我正在编写一个 Web 应用程序,它使用 .NET Windows 身份验证并依赖于用户的组成员身份来授权他们访问网站的各个区域。现在我在一台不属于域并且不使用 AD 的开发机器上,相反我只是使用本地用户组。一般来说,这可以正常工作。
但是,当我测试应用程序时,我需要在我的用户帐户中添加和删除角色以验证一切正常。当我添加角色时,它似乎不会传播,直到我注销 Windows 并再次登录。
是否可以在无需注销的情况下强制更新组成员身份?
我有一个小型但不断增长的 Linux 服务器网络。理想情况下,我想要一个中央位置来控制用户访问、更改密码等......我已经阅读了很多关于 LDAP 服务器的内容,但我仍然对选择最佳身份验证方法感到困惑。TLS/SSL 是否足够好?Kerberos 有什么好处?什么是 GSSAPI?等等......我还没有找到一个明确的指南来解释这些不同方法的优缺点。谢谢你的帮助。
我正在为我的团队建立一个小型局域网。出于所有意图和目的,它不会连接到任何外部网络。我希望它能够对用户帐户进行集中控制(至少,我想我会喜欢;我也在考虑使用 puppet,所以理论上我可以只推送 /etc/passwd 更改或其他内容)。机器的数量是固定的,但不是很少。大多数情况下,它们“附加”到单个用户,但有时人们会在其他人的盒子上远程工作;并且有几台服务器。
我读过这个问题,但我的场景要简单得多(甚至比这个问题更简单),我想做一些(相对)快速的事情,没有太多麻烦,但不是一个肮脏的完全不安全的黑客。NIS 与我的场景相关吗?如果不是,那么设置 LDAP(或 LDAP+Kerberos)以实现相同目标的最轻松方法是什么?
笔记:
我对 Kerberos 在 Active Directory 环境中的工作原理以及它用于在网络上对用户和工作站进行身份验证的方法有基本的了解,但我的问题是..因为 Kerberos 依赖于发布安全令牌,然后最终用户使用该令牌进行访问网络资源,不在域中的系统(笔记本电脑)如何仅使用 Active Directory 用户的用户名和密码访问相同的网络资源?
我想如果只使用用户凭据,Kerberos 会生成一个安全令牌并将其发布给系统会更有意义,但似乎应该有更多的安全性来防止非域系统访问网络资源。
如果有人能启发我,我将不胜感激!
active-directory domain kerberos authentication authorization
我的应用程序需要非常频繁地连接到另一台机器上的 mysql 数据库。但是我在连接时经常出错;我通常最终可以连接,但经过多次重试。我得到的错误信息是:
Mysql.mysql(): Couldn't connect to SQL-server: Lost connection to MySQL server at 'reading authorization packet', system error: 2
我已经阅读了这里的信息:http : //dev.mysql.com/doc/refman/5.0/en/error-lost-connection.html以及对错误http://bugs.mysql.com/bug的评论.php?id=28359。
如您所见,有相当多的中止连接:
mysql> SHOW GLOBAL STATUS LIKE 'Aborted_connects'; +-----------------+-------+ | 变量名 | 价值 | +-----------------+-------+ | Aborted_connects | 2540 | +-----------------+-------+
我将超时从 5 秒增加到 15 秒:
mysql> 显示变量,如“connect_timeout”; +-----------------+-------+ | 变量名 | 价值 | +-----------------+-------+ | 连接超时| 15 | +-----------------+-------+
但这并没有帮助。任何建议如何调试?当它在工作之前平均必须尝试连接 5 次时,它会使数据库交互变得非常缓慢。
我还没有尝试在应用程序的整个生命周期内保持连接打开,这样会更好吗?如何防止连接关闭?
