作为实施SharePoint 2013安装的一部分,我已在Windows Server 2012 R2上使用ADFSconfiguration了SSO。 有两个独立的AD森林,一个是托pipeSharePoint / ADFS的一部分,另一个是现场公司林。 目前,我已经在SharePoint ADFS中将公司AD设置为Claims Provider Trust 。 我能够成功通过从公司AD到SharePoint的电子邮件属性。 我想实现的是从Hosted AD Forest索赔的一些forms,作为loginCorporate AD账户的一部分。 具体而言,用户将成为安全组的成员,以确定SharePoint许可。 出于安全原因,我不希望从Corporate AD获得此声明信息,因为这意味着用户将能够更改其许可状态。 所以,所有用户在两个森林中实际上都会有一个AD帐户。 单点login通过在login过程中input其公司凭据来提供。 有什么方法可以告诉我的hosted ADFS在自己的AD林中查找与来自Corporate ADFS的incoming Email Address Claim相匹配的用户,然后从所hosted forest向所述电子邮件声明注入Role claim声明? 请参阅下面的图片,我想实现(对不起,快速MS Paint绘图!): 我如何实现步骤4和5? 现行索赔规则 在Hosted ADFS , Corporate Claim Provider Trust Acceptance Transform Rules : 通过传入的电子邮件地址声明,通过所有值 在Hosted ADFS , SharePoint Relying Party Issuance Transform […]
我们有一个ADFS 2.0实例设置。 我们将其用于第三方networking应用程序单点login。 一切都与现有的应用程序,包括SAML 2.0的应用程序,包括IWA传递,当用户被redirect到我们的ADFS服务器时,美妙地运作。 我刚刚使用SAML 2.0为另一个应用程序App2configuration了第二个依赖方信任。 我们正在使用所有默认的ADFS设置,包括端点。 在这个应用程序的SAMLconfiguration页面上,我已经告诉它我们的SAML端点是“ https://adfs.mydomain.com/adfs/ls/ ”。 一切工作正常,除了用户提示input凭据; ADFS不使用IWA进行这些login。 我正在使用IE9从本地域join的工作站进行testing。 内部DNS指向我们的本地域join的ADFS服务器,外部DNS指向我们的DMZ ADFS代理。 “* .mydomain.com”位于GPO的IE的“受信任的站点”区域中,并被应用。 IWA在IE中启用。 每当我closures它时,IE会清除它的caching/ cookies /历史logging。 这两个应用程序都使用SP启动的login,并将其断言发送到我们末端的相同端点URL。 如果我尝试在干净的会话上login到App2,则会显示一个ADFSlogin页面。 如果我input凭据,我login到应用程序,可以继续。 如果我尝试在干净的会话上login到App1,我立即redirect到ADFS,IWA通过,并且login到应用程序并继续。 如果我在login到App1后尝试在同一个会话中login到App2,则我被redirect到ADFS,使用由App1发起的现有ADFSlogin会话,然后立即redirect到App2的断言使用者服务URL并给出一个错误页面。 我最好的猜测是我在RPTconfiguration中缺less一些东西。 SP给我的所有信息都是使用POST绑定的消费者服务端点URL。 我不得不猜测索赔规则。 SP不使用encryption。 App2客户服务一直很困难。 他们的技术支持是海外的,所以我只能在当地时间的午夜时分接受一次回应。 他们的大部分回复都是标准的“从KB复制和粘贴”。 他们更喜欢IdP发起的login,但是说他们支持SP启动 – 这似乎是真实的,因为SSO在login到ADFSlogin页面之后在干净的会话上工作。 有人知道我错过了什么吗?
我试图允许外部基于Linux的应用程序服务器的用户通过LDAPS使用他们的Active Directory凭据进行服务validation。 它适用于pipe理员帐户,但正常用户帐户失败。 问题是有一个“login工作站”设置的用户,限制他们login到域控制器(DC)(或创build一个限制,他们只能login到他们指定的工作站) 初始的LDAP查询是以服务帐户的名义工作的,但是在进行HTTPvalidation时,LDAP服务从服务帐户解除绑定并尝试以用户身份进行绑定。 此时失败。 有没有解决的办法? 通过这种方式来限制对DC的访问是常见的做法吗?
