运维-Frank
运维-Frank

企业级集中身份认证及授权管理实践freeipa

一、背景
随着公司服务器、服务、用户越来越多,以前单机用户管理、单机sudo授权的方式已不是发展的要求,故需要做企业级的集中身份认证授权管理(比如:ldap、kerberos、ca、dns、sudo、密码策略),原因有三:
1、便于大规模集中管理,
2、能够实现单点登录SSO,
3、结合堡垒机实现双层授权、双层审计。

经过简单考察发现freeipa是个不错的选择:
1、all in one,所有我需要的好东西都全部集成了,几条命令就能搞定,省的一个个做适配,极大的节省实施部署时间
2、背后redhat支持的开源项目,是IDM的开源版本,持续维护有保证
3、支持多主复制避免单点,毕竟是企业级应用必须得考虑高可用
4、接口丰富,支持web ui、cli、api,非常棒
5、客户端能够自动注册到ipa服务器(结合kickstart或后期脚本,本文有介绍)

freeipa官网:http://www.freeipa.org/

二、freeipa官方推荐的生产环境部署方案:
原文:http://www.freeipa.org/page/Deployment_Recommendations

freeipa生产环境部署方案主要内容:
1、域名是 Kerberos的基础,为避免domain的冲突,在搭建前一定要规划好域名体系,推荐采用申请的有管理权限的域名,即使在内网使用,也不建议随便使用没有管理权限的域名,比如使用baidu.com就不是一个好的选择;
2、freeipa只能从头搭建,不能在测试环境搭建好,修改一下域名啥的就能在生产环境使用的
It is not possible to change FreeIPA primary domain and realm after installation. Plan carefully. Do not expect move from lab/staging environment to production environment (e.g. change lab.example.com to prod.example.com)
3、建议采用集成的dns server,虽然可以使用外部的dns server,但配置起来较为复杂且出错概率较大。
freeIPA domain may be either served from an integrated DNS service or an external name service. A FreeIPA domain delegated to the integrated DNSservice is a recommended approach.
4、为了性能和稳定性,freeipa server上不要安装其他的应用。
5、多主复制环境根据规模大小、访问频度,每个数据中心推荐2-3个副本,但不要超过4个。
Generally it is recommended to have at least 2-3 replicas in each datacenter. There should be at least one replica in each datacenter with additional FreeIPA services like PKI or DNS if used. Note that it is not recommended to have more than 4 replication agreements per replica.
6、客户端至少需要配置2个dns server来增加冗余性。
Every client should have at least 2 DNS servers configured in /etc/resolv.conf for resiliency
7、备份与恢复:场景不同有不同的方法,但方法都较复杂,简单可行的方法是用虚拟机来搭建并定期做快照。
http://www.freeipa.org/page/Backup_and_Restore

三、具体部署环境及方案架构
1、部署环境:
freeipa server:fedara server 23
freeipa version:4.2.4
$ ipa –version
VERSION: 4.2.4, API_VERSION: 2.156
client host:centos 6.5
网络环境:全内网访问,freeipa server不对外暴露
域名:example.com (这个用法不推荐的,因为example.com不是我申请的域名,但内网使用到不影响)

2、方案架构–多主复制:
freeipa101.example.com
freeipa102.example.com

3、公司环境都是centos为什么freeipa不部署在centos上?
在centos 6上安装会有各种各样的问题,freeipa版本还比较老,为了简化安装步骤,采用fedora server 23。
在centos 6上会有这个问题,即使解决了也无法成功安装ipa server,所以最终放弃了,转战fedora。
yum install ipa-server
Transaction Check Error:
file /usr/share/man/man3/XML::SAX::Base.3pm.gz conflicts between attempted installs of perl-XML-SAX-0.96-7.el6.noarch and perl-XML-SAX-Base-1.04-1.el6.rf.noarch
file /usr/share/man/man3/XML::SAX::Exception.3pm.gz conflicts between attempted installs of perl-XML-SAX-0.96-7.el6.noarch and perl-XML-SAX-Base-1.04-1.el6.rf.noarch

Error Summary

解决方法:
http://www.linuxidc.com/Linux/2013-09/90530.htm(已验证)
https://github.com/repoforge/rpms/issues/211

四、freeipa server基本系统准备工作
1、安装fedara server 23,推荐在虚拟机里做,好处你懂的
2、更新系统:
yum update
3、设置完全合格的主机名并配置hosts
[root@freeipa101 ~]# hostname
freeipa101.example.com
[root@freeipa101 ~]# more /etc/hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.0.101 freeipa101.example.com freeipa101
[root@freeipa101 ~]#

4、设置dns服务器为freeipa101
more /etc/resolv.conf
nameserver 192.168.0.101

5、为避免不必要的麻烦,关闭防火墙,关闭开机启动
systemctl stop firewalld
systemctl disable firewalld (fedara下关闭firewall开机启动好像不太起作用,大家注意一下防火墙)

6、vm做快照(略)

五、安装主freeipa server
[root@freeipa101 ~]# yum install freeipa-server

[root@freeipa101 ~]# ipa-server-install
安装报错,需要安装freeipa-server-dns包
ipa.ipapython.install.cli.install_tool(Server): ERROR Integrated DNS requires ‘freeipa-server-dns’ package
[root@freeipa101 ~]# yum install freeipa-server-dns -y

安装完ipa-server后注意一下提示:
Be sure to back up the CA certificates stored in /root/cacert.p12
These files are required to create replicas. The password for these
files is the Directory Manager password

测试:[root@freeipa101 ~]# ldapsearch -x -b “dc=example, dc=com”

