How to enable LDAP over SSL with a third-party certification authority

http://support.microsoft.com/default.aspx?scid=kb;en-us;321051

 

There is no user interface for configuring LDAPS. Installing a valid certificate on a domain controller permits the LDAP service to listen for, and automatically accept, SSL connections for both LDAP and global catalog traffic.

Back to the top

Requirements for an LDAPS certificate

To enable LDAPS, you must install a certificate that meets the following requirements:

  • The LDAPS certificate is located in the Local Computer's Personal certificate store (programmatically known as the computer's MY certificate store).
  • A private key that matches the certificate is present in the Local Computer's store and is correctly associated with the certificate. The private key must not have strong private key protection enabled.
  • The Enhanced Key Usage extension includes the Server Authentication (1.3.6.1.5.5.7.3.1) object identifier (also known as OID).
  • The Active Directory fully qualified domain name of the domain controller (for example, DC01.DOMAIN.COM) must appear in one of the following places:
    • The Common Name (CN) in the Subject field.
    • DNS entry in the Subject Alternative Name extension.
  • The certificate was issued by a CA that the domain controller and the LDAPS clients trust. Trust is established by configuring the clients and the server to trust the root CA to which the issuing CA chains.
  • You must use the Schannel cryptographic service provider (CSP) to generate the key.

For more information about establishing trust for certificates, see the "Policies to establish trust of root certification authorities" topic in Windows 2000 Server Help.

Back to the top

Creating the certificate request

Any utility or application that creates a valid PKCS #10 request can be used to form the SSL certificate request. Use Certreq to form the request.

Note The commands that are used in this article rely on the 2003 version of Certreq. In order to use the steps in this article on a Windows 2000 server, copy certreq.exe and certcli.dll from a Windows 2003 server into a temporary directory on the Windows 2000 server.

Certreq.exe requires a text instruction file to generate an appropriate X.509 certificate request for a domain controller. You can create this file by using your preferred ASCII text editor. Save the file as an .inf file to any folder on your hard drive.

To request a Server Authentication certificate that is suitable for LDAPS, follow these steps:

1.     Create the .inf file. Following is an example .inf file that can be used to create the certificate request.

;----------------- request.inf -----------------

[Version]

Signature="$Windows NT$

[NewRequest]

Subject = "CN=<DC FQDN >" ; replace with the FQDN of the DC
KeySpec = 1
KeyLength = 1024
; Can be 1024, 2048, 4096, 8192, or 16384.
; Larger key sizes are more secure, but have
; a greater impact on performance.
Exportable = TRUE
MachineKeySet = TRUE
SMIME = False
PrivateKeyArchive = FALSE
UserProtected = FALSE
UseExistingKeySet = FALSE
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = PKCS10
KeyUsage = 0xa0

[EnhancedKeyUsageExtension]

OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication

;-----------------------------------------------

Cut and paste the sample file into a new text file named Request.inf. Provide the fully qualified DNS name of the domain controller in the request.

Note Some third-party certification authorities may require additional information in the Subject parameter. Such information includes an e-mail address (E), organizational unit (OU), organization (O), locality or city (L), state or province (S), and country or region (C). You can append this information to the Subject name (CN) in the Request.inf file. For example: Subject="[email protected], CN=<DC fqdn>, OU=Servers, O=Contoso, L=Redmond, S=Washington, C=US."

2.     Create the request file. To do this, type the following command at the command prompt, and then press ENTER:

certreq -new request.inf request.req

A new file called Request.req is created. This is the base64-encoded request file.

3.     Submit the request to a CA. You can submit the request to a Microsoft CA or to a third-party CA.

4.     Retrieve the certificate that is issued, and then save the certificate as Certnew.cer in the same folder as the request file. To do this, follow these steps:

a.     Create a new file called Certnew.cer.

b.     Open the file in Notepad, paste the encoded certificate into the file, and then save the file.

Note The saved certificate must be encoded as base64. Some third-party CAs return the issued certificate to the requestor as base64-encoded text in an e-mail message.

5.     Accept the issued certificate. To do this, type the following command at the command prompt, and then press ENTER:

certreq -accept certnew.cer

6.     Verify that the certificate is installed in the computer's Personal store. To do this, follow these steps:

 .      Start Microsoft Management Console (MMC).

a.     Add the Certificates snap-in that manages certificates on the local computer.

b.     Expand Certificates (Local Computer), expand Personal, and then expand Certificates.

A new certificate should exist in the Personal store. In the Certificate Properties dialog box, the intended purpose displayed is Server Authentication. This certificate is issued to the computer's fully qualified host name.

7.     Restart the domain controller.

For more information about creating the certificate request, see the following Advanced Certificate Enrollment and Management white paper. To view this white paper, visit the following Microsoft Web site:

http://technet.microsoft.com/en-us/library/cc782583.aspx (http://technet.microsoft.com/en-us/library/cc782583.aspx)

Back to the top

Verifying an LDAPS connection

After a certificate is installed, follow these steps to verify that LDAPS is enabled:

1.     Start the Active Directory Administration Tool (Ldp.exe).

Note This program is installed in the Windows 2000 Support Tools.

