下来的文章中所说的那样:使用wordpress的克隆服务器的wp-admin正在login原始服务器的IP地址。 服务器A – 原始内容。 IP地址1服务器B – 服务器的克隆版本A. IP地址2服务器C – 服务器的克隆版本B. IP地址3 当我运行:IP地址1.我得到WP网站与LAMPTESTv3 IP地址2.我WP网站与LAMPTEST IP地址3.我WP网站与LAMPTEST 但是,当我运行:IP地址2 / wp-admin,我得到IP地址1 / wp-admin IP地址3 / wp-admin,我得到IP地址1 / wp-admin 任何洞察到我将更改服务器B和/或C上的pipe理文件的位置,以便wp-admin是服务器B IP地址/ wp-admin而不是服务器IP地址/ wp-admin。 和C.一样 谢谢你的帮助。 Kahiga
我目前有一个基本上围绕三个服务的办公室networking,都在Linux下托pipe: 共享存储区通过Samba服务。 邮件Web / IMAP由Zimbra处理。 项目pipe理/错误跟踪由RedMine处理。 其他更小的服务可用(例如:git repo)。 所有这些实际上是自我托pipe到一组托pipe虚拟机。 客户端可以是本地的,可以通过互联网(用于networking服务),也可以通过VPN进行远程访问。 客户是Windows(大多数)或Linux。 目前所有的服务都有独立的用户/通行证pipe理,加上需要定期更换密码,随着用户群的扩大(目前我有大约100个用户),很快就会导致恶梦。 有一些方法可以pipe理这些(less数不同的)服务的单点login吗? 最理想的是拥有一个authentication服务器,每个用户都可以pipe理所有服务的密码,pipe理员可以为用户分配(相当具体的,至lessSamba和Git)的权限。 这样的系统是否存在? 我知道一些非常大的服务(如:谷歌)可以提供其他(主要是networking)服务的身份validation,但我不确定这是否可以缩小到一个(相对)小型办公室。
我不小心configuration了每个注销的用户将被redirect到x域 ,这是通过使用Web界面中的pipe理面板完成的。 现在,我只能通过SSH访问东西,比如修改gitlab.rb ,我甚至试图访问数据库,看看有没有我可以修改的东西。 我怎样才能修改这个configuration,所以我可以再次login? 我被困在外面 (就像用钥匙把房子关上)。 我想要的是简单的,删除/修改告诉nginxredirect到该域的选项,但我找不到它在gitlab.rb 。
在我的Okta应用程序中,我设置了Single sign on URL和几个Requestable SSO URLs 。 这个想法是,我发送一个带有索引的SAML消息,Oktaselect一个可请求的SSO URL来发送一个响应。 现在,它不考虑索引,并始终发送一个响应Single sign on URL 。 也许我错过了一些东西,但我甚至不知道从哪里开始挖掘。
我正在使用Apereo CAS for Enterprise SSO。 我试图用下面的Apache httpdconfiguration来设置一个简单的反向代理: <VirtualHost *:80> ServerName mydomain SSLProxyEngine on SSLProxyVerify none SSLProxyCheckPeerCN off SSLProxyCheckPeerName off SSLProxyCheckPeerExpire off ProxyRequests off ProxyPreserveHost off <Proxy *> Order deny,allow Allow from all </Proxy> ProxyPass /cas https://172.17.0.2:8443/cas ProxyPassReverse /cas https://172.17.0.2:8443/cas </VirtualHost> 我也启用了所有必要的httpd模块: LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_balancer_module modules/mod_proxy_balancer.so LoadModule proxy_http_module modules/mod_proxy_http.so LoadModule socache_shmcb_module modules/mod_socache_shmcb.so LoadModule session_module […]
我们在我们的networking中安装了3台RDS 2012 R2主机,它们都是独立的会话主机。 在上个月左右WinLogin进程崩溃,导致人们无法login。 多数情况下,这种情况发生在星期五早晨,尽pipe最后一个星期五早上星期五晚上发生了。 它不会影响所有的服务器,同时它是完全随机的。 我解决这个问题的方法是强制closures虚拟机并启动备份。 如果用户已经login,不会影响他们,只是新的login尝试失败(来自用户或进程)。 我一直得到同样的事件: Windowslogin过程意外终止。 <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Winlogon" Guid="{DBE9B383-7CF3-4331-91CC- A3CB16A3B538}" EventSourceName="Winlogon" /> <EventID Qualifiers="49152">4005</EventID> <Version>0</Version> <Level>2</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2017-10-28T01:58:51.000000000Z" /> <EventRecordID>4249609</EventRecordID> <Correlation /> <Execution ProcessID="0" ThreadID="0" /> <Channel>Application</Channel> <Computer>MY-TS.dn.local</Computer> <Security /> </System> <EventData> <Binary>CA080000</Binary> </EventData> </Event> 我不确定在哪里寻找这个 – 任何想法?