我有我的Ubuntu 15.04服务器间歇性身份validation问题。 定期地,authentication将停止工作。 最终它将自行重新开始工作。 或者,如果我重新启动smbd和sssd,它将立即再次开始工作。 大约在auth问题的同一时间,我在/ var / log / syslog中看到这个错误: [sssd [ldap_child [4199]]]:使用keytab [MEMORY:/etc/krb5.keytab]初始化凭证失败:KDC不支持encryptiontypes。 无法创buildGSSAPIencryption的LDAP连接。 我的search引擎向我指出了将“allow_weak_crypto = true”添加到/etc/krb5.conf的libdefaults部分。 我试过,但无济于事。 我有一堆configuration为AD身份validation的CentOS 6服务器(同样的smb和sssdconfiguration等),他们都工作正常,没有任何问题。 任何人有任何其他的想法?
我在通过IBM XIV上的LDAP(Active Directory)Windows 2008 R2validation用户方面存在问题。 排除故障后,我发现CommonName中的波兰语字母(distinguishedName包含CN) CN中没有波兰字母的用户可以正常工作。 这里输出XCLI会话XIVlogin没有波兰字符CN XIV >> ldap_test user = [email protected] password = p4ssword 命令执行成功 这里输出XCLI会话,在CN中input波兰语 XIV >> ldap_test user = [email protected] password = p4ssword 错误:LOGIN_FAILURE_USER_NOT_AUTHENTICATED_BY_LDAP_SERVER 详细信息:用户[email protected]未通过LDAP服务器“dc.domain.com” 我已经google'd很多,但是…没有发现什么特殊的文件只有ASCII字符只允许: http ://www-01.ibm.com/support/knowledgecenter/SSAW57_7.0.0/com.ibm.websphere.nd 。 DOC /信息/ AE / AE / csec_chars.html 我不知道我现在可以做什么…任何人有想法如何得到它与特殊的波兰信件工作? 我不想在我的AD:s中把CN改成非波兰字母
我想让我的Apache Web服务器只接受SSL连接,如果客户端呈现给自己一个特定的SSL客户端证书。 换句话说,只有一个客户端是允许的,它必须使用特定的客户端证书(我也有)。 这个客户端证书(我们称之为“MyClientCertificate”)是一个由CA发出的正常的PEM证书(我们称之为“MyCA”),我也有证书。 这就是我为此configuration了Apache虚拟主机(我仅报告与SSL客户端validation相关的选项): SSLVerifyClient require SSLCACertificatePath /etc/ssl/certs SSLCACertificateFile /etc/ssl/client/MyClientCertificate.pem SSLCADNRequestFile /etc/ssl/client/MyClientCertificate.pem SSLVerifyDepth 1 选项的解释(或者我的意图至less…): 与“SSLVerifyClient要求”我强制Apache始终执行客户端validation,并拒绝连接,如果它失败 / etc / ssl / certs包含MyCA的PEM证书(正确地安装在系统中,具有所需的散列+符号链接过程),只要所有其他知名CA的Apache可以识别 使用SSLCACertificateFile我将MyClientCertificate证书添加到/ etc / ssl / certs中的CA证书列表中,作为一个受信任的证书本身,以及SSLCADNRequestFile我说我的服务器应该只请求该证书(并且只有这个证书)到客户端,而不是SSLCACertificatePath + SSLCACertificateFile中的所有CA证书列表 与“SSLVerifyDepth 1”我说,允许的客户端证书是由服务器所识别的CA(在SSLCACertificatePath中)签名的, 这似乎工作:Apache要求客户端证书,拒绝连接,如果没有提供指定的客户端证书,并接受它,如果是。 然而,最近客户端(这是我的供应商)已经决定改变它的客户端证书,用一个新的(我们称之为MyNewClientCertificate.pem),用2048位encryption而不是旧的1024位深度。 问题是这样的: 供应商表示已更改其客户端证书,并且正在使用新证书进行身份validation 供应商肯定地说它只是提供新的证书,而不是新的和旧的证书 我还没有改变我的Apacheconfiguration(因此,我的Apache仍然被configuration为请求旧的证书) 但我的Apache正在接受供应商客户端连接没有任何问题! 我会期望它开始失败,直到我改变它的configuration,以取代MyClientCertificate.pem引用与MyNewClientCertificate.pem 新的证书由旧的证书发出。 供应商build议我的Apacheconfiguration可能会接受来自客户端的所有连接,这些客户端提供由该CA发出的证书,而不是在客户端证书本身上执行匹配。 如果是这样的话,我在configuration中做错了什么? 我应该将SSLVerifyDepth降低到0吗? (但是这不是说证书必须是自签名的吗?)还是我必须改变SSLCACertificateFile / SSLCADNRequestFile指令中的内容? 由于这个系统正在生产中,我不具备执行所有我能想到的testing的能力,但是我应该尽量做出有针对性的改变,以便尽快得到正确的结果。 这就是为什么我会很感激这个话题的任何帮助。
我通过SQL身份validation连接到名为“server”的MSSql 11.0.2100服务器,名为“user”的用户。 当我在“导入和导出”向导中尝试完全相同的凭据时,连接失败,出现以下情况: Unable to complete login process due to delay in opening server server connection (Microsoft Sql Server Native Client 11.0) 我错过了什么? 谢谢!
