- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
我正在开发一个在双跃点场景中使用 kerberos 身份验证的应用程序:客户端正在连接到服务器,需要使用客户端的凭据来连接 SQL 服务器。
我已经使用 kerberos MIT 版本的 GSoap 和 GSS-API 完成了它;但我希望使用 winHTTP 来处理身份验证。
但是,当我尝试将 winHTTP 与 GSOAP WINHTTP PLUGIN(code.google 上的 gsoapwinhttp)一起使用时,委托(delegate)被域 Controller 阻止。我想保留此 Active Directory 配置:
当我查看 GSS-API kerberos 票证时,我发现了几个允许委托(delegate)的标志,例如 fowardable 或 deleg_req_flag:
所以我的问题是:我可以在不更改域 Controller 配置的情况下修改 winHTTP 标志以允许委派吗?
编辑:
我在 setCredentials 中使用选项 WINHTTP_AUTH_SCHEME_NEGOTIATE
并在 setOption 中使用 WINHTTP_AUTOLOGON_SECURITY_LEVEL_LOW
以确保使用 Microsoft 网站中指定的 Kerberos 或 NTLM WinHttpSetCredentials .
我使用 Fiddler 检查了 HTTP 连接,它正在使用 Kerberos,但我仍然无法委托(delegate)给我的下一个服务器。
我尝试使用 setOption 的几乎所有可能选项,例如 WINHTTP_ENABLE_SSL_REVERT_IMPERSONATION
或所有看起来像委托(delegate)的选项,但在使用此选项时出现奇怪的错误:
End of file or no input: message transfer interrupted or timed out (629s recv send delay)
我尝试设置不同的 recv_timeout 但仍然是同样的错误。
.
最佳答案
我研究过这种 kerberos-delegation问题很多。您遇到了 Kerberos 双跃点问题。在那active-directory您提供的配置屏幕截图,您必须配置委派;现在委托(delegate)还没有设置。要尝试的第一项是开放委派,为此选择单选按钮:信任这台计算机以委派任何服务(仅限 Kerberos)。您在需要使用客户端凭据连接 SQL 服务器的 AD 中的计算机帐户上设置此项 - 而不是在域 Controller 帐户上。如果您的应用程序实际上在域 Controller 上运行,那么这是一个已知问题和不受支持的配置,将无法正常工作 - 请将应用程序移动到域的成员服务器。
关于那些允许委托(delegate)的标志,例如在 Fiddler 跟踪中显示为设置的 fowardable 或 deleg_req_flag,我不确定为什么它们显示为已设置,但它们可能是从错误的帐户设置的。从您发布的屏幕截图的帐户来看,根本没有配置 Kerberos 委派。
在您的方案中,您必须在运行 WinHTTP 进程的计算机帐户上设置 Kerberos 委托(delegate),在下面显示的示例中,这将是“Server1”。
在该帐户的 Kerberos 委派属性中,您可以指定开放委派(如上所述顶部单选按钮)或限制委派到 Server2 上的进程,Server1 可以将用户凭据(Kerberos 服务票证)转发到该进程.
关于c++ - 允许在没有 Active Directory 信任的情况下进行 winhttp 委派,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45298143/
我有一个 ASP.NET 网站,我希望只允许 AD 组中的用户访问该网站。我正在使用如下的 web.config 片段,但这似乎不起作用:
仅当选中所有框时才应禁用“允许”按钮。我该怎么做?我已经完成了 HTML 部分,如下所示。如何执行其中的逻辑部分?即使未选中一个复选框,也应禁用“允许”按钮
当前有一个Navigator.push(context,route),但是上下文部分返回了错误,在尝试调试后,我发现问题是因为我在调用一个函数而不是直接将home设置为widget树。但是现在我不确定
这是我的邮政编码正则表达式 ^[a-zA-Z0-9]{1,9}$ 但不允许 A-12345。如何更改 - 也将被允许的正则表达式? 最佳答案 在字符集的开头或结尾添加-([...]): ^[-a-zA
我目前正在建立我的网站,但遇到了一个问题 JavaScript 中的混合内容阻止 当我尝试加载和显示来自 的图像和页面时,Chrome、Mozilla 和 Explorer 会发生这种情况http 我
我见过使用: [mysqld] bind-address = 255.112.324.12 允许远程访问单个 IP。我如何允许从 mysql 远程访问所有 IP? 最佳答案 如果你想允许它用于所
我想知道是否可以使用模板实现某些功能。我想要做的是允许特定的“复制构造函数和赋值运算符”从一个模板到另一个模板并禁用其他模板。 我想我只完成了一件我想要的事情,所以我提供了下面的类(class)。对于
这个问题在这里已经有了答案: How to validate an email address in PHP (15 个答案) 关闭 2 年前。 正则表达式让我大吃一惊。我如何更改此设置以验证带有加
解析可以采用以下格式之一的日期的最佳方法是什么 "dd-MM-yyyy HH:mm" "dd/MM/yyyy HH:mm" "dd.MM.yyyy HH:mm" 无需创建 3 个 SimpleD
我们知道,下面的代码格式不正确,因为成员 x 在依赖的基类中。但是,将指定行上的 x 更改为 this->x 将修复错误。 template struct B { int x; }; tem
如果能帮助我理解“Java 并发实践”中的以下内容,我将不胜感激: Calling an overrideable instance method(one that is neither privat
此时如果上传一个不在预定义的安全扩展名列表,如.lrc,会报错: File type does not meet security guidelines. Try another. 解决此问题有
我有一个运行韵律,可以为我的几个域和一个 friend 域处理 XMPP。我 friend 域中的一位用户(他的妻子)想更改她的密码(实际上她忘记了她,所以我会用 prosodyctl 设置一个,然后
使用 nginx,您可以允许和拒绝范围和 ips (https://www.nginx.com/resources/admin-guide/restricting-access/)。使用realip模
什么是一些好的克里金法/插值想法/选项,可以让重度权重的点在绘制的 R map 上的轻权重点上流血? 康涅狄格州有八个县。我找到了质心并想绘制这八个县中每个县的贫困率。其中三个县人口稠密(约 100
我正在使用 virtualbox + ubuntu + vagrant . 但是我不能ping或 wget任何网址。请指导我如何允许虚拟机访问我的主机的互联网? 最佳答案 这对我有用。 使用此配置 V
标题可能有点令人困惑,所以让我向您解释一下。 在 Swift 中,我们可以拥有带有默认参数值的函数,例如: func foo(value: Int = 32) { } 我们也可以有 In-Out 参数
有TextView1 和TextView2。 TextView2 应该 float 在 TextView1 的右侧。只要两个 TextView 的总宽度不使 TextView2 与右侧的框重叠,Tex
使用 Magento 收集方法 addFieldToFilter 时是否可以允许按 NULL 值进行过滤?我想选择集合中具有自定义属性的所有产品,即使没有为该属性分配任何值。 最佳答案 您不需要使用
我正试图从 .htaccess 文件中的规则中“排除”一个目录(及其所有文件夹)... 不确定这是否可能? .htaccess 文件是这样的: Order Allow,Deny Deny from a
我是一名优秀的程序员,十分优秀!