目标 :连接到Exchange服务器(EWS) 方法 :cURL 问题 :无法获得身份validation(NTLM),请求返回401 似乎有一个旧的,有据可查的2问题,从cURL从OpenSSL转移到NSS开始。 我读到NTLM的实现依赖于OpenSSL,因此这一举动打破了NTLM身份validation。 这个问题如下所示,但重要的部分似乎是返回401和下面的gss_init_sec_context() 。 我不明白的是我目前的版本: 根据https://launchpad.net/ubuntu/+source/curl/7.22.0-3ubuntu4有一个OpenSSL变种 根据同一链接支持NTLM 其实根据下面的日志使用这个变种(而不是NSS)(它说libcurl/7.22.0 OpenSSL ) 根据以上几点,不应该被链接的bug所困扰。 但是IS受到了影响,正如我得到401的事实所显示的那样 我不确定如何解决这个问题。 我可以find很多旧的(大部分是2010年)提到这个问题,但没有新的东西,肯定没有一个溶剂。 我知道提供的参考(见2 )表明,这可能与旧版本(7.19),但我不能(也不愿意)降级到该版本。 Exchange通信(EWS)的几个实现使用cURL来检索EWS文件(wsdl等),所以我确定必须有一个工作方法,但我找不到它。 有没有人有线索我可以做什么? 我还有另外一个错误吗?我是否解释了错误的事实,这个情况和链接中提供的情况是一样的,它永远不会被修复吗? 1错误是这样的: curl https://*DOMAIN*/Exchange.asmx -w %{http_code} –ntlm -u *USERNAME* –verbose –show-error Enter host password for user '*USERNAME': * About to connect() to DOMAIN port 443 (#0) * Trying IP… connected * […]
我们在这里有一个使用基于NTLM的Windows身份validation的ASP.NET 3.5应用程序。 系统运行在实际分布在不同地理位置(通过VPN连接)的专用networking上。 我们现在正在努力优化网站的性能。 由于NTLM的工作方式,对IIS的每个新请求都由3个不同的请求组成,而前两个请求是401个响应。 我们正在努力将这些要求的数量减到最低限度。 我们find了提高IIS 6.0应用程序性能的解决scheme。 不幸的是,它没有改变任何东西,我们不断得到这个401响应(消耗时间)。 为了看到我第一次使用小提琴应用程序的stream量。 不知何故,当我使用Fiddler时,在会话开始时只有一个身份validation过程(正如我所愿),但是当我closuresFiddler应用程序并通过Wireshark检查stream量时,我可以看到我仍然有这个401响应每个请求。 客户端使用Internet Explorer 6,IIS版本6。 我们如何解决这个问题?
Exchange 2010支持Kerberos的第一个版本是SP1 RU3。 它通过RollAlternateServiceAccountCredential.ps1命令行RollAlternateServiceAccountCredential.ps1执行此操作。 除了实现“更好”的安全性之外,这是否为灾难恢复,性能或其他任何值得了解的事情提供了其他好处? 仅供参考 – 如果Google在这里发送给您: 确定是否正在使用Kerberos的方式,请使用KList.exe Test-OutlookConnectivity -Identity administrator -MailboxCredential $c -Protocol tcp
我们build立了基于WSS的两个前端和一个数据库。 目前所有的身份validation都是NTLM。 我们在集成模式下安装了Reporting Services。 只要安装有RS的Web前端处理事务,RS就会工作。 如果没有RS的前端处理请求,那么我们会得到一个UNAUTHORIZED错误。 在试图解决这个问题,networkingsearch等 – 已经暗示了农场需要执行“双跳”authentication的问题 – 这不可能通过NTLM发生。 所以我们需要configurationIntranet服务器场来接受Kerberosauthentication。 我find了这个有用的指南但是,我们从头开始农场的立场。 所以我们需要知道在追溯configurationKerberos中是否存在风险? NTLM会不会像以前一样继续执行启用Kerberos的步骤?