2.     On the Connection menu, click Connect.

3.     Type the name of the domain controller to which you want to connect.

4.     Type 636 as the port number.

5.     Click OK.

RootDSE information should print in the right pane, indicating a successful connection.

Back to the top

Possible issues

  • Start TLS extended request
    LDAPS communication occurs over port TCP 636. LDAPS communication to a global catalog server occurs over TCP 3269. When connecting to ports 636 or 3269, SSL/TLS is negotiated before any LDAP traffic is exchanged. Windows 2000 does not support the Start TLS extended-request functionality.
  • Multiple SSL certificates
    Schannel, the Microsoft SSL provider, selects the first valid certificate that it finds in the local computer store. If there are multiple valid certificates available in the local computer store, Schannel may not select the correct certificate.
  • Pre-SP3 SSL certificate caching issue
    If an existing LDAPS certificate is replaced with another certificate, either through a renewal process or because the issuing CA has changed, the server must be restarted for Schannel to use the new certificate. The SSL provider in Windows 2000 caches the LDAPS certificate and does not detect the change until the domain controller is restarted. This has been corrected in Service Pack 3 for Windows 2000.

Back to the top

Windows Server 2008 improvements

The original recommendation in this article was to put certificates in the Local Machine's Personal store. Although this option is supported, you can also put certificates in the NTDS Service's Personal certificate store on Windows Server 2008 and on later versions of Active Directory Domain Services (AD DS). For more information about how to add the certificate to the NTDS service's Personal certificate store, visit the following Microsoft TechNet Web site:

http://technet.microsoft.com/en-us/library/dd941846(WS.10).aspx (http://technet.microsoft.com/en-us/library/dd941846(WS.10).aspx)

AD DS preferentially looks for certificates in this store over the Local Machine's store. This makes it easier to configure AD DS to use the certificate that you want it to use. This is because there might be multiple certificates in the Local Machines Personal store, and it can be difficult to predict which one is selected.

AD DS detects when a new certificate is dropped into its certificate store and then triggers an SSL certificate update without having to restart AD DS or restart the domain controller.

A new rootDse operation that is named renewServerCertificate can be used to manually trigger AD DS to update its SSL certificates without having to restart AD DS or restart the domain controller. This attribute can be updated using adsiedit.msc, or by importing the change in LDAP Directory Interchange Format (LDIF) using ldifde.exe. For more information on using LDIF to update this attribute, visit the following Microsoft MSDN Web site:

http://msdn.microsoft.com/en-us/library/cc223311(v=PROT.10).aspx (http://msdn.microsoft.com/en-us/library/cc223311(v=PROT.10).aspx)

Finally, if a Windows Server 2008 or a later version domain controller finds multiple certificates in its store, it automatically selects the certificate whose expiration date is furthest in the future. Then, if your current certificate is approaching its expiration date, you can drop the replacement certificate in the store, and AD DS automatically switches to use it.

All these work for Windows Server 2008 AD DS and for 2008 Active Directory Lightweight Directory Services (AD LDS). For AD LDS, put certificates into the Personal certificate store for the service that corresponds to the AD LDS instance instead of for the NTDS service.

 

-------------------------------------------------------

 

如何启用 SSL 上的 LDAP 与第三方证书颁发机构

 

 

轻型目录访问协议 (LDAP) 用于读取和写入到活动目录。默认状态下,传输不安全的 LDAP 通信。您可以通过使用安全套接字层 (SSL) 进行通信的 LDAP 机密、 安全 / 传输层安全性 (TLS) 技术。 您可以通过从 Microsoft 证书颁发机构 (CA) 或非-Microsoft CA 根据本文准则安装一个格式正确的证书来启用 LDAP 通过 SSL (LDAPS)。
更多信息

用于配置 LDAPS 没有用户界面。 域控制器上安装一个有效的证书允许 LDAP 服务来侦听,自动接受 SSL 连接的 LDAP 和全局编录通信。 对一个 LD...

用于配置 LDAPS 没有用户界面。 域控制器上安装一个有效的证书允许 LDAP 服务来侦听,自动接受 SSL 连接的 LDAP 和全局编录通信。

对一个 LDAPS 证书要求

若要以便 LDAPS 您必须安装一个证书,以满足以下要求:
  • LDAPS 证书位于本地计算机的个人证书存储 (以编程方式称为该计算机的 MY 证书存储区)。
  • 与证书匹配的私钥是出现在本地计算机的存储区,并与证书正确关联。 私钥必须 具有强私钥保护已启用。
  • 增强型密钥用法扩展包括服务器身份验证 (1.3.6.1.5.5.7.3.1) 对象标识符 (也称为 OID)。
  • 在 Active Directory 完全合格的域名的域控制器 (例如对于 DC01.DOMAIN.COM) 必须出现在下列位置之一:
    • 在公用名 (CN) 在主题字段中。
    • 在主题备用名称的 DNS 条目扩展名。
  • 证书是由域控制器和 $ LDAPS 客户端信任的 CA 颁发的。通过配置客户端和服务器的信任根 CA 中建立信任关系是颁发 CA 链。
  • 您必须使用 Schannel 加密服务提供程序 (CSP) 来生成密钥。
有关建立信任的证书的详细信息请参阅 Windows 2000 Server 帮助中的"策略建立信任的根证书颁发机构"主题。