注意 :这是从StackOverflow转发 。 我正在尝试将Windows Core Docker映像推送到我的Docker Hub帐户中。 错误信息(1)我得到的是: $ docker push <MY_DOCKER_HUB_USERNAME>/<MY_IMAGE> The push refers to a repository [docker.io/MY_DOCKER_HUB_USERNAME/MY_IMAGE] (len: 2) 46e2fd82ef4a: Preparing Error parsing HTTP response: invalid character '<' looking for beginning of value: "<html><body><h1>403 Forbidden</h1>\nRequest forbidden by administrative rules.\n</body></html>\n\n" 在推送之前,我通过login用法从我的Mac OS X框中获得正确的身份validation: $ docker login –username=<MY_USERNAME> –email=<MY_EMAIL@MY_SERVER.COM> WARNING: login credentials saved in /Users/<MY_USERNAME>/.docker/config.json […]
我正在一个公司networking工作,不幸的是这是一个公司networking,导致了一个有趣的安全要求,我敢肯定是可能的(我只是不知道如何) 该公司拥有自己的签名证书,为客户和服务器都签署了证书,到目前为止,这是正常的,但inheritance人我的问题,我需要configurationApache只信任签署的证书从几个客户端,而不是所有的证书签署的自签名的CA 我相信这被称为直接信任,但我正在努力看到我如何实现它
让我首先说,我对XMPP协议或实时通信知之甚less。 然而,我设法使用TLSencryption设置了一个ejabberd服务器。 我写了一个自定义用户系统保存到MySQL数据库的PHP网站。 用户的数据库如下所示: MyDatabase的 UsersTable UID 用户名 密码(散列) 盐 SessionsTable uid FOREIGN KEY 会话密钥(散列) 我在我的网站上validation用户的方式是通过将密码与盐和散列方法结合使用。 为了运行会话,我把一个会话密钥放在他们的浏览器会话中,并在页面加载中检索它进行validation。 我的问题:看来XMPP服务器有它自己的用户authentication系统。 我希望它使用我现有的一个,以便login用户可以立即初始化聊天没有一个单独的注册和login。 这也将使得validation用户变得更容易。 我在某处读到MySQL身份validation与XMPP不兼容的情况:我听说它占用了资源,因为它出于某种原因必须在每次发送消息时对用户进行身份validation。 如果这是真的,自动注册新用户的最佳方式是什么? 我想知道我自己的validation,我只是知道我可以传递任何需要的信息login用户的XMPP客户端,无论是用户名/用户名或其他。
我有一个configuration为Kerberos身份validation的IIS 7.5服务器,这一直工作很好。 最近,一些Windows更新被应用(由服务器pipe理员),现在当我的IIS服务器连接到远程SQL Server实例(双跳)时,kerberos票据不会被传递到SQL Server – 但只能用于Windows客户端。 当我连接我的Mac时,一切正常。 我也知道Kerberos票据正在从客户端传递,因为该站点只通过Kerberos进行身份validation(Authentication-> Windows Authentication only – > Negotiate:Kerberos provider only),我可以回显用户名(这是与PHP,所以$_SERVER['REMOTE_USER'] )。 注意:在应用更新之前,这一切都工作正常,从Mac(特别是Safari)访问时,一切仍然工作。 没有对IIS进行configuration更改,所以我不知道从哪里开始寻找。 我怀疑Kerberos可能会破坏的地方有很多,我需要一些帮助。 有没有人曾经遇到过这样的问题,或者有什么想法开始寻找哪里可能破碎的地方?
我的用户在外部networking中的[externalserver]上工作。 我想让他们访问我的防火墙networking内的https服务。 我在DMZ中使用了无密码的ssh访问权限。 目前我让他们创build一个SSH SOCKS5转发代理: user@externalserver> ssh -Nf -D 9876 user@jumphost 并让他们把这个socks化的应用程序指向localhost:9876。 问题是,一旦build立了这个隧道,[externalserver]上的所有用户都可以通过它访问我的内部https服务。 显然ssh不提供SOCKS代理的身份validation。 我怎样才能实现这个function,但防止[外部服务器]上的非授权用户访问我的networking? 最好是一个无密码的解决scheme。 我对[externalserver]没有pipe理权限。
我有一个系统,目前使用LDAP / AD服务器通过pam和pam_ldap模块进行身份validation。 为了使用此服务器进行身份validation,pam_ldap需要一个将LDAP上的数据公开给我的帐户。 帐户数据通常通过configuration的binddn和bindpw字段填充。 据我所知,pam模块使用binddn和bindpwlogin,然后为用户执行search,然后绑定每个能够login的用户。 LDAP / AD服务器的pipe理员希望我使用加载到我的系统上的Kerberos密钥表,而不是提供binddn和bindpw。 所以我的问题是: 我怎样才能configuration帕姆这种情况? 我能够获得ldapsearch命令与kerberos证书一起使用,但是pam_ldap 文档声明初始绑定仅支持简单的身份validation。 这意味着服务器需要提供binddn和bindpw(他们想要停止使用),或者允许匿名绑定,这是他们绝对不想允许的。 我发现这个页面包含一个标题为“为LDAP绑定configurationKerberos身份validation”的部分,这听起来正是我想要做的,但我一直无法弄清楚如何将其应用于我的情况。 任何帮助,方向或commiserating将不胜感激。 这是我可以find我的问题已经在这里最接近的事情: 链接 。