我有一个站点设置为使用perl的Apache2 :: AuthenNTLM模块在Linux上的Apache中使用NTLM进行身份validation。 当我需要身份validation时,这很好用,但是当用户使用NTLM进行身份validation时,我希望这样做能绕过网站的内置login,并让他们在不能login的情况下使用常规login。 如果用户不知道他们的状态,我想我需要使NTLM身份validation是可选的,这样才能检测到拥有它的用户,而其他人都像往常一样查看站点。 我注释了“require valid-user”,但是现在根本不使用NTLM身份validation。 有没有办法启用它,而不向没有authentication的用户显示任何东西? 这是当前的htaccess: PerlAuthenHandler Apache2::AuthenNTLM AuthType ntlm AuthName NTLMTest #require valid-user PerlAddVar ntdomain "DOMAIN ADMIN ADMIN2" PerlSetVar defaultdomain DOMAIN PerlSetVar splitdomainprefix 1 PerlSetVar ntlmdebug 0 PerlSetVar ntlmauthoritative off
我有SQL服务器运行在不在一个域中的计算机上, 而不是以混合模式运行(它使用“Windows身份validation”运行)。 我试图通过TCP / IP运行freetds的Linuxnetworking服务器连接到它,使用NTLM进行身份validation。 SQL服务器上的防火墙是非常严格的。 1433对我的networking服务器是开放的,但是我从网上得到了有关NTLM成功需要额外的端口(TCP / UDP)的冲突信息。 目前失败; 我可以谈到1433要求NTLM,但实际的身份validation总是失败。 一个来源说137,138,139,但这些只是NetBIOS端口。 我真的需要那些吗? 另一个消息来源说135.还有一些人似乎说1434 …我不能做它的正面或反面。 该死的吉姆,我是一个程序员,而不是networkingpipe理员! 编辑: 确切的错误信息: Msg 18452, Level 14, State 1, Server , Line 0 Login failed for user '(null)'. Reason: Not associated with a trusted SQL Server connection. Msg 20002, Level 9, State -1, Server OpenClient, Line -1 Adaptive Server connection […]
我想创build一个Samba服务器,其中一些共享的访问通过域上的帐户进行控制,但是不将该计算机join域? 这可能吗?
我已经configurationApache来使用mod_auth_kerberos 。 到目前为止,对于连接到Active Directory的客户端以及浏览器启用NTLM,一切正常。 当客户端不在域中或浏览器configuration为不自动进行身份validation时,会通过2次login提示进行提示。 第一个login提示是空的,第二个是我们configuration的 首次login提示: 第二次login提示: 从日志(第一次authentication): [Wed Jan 06 15:47:29 2010] [debug] src/mod_auth_kerb.c(1684): [client xxxx] [pid 2562] kerb_authenticate_user entered with user (NULL) and auth_type Kerberos 在第一次login提示中,我可以放任何用户名和密码的文本。 一旦第一个login表单提交,它将要求第二个login提示。 Apache有以下configuration: <Directory /web/apache2/htdocs> AllowOverride All AuthType Kerberos AuthName "Staff Access ONLY Kerb-Auth" KrbAuthRealms EXAMPLE.COM Krb5Keytab /etc/httpd/conf.d/example.ktab Allow from localhost Require valid-user <Directory> 什么可能是第一个身份validation的原因,我怎么能摆脱他们?
我使用squid 2.6.22(Centos 5 Default)作为代理。 当他们需要NTLM或Kerberos身份validation时,Squid似乎中断了网页的身份validation过程。 我用SharePoint 2007testing并尝试了所有3种身份validation方法(NTLM,Kerberos,Basic)。 在任何情况下访问没有鱿鱼的网站。 当我用鱿鱼访问相同的页面时,只有basic-auth工作。 使用IE或Firefox不会有任何区别。 Squid本身可以被任何人使用(没有configurationauth_param)。 在网上寻找解决scheme有点棘手,因为大多数主题围绕着auth_param来validation用户对鱿鱼的authentication,而不是authentication用户到鱿鱼网页。 谁能帮忙? 编辑: 对不起,但我的第一个testing是完全搞砸了。 我对错误的networking服务器进行了testing(备忘录:在testing之前总是检查假设)。 现在我意识到问题情况完全不同。 Kerberos适用于IE Kerberos适用于Firefox(在about:config中更改“network.negotiate-auth.trusted-uris”之后) NTLM适用于IE NTLM不能在Firefox中工作(即使在about:config中更改“network.automatic-ntlm-auth.trusted-uris”后) 顺便提一句:在squid中提供NTLM-passthrough的function称为“连接钉扎”,HTTP头“Proxy-support:基于会话的authentication”
我们有多个跨越远程地区分支的IIS实例。 每个IIS实例(v.7.5)都运行相同的应用程序,并使用集成身份validation(提供程序列表中的NTLM)对其用户进行身份validation。 一些分支经常与HQ断开连接,从而无法到达域控制器。 当到总部的链接closures时,我们观察到有些用户仍然可以向IIS服务器进行身份validation,而其他一些用户则不能。 我们可以在NTLM和Kerberos身份validation中find的MSFT文档不包含有关这些机制(和/或IIS itslef)如何处理暂时断开的域控制器情况的信息。 信息很容易用于工作站:一个策略设置定义了多lesslogin应保持本地caching,允许具有离线DC的交互式login。 但是,IIS会发生什么? DC不可用时可以进行身份validation吗? 如果是的话,有什么要求? 是否存在某种caching? (通常:如果DC成功closures,域成员工作站是否可以重新启动并仍然可以访问NTLM身份validationIIS应用程序?) 任何帮助或指向有关这个话题文档的指针将不胜感激, 亲切的问候,某人