我们使用Office 365 SAML与NewRelic进行身份validation。 我最近工厂重置我的手机,现在没有我的Microsoft身份validation器帐户。 我想弄清楚如何重新设置,但无法在365设置或365pipe理中的任何位置find该function。 SAML页面认为我已经有了这个设置,我看不到重新激活的方法。 有谁知道这个选项在哪里? 谢谢
在OAuth2身份validation过程中,刷新令牌只能使用一次。 当使用refresh_token ,它将返回一个新的access_token 和一个新的refresh_token 。 这也在RFC6819规范中 : 5.2.2.3。 刷新令牌旋转 刷新令牌轮换旨在自动检测并阻止尝试从不同的应用程序/设备并行使用相同的刷新令牌。 如果令牌从客户端被窃取,并且随后被攻击者和合法客户端使用,则会发生这种情况。 其基本思想是用每个刷新请求来更改刷新标记值,以检测尝试使用旧刷新标记获取访问令牌的尝试。 由于授权服务器不能确定攻击者或合法客户端是否试图访问,在这种访问尝试的情况下,有效刷新令牌和与其相关联的访问授权都被撤销。 OAuth规范支持这一措施,因为令牌的响应允许授权服务器甚至对授予types为“refresh_token”的请求返回新的刷新令牌。 注意:由于必须确保使用当前有效的刷新令牌,因此此措施可能会在群集环境中导致问题。 在这样的环境下,其他措施可能更合适。 这也允许authentication服务器识别出refresh_token已被泄露,因为它只应该被使用一次。 如果具有相同的refresh_token的新的更新请求进来authentication服务器知道有什么可疑的事情发生。 我想知道服务器处理这种情况的正确方法是什么? 我的猜测是,至less所有的特定客户的access_tokens应该被直接废除。 OAuth2服务器如何使用相同的refresh_token通常处理多个请求?
我为我的组织实施了一个网页filter,并且正在考虑zScaler。 我不想使用代理PAC文件。 我刚拿到zScaler的销售电话,他们声称,他们可以使用cookie来区分我的用户后NAT。 他们没有解释它是如何工作,但给我演示。 我的拓扑结构如下所示: RFC 1918 Space – > FW – > 1.1.1.1 – 1.1.1.2 – > Router – > Internet 本质上在路由器上面我将GRE隧道到他们的ZEN节点。 ZEN只会看到我的公共IP 1.1.1.1。 第一次访问互联网时,我将不得不进行身份validation。 之后,使用cookies跟踪用户会话。 这对我来说没有意义,因为: 两个网站,cnn.com和reddit.com,例如将有我的浏览器设置完全不同的cookie。 zScaler会看到类似于: 1.1.1.1:23883 – > cnn.com:80 + HTTP头和由浏览器发送的可能是cnn.com独有的cookie,不一定要把我当作joeDomainUser。 1.1.1.1:26364 – > reddit.com:80 +浏览器发送的HTTP标头和可能的cookie,它们对于reddit.com是唯一的,不一定要把我标识为joeDomainUser。 当然,如果我通过cnn.comauthentication,它可以在响应中注入一个cookie,但是如何在reddit.com上跟踪我呢? 浏览器将发送不同的cookie。
我有一个LDAP,我必须从头开始创build。 这将处理多个域,其中将是多个应用程序。 基于每个应用程序的多个授权。 我不想复制用户,而且据我所知,用户不能存在于多个OU中。 所以我希望用户能够访问某个域上的某个应用程序,以及某个其他域上的某个其他应用程序。 build模的最好方法是什么? 我想过: cn=UserXYZ,ou=people,c=multiverse 1个用户的cn=UserXYZ,ou=people,c=multiverse , cn=app1,dc=domain,dc=com,c=multiverse 1个应用的cn=app1,dc=domain,dc=com,c=multiverse 。 然后处理每个应用程序中的每个访问权限,从多个用户引用用户。 我在做一些疯狂的事情吗? 什么是正确的做法? (该域名不会全部来自.com )
我可以创build另一台服务器,使用主服务器的/ etc / passwd来authentication它的用户,如果我共享用户的家园,那么他们可以在主目录中做他们想做的一切,而不消耗主服务器的CPU / RAM。 我试图build立一个可扩展的应用程序,而不会让我的主服务器有数百万个文件请求,所以我的目标是围绕主服务器构build处理服务器。 感谢:D 注意: – 主服务器是存储所有用户文件的地方。 – 主服务器正在运行plesk 9.2 – 是的这是一个共享的宿主环境
我第一次build立一个SQL服务器,所以我希望你能帮我一把。 我在使用SQL EXPRESS 2008中的SQL身份validationlogin时遇到了一些问题。我已经通过pipe理界面添加了一个用户,如下图所示。 但只要我尝试login使用SQL身份validation我得到一个错误login失败的用户。 服务器日志说: Login failed for user 'zebisgaard'. Reason: Could not find a login matching the name provided. [CLIENT: <named pipe>] Error: 18456, Severity: 14, State: 5. 你有一个想法,为什么? 我有三重检查,用户名/密码是正确的,试图重新创build用户等等。 而这一切都是本地主机。
