我们使用JBoss协商在JBoss EAP 6.2,Windows Server 2008和IE10上成功configuration了SPNEGO。 更新发给JBoss的票证以最大限度减lesspipe理员干预的最佳操作实践是什么? 票证可以通过编程方式(在票末date之前)更新: kinit -R 虽然这只能在票到达date之前完成。 是否最佳做法是configuration故障单策略以将续订字段设置为大(几周,几个月)? 最终在续订时间之后的某个时刻,pipe理员需要input一个密码来为JBoss分配一张新的票据。 是否有更好的scheme来pipe理JBoss票据的更新,或者在更新date之后的某个时间点(可能在维护期间)不可避免地需要手动pipe理员干预?
我正在使用ldap和kerberospipe理几个CentOS 6.5计算机用于用户帐户和身份validation。 我想使用rsnapshot将ldap数据库以及存储在server1上的其他根文件备份到server2 。 由于备份将按计划进行,因此我需要能够在没有密码的情况下login到server1并复制受保护的数据。 据我所知,我有几个select: 为root用户创build一个ssh密钥对 (我宁愿不这样做,因为我已经使用Kerberos进行身份validation) 将kerberos主体与keytab一起使用,并将其添加到根.k5login文件中 (我已经被警告过,因为它有效地给任何人在任何其他服务器上的root权限访问, 使用keytab创build一个新的kerberos主体,并将其添加到正确的组中 (这是我提出的计划) 问题是,ldap数据库和其他一些敏感的文件是不可读的。 但是,小组和老板总是一样的。 -rw——- 1 ldap ldap 40960 Feb 11 10:57 cn.bdb 将这些文件更改为群组可读是否有任何问题?
我正在尝试在LDAP目录中为用户设置Linuxlogin。 该目录包含UID低于1000的用户,我相信这会导致login到这些帐户时出现问题,因为在Linux上为UID保留1000以供系统使用。 LDAPpipe理员不希望更改所有这些人的UID,因为他说会打破许多Windows文件。 有没有办法来覆盖(或重新映射)来自LDAP的特定用户的UID? 在/etc/ldap.conf使用类似nss_override_attribute_value或其他方式的条目?
我有Windows 7笔记本电脑在域networking,但带回家的技术人员,以防他们需要远程工作。 这些笔记本电脑的login时间在没有连接到域networking(即从家中)时会非常缓慢,因为它们卡在“请等待用户configuration文件服务”,有时长达五分钟。 我知道这是因为机器试图find一个域控制器,但我不明白是如何降低超时使用caching的凭据。 我宁愿不使用VPN,因为这只适用于2-3台笔记本电脑。 我怎样才能做到这一点?
环境: Fortigate 60D Forti OS 5.0 我在防火墙中看不到任何日志或报告。 我已经启动了forticloud,我收到空的报告。 有什么我们必须在防火墙中激活?
一段时间以来,我一直试图联合一个Office365域名,但没有运气。 我已经到了接收请求的地步,能够根据这个请求产生一个响应,但是不知道响应是否正确。 我得到这个错误: 对不起,但我们无法login您 您无法使用组织帐户login此网站。 请确保您input的网站地址正确。 如果仍有问题,可能需要联系pipe理员。 以下是我的SAML请求和响应(删除了敏感信息) 请求 <samlp:AuthnRequest xmlns:samlp='urn:oasis:names:tc:SAML:2.0:protocol' xmlns:saml='urn:oasis:names:tc:SAML:2.0:assertion' ID='_1ae9c30e-8767-44e4-8221-ecd18d55e1c0' IssueInstant='2015-03-09T20:46:12Z' Version='2.0' AssertionConsumerServiceIndex='0'> <saml:Issuer> urn:federation:MicrosoftOnline </saml:Issuer> <samlp:NameIDPolicy Format='urn:oasis:names:tc:SAML:2.0:nameid-format:persistent'/> </samlp:AuthnRequest> 响应 <samlp:Response Destination='https://login.microsoftonline.com/login.srf' ID='AD5D2AFFA557338C737661EA4746DE1F5DEB0575C7' InResponseTo='_1ae9c30e-8767-44e4-8221-ecd18d55e1c0' IssueInstant='2015-03-09T20:46:12Z' Version='2.0' xmlns:saml='urn:oasis:names:tc:SAML:2.0:assertion' xmlns:samlp='urn:oasis:names:tc:SAML:2.0:protocol'> <saml:Issuer> http://self.clearlogin.com/ </saml:Issuer> <samlp:Status> <samlp:StatusCode Value='urn:oasis:names:tc:SAML:2.0:status:Success'/> </samlp:Status> <saml:Assertion