创建证书申请

任何实用程序或创建一个有效的 PKCS # 10 请求的应用程序可用于窗体 SSL 证书申请。使用 Certreq,以形成请求。

注意在这篇文章中使用的命令依赖于 Certreq 的 2003年版本。要使用在 Windows 2000 的服务器上的这篇文章中的步骤,certreq.exe 和 certcli.dll 从一个 Windows 2003 服务器复制到 Windows 2000 服务器上的临时目录。

Certreq.exe 要求来生成对域控制器的相应 X.509 证书请求文本文件指令。您可以创建此文件使用您首选的 ASCII 文本编辑器。将文件另存为.inf 文件的任何文件夹在您的硬盘上。

若要请求服务器身份验证证书,适用于 LDAPS,请按照下列步骤:
  1. 创建.inf 文件。下面是可以被用来创建证书申请的.inf 文件示例。
    -----------------request.inf-----------------

    [版本]

    签名 ="$ Windows NT $

    [NewRequest]

    主题 ="CN = < DC fqdn >"; 与 DC 的 FQDN 替换
    KeySpec = 1
    KeyLength = 1024年
    ; 可以是 1024,2048年、 4096、 8192,或 16384。
    ; 较大的密钥大小是更安全,但有
    ; 在 $ 性能上的一个更大的影响。
    可导出 = TRUE
    MachineKeySet = TRUE
    SMIME = False
    PrivateKeyArchive = FALSE
    UserProtected = FALSE
    UseExistingKeySet = FALSE
    ProviderName = Microsoft RSA SChannel 加密提供程序
    ProviderType = 12
    RequestType = PKCS10
    KeyUsage = 0xa0

    [EnhancedKeyUsageExtension]

    OID=1.3.6.1.5.5.7.3.1 ; this is for Server Authentication

    ;-----------------------------------------------
    剪切并粘贴到新的文本文件名为 Request.inf 的示例文件。 提供在请求中的域控制器的完全合格的 DNS 名称。

    注意某些第三方证书颁发机构可能需要在主题参数中的附加信息。 此类信息包括电子邮件地址 (E)、 组织单位 (OU)、 组织 (O)、 区域或城市 (L)、 状态或自治区 (S) 和国家/地区或地区 (C)。可以将此信息追加到 Request.inf 文件中的主题名 (CN)。例如: Subject="[email protected]、 CN = < DC fqdn >,OU = 服务器,O = Contoso,L = 雷德蒙 S = 华盛顿,C = 美国"
  2. 创建请求文件。若要执行此操作命令提示符下键入以下命令,然后按 ENTER 键:
    certreq-新 request.inf request.req
    创建一个新的文件称为 Request.req。这是 base64 编码的请求文件。
  3. 提交给 CA 请求。您可以提交请求到 Microsoft CA 或第三方 CA。
  4. 检索向颁发的证书,然后将证书保存为 Certnew.cer 相同请求文件的文件夹中。若要这样做,请按照下列步骤操作:
    1. 创建新的文件称为 Certnew.cer。
    2. 在 $ 记事本中打开该文件、 将已编码的证书粘贴到该文件,然后保存该文件。
    注意已保存的证书必须被编码为 base64。某些第三方 ca 返回给请求者颁发的证书 base64 编码的电子邮件中的文本。
  5. 接受颁发的证书。若要执行此操作命令提示符下键入以下命令,然后按 ENTER 键:
    certreq-接受 certnew.cer
  6. 验证计算机的个人存储区中安装了证书。若要这样做,请按照下列步骤操作:
    1. 启动 Microsoft 管理控制台 (MMC)。
    2. 添加证书管理单元来管理本地计算机上的证书。
    3. 展开 证书 (本地计算机),展开 个人,然后再展开 证书
    在个人存储区中应存在新的证书。在 证书属性 对话框中显示的预期的目的是 服务器身份验证。此证书颁发给计算机的完全合格的主机名。
  7. 重新启动域控制器。
有关创建证书申请的详细信息请参阅下面的高级证书注册和管理白皮书。 若要访问此白皮书请访问下面的 Microsoft 网站:
http://technet.microsoft.com/en-us/library/cc782583.aspx (http://technet.microsoft.com/en-us/library/cc782583.aspx)
 

验证一个 LDAPS 连接

已安装了证书后,请按照下列步骤以验证启用了 LDAPS 操作:
  1. 启动 Active Directory 管理工具 (Ldp.exe)。

    注意在 Windows 2000 支持工具安装此程序。
  2. 连接 菜单上单击 连接
  3. 键入您要连接的域控制器的名称。
  4. 键入 636 作为端口号。
  5. 单击 确定