测试没问题后做个vm快照-_-

六、安装配置副本ipa server
创建ipa 副本参考:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/creating-the-replica.html
删除ipa副本参考:https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/removing-replica.html
Installing the Replica Packages
[root@freeipa102 ~]# yum install freeipa-server freeipa-server-dns -y
副本ipa server不执行ipa-server-install安装操作。
Creating the Replica
ipa的多主复制还是很赞的:Full multi master replication for higher redundancy and scalability
1、在主freeipa101上,创建replica information file
[root@freeipa101 ~]# ipa-replica-prepare freeipa102.example.com –ip-address 192.168.0.102

2、Copy the replica information file to the replica server:
[root@freeipa101 ~]# scp /var/lib/ipa/replica-info-freeipa102.example.com.gpg freeipa102.example.com:/var/lib/ipa/

3、On the replica server
[root@freeipa102 ~]# ipa-replica-install –setup-ca –setup-dns –no-forwarders /var/lib/ipa/replica-info-freeipa102.example.com.gpg

4、Verify that the proper DNS entries were created so that IdM clients can discover the new server. DNS entries are required for required domain services:
_ldap._tcp
_kerberos._tcp
_kerberos._udp
_kerberos-master._tcp
_kerberos-master._udp
_ntp._udp
If the initial IdM server was created with DNS enabled, then the replica is created with the proper DNS entries. For example:
[root@freeipa102 ~]# DOMAIN=example.com
[root@freeipa102 ~]# NAMESERVER=freeipa102
[root@ipareplica ~]# for i in ldap._tcp _kerberos._tcp _kerberos._udp _kerberos-master._tcp _kerberos-master._udp _ntp._udp; do echo “”; dig @ NAMESERVER {i}.${DOMAIN} srv +nocmd +noquestion +nocomments +nostats +noaa +noadditional +noauthority; done | egrep -v “^;” | egrep
[root@freeipa102 ~]# for i in ldap._tcp _kerberos._tcp _kerberos._udp _kerberos-master._tcp _kerberos-master._udp _ntp._udp; do echo “”; dig @ NAMESERVER {i}.${DOMAIN} srv +nocmd +noquestion +nocomments +nostats +noaa +noadditional +noauthority; done | egrep -v “^;” | egrep
_ldap._tcp.example.com. 86400 IN SRV 0 100 389 freeipa102.example.com.
_ldap._tcp.example.com. 86400 IN SRV 0 100 389 freeipa101.example.com.
_kerberos._tcp.example.com. 86400 IN SRV 0 100 88 freeipa102.example.com.
_kerberos._tcp.example.com. 86400 IN SRV 0 100 88 freeipa101.example.com.
…8<…

5、Optional. Set up DNS services for the replica
[root@freeipa102 ~]# ipa-dns-install
[root@freeipa102 ~]# ipa dnsrecord-add example.com @ –ns-rec freeipa102.example.com.

6、测试https://freeipa102.example.com

iptables屏蔽191的端口,或者关机,测试192是否能正常工作,登录啥的,反之亦然,高可用这块没啥要说的,自己多模拟几次故障即可。

七、在安装配置过程中遇到的几个大坑
大坑1:
hostname的完全合格域名不应该有下划线,但可以用连字符。
完全合格主机名:freeipa101.example.com
不合格主机名:-freeipa101
这是历史原因造成的,历史服务器的hostname都不是完全合格的域名,并且hostname含有下划线,freeipa不支持。

大坑2:
安装ipa server的时候
Your system is running out of entropy, you may experience long delays
因虚拟机配置不太高,系统自带的random设备没有足够的随机数生成能力,导出计算的过程异常缓慢,有可能不成功,等不起啊,

解决方案如下:
yum install -y haveged
systemctl start haveged.service
systemctl stop firewalld

参考:
https://www.redhat.com/archives/freeipa-devel/2014-May/msg00459.html
http://blog-ftweedal.rhcloud.com/

大坑3:freeipa相关服务没有开机自启动的话,一reboot就傻眼了。
检查ipa各个服务的运行状态,如果有服务没有起来的话,尝试restart一下试试
[root@freeipa102 ldapuser1]# ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
ipa_memcached Service: RUNNING
httpd Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeyscd Service: RUNNING
ipa: INFO: The ipactl command was successful

[root@freeipa102 ldapuser1]# ipactl –help
Usage: ipactl start|stop|restart|status

八、手动配置client host加入到freeipa server:
1、安装ipa client包
[root@client ~]# yum install ipa-client

2、设置dns为 192.168.0.101
/etc/resolv.conf

3、安装(不用指定太多参数,客户端能自动发现server)
[root@client ~]# ipa-client-install –enable-dns-updates –mkhomedir
当然你也可以指定参数
[root@client ~]# ipa-client-install –domain=example.com –enable-dns-updates –mkhomedir –server=freeipa101.example.com
[root@vm-dev50 ~]# ipa-client-install –mkhomedir –hostname=vm-dev50.example.com
Discovery was successful!
Hostname: vm-dev50.example.com
Realm: example.com
DNS Domain: example.com
IPA Server: freeipa101.example.com
BaseDN: dc=yunniao,dc=com
Continue to configure the system with these values? [no]: yes
User authorized to enroll computers: admin
Schronizing time with KDC…
Password for [email protected]:
Successfully retrieved CA cert
Subject: CN=Certificate Authority,O=example.com
Issuer: CN=Certificate Authority,O=example.com
Valid From: Fri May 06 12:02:57 2016 UTC
Valid Until: Tue May 06 12:02:57 2036 UTC
Enrolled in IPA realm example.com
Attempting to get host TGT…
Created /etc/ipa/default.conf
New SSSD config will be created
Configured sudoers in /etc/nsswitch.conf
Configured /etc/sssd/sssd.conf
Configured /etc/krb5.conf for IPA realm example.com
trying https://freeipa101.example.com/ipa/xml
Forwarding ‘env’ to server u’https://freeipa101.example.com/ipa/xml’
Adding SSH public key from /etc/ssh/ssh_host_rsa_key.pub
Adding SSH public key from /etc/ssh/ssh_host_dsa_key.pub
Forwarding ‘host_mod’ to server u’https://freeipa101.example.com/ipa/xml’
SSSD enabled
Configuring example.com as NIS domain
Configured /etc/openldap/ldap.conf
NTP enabled
Configured /etc/ssh/ssh_config
Configured /etc/ssh/sshd_config
Client configuration complete.
[root@vm-dev50 ~]#

