我有ASP.NET 2.0站点configuration为使用Kerberos委派执行Windows集成安全性。 包括DC的服务器在Windows 2003上运行,并将委派升级到Windows 2003级别。 顺便说一句,所有服务器都设置为EST 身份validation工作良好,突然服务器在系统日志中写入LsaSrv警告事件(事件ID 40960),抱怨服务器之间的时间差异。 在此期间,客户端会收到所有请求的401.2消息。 20-30分钟后,auth开始工作“神奇” 我运行了wireshark和fiddler跟踪,发现响应头中的时间戳是在GMT,即使服务器是在EST中configuration的。 我不确定这是怎么回事。 有任何想法吗? 任何其他build议非常感谢。
我们有一个应用程序,它使用本地Sql Server实例作为其后端存储。 pipe理员的Windowslogin已经将其系统pipe理员权限撤销,而创build了两个SQLlogin名; 一个用于秘密密码的应用程序和一个只读login,我们让用户查看原始数据。 这是工作正常,直到我们移动FileStreams,这需要集成的Windows身份validation。 所以现在sql服务器login必须被replace。 因此,我现在正在检查我们所有的login信息,但我不确定它是如何可能的。 看起来,应用程序需要完全的读/写访问,但我仍然需要locking写入表,以便用户不能login到数据库和随机删除数据。 有没有人有任何提示设置多个级别的安全使用集成的Windowslogin,或者你可以指示我进一步阅读? 谢谢。
有人提供一个简单而经济实惠的RDP双重身份validation解决scheme,类似于UNIX上的SSHlogin? 拍
我试图启用Windowsauthentication的Postgresql 9.3(Windows x64 不在域中 ,UAC被禁用,我的帐户是本地pipe理员)。 一键安装程序设置服务器运行NETWORKSERVICE ,我认为是好的。 我跟着这个答案,但它不起作用: C:\Program Files\PostgreSQL\9.3\bin>createdb –host=localhost testdb Password: Password: createdb: could not connect to database template1: fe_sendauth: no password supplied 创build的loginangular色完全按照Windows帐户名称命名 – 仍然没有运气。 我究竟做错了什么? 我在网上find的所有手册不是过时就是不适用(需要AD)。
我正在阅读关于IIS7中的Windows身份validation 我从经验中知道,Windows身份validation在技术上可以在Internet上使用IIS进行工作 – 这意味着用户受到401未经授权的挑战,并且大多数浏览器(Chrome,FF,IE,Safari)会提示inputwindows \ user和password,如果authentication成功,并且如果被授权,则用户获得所请求的页面。 但后来我读到: Windows身份validation不适合在Internet环境中使用,因为该环境不要求或encryption用户凭据。 HTTPS可以用于encryption,但我正在寻求澄清的另一部分。 什么“不需要用户凭证”是什么意思? 在此基础上,真正的问题是:除了使用HTTPS进行encryption之外, 如何以安全的方式实现Windows身份validation以用于Internet环境? 微软的说法似乎是没有根据的。 我得知,如果使用NTLM而不是Kerberos,那么您将失去与受信任的第三方身份提供者的直接连接,但是这并不能解释为什么如果正确实施,将不需要证书。 寻求那个方法。 谢谢。
我们运行Windows XP,Vista,现在正在我们的企业环境中testingWindows 7。 到目前为止,我们所有的Win7安装已经安装了x64,结果相同,我们必须对每个企业内部网站进行身份validation。 单点login在Firefox和其他操作系统上的所有版本的IE。 IE或Firefox都不能在Win7中单点login,这让我们相信这与Win7有关。 我们在Windows XP或Vista中没有这个问题。 Win7中有一个允许单点login的设置吗? 是否有特定于Win7的域设置?