    连接成功,该值指示在右窗格中,应打印 RootDSE 信息。

可能出现的问题

  • 启动 TLS 扩展的请求
    LDAPS 通信是通过端口 TCP 636。LDAPS 发送到全局编录服务器的通信是通过 TCP 3269。连接到端口 636 或 3269 时, SSL/TLS 协商之前交换任何 LDAP 通信。Windows 2000 不支持启动 TLS 扩展请求功能。
  • 多个 SSL 证书
    Schannel,Microsoft SSL 提供程序选择本地计算机存储中找到的第一个有效证书。如果有多个有效的证书保存在本地计算机存储中,Schannel 可能不会选择正确的证书。
  • 缓存问题的 SP3 之前的 SSL 证书
    如果现有 LDAPS 证书将被替换为通过续订过程的另一个证书,或者因为在颁发 CA 已更改,则必须重新启动服务器 Schannel 若要使用新的证书。 在 Windows 2000 中的 SSL 提供程序缓存 LDAPS 证书,并在重新启动域控制器之前没有检测到更改。这已经在 Windows 2000 Service Pack 3 中更正。

Windows Server 2008 的改进

在这篇文章中,原始建议是将证书放入本地计算机的个人存储区。尽管支持此选项,您也可使证书 NTDS 服务的个人证书存储区中的 Active Directory 域服务 (AD DS) 的更高版本上和 Windows Server 2008 上。有关如何将证书添加到 NTDS 服务的个人证书存储区的详细信息请访问以下 Microsoft TechNet 网站:
http://technet.microsoft.com/en-us/library/dd941846(WS.10).aspx (http://technet.microsoft.com/en-us/library/dd941846(WS.10).aspx)
AD DS 优先于本地计算机的存储区查找该存储区中的证书。这便于更方便地配置为使用要使用您的证书的 AD DS。这是因为在本地计算机个人存储中可能有多个证书,并将很难预测哪一项被选中。

新的证书被放入其证书存储区,然后触发而无需重新启动 AD DS 或重新启动域控制器的 SSL 证书更新时,会检测到 AD DS。

新的名为 reviewServerCertificate rootDse 操作可用于手动触发更新其 SSL 证书,而无需重新启动 AD DS 或重新启动域控制器的 AD DS。

最后,如果 Windows Server 2008 或更高版本的域控制器在存储中找到多个证书,它自动选择的证书的到期日期是在将来最远。然后,如果您当前的证书已接近其到期日期,可以放替换证书存储区中, 和 AD DS 自动切换到使用它。

所有这些工作的 Windows Server 2008 AD DS 和 2008 Active Directory 轻型目录服务 (AD LDS)。AD LDS 的证书放入对应的服务的个人证书存储区,到 AD LDS 实例而不是为 NTDS 服务。

 

你可能感兴趣的:(LDAP)