4、测试
[jsmith@client ~] id[jsmith@client ] getent passwd admin
[jsmith@client ~]$ getent group admins

5、如果你愿意也可以安装ipa、ldap管理工具
yum install ipa-client ipa-admintools openldap-clients -y
yum install nss-pam-ldapd

九、自动注册client到freeipa server,
结合kickstart在装机完成后执行post脚本:
1、在ipa server提前创建host实体和一次性密码(注册后密码失效)
ipa host-add client1.example.com – password=secret
2、安装ipa-client
3、注册
ipa-client-install –domain= example.com –enable-dns- updates –mkhomedir -w secret –realm=example.com –server=freeipa101.example.com –hostname=client1.example.com –unattended

kickstart的弊端:
每次添加新主机,admin都需要提前在ipa服务器上创建host,很难完全自动化注册。
if you trust your network you can create a host admin that would have the host add privilege and host enroll privilege and nothing else and use this admin.

全自动化注册client:
enroll帐号 - 只用于注册主机
新建帐号 autoenroll,需要登录一下web,更新一下密码。
web ui创建 enroll帐号的步骤:
IPS Server -> Role Based ACL -> ROLES添加Enroll组 -> 选择PRIVILEGES权限组Host Enrollment,并添加授予权限的用户autoenroll。
PRIVILEGES权限组 需要在添加一个 add hosts 的单个权限
ipa-client-install –enable-dns-updates –mkhomedir -p autoenroll -w passwordxxx -U

或者指定hostname
ipa-client-install –enable-dns-updates –mkhomedir –hostname=-netpay141.example.com -p autoenroll -w passwordxxx -U

不建议指定freeipa server的参数,这样的话注册的client就不支持ipa server的自动failover:
ipa-client-install –enable-dns-updates –mkhomedir –domain=example.com –server=freeipa101.example.com -p autoenroll -w passwordxxx -U
Autodiscovery of servers for failover cannot work with this configuration.
If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.

小问题:
开始的时候不能自动注册,
1、dns没有配置
2、autoenroll的权限不对,重新设置权限后有缓存需要等一会才生效。
3、网卡重启后dns设置恢复原来的配置,原因dns写在了网卡配置文件,并启用了networkmanage

十、用户修改密码及密码策略:
特别提醒:freeipa的密码策略是新建用户第一次强制修改密码
用户可以在任意一台已注册到freeipa的机器上修改自己的密码:
passwd username

如果提示如下错误:
[u3@vm-tf51 ~]$ passwd
Changing password for user u3.
Current Password:
New password:
Retype new password:
Password change failed. Server message: Current password’s minimum life has not expired

Password not changed.
passwd: Authentication token manipulation error
[u3@vm-tf51 ~]$

解决方法:
1、设置密码策略的minimum life为0(单位为小时),
ipa pwpolicy-mod global_policy –minlife 0 –maxlife 90
也可以通过web界面修改。

2、通过ldap修改
ldappasswd -x -D ‘cn=Directory Manager’ -W uid=u3,cn=users,cn=accounts,dc=,dc=com -A -S

可以登录freeipa web ui自助修改密码

提供专门修改密码的机器
[root@vm-passwd195 ~]# tail -n 18 /etc/bashrc

add by ldapuser1 for freeipa user to change self password accordingly 2016052

8
if [ $UID -ge 894400000 ];then
echo
cat <

Sudo Option: !authenticate

Added option “!authenticate” to Sudo rule “readfiles”

sudo权限控制自己去web页面看看,很简单

十二、automount用户家目录
暂没实现,很酷的功能。

十三、双因素认证otp
暂没实现,很流利的功能。

十四、客户端sssd支持主备
cat /etc/sssd/sssd.conf : ipa-server: _srv, ipaserver,ipareplica

十五、关于时间不同步造成的一个小错误
一定要保证所有服务器时间同步:
[ldapuser1@admin40 ~]$ kinit
Password for [email protected]:
kinit: Clock skew too great while getting initial credentials

The clock on you system (Linux/UNIX) is too far off from the correct time. Your machine needs to be within 5 minutes of the Kerberos servers in order to get any tickets. You will need to run ntp, or a similar service to keep your clock within the five minute window.

很不错一篇QA:http://www.0zu.net/freeipa/freeipa-qa.html
强烈推荐:
Red Hat Enterprise Linux 6 Identity Management Guide
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

其他参考链接:
http://inbaudwetrust.com/2014/02/12/freeipa-serverclient-setup-on-centos-6-5/
http://linsec.ca/Using_FreeIPA_for_User_Authentication/
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/index.html

你可能感兴趣的:(技术文档)