我正在经历一个假设的ASP身份validation问题,错误是访问被拒绝给用户: MYDOMAIN\MYCOMPUTER$ MYDOMAIN是域名的占位符, MYCOMPUTER是计算机名称。 这有特殊的意义吗? 我想这可能意味着“本地系统帐户”,或者它可能指定一个计算机帐户。
我是一名开发人员,对Windows服务器机器的使用感到好奇。 A)我相信他们显示交互式login屏幕,但没有任何用户曾经login运行。 正确? 在(*)的定义的上下文中,引导的Windows ADjoin的机器在哪个帐户下由AD DC(域控制器)标识/保护: B)本地机器帐户( (*)中的表1) C)域计算机帐户( (*)中的表2) ADjoin的机器显示login屏幕,此后可以进行2次基本login: 1)本地用户帐户 2)域用户帐户 在上下文中,B)或C)在A)之后运行,即在login屏幕之后,进一步login的本地用户1)? 更新1: 我知道如何识别,模仿和授权stream程的工作。 这个问题是关于什么时候Windows机器启动,并显示交互式login屏幕的select。 1)在任何(交互式)用户login之前启动哪个机器帐户? 当它显示login屏幕? 2) 那么,基本上我正在重写原来的问题。 但是,读了(*)后 ,我不明白为什么需要“计算机DEMOSYSTEM的机器SID”(在表1中)。 在将机器连接到AD之前,不用于访问其他机器,甚至在将机器连接到AD之后似乎也不需要。 更新2: 另外,join域之前很难相信机器的本地用户帐号与join之后是一样的。 即使是AD计算机的本地帐户,计算机也被识别并且通道由DC保护,但是不适用于工作组1。 从这个问题分叉的问题: 工作组Windows用户(或组)可以使用域帐户? 但反之亦然? Windows AD DC中的域pipe理员与pipe理员 引: (*) Aaron Margosis的博客机器SID和域SID 相关问题: – Windows工作组LocalSystem与域(AD)LocalSystem [已closures]
我想要具体的条款。 当我说DMZ的时候,我正在谈论一个地方,你会把服务器暴露给像互联网这样的不可信任的networking,或者在某些情况下只是那些不太可信的networking。 我试图通过审计我们通过防火墙公开的东西来支撑我们的networking边界。 我说的防火墙不是微软的ISA服务器,永远不会。 如果你们中的任何一个处于这种情况,你就知道允许成员服务器连接到域控制器所需的端口非常广泛。 微软试图解决这个问题提供了一些使用RODC来减less开放端口数量的devise,但是即使它只是一个端口,Active Directory本身也是一个未经授权的人攻击了DMZ成员服务器的情况。 DMZ中AD成员服务器的共识是什么? 太不安全,还是可以接受的风险? 假设前者(我倾向于),除了本地帐户身份validation之外,是否还有比AD更安全的选项来validationloginDMZ Windows服务器的用户? 如果没有,那么是否有一种机制可以在login时将本地帐户与真实用户相关联以进行审计? 似乎跟踪用户在独立服务器DMZ中的行为的唯一select是为login到服务器的每个用户创build本地计算机帐户。 当然,理想情况下,您没有人login到服务器进行正常操作; 整个事情应该由代理使用服务帐户进行pipe理(这是一个整体“另外的讨论)。 但是现在我们的行动还不是“那里”。 我们希望DSC能够做到这一点。 微软的build议的重点是对我来说不切实际或错过了这一点。 一个仅用于DMZ的Active Directory降低了入侵者收集英特尔的能力,但仍然使得该向量几乎就地存在。 他们的解决scheme可以做的最好的办法是把这个英特尔限制在DMZ上(除了你的DMZ AD可能提供的服务外),将风险宝贝分开。 权衡是每个DMZ的一个AD。 所以现在你的pipe理员正在pipe理一个帐户+ N DMZ's。 并不是说微软正在倾听,但是需要有一个中间的方式来授权Windows用户,但是不需要使用像enum LDAP用户那样的凭据。
我已经安装了一些通用的凭据到Windows凭据pipe理器。 我还安装了以此用户帐户运行的服务。 服务是否可以使用这些凭据? 我需要该服务通过https访问我们的私人bitbucket存储库。 但是我得到的结果不一致。 进程完整性级别是否可能阻止访问wcm?