  • 机器学习 流形数据降维:UMAP 降维算法 小嗷犬 Python机器学习#数据分析及可视化机器学习算法人工智能
    ✅作者简介:人工智能专业本科在读,喜欢计算机与编程,写博客记录自己的学习历程。个人主页:小嗷犬的个人主页个人网站:小嗷犬的技术小站个人信条:为天地立心,为生民立命,为往圣继绝学,为万世开太平。本文目录UMAP简介理论基础特点与优势应用场景在Python中使用UMAP安装umap-learn库使用UMAP可视化手写数字数据集UMAP简介UMAP(UniformManifoldApproximatio
  • Delta3d 简单的控制物体例子 Sunday Delta3D
    //Inthistutorial,youwillchangethepreviousHelloWorldapplicationto//furtheryourunderstandingofmotionmodels.Previouslyyoulearnedhowtoplacea//camerainasceneandmovethecamerapositionviamouseandkeyboardinput
  • Spring LDAP 登录验证(非查询方式) 小罗不吃菜
    最近公司的一个产品需要做兼容多个公司的LDAP登录功能,选择SpringLDAP这种比较简单的方式来获取LDAP连接和查询用户,但是做到用户登录时却发现了一个问题,不同公司的LDAP的密码加密方式可能并不一样,若想通过查询的方式来确认用户登录,则需要关心该LDAP的密码加密方式。但是我们并不想把所有的可用加密方式列举一遍,那有其他的方法来实现这个功能么?在你连接LDAP的时候会发现,你的管理员密码
  • 探索Vuex的世界 - Vuex Examples 翟苹星Trustworthy
    探索Vuex的世界-VuexExamplesvuex-examples:bear:SimpleExamplesonusingVuextobuildRealWorldApps项目地址:https://gitcode.com/gh_mirrors/vu/vuex-examples在这个开放源码的项目中,你将深入了解到Vue的状态管理库Vuex的各种应用场景和最佳实践。这个项目集合了多个小项目,每个都展
  • apkbuilder.java 362,发布apk出现问题Failed to build apk,有没有大佬帮忙看一下 weixin_39876145 apkbuilder.java362
    该楼层疑似违规已被系统折叠隐藏此楼查看此楼CommandInvokationFailure:Failedtobuildapk.H:/java\bin\java.exe-Xmx2048M-Dcom.android.sdkmanager.toolsdir="H:/andorid-sdk1\tools"-Dfile.encoding=UTF8-jar"G:\unity3d\Editor\Data\Pla
  • 【DevOps工具篇】Keycloak中设置LDAP认证 小涵 DevOps企业级项目实战devops运维ldapkeycloak
    【DevOps工具篇】Keycloak中设置LDAP认证目录【DevOps工具篇】Keycloak中设置LDAP认证本次使用的环境服务器配置LDAP目录结构使用存储在LDAP中的用户进行登录Keycloak配置步骤功能测试从LDAP向Keycloak批量添加用户Keycloak配置步骤功能测试推荐超级课程:Docker快速入门到精通Kubernetes入门到大师通关课AWS云服务快速入门实战启用K
  • 【DevOps工具篇】Keycloak中设置与OpenLDAP认证集成 小涵 DevOps企业级项目实战devops运维openldapldapphpldapadminkeycloakAD
    【DevOps工具篇】Keycloak中设置与OpenLDAP认证集成目录【DevOps工具篇】Keycloak中设置与OpenLDAP认证集成步骤1.启动一个用于安装OpenLDAP的EC2实例步骤2.安装OpenLDAP启动docker容器查看所有用户信息extendedLDIFLDAPv3basewithscopesubtreefilter:(objectclass=*)requesting
  • 企业级Registry开源项目Harbor架构简介 project_harbor
    企业级Registry开源项目Harbor架构简介作者:张海宁姜坦1.Harbor项目VMware公司最近开源了企业级Registry项目Harbor,其的目标是帮助用户迅速搭建一个企业级的Dockerregistry服务。它以Docker公司开源的registry为基础,提供了管理UI,基于角色的访问控制(RoleBasedAccessControl),AD/LDAP集成、以及审计日志(Audi
  • flutter 安卓打包自定义名字 肥肥呀呀呀 android
    打包的名字如app.1.0.1_relase_201283893.apk打包命令flutterbuildapk实现配置安卓项目的中的build.gradle(android/app/build.gradle)新增android{内applicationVariants.all配置applicationVariants.all{variant->variant.outputs.all{defappN
  • 将钉钉、飞书、企业微信账号同步到Synology群晖NAS,并开启LDAP双因子认证 宁盾Nington 网络安全
    用户使用钉钉、飞书、企业微信账号即可登录群晖SynologyNAS等LDAP协议应用,账号的创建、删除、变更都会自动同步给下游LDAP应用,这意味着账号管理流程缩短了一倍。而流程如此高效,秘密就在于宁盾身份目录服务。将企微、钉钉、飞书账号同步到Synology群晖NAS,并添加LDAP双因子认证点击此处查看视频以Synology群晖NAS为例,当企业想将钉钉、飞书、企业微信内的组织架构和用户信息同
  • 七、Centos安装LDAP--Docker版--已失败 O-0-O devops学习centoslinux运维
    参考博客:docker安装OpenLDAP及LdapAdmin桌面版、页面版(osixia/openldap)_docker安装ldap-CSDN博客LDAP使用docker安装部署与使用_memberofldapdocker-CSDN博客目录一、安装DockerDocker基本使用管理镜像二、拉取LDAP镜像配置docker国内的镜像源拉取LDAP镜像卸载DockerDocker安装失败,直接在
  • devops学习思路 O-0-O devops学习运维
    一、关于devops流程win上建个maven项目,使用win上的nexus私服。使用git版本管理。wmware搭建gitlab、jenkins、ldap、artifactory。做一套简单的流程。后面可以加代码扫描、单元测试等等功能。二、maven、nexus私服学习目标架构课里的课程API操作:上传jar包备份策略三、git、gitlab学习目标架构课里的课程gitlab部署安装gitlab