  • 施耐德电气技术文档集 python & TwinCAT 电气工作物联网bigdata人工智能
    ARC白皮书-开放自动化之路虹桥高铁站-申铁杰能-客户案例白皮书施耐德电气医疗行业综合布线系统白皮书祁连山水泥案例白皮书蕴之宝客户案例白皮书施耐德电气绿色智能制造白皮书施耐德电气绿色智能制造白皮书当技术遇见数字化革命-施耐德电气数字化服务白皮书OEM业务的节能增效白皮书吉利科技(长兴)数据中心客户故事白皮书中鼎集成案例白皮书最终版海南炼化案例白皮书5G和5G演进:工业控制应用场景白皮书施耐德印刷行
  • 基于协同滤波推荐算法的图书管理系统 Sweican 毕业设计mybatisjava开发语言
    目录一、项目概述二、技术框架三、功能设计四、数据库设计五、项目截图六、技术文档一、项目概述Hi,大家好,今天分享的项目是《基于协同滤波推荐算法的图书管理系统》,对用户登录注册、图书推荐、图书管理、用户信息进行管理,基于用户的协同滤波算法对用户进行图书推荐、根据图书浏览量对用户进行热门图书推荐等。图书管理一方面实现对图书信息的维护,如新增、查看、编辑图书等。另一方面实现对图书借阅进行管理,如图书借出
  • 达梦数据库系列—12.逻辑导出导入 奥德彪的蕉 达梦数据库oraclesql
    目录dexp导出参数全库导出导出用户对象导出模式对象导出表模糊匹配过滤条件只导定义排除对象包含对象dexp导入参数全库导入导入用户对象导入模式对象导入表dexp导出参数详解:dexp逻辑导出|达梦技术文档参数参数含义备注USERID数据库的连接信息必选FILE明确指定导出文件名称可选。如果缺省该参数,则导出文件名为dexp.dmpDIRECTORY导出文件所在目录可选FULL导出整个数据库(N)可
  • 【RISC-V 指令集】RISC-V 向量V扩展指令集介绍(八)- 向量整数算术指令 瑶光守护者 RISC-V指令集分析risc-v人工智能机器学习
    1.引言以下是《riscv-v-spec-1.0.pdf》文档的关键内容:这是一份关于向量扩展的详细技术文档,内容覆盖了向量指令集的多个关键方面,如向量寄存器状态映射、向量指令格式、向量加载和存储操作、向量内存对齐约束、向量内存一致性模型、向量算术指令格式、向量整数和浮点算术指令、向量归约操作、向量掩码指令、向量置换指令、异常处理以及标准向量扩展等。首先,文档定义了向量元素和向量寄存器状态之间的映
  • Markdown与Word中插入图片的方法及比较 开心就多写,一点就开心 MarkDownword
    在撰写文档时,无论是技术文档、博客还是学术论文,插入图片都是非常常见的需求。本文将对比两种流行的文本编辑工具——Markdown和MicrosoftWord——在插入图片方面的异同点。Markdown插入图片如何插入图片在Markdown中插入图片非常简单,只需要使用以下语法:![替代文本](图片URL"可选标题")替代文本:描述图片的内容,有助于提高网页的可访问性。图片URL:图片的网络地址或者
  • [源码和文档分享]基于WinPcap的网络包截获和分析系统 ggdd5151
    前言1,基于WinPcap的网络包截获和分析系统2,需要安装winpcap包,WinPcap中文技术文档http://www.ferrisxu.com/WinPcap/html/main.html3,配置winpcap编程环境(VC6.0或者VS2008)可参见开发文档或者google“vc++winpcap配置”4,程序使用的皮肤库为skin#可执行程序Npcas.exe在Release目录下(
  • Amazon Q | 融会贯通的 AI 开发助手来了! 人工智能aigc
    作为亚马逊云科技最大的年度活动,re:Invent总是能为我们带来各种惊喜。在re:Invent2023上发布的AmazonQ(预览版)更是吸引了开发者的眼球。亚马逊云科技开发者社区为开发者们提供全球的开发技术资源。这里有技术文档、开发案例、技术专栏、培训视频、活动与竞赛等。帮助中国开发者对接世界最前沿技术,观点,和项目,并将中国优秀开发者或技术推荐给全球云社区。如果你还没有关注/收藏,看到这里请
  • re:Invent 2023 开发者指南来了!@开发者们,Let's 构!
    开发者们看过来!云计算领域的风向标、科技界的年度重磅盛会2023亚马逊云科技re:Invent将于11月27日在美国拉斯维加斯盛大启幕!学习、互动、交流、比拼……作为世界开发者的年度技术狂欢盛宴美国现场或国内互动将有哪些精彩环节?开发者们,Let's构!亚马逊云科技开发者社区为开发者们提供全球的开发技术资源。这里有技术文档、开发案例、技术专栏、培训视频、活动与竞赛等。帮助中国开发者对接世界最前沿技
  • 汽车制造供应商文件分发要怎么做?看这篇就够了 Ftrans 汽车制造大数据零售
    汽车制造业供应商文件分发协同是一个复杂的过程,涉及到设计图纸、技术文档、生产数据等重要信息的高效、安全传输。企业产品开发过程,不仅包含内部的开发过程,还包含企业与异地研发机构之间以及企业与供应商之间的协同研发,企业与设计外包供应商及零部件供应商之间成了一种基于价值链的协同关系。企业间协同日益受到汽车制造业企业的重视,而传统PLM厂商并不能有效地解决此类场景下的设计协同问题。会面临以下问题和挑战:1
  • 24 双非计算机秋招总结 Jackson Mseven 工作前端笔记学习
    引言我整理了一份10w+字数的前端技术文档(飞书),地址:https://qx8wba2yxsl.feishu.cn/docx/Vb5Zdq7CGoPAsZxMLztc53E1n0k?from=from_copylink,欢迎对前端感兴趣的同学查看、共建、分享。PS:我是一名大四的学生,目前正在准备前端春招,有中大厂实习,有大厂的友友有内推资源的可以联系我,求求给孩子个机会吧。秋招总结以下仅为个人
  • 夜已深,独卧无眠,以诗飨己 wood1573
    平生除了工作之外,最爱的就是读书。书分多种:小说,诗歌,杂记,传记,论文,报告,工具书,文献,技术文档等。浩如烟海,绵延不绝。工作中需要用到的知识和技术,一般从工具书与文档中获得。现在网络发达,技术更新迭代速度极快,从网络上获取知识就更加方便快捷。书籍的介质改变了,但是读书的乐趣却丝毫不减。闲时最爱品读诗歌,下面是一首网络博主缠中说禅所著之诗,意境宏大,耐人品读。临江仙[缠中说禅]浊水倾波三万里,
  • 百度AI人脸识别与检测六:学生人脸识别打卡签到系统之班级的增删查 陈一月的编程岁月 百度AI人脸检测与识别《百度AI人脸识别与检测》Python百度人脸识别学生人脸识别打卡签到系统