我们有一个HAProxy设置,对我们的一些后端进行基本authentication。 我们现在要启用CORS请求到我们的后端,但是这对启用了基本auth的用户来说是失败的。 当CORS预先考虑OPTIONS请求时,它不包含auth头,因此失败,请求失败。 有没有办法允许OPTIONS请求没有authrisation但强制所有其他请求? 我们的haproxy.cfg包含以下相关的部分: #User lists used to enforce HTTP Basic Authentication … userlist ul_hyknpj6tb-uakf5isp user fred password $6$H/M21cSsvXn$jlEZQV7QL/clhV7JtZkAQf34QAPfZq5sE.zLE.M3gi4K1DV5J6ppc.e1JAOP0CtVxM0.n157llg5tsTp0gPFj1 …. backend b_term_hyknpj6tb-uakf5isp mode http balance roundrobin option forwardfor stick-table type ip size 1k expire 30s store bytes_in_rate(1s),bytes_out_rate(1s) tcp-request content track-sc2 src tcp-request inspect-delay 200ms tcp-request content accept if ! too_many_req tcp-request content accept if […]
AD用户更新了他们的AD密码,但他们的工作站上的几个应用程序似乎仍然在使用他们的旧AD凭据。 有没有一种简单的方法来刷新Windows上的cachingAD凭据(注销或重新启动)? 一些谷歌search暗示“gpupdate /力量”,但我不知道如果这将包括像NTLM凭据和AD密码的东西。
我尝试设置一个LDAP目录,允许我对Debian用户进行身份validation。 一旦LDAP服务器和PAM文件的configuration完成,authentication失败。 我认为客户端没有findldap用户进入目录。 当我尝试用一个LDAP用户login它说不好的login,当我尝试login本地用户,它要求我一个密码,然后LDAP密码。 服务器 1)我先安装了ldap-utils libldap-2.4-2 libldap-2.4-2-dbg slapd slapd-dbg 2)在文件/etc/ldap/ldap.conf中: BASE dc=example,dc=com URI ldap://192.168.1.254/ 3) dpkg-reconfigure slapd 我检查有关域的信息是正确的:正确的。 4) ldapsearch -x 它符合我之前select的。 5)我为目录和用户创build.ldif文件 structure.ldif: dn: ou=users,dc=example,dc=com objectClass: organizationalUnit u: users description: users dn: ou=computers,dc=example,dc=com objectClass: organizationalUnit ou: computers description: computers dn: ou=sale,ou=users,dc=example,dc=com objectClass: organizationalUnit ou: sale description: sale dn: ou=direction,ou=users,dc=example,dc=com objectClass: organizationalUnit ou: direction […]
据我的理解,LetsEncrypt DNSvalidation通过设置静态TXTlogging到DNS(基本上只是一个随机数),然后由LetsEncrypt服务器进行检查。 当我第一次听到这个消息的时候,我非常兴奋,并期待更复杂的东西:一个公钥存储在我的域的DNS中。 然后,为了validation,我创build了一个签名的消息,并且LetsEncrypt服务器检查签名是否有效。 由于我拥有DNS和私钥中的公钥,这就build立了我控制域的certificate。 发现这种方式不起作用有点令人失望:它需要人工交互,甚至需要更新一个新的TXTlogging。 是否有一个技术原因,没有使用签名方法? 如果不是,那么LetsEncrypt没有实现它的原因是什么?
我们已经实现了LDAP到NIS的解决scheme,并已开始将一些系统转换为本地LDAP绑定以进行身份validation和自动安装地图。 不幸的是,我们有一个非常混杂的环境,拥有20多个nix环境。 每个变体的设置当然是独一无二的,并且需要各种变通方法才能获得完整的function。 我们现在正处于我们愿意重新考虑解决scheme的地步,并且有可能迁移到像Likewise( http://www.likewise.org )这样的东西,但是想知道别人正在用什么来解决这个问题。
我有一个Ubuntu服务器,能够validation用户对我们的域名。 我不能联系谁设置了这个,但我find这些包安装: libaprtil1-ldap libldap-2.4-2 samba 我们的服务器在这一点上花了很长时间来validation任何用户。 我相信是因为我们的一个区议会几个星期前被禁用了。 这会导致许多程序在成功validation之前用于超时。 我不想卸载任何东西,因为我不想为我们的pipe理员做更多的工作。 我只是需要一些build议,我可以如何禁用这一点,直到事情得到解决。
我想通过nginx代理将IMAP客户端请求发送到IMAP后端。 根据mail_auth_http模块,必须使用伪指令auth_http来validation客户端。 但auth_http的目的究竟是什么,为什么authentication过程不能简单地转发到IMAP后端呢? 据我所知, auth_http指向一个authentication脚本,它使用一个自定义的HTTP协议来确定将使用哪个后端等,实际的基于IMAP的authentication被完全跳过。 我对么? 如果有人能举一个实际的例子,我会很感激。