我遇到的问题访问Exchange WebDav / OWA从任何机器,但IIS和Exchange服务器。 我们有一个运行Windows 2003的小型开发域。一台服务器(我们称之为IIS_box)运行IIS和Exchange 2003. IIS_Box在/Exchange/虚拟目录上安装了Outlook Web Access,权限拒绝匿名用户,启用身份validation和集成Windows身份validation。 在IIS_Box上,访问http://IIS_Box.ourDomain.net/Exchange/向用户提供OWA应用程序,而不提示input用户名/密码。 但是,转到http:// IIS_Box / Exchange /用户将显示一个用户名/密码对话框。 如果用户没有input用户名和密码,他们会收到401.2 Unauthorized: Access denied due to server configuration错误401.2 Unauthorized: Access denied due to server configuration 。 如果用户尝试input用户名和密码,他们会得到一个401.1 Unauthorized: Access is denied due to invalid credentials 。 在任何其他机器上,用户都会看到用户名/密码对话框,无论他们使用FQDN还是只使用裸露的服务器名称,都会收到401错误。 任何人有任何想法是什么问题,以及我们如何解决? 编辑: 继Jeff从下面的回答后 ,客户正在使用IE7。 在IIS_Box上,将非FQDN URL添加到IIS_Box上的“Intranet”区域可以使其工作。 太棒了! 但是,将普通URL和FQDN URL添加到其他计算机上的“Intranet”区域不会。 这些URL现在显示为“本地Intranet”,但我仍然收到基本身份validation提示和401错误。 如果我进入客户端IE设置,在高级…安全下,如果我禁用 “启用集成Windows身份validation”,它一切正常(如果它在Intranet区域)。 […]
我试图允许对Nagios安装中某些脚本的未经validation的访问。 虽然这个问题并不是关于Nagios,也不是CGI的处理,下面还要说明。 本质上,我想要在特定目录中的任何东西进行身份validation: http://example.com/nagios/cgi-bin/…. 除了2个特定的path: http://example.com/nagios/cgi-bin/avail.cgi…. http://example.com/nagios/cgi-bin/trends.cgi…. 目前,我已经设置了Apache来要求所有访问http://example.com/nagios/cgi-bin的authentication ScriptAlias /nagios/cgi-bin /usr/local/nagios/sbin <Directory "/usr/local/nagios/sbin"> Options ExecCGI AllowOverride None Order allow,deny Allow from all AuthName "Nagios Access" AuthType Basic AuthUserFile /usr/local/nagios/etc/htpasswd.users Require valid-user </Directory> 我不希望复制在不同的目录中的脚本,因为这是打包软件,我想尽量减less支持 – 我不确定包内的URL使用规范path。 编辑: 我可以使用FilesMatch而不是Direcory块吗? 如果是这样,是基于PCRE或POSIX的Apache正则expression式? 编辑3: 运用 <FilesMatch "/(cgi-bin\/)(?!trends.cgi)(?!avail.cgi)/"> 从dir中的所有url中删除身份validation:( 我也尝试复制不同目录中的avail.cgi和trends.cgi脚本。 这似乎工作 – 但forms不填充我的Nagiosconfiguration的任何数据! 看起来,Nagios代码中内置了一个额外的authentication层。 这也将打败“要求任何/允许从IP”的方法。 🙁 虽然MSIE中的修改后的行为可能是正确的, 但这会导致我可怕的头痛!
我最近使用Courier在Ubuntu 10.04服务器上设置了Exim4。 一切工作正常本地邮件传递,唯一缺less的一块是SMTP身份validation。 我在Courier服务器上有一个帐户设置,但是每当我尝试发送到主机时,它都不会提示我进行身份validation,并报告以下信息: Error while Sending message. RCPT TO <[email protected]> failed: relay not permitted 我在“超级debugging模式”下运行exim并收到以下内容: Exim version 4.71 uid=0 gid=0 pid=28644 D=fbb95cfd Berkeley DB: Berkeley DB 4.8.24: (August 14, 2009) Support for: crypteq iconv() IPv6 PAM Perl Expand_dlfunc GnuTLS move_frozen_messages Content_Scanning DKIM Old_Demime Lookups: lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmnz dnsdb dsearch ldap […]
我目前在我的一台服务器上遇到了一个特殊的问题,这在某种程度上似乎与身份validation有关,但我不知道如何find问题的根源。 我在服务器上有一个文件夹D:\ Somefolder \ Logs。 如果我通过RDPterminal连接到服务器,那么本质上是“本地”,我无法访问该文件夹 – 我得到一个访问被拒绝。 如果我使用share \ server \ d $ \ Somefolder \ Logs从我的机器连接到它,我可以访问它。 我以同一用户身份login到两台机器。 文件夹上的权限看起来很简单,CREATOR OWNER,SYSTEM和Administrators。 我是域pipe理员,他们在本地“pipe理员”组。 它也影响到像访问SQL Server的东西,所以我不认为这是一个简单的文件夹权限的事情。 例如,我无法将SQL Management Studio连接到使用域帐户的所有本地SQL实例,但是如果我远程连接它,则可以。