    《百度AI人脸识别与检测》专栏为项目专栏,从零到一,从无到有开发一个学生人脸识别签到系统;主要用到的技术有百度开放平台中的人脸检测、人脸识别、Python图形界面开发PyQt5、线程的管理、以及通过python调用百度接口实现人脸检测、百度开放平台中人脸检测技术文档的理解等,由浅入深、由局部到整体的一个项目学习过程,如果你想对人脸识别感兴趣,对python的图形界面设计感兴趣,可以订阅本专栏,因为
  • 百度AI人脸识别与检测七:学生人脸识别打卡签到系统之学生人脸信息的添加 陈一月的编程岁月 百度AI人脸检测与识别《百度AI人脸识别与检测》Pyhton百度学生人脸识别打卡签到系统
    《百度AI人脸识别与检测》专栏为项目专栏,从零到一,从无到有开发一个学生人脸识别签到系统;主要用到的技术有百度开放平台中的人脸检测、人脸识别、Python图形界面开发PyQt5、线程的管理、以及通过python调用百度接口实现人脸检测、百度开放平台中人脸检测技术文档的理解等,由浅入深、由局部到整体的一个项目学习过程,如果你想对人脸识别感兴趣,对python的图形界面设计感兴趣,可以订阅本专栏,因为
  • Boost.Asio技术文档汇总 phymat.nico
    ChristopherKohlhoffCopyright©2003-2012ChristopherM.Kohlhoff以Boost1.0的软件授权进行发布(见附带的LICENSE_1_0.txt文件或从http://www.boost.org/LICENSE_1_0.txt)Boost.Asio是用于网络和低层IO编程的跨平台C++库,为开发者提供了C++环境下稳定的异步模型.综述基本原理应用程序
  • 【Java程序设计】【C00260】基于Springboot的企业客户信息反馈平台(有论文) maker011 源码码农javaspringboot开发语言企业客户信息反馈平台
    基于Springboot的企业客户信息反馈平台(有论文)项目简介项目获取开发环境项目技术运行截图项目简介这是一个基于Springboot的企业客户信息反馈平台本系统分为平台功能模块、管理员功能模块以及客户功能模块。平台功能模块:在平台首页可以查看首页,问题信息,技术文档,平台公告,个人中心,后台管理等内容,并进行详细操作管理员功能模块:管理员登录平台后,可以对首页,个人中心,客户管理,问题类型管理
  • 对接快递100 Hana_Green
    在对接快递100过程中,按照官方技术文档写了对接方法,一直返回400错误提示:找不到对应公司,于是打印发送的字符串,发现有个奇怪的符号:以为是拼接的字符串有问题,出问题的部分本来应该显示¶m=其实在html中,¶是一个特殊字符,碰到¶页面就自动转换了,对于发送请求给快递100是不影响的。至于快递100返回的400错误:找不到对应公司。还没找到解决办法。如图m前的符号
  • 达梦数据库适配Springboot+MybatisPlus+达梦数据库 长空~ java数据库数据库springboot后端
    问题描述数据库需要从mysql替换为达梦,项目原本使用的是mysql+Springboot+MybatisPlus,需要替换成达梦7++Springboot+MybatisPlus,对配置过程进行一下记录达梦官方技术文档地址https://eco.dameng.com/docs/zh-cn/app-dev/java-MyBatis-frame.html步骤①安装完达梦数据库后,自带jar驱动包,还
  • 【深度测试】看到技术方案后,该怎么进行分析和测试 特大号青青 #技术方案中常见缺陷功能测试
    测试左移的思想,讲究尽早测试,测试是一系列的行为,并不一定要等代码运行起来才能测,下面会分享一些经验,提供大家参考。一、静态分析1.1分析方法调用链目标:梳理结构,化繁为简原理:相同数据源,相同方法(逻辑),无需进行重复测试举例:通用榜单项目,多个不同入口,榜单前置预检逻辑:1.2代码阅读目标:补充技术文档中未涉及部分&确认代码和文档的匹配一致性;原理:不能自洽的部分,读着读着就发现问题了(可以自
  • Presto/Trino权威指南及官方设计文档解读 Caucher
    官网地址:https://trino.io/docs/current/参阅书目《Trino:Thedefinitiveguide》开源社区博客地址:https://blog.starburstdata.com/Trino博客地址:https://trino.io/blog/作者均是presto创始人三位,因此这两份材料+2019年的presto论文(见我另一篇博客),是最权威的presto技术文档
  • DBeaver连接达梦数据库 sunshine__sun 数据库
    1、下载驱动文件可官网下载Hibernate框架|达梦技术文档(dameng.com)1.打开DBeaver软件,点击“数据库”,选择“驱动管理器”2.点击“新建”进行达人大金仓驱动管理器配置。3、创建驱动-设置:驱动名称、类名、url驱动名称:达梦类名:dm.jdbc.driver.DmDriverURL模板:jdbc:dm://{host}[:{port}](格式:jdbc:kingbase:
  • 游戏服务器存储数据怎么修改,修改游戏服务器数据的教程 慈老湿 游戏服务器存储数据怎么修改
    修改游戏服务器数据的教程内容精选换一换华为云数据安全中心帮助中心,为用户提供产品简介、用户指南、API和常见问题等技术文档,帮助您快速上手使用数据安全中心服务。体验馆提供了各场景下的无服务器构造方案,指导您端到端地构建一个无服务器案例。对于每个案例都介绍了如下内容,包含的案例如表1所示。动态展示案例架构图。动态展示案例的实际效果。使用动图分步骤演示构建过程。修改游戏服务器数据的教程相关内容华为云表
  • 基于thingscloud的物联网平台的学习使用建议 澂玙 学习
    注册账户:https://www.thingscloud.xyz/微信绑定学习了解对应课程https://www.thingscloud.xyz/docs/tutorials/学习技术文档https://www.thingscloud.xyz/docs/guide/overview/what-is-thingscloud.htmlhttps://www.thingscloud.xyz/docs/t
  • 开源支持私有化部署一分钟构建大模型机器人 Kavaj pythonAI大模型人工智能机器人语言模型
    开源!支持私有化部署!一分钟构建大模型机器人Dify是一款中国开源的大语言模型(LLM)应用开发平台。使开发者可以快速搭建生产级的生成式AI应用。即使你是非技术人员,也能参与到AI应用的定义和数据运营过程中。Dify提供了更接近生产需要的完整方案,Dify好比是一套脚手架,并且经过了精良的工程设计和软件测试。Dify官网支持中文,技术文档支持中文Dify提供云服务及应用托管额度,可在线开发测试发布