  • Linux安装Harbor亲测成功 beyond阿亮
    Harbor简介Harbor是为企业用户设计的容器镜像仓库开源项目,包括了权限管理(RBAC)、LDAP、审计、安全漏洞扫描、镜像验真、管理界面、自我注册、HA等企业必需的功能,同时针对中国用户的特点,设计镜像复制和中文支持等功能。虽然Docker官方提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。Harbor是由VMware公司开源的企业级的
  • gitlab中配置ldap hawk2014bj linuxjavaspringbootcentos
    如果在gitlab中配置ldap首先安装OpenLdap和Gitlab,网上文章很多大家可以搜一下。添加Ldap服务器配置,参数说明详见官网https://docs.gitlab.com/ee/administration/auth/ldap/vi/etc/gitlab/gitlab.rb#添加配置gitlab_rails['ldap_enabled']=truegitlab_rails['pre
  • WEB渗透Win提权篇-AccountSpoofing Pluto-2003 渗透测试渗透测试WEB渗透网络安全WEB安全windows
    渗透测试60w字全套md笔记:夸克网盘分享需要MachineAccountQuota>0检查账户的MachineAccountQuota>crackmapexecldap10.10.10.10-uusername-p'Password123'-d'domain.local'--kdcHost10.10.10.10-MMAQ>StandIn.exe--objectms-DS-MachineAccou
  • ATT&CK系列之环境探索篇 YinCircle ATT&CK安全系统安全网络安全windows网络
    该篇主要介绍环境探索相关的技术和工具,收集数据,为后期横向移动做准备。1.账户探索1.1本地账户Windows:netusernetlocalgrouplinux:枚举/etc/passwd文件mac:dscl.list/Users1.2域账户windows:netuser/domainnetgroup/domainmac:dscacheutil-qgrouplinux:ldapsearch1.3
  • 使用Spring Security进行LDAP(轻量目录访问协议)认证 岚珂瓜呱 springbootspringjava数据库后端开发语言springboot
    使用SpringSecurity进行LDAP(轻量目录访问协议)认证使用SpringSecurity进行LDAP认证非常简单,您只需配置SpringSecurity以连接到LDAP服务器并执行认证即可。以下是一个简单的示例,演示如何在SpringBoot应用程序中实现LDAP认证:添加SpringSecurity和SpringLDAP依赖:首先,您需要添加SpringSecurity和Spring
  • Centos 7 yum安装php5.6.X DomyloveR
    检查当前安装的PHP包yumlistinstalled|grepphp如果有安装的PHP包,先删除他们yumremovephp.x86_64php-cli.x86_64php-common.x86_64php-gd.x86_64php-ldap.x86_64php-mbstring.x86_64php-mcrypt.x86_64php-mysql.x86_64php-pdo.x86_64配置yum
  • C#游戏开发 举目沧桑 c#
    1.基础1.基本结构usingSystem;namespaceHelloWorldApplication{classHelloWorld{staticvoidMain(string[]args){/*我的第一个C#程序*/Console.WriteLine("HelloWorld");Console.ReadKey();}}}1.C#程序主要包括以下部分1.命名空间声明(Namespacedecl
  • 云原生周刊:CNCF 宣布 Falco 毕业|2024.3.4 云计算
    开源项目推荐ldap-operator用于部署和管理LDAP目录的KubernetesOperator。UpdatecliUpdatecli是一个用于应用文件更新策略的工具。每个应用程序“运行”时都设计为可在任何地方使用,它会检测是否需要使用自定义策略更新值,然后根据该策略应用更改。AlazAlaz是一个开源DdosifyeBPF代理,可以检查和收集Kubernetes(K8s)服务流量,无需代码
  • ROS2 学习笔记13:创建 ROS2 包 斯丢彼得大帝 ROS2学习笔记机器人自动驾驶
    ROS2学习笔记13:创建ROS2包Background背景1什么是ROS2包2ROS2包的组成3工作空间的包Prerequisites前提Tasks任务1Createapackage2Buildapackage3Sourcethesetupfile4Usethepackage5Examinepackagecontents6Customizepackage.xmlSummary总结Nextstep
  • OpenLDAP接入NineData SSO NineData 云数据库技术SQL开发数据库数据库开发sqlmysql云计算安全dba
    本文面向使用OpenLDAP管理人员账户信息的企业,提供将OpenLDAP接入单点登录(SSO)的最佳实践指南,以实现统一认证和授权管理。通过集成OpenLDAP、phpLDAPadmin、Keycloak,您可以轻松通过SSO功能登录NineData。1.背景信息OpenLDAP(OpenLightweightDirectoryAccessProtocol)是一个开源的轻量级目录访问协议(LDA
  • NDK Commands 赶时间的闹钟
    ndk-buildNDK_LOG=1用于配置LOG级别,打印ndk编译时的详细输出信息ndk-buildNDK_PROJECT_PATH=.指定NDK编译的代码路径为当前目录,如果不配置,则必须把工程代码放到Android工程的jni目录下ndk-buildAPP_BUILD_SCRIPT=./Android.mk指定NDK编译使用的Android.mk文件ndk-buildNDK_APPLICA
  • 极狐GitLab 如何配置多个 LDAP? 极小狐 gitlabLDAP
    本文仅适用于极狐GitLab私有化部署场景。场景化痛点极狐GitLab的多LDAP接入功能解决了企业在以下场景中可能遇到的痛点:多个组织/部门的整合:在大型企业或跨国公司中,往往存在多个组织或部门,它们可能拥有独立的LDAP服务器。GitLab的多LDAP接入功能允许这些组织或部门在一个统一的平台上进行协作,同时保持各自的身份验证和授权体系。并购与合并:当企业进行并购或合并时,它们可能需要整合不同