ID='D1B7C4F18C08B5E2A0B4811121FF8FC18E5CE2C305' IssueInstant='2015-03-09T20:46:12Z' Version='2.0' xmlns:saml='urn:oasis:names:tc:SAML:2.0:assertion'> <saml:Issuer> http://self.clearlogin.com/ </saml:Issuer> <ds:Signature xmlns:ds='http://www.w3.org/2000/09/xmldsig#'> <ds:SignedInfo xmlns:ds='http://www.w3.org/2000/09/xmldsig#'> <ds:CanonicalizationMethod Algorithm='http://www.w3.org/2001/10/xml-exc-c14n#'/> <ds:SignatureMethod Algorithm='http://www.w3.org/2001/04/xmldsig-more#rsa-sha1'/> <ds:Reference […]
我试图build立一个完全无线的办公室,主要是Windows 7和几个Windows 8客户端,我碰到的一个问题是login脚本。 安全人员不想让机器validation,只有用户,所以login之前连接到无线是不可能的。 我发现了一些文章,提到如何通过计划任务来完成此任务,在WLAN-AutoConfig中的事件ID 8003上触发。 但是,这似乎在IP分配之前触发关联,因此对login脚本(在域控制器上)的调用失败。 如果我告诉它在事件发生后10秒延迟,它通常可以正常工作,但有时会因为还没有完成DHCP过程而失败,我需要一个可靠的解决scheme,让用户在login后尽快上class。 我在NetworkProfiles中发现了一个事件4002,它似乎在IP分配后触发,但是在其他时候似乎也会触发,而且我不希望脚本在用户处于某种状态时运行。 有没有人知道IP地址收到后,只能在无线连接上触发一次的事件? 还是有更好的方法呢? 如果您需要更多信息,请告诉我。
给出是这个logcheck规则: ^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ systemd-logind\[[[:digit:]]+\]: New session [[:digit:]]+ of user [^[:space:]]+\.$ 和这个日志条目: Mar 19 09:16:09 horst kernel: [3257039.867032] <38>systemd-logind[193047]: New session 24987 of user icinga. 这些似乎不匹配,不幸的是我找不到匹配(原文如此)的规则。 是的,这似乎是一个静态的数字。
让我先序说我暂时不在服务器附近,所以我不能直接读出任何错误信息。 我们已经实现了一个ADFS 3.0服务器,并使用微软包含的SSO网页。 我们使用表单身份validation时,子网域的UPN在外网上无法正常工作。 更容易描述问题: 我们有一个子域的域。 出于意图和目的,在主域中具有UPN的用户的后缀是[email protected]。 子域用户UPN是[email protected]。 在SSO站点上,UPN将在主域上login,但会在子域的UPN中出错。 例如:[email protected]将会login,但[email protected]将不起作用。 为了进一步混淆事实,xyz \ bananas将允许您login,bananas @ xyz(后缀xyz之后没有任何内容)。 为了澄清这一点,子域名的实际名称IS xyz所以xyz \应该工作,无论如何,应该@xyz由于后续被SSO“理解”的域的延续。 为了澄清所有这些,并给出删节版本,input主域用户的UPN工作,但在子域中的用户的UPN键入将不起作用。 所有东西都要在ADFS和Active Directory中正确configuration。 如果其他人遇到类似的情况,我将不胜感激任何提示或build议。 目前,这种forms本身就是一个问题。 为了提供更多信息,当我们使用Windows身份validation时,Intranet中的同一站点工作正常。 我们暂时closures了Windows身份validation,并在内部使用表单身份validation,子域的UPN正常工作没有问题。
我正在尝试在OS X 10.10.1 Yosemite上configurationTTLS 802.1xlogin窗口configuration文件。 该configuration文件已经安装(通过MDM),login窗口现在显示(在用户名/密码input框上方)下拉列表,可以从中select802.1xconfiguration文件; 此外,当用户尝试login时,尝试802.1xauthentication。 但是,authentication失败; 在启用了请求者日志function后,我在TLS隧道build立后看到以下错误: EAP请求:EAPtypes21 身份validation:不能提示缺less属性<array> { 0:UserPassword } set_msk 0 请求者(主)状态:state = Held …但我认为login窗口configuration文件的全部重点是用户在login窗口提供的802.1x用户名和密码! 这是怎么回事? UPDATE 看来,在networking负载中select身份证书会导致OS X忽略login窗口中提供的用户凭证。 有没有办法在TLS握手期间使用(系统范围的)客户端证书,还可以使用login窗口中的用户信用来进行内部/隧道validation?