  • 电源芯片并联使用-AMS1117 总结所学 嵌入式硬件
    自记:电源芯片可不可以并联使用:1.按照正规大厂Rohm的技术文档介绍,直接并联的两个LDO,只要其输出电压有很小的差异,就会造成电流分配的很大差异。至于你长期使用没有发现问题,那可能是总电流的余量留得很足?两个LDO的一致性好到爆棚?是不是在LDO输出先串ballast电阻再并联?2.比如这个号称可以直接并联的LDO,实际上的架构还是在输出上串了一个很小的ballast电阻,只不过因为需要的阻值
  • 由亚马逊云科技 Graviton4 驱动的全新内存优化型实例 Amazon EC2 实例(R8g),现已开放预览 亚马逊云开发者 javaec2
    下一代AmazonElasticComputeCloudAmazonEC2)实例的预览版现已公开提供。全新的R8g实例搭载新式Graviton4处理器,其性价比远超任何现有的内存优化实例。对于要求较高的内存密集型工作负载,R8g实例是不二之选:大数据分析、高性能数据库、在内存中缓存等。亚马逊云科技开发者社区为开发者们提供全球的开发技术资源。这里有技术文档、开发案例、技术专栏、培训视频、活动与竞赛等
  • tidb mysql语法兼容_SQL 语句语法 - 与 MySQL 兼容性对比 - 《TiDB v2.0 中文技术文档》 - 书栈网 · BookStack... 即将把她埋掉 tidbmysql语法兼容
    与MySQL兼容性对比TiDB支持包括跨行事务,JOIN及子查询在内的绝大多数MySQL的语法,用户可以直接使用现有的MySQL客户端连接。如果现有的业务已经基于MySQL开发,大多数情况不需要修改代码即可直接替换单机的MySQL。包括现有的大多数MySQL运维工具(如PHPMyAdmin,Navicat,MySQLWorkbench等),以及备份恢复工具(如mysqldump,mydumper/
  • PC端RTMP播放工具(EXE,非源码) 西部秋虫 ffmpegrtmpffmpeg
    PC端RTMP播放工具是一款可以在安卓手机播放rtmp流的工具,基于FFmpeg+openCV开发。下载地址:PC端RTMP播放工具(EXE,非源码)-直播技术文档类资源-CSDN下载
  • 起心动念 | 生成式 AI 开发实践系列的开端 亚马逊云开发者 人工智能生成式人工智能开源
    生成式AI和大模型的技术变革力量,正在逐渐影响着我们当下这个时代,全球各行各业都呈现百舸争流、万象更新的趋势。在2023年,我们通过各种面向开发者的活动,收集到了大量开发者关于基于生成式AI的开发内容需求和建议反馈。开发者们都期待我们在2024年推出更多关于生成式AI开发实践的系列内容。亚马逊云科技开发者社区为开发者们提供全球的开发技术资源。这里有技术文档、开发案例、技术专栏、培训视频、活动与竞赛
  • 安利Markdown文档编写利器Typora 道听真说
    安利Markdown文档编写利器Typora又到了愉快的周末时间,我们聊点轻松的吧,今天给大家安利一款写Markdown文档的好工具Typora。这几年来Markdown越来越受技术达人们的钟爱,甚至许多内容平台都直接支持Markdown进行编写,包括但不限于CSDN、等等。Markdown能让我们更专注于内容而不是花里胡哨的排版,并且内容是文本格式,方便技术文档提交到代码仓库的时候进行版本内容对
  • 【2024年美国大学生数学建模竞赛】F题非法的野生动物贸易 完整数据 Better Rose 数学建模数学建模
    题目非法的野生动物贸易会对我们的环境产生负面影响,并威胁到全球的生物多样性。据估计,它每年涉及高达265亿美元,被认为是全球第四大非法交易。[1]你将开发一个由数据驱动的5年项目,旨在显著减少非法野生动物贸易。你的目标是说服一个客户去执行你的项目。要做到这一点,必须为该客户端选择客户端和适当的项目。这里学数据学姐为大家更新了全网最全的F题数据完整解析另外也为大家分享:技术文档,包括问题分析、建立模
  • 矩阵求逆(JAVA)利用伴随矩阵 qiuwanchi 利用伴随矩阵求逆矩阵
    package gaodai.matrix; import gaodai.determinant.DeterminantCalculation; import java.util.ArrayList; import java.util.List; import java.util.Scanner; /** * 矩阵求逆(利用伴随矩阵) * @author 邱万迟
  • 单例(Singleton)模式 aoyouzi 单例模式Singleton
    3.1           概述 如果要保证系统里一个类最多只能存在一个实例时,我们就需要单例模式。这种情况在我们应用中经常碰到,例如缓存池,数据库连接池,线程池,一些应用服务实例等。在多线程环境中,为了保证实例的唯一性其实并不简单,这章将和读者一起探讨如何实现单例模式。 3.2
  • [开源与自主研发]就算可以轻易获得外部技术支持,自己也必须研发 comsci 开源
          现在国内有大量的信息技术产品,都是通过盗版,免费下载,开源,附送等方式从国外的开发者那里获得的。。。。。。        虽然这种情况带来了国内信息产业的短暂繁荣,也促进了电子商务和互联网产业的快速发展,但是实际上,我们应该清醒的看到,这些产业的核心力量是被国外的
  • 页面有两个frame,怎样点击一个的链接改变另一个的内容 Array_06 UIXHTML
    <a src="地址"  targets="这里写你要操作的Frame的名字" />搜索 然后你点击连接以后你的新页面就会显示在你设置的Frame名字的框那里 targerts="",就是你要填写目标的显示页面位置 ===================== 例如: <frame src=&
  • Struts2实现单个/多个文件上传和下载 oloz 文件上传struts
    struts2单文件上传:     步骤01:jsp页面 <!--在进行文件上传时,表单提交方式一定要是post的方式,因为文件上传时二进制文件可能会很大,还有就是enctype属性,这个属性一定要写成multipart/form-data,不然就会以二进制文本上传到服务器端-->   <form action="fileUplo
  • 推荐10个在线logo设计网站 362217990 logo