  • vulhub中Apache Log4j2 lookup JNDI 注入漏洞(CVE-2021-44228) 余生有个小酒馆 vulhub漏洞复现apachelog4j安全
    ApacheLog4j2是Java语言的日志处理套件,使用极为广泛。在其2.0到2.14.1版本中存在一处JNDI注入漏洞,攻击者在可以控制日志内容的情况下,通过传入类似于`${jndi:ldap://evil.com/example}`的lookup用于进行JNDI注入,执行任意代码。1.服务启动后,访问`http://your-ip:8983`即可查看到ApacheSolr的后台页面。2.`$
  • java 多线程m3u8下载 小百菜 javajava多线程m3u8下载m3u8m3u8多线程下载Javam3u8m3u8下载
    某些时候你需要代理,手机很多电脑比较少,手机分享网络,推荐com.icecoldapps.proxyserver。手机电脑需要在同一路由器(或者电脑连手机的热点)。在代码第一行加上如下代码://使用代理服务器System.getProperties().setProperty("proxySet","true");//代理服务器地址System.getProperties().setPropert
  • C++工程使用curl 静态库 技术大白 c++
    库:curl静态库openssl静态库静态库工程C/C++属性页面中的预处理器属性页设置定义BUILDING_LIBCURL(静态编译)或者CURL_STATICLIB(指定工程静态引入库文件)USE_OPENSSL(引入OpenSSL库)附加依赖项libcurl.liblibcrypto.liblibssl.libws2_32.libCrypt32.libWldap32.lib
  • 晓思的ScalersTalk第六轮《新概念》朗读持续力训练Day64—20210302 XS_XS
    【练习材料】(喜马拉雅新概念英音第二册)☞原文Lesson64TheChannelTunnelInl858,aFrenchengineer,AimeThomedeGamond,arrivedinEnglandwithaplanforatwenty-one-miletunnelundertheEnglishChannel.Hesaidthatitwouldbepossibletobuildaplat
  • 极狐GitLab 如何配置多个 LDAP? gitlab
    本文作者极狐GitLab资深解决方案架构师尹学峰本文仅适用于极狐GitLab私有化部署场景。场景化痛点极狐GitLab的多LDAP接入功能解决了企业在以下场景中可能遇到的痛点:多个组织/部门的整合:在大型企业或跨国公司中,往往存在多个组织或部门,它们可能拥有独立的LDAP服务器。GitLab的多LDAP接入功能允许这些组织或部门在一个统一的平台上进行协作,同时保持各自的身份验证和授权体系。并购与合
  • configure: error: Cannot find ldap.h 另一种解决方式 自带BGM的人
    在玩wordpress时需要开启ldap,在安装php-ldap时遇见了configure:error:Cannotfindldap.h这个报错,百度了你知道的都是一个答案,尝试了不好使。终于在必应上看到了另一种解决方式apt-getinstalllibldap2-dev然后就ok了。记录一下吧。
  • LeetCode[Math] - #66 Plus One Cwind javaLeetCode题解AlgorithmMath
    原题链接:#66 Plus One   要求: 给定一个用数字数组表示的非负整数,如num1 = {1, 2, 3, 9}, num2 = {9, 9}等,给这个数加上1。 注意: 1. 数字的较高位存在数组的头上,即num1表示数字1239 2. 每一位(数组中的每个元素)的取值范围为0~9   难度:简单   分析: 题目比较简单,只须从数组
  • JQuery中$.ajax()方法参数详解 AILIKES JavaScriptjsonpjqueryAjaxjson
    url: 要求为String类型的参数,(默认为当前页地址)发送请求的地址。 type: 要求为String类型的参数,请求方式(post或get)默认为get。注意其他http请求方法,例如put和    delete也可以使用,但仅部分浏览器支持。 timeout: 要求为Number类型的参数,设置请求超时时间(毫秒)。此设置将覆盖$.ajaxSetup()方法的全局
  • JConsole & JVisualVM远程监视Webphere服务器JVM Kai_Ge JVisualVMJConsoleWebphere
        JConsole是JDK里自带的一个工具,可以监测Java程序运行时所有对象的申请、释放等动作,将内存管理的所有信息进行统计、分析、可视化。我们可以根据这些信息判断程序是否有内存泄漏问题。   使用JConsole工具来分析WAS的JVM问题,需要进行相关的配置。   首先我们看WAS服务器端的配置.   1、登录was控制台https://10.4.119.18
  • 自定义annotation 120153216 annotation
    Java annotation 自定义注释@interface的用法 一、什么是注释      说起注释,得先提一提什么是元数据(metadata)。所谓元数据就是数据的数据。也就是说,元数据是描述数据的。就象数据表中的字段一样,每个字段描述了这个字段下的数据的含义。而J2SE5.0中提供的注释就是java源代码的元数据,也就是说注释是描述java源
  • CentOS 5/6.X 使用 EPEL YUM源 2002wmj centos
    CentOS 6.X 安装使用EPEL YUM源1. 查看操作系统版本[root@node1 ~]# uname -a Linux node1.test.com 2.6.32-358.el6.x86_64 #1 SMP Fri Feb 22 00:31:26 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux [root@node1 ~]#
  • 在SQLSERVER中查找缺失和无用的索引SQL 357029540 SQL Server
    --缺失的索引 SELECT  avg_total_user_cost * avg_user_impact * ( user_scans + user_seeks ) AS PossibleImprovement ,          last_user_seek ,    
  • Spring3 MVC 笔记(二) —json+rest优化 7454103 Spring3 MVC