如果它有助于解决问题的计算机是 Windows 7 32 位,而 mysql 服务器在 Debian …
给定使用 SVNParentPath 的典型 Subversion/Apache 配置,存储库托管/svn/如下:
<Location /svn>
DAV svn
SVNParentPath /srv/source/svn/repos
SVNReposName "Subversion Repository"
AuthzSVNAccessFile /srv/source/svn/authz
Satisfy Any
AuthType Basic
AuthBasicProvider file
AuthName "Subversion Repository"
AuthUserFile /srv/source/svn/htpasswd
Require valid-user
</Location>
有没有办法覆盖特定存储库的此配置,而不必将它们托管在不同的路径上?也就是说,有什么办法可以添加这样的Location块...
<Location /svn/my_special_repo>
SVNPath /srv/source/svn/repos/my_special_repo
AuthzSVNAccessFile /srv/source/svn/repos/my_special_repo/conf/authz
</Location>
...并让它覆盖Location块中提供的配置
/svn?我尝试使用上述配置执行此操作时,在 Apache 错误日志中遇到了奇怪且无用的错误,例如:
[Wed Feb 02 11:28:35 2011] [error] [client 10.10.209.120]
(20014)Internal error: Can't open file '/srv/source/svn/repos/svn/format':
No such file or directory
所有这些似乎都是 mod_dav_svn 告诉我我不能做我想做的事情的方式。我愿意接受解决方案或替代方案!
编辑:嗯,我可以看到这个问题在读者中引起了很多兴奋。为了记录,我最终可能要做的是为我们所有现有的存储库生成每个存储库的配置,然后放弃SVNParentPath基于配置的配置。per-repo Apache 配置是最小的,尤其是使用类似 …
我正在运行一个基于 linux 的小型家庭网络服务器,它充当互联网路由器、torrent 客户端和文件服务器。我在将 Windows 客户端连接到服务器 Samba 共享时遇到问题(“用户名或密码无效”)。如何启用 Samba 身份验证/授权过程的所有阶段的日志记录,例如“客户端连接”、“客户端提供的用户名......和密码......”等,以便我可以找出到底是什么错误,因为我确定我提供了正确的用户名和密码?
有关 Active 和 Open 目录互操作性的绝大多数问题都涉及让 Mac 客户端查看 AD 并对其进行身份验证。
我们想要做的是让 Windows 7 工作站完全针对 Open Directory 进行身份验证。我们尝试将其设置为 NT4 类型的 PDC,但效果不佳。
我们尝试使用 pGina 和 LDAP 后端,它允许身份验证,但不支持授权,因此,如果我们挂载 NFS 共享,用户有权做任何他们该死的事情。不适合安全(实际上完全不可接受)。
我们尝试使用 Samba 服务器(比 Open Directory Server 更新的版本)作为中间件,以便它知道 OD 服务器上的 LDAP 服务器,但使用 Samba 4 而不是 v3。那也没有用。我们可以登录,但不能挂载,如果登录,我们就拥有与 pGina 相同的权限。如果我们在 Windows 中右键单击已安装的驱动器,并查看 NFS UID,它将返回 -2,而不是正确的(映射的)UID。
所以我的最终计划是在 Windows 2008R2 虚拟机中使用 Active Directory。我想要实现的是让 Active Directory 同步它来自 OpenDirectory 的用户数据(只读就可以)。这样,我们就能够将 Windows 7 客户端连接到一个“虚拟域”,该域实际上只是从 OD 的 LDAP 中获取信息。
我找到的所有信息都是关于如何走另一条路的。
有谁知道我们如何做到这一点?
active-directory ldap authentication opendirectory authorization
我刚刚安装MariaDb在一个新的 Ubuntu Gnome 上,然后运行了mysql_secure_installation,在那里我设置了一个不错的管理员密码,删除了匿名用户等。
后来我意识到有关管理员密码的一些奇怪行为:
mysql -u root -p总是收到一个错误:ERROR 1698 (28000): Access denied for user 'root'@'localhost'sudo mysql -u root -p,我总是可以访问数据库,无论我实际输入哪个密码......这是正常行为,我做错了什么还是我以某种方式搞砸了安装?