    在线设计Logo网站。 1、http://flickr.nosv.org(这个太简单) 2、http://www.logomaker.com/?source=1.5770.1 3、http://www.simwebsol.com/ImageTool 4、http://www.logogenerator.com/logo.php?nal=1&tpl_catlist[]=2 5、ht
  • jsp上传文件 香水浓 jspfileupload
    1. jsp上传 Notice: 1. form表单 method 属性必须设置为 POST 方法 ,不能使用 GET 方法 2. form表单 enctype 属性需要设置为 multipart/form-data 3. form表单 action 属性需要设置为提交到后台处理文件上传的jsp文件地址或者servlet地址。例如 uploadFile.jsp 程序文件用来处理上传的文
  • 我的架构经验系列文章 - 前端架构 agevs JavaScriptWeb框架UIjQuer
    框架层面:近几年前端发展很快,前端之所以叫前端因为前端是已经可以独立成为一种职业了,js也不再是十年前的玩具了,以前富客户端RIA的应用可能会用flash/flex或是silverlight,现在可以使用js来完成大部分的功能,因此js作为一门前端的支撑语言也不仅仅是进行的简单的编码,越来越多框架性的东西出现了。越来越多的开发模式转变为后端只是吐json的数据源,而前端做所有UI的事情。MVCMV
  • android ksoap2 中把XML(DataSet) 当做参数传递 aijuans android
    我的android app中需要发送webservice ,于是我使用了 ksop2 进行发送,在测试过程中不是很顺利,不能正常工作.我的web service 请求格式如下     [html]  view plain copy   <Envelope xmlns="http://schemas.
  • 使用Spring进行统一日志管理 + 统一异常管理 baalwolf spring
    统一日志和异常管理配置好后,SSH项目中,代码以往散落的log.info() 和 try..catch..finally 再也不见踪影! 统一日志异常实现类: [java]  view plain copy   package com.pilelot.web.util;      impor
  • Android SDK 国内镜像 BigBird2012 android sdk
    一、镜像地址: 1、东软信息学院的 Android SDK 镜像,比配置代理下载快多了。 配置地址, http://mirrors.neusoft.edu.cn/configurations.we#android 2、北京化工大学的: IPV4:ubuntu.buct.edu.cn  IPV4:ubuntu.buct.cn IPV6:ubuntu.buct6.edu.cn
  • HTML无害化和Sanitize模块 bijian1013 JavaScriptAngularJSLinkySanitize
    一.ng-bind-html、ng-bind-html-unsafe         AngularJS非常注重安全方面的问题,它会尽一切可能把大多数攻击手段最小化。其中一个攻击手段是向你的web页面里注入不安全的HTML,然后利用它触发跨站攻击或者注入攻击。         考虑这样一个例子,假设我们有一个变量存
  • [Maven学习笔记二]Maven命令 bit1129 maven
    mvn compile compile编译命令将src/main/java和src/main/resources中的代码和配置文件编译到target/classes中,不会对src/test/java中的测试类进行编译 MVN编译使用 maven-resources-plugin:2.6:resources maven-compiler-plugin:2.5.1:compile &nbs
  • 【Java命令二】jhat bit1129 Java命令
    jhat用于分析使用jmap dump的文件,,可以将堆中的对象以html的形式显示出来,包括对象的数量,大小等等,并支持对象查询语言。 jhat默认开启监听端口7000的HTTP服务,jhat是Java Heap Analysis Tool的缩写 1. 用法: [hadoop@hadoop bin]$ jhat -help Usage: jhat [-stack <bool&g
  • JBoss 5.1.0 GA:Error installing to Instantiated: name=AttachmentStore state=Desc ronin47
    进到类似目录 server/default/conf/bootstrap,打开文件 profile.xml找到: Xml代码<bean    name="AttachmentStore"  class="org.jboss.system.server.profileservice.repository.AbstractAtta
  • 写给初学者的6条网页设计安全配色指南 brotherlamp UIui自学ui视频ui教程ui资料
    网页设计中最基本的原则之一是,不管你花多长时间创造一个华丽的设计,其最终的角色都是这场秀中真正的明星——内容的衬托     我仍然清楚地记得我最早的一次美术课,那时我还是一个小小的、对凡事都充满渴望的孩子,我摆放出一大堆漂亮的彩色颜料。我仍然记得当我第一次看到原色与另一种颜色混合变成第二种颜色时的那种兴奋,并且我想,既然两种颜色能创造出一种全新的美丽色彩,那所有颜色
  • 有一个数组,每次从中间随机取一个,然后放回去,当所有的元素都被取过,返回总共的取的次数。写一个函数实现。复杂度是什么。 bylijinnan java算法面试
    import java.util.Random; import java.util.Set; import java.util.TreeSet; /** * http://weibo.com/1915548291/z7HtOF4sx * #面试题#有一个数组,每次从中间随机取一个,然后放回去,当所有的元素都被取过,返回总共的取的次数。 * 写一个函数实现。复杂度是什么
  • struts2获得request、session、application方式 chiangfai application
    1、与Servlet API解耦的访问方式。 a.Struts2对HttpServletRequest、HttpSession、ServletContext进行了封装,构造了三个Map对象来替代这三种对象要获取这三个Map对象,使用ActionContext类。 ----->   package pro.action; import java.util.Map; imp
  • 改变python的默认语言设置 chenchao051 python
    import sys sys.getdefaultencoding()  可以测试出默认语言,要改变的话,需要在python lib的site-packages文件夹下新建: sitecustomize.py, 这个文件比较特殊,会在python启动时来加载,所以就可以在里面写上: import sys sys.setdefaultencoding('utf-8') &n
  • mysql导入数据load data infile用法 daizj mysql导入数据
    我们常常导入数据!mysql有一个高效导入方法,那就是load data infile 下面来看案例说明 基本语法: load data  [low_priority] [local] infile 'file_name txt' [replace | ignore] into table tbl_name [fields [terminated by't'] [OPTI
  • phpexcel导入excel表到数据库简单入门示例 dcj3sjt126com PHPExcel
    跟导出相对应的,同一个数据表,也是将phpexcel类放在class目录下,将Excel表格中的内容读取出来放到数据库中 <?php error_reporting(E_ALL); set_time_limit(0); ?> <html> <head> <meta http-equiv="Content-Type"
  • 22岁到72岁的男人对女人的要求 dcj3sjt126com
    22岁男人对女人的要求是:一,美丽,二,性感,三,有份具品味的职业,四,极有耐性,善解人意,五,该聪明的时候聪明,六,作小鸟依人状时尽量自然,七,怎样穿都好看,八,懂得适当地撒娇,九,虽作惊喜反应,但看起来自然,十,上了床就是个无条件荡妇。 32岁的男人对女人的要求,略作修定,是:一,入得厨房,进得睡房,二,不必服侍皇太后,三,不介意浪漫蜡烛配盒饭,四,听多过说,五,不再傻笑,六,懂得独
  • Spring和HIbernate对DDM设计的支持 e200702084 DAO设计模式springHibernate领域模型
    A:数据访问对象     DAO和资源库在领域驱动设计中都很重要。DAO是关系型数据库和应用之间的契约。它封装了Web应用中的数据库CRUD操作细节。另一方面,资源库是一个独立的抽象,它与DAO进行交互,并提供到领域模型的“业务接口”。    资源库使用领域的通用语言,处理所有必要的DAO,并使用领域理解的语言提供对领域模型的数据访问服务。
  • NoSql 数据库的特性比较 geeksun NoSQL
    Redis 是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。目前由VMware主持开发工作。   1. 数据模型 作为Key-value型数据库,Redis也提供了键(Key)和值(Value)的映射关系。除了常规的数值或字符串,Redis的键值还可以是以下形式之一: Lists (列表) Sets
  • 使用 Nginx Upload Module 实现上传文件功能 hongtoushizi nginx
    转载自: http://www.tuicool.com/wx/aUrAzm   普通网站在实现文件上传功能的时候,一般是使用Python,Java等后端程序实现,比较麻烦。Nginx有一个Upload模块,可以非常简单的实现文件上传功能。此模块的原理是先把用户上传的文件保存到临时文件,然后在交由后台页面处理,并且把文件的原名,上传后的名称,文件类型,文件大小set到页面。下
  • spring-boot-web-ui及thymeleaf基本使用 jishiweili springthymeleaf
    视图控制层代码demo如下:   @Controller @RequestMapping("/") public class MessageController { private final MessageRepository messageRepository; @Autowired public MessageController(Mes
  • 数据源架构模式之活动记录 home198979 PHP架构活动记录数据映射
    hello!架构 一、概念 活动记录(Active Record):一个对象,它包装数据库表或视图中某一行,封装数据库访问,并在这些数据上增加了领域逻辑。 对象既有数据又有行为。活动记录使用直截了当的方法,把数据访问逻辑置于领域对象中。   二、实现简单活动记录 活动记录在php许多框架中都有应用,如cakephp。 <?php /** * 行数据入口类 *
  • Linux Shell脚本之自动修改IP pda158 linuxcentosDebian脚本
    作为一名 Linux SA,日常运维中很多地方都会用到脚本,而服务器的ip一般采用静态ip或者MAC绑定,当然后者比较操作起来相对繁琐,而前者我们可以设置主机名、ip信息、网关等配置。修改成特定的主机名在维护和管理方面也比较方便。如下脚本用途为:修改ip和主机名等相关信息,可以根据实际需求修改,举一反三! #!/bin/sh #auto Change ip netmask ga
  • 开发环境搭建 独浮云 eclipsejdktomcat
           最近在开发过程中,经常出现MyEclipse内存溢出等错误,需要重启的情况,好麻烦。对于一般的JAVA+TOMCAT项目开发,其实没有必要使用重量级的MyEclipse,使用eclipse就足够了。尤其是开发机器硬件配置一般的人。         &n
  • 操作日期和时间的工具类 vipbooks 工具类
       大家好啊,好久没有来这里发文章了,今天来逛逛,分享一篇刚写不久的操作日期和时间的工具类,希望对大家有所帮助。 /* * @(#)DataFormatUtils.java 2010-10-10 * * Copyright 2010 BianJing,All rights reserved. */ package test; impor
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他