    接上次的 spring mvc 注解的一些详细信息!                          其实也是一些个人的学习笔记  呵呵!
  • 替换“\”的时候报错Unexpected internal error near index 1 \ ^ adminjun java“\替换”
    发现还是有些东西没有刻子脑子里,,过段时间就没什么概念了,所以贴出来...以免再忘...   在拆分字符串时遇到通过 \ 来拆分,可是用所以想通过转义 \\ 来拆分的时候会报异常   public class Main {          /*
  • POJ 1035 Spell checker(哈希表) aijuans 暴力求解--哈希表
    /* 题意:输入字典,然后输入单词,判断字典中是否出现过该单词,或者是否进行删除、添加、替换操作,如果是,则输出对应的字典中的单词 要求按照输入时候的排名输出 题解:建立两个哈希表。一个存储字典和输入字典中单词的排名,一个进行最后输出的判重 */ #include <iostream> //#define using namespace std; const int HASH =
  • 通过原型实现javascript Array的去重、最大值和最小值 ayaoxinchao JavaScriptarrayprototype
    用原型函数(prototype)可以定义一些很方便的自定义函数,实现各种自定义功能。本次主要是实现了Array的去重、获取最大值和最小值。 实现代码如下:   <script type="text/javascript"> Array.prototype.unique = function() { var a = {}; var le
  • UIWebView实现https双向认证请求 bewithme UIWebViewhttpsObjective-C
              什么是HTTPS双向认证我已在先前的博文 ASIHTTPRequest实现https双向认证请求 中有讲述,不理解的读者可以先复习一下。本文是用UIWebView来实现对需要客户端证书验证的服务请求,网上有些文章中有涉及到此内容,但都只言片语,没有讲完全,更没有完整的代码,让人困扰不已。但是此知
  • NoSQL数据库之Redis数据库管理(Redis高级应用之事务处理、持久化操作、pub_sub、虚拟内存) bijian1013 redis数据库NoSQL
    3.事务处理         Redis对事务的支持目前不比较简单。Redis只能保证一个client发起的事务中的命令可以连续的执行,而中间不会插入其他client的命令。当一个client在一个连接中发出multi命令时,这个连接会进入一个事务上下文,该连接后续的命令不会立即执行,而是先放到一个队列中,当执行exec命令时,redis会顺序的执行队列中
  • 各数据库分页sql备忘 bingyingao oraclesql分页
    ORACLE 下面这个效率很低 SELECT * FROM ( SELECT A.*, ROWNUM RN FROM (SELECT * FROM IPAY_RCD_FS_RETURN order by id desc) A ) WHERE RN <20; 下面这个效率很高 SELECT A.*, ROWNUM RN FROM (SELECT * FROM IPAY_RCD_
  • 【Scala七】Scala核心一:函数 bit1129 scala
    1. 如果函数体只有一行代码,则可以不用写{},比如 def print(x: Int) = println(x) 一行上的多条语句用分号隔开,则只有第一句属于方法体,例如   def printWithValue(x: Int) : String= println(x); "ABC"   上面的代码报错,因为,printWithValue的方法
  • 了解GHC的factorial编译过程 bookjovi haskell
    GHC相对其他主流语言的编译器或解释器还是比较复杂的,一部分原因是haskell本身的设计就不易于实现compiler,如lazy特性,static typed,类型推导等。 关于GHC的内部实现有篇文章说的挺好,这里,文中在RTS一节中详细说了haskell的concurrent实现,里面提到了green thread,如果熟悉Go语言的话就会发现,ghc的concurrent实现和Go有点类
  • Java-Collections Framework学习与总结-LinkedHashMap BrokenDreams LinkedHashMap
            前面总结了java.util.HashMap,了解了其内部由散列表实现,每个桶内是一个单向链表。那有没有双向链表的实现呢?双向链表的实现会具备什么特性呢?来看一下HashMap的一个子类——java.util.LinkedHashMap。       
  • 读《研磨设计模式》-代码笔记-抽象工厂模式-Abstract Factory bylijinnan abstract
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ package design.pattern; /* * Abstract Factory Pattern * 抽象工厂模式的目的是: * 通过在抽象工厂里面定义一组产品接口,方便地切换“产品簇” * 这些接口是相关或者相依赖的
  • 压暗面部高光 cherishLC PS
    方法一、压暗高光&重新着色 当皮肤很油又使用闪光灯时,很容易在面部形成高光区域。 下面讲一下我今天处理高光区域的心得: 皮肤可以分为纹理和色彩两个属性。其中纹理主要由亮度通道(Lab模式的L通道)决定,色彩则由a、b通道确定。 处理思路为在保持高光区域纹理的情况下,对高光区域着色。具体步骤为:降低高光区域的整体的亮度,再进行着色。 如果想简化步骤,可以只进行着色(参看下面的步骤1
  • Java VisualVM监控远程JVM crabdave visualvm
    Java VisualVM监控远程JVM    JDK1.6开始自带的VisualVM就是不错的监控工具. 这个工具就在JAVA_HOME\bin\目录下的jvisualvm.exe, 双击这个文件就能看到界面   通过JMX连接远程机器, 需要经过下面的配置: 1. 修改远程机器JDK配置文件 (我这里远程机器是linux).    
  • Saiku去掉登录模块 daizj saiku登录olapBI
    1、修改applicationContext-saiku-webapp.xml <security:intercept-url pattern="/rest/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />  <security:intercept-url pattern=&qu
  • 浅析 Flex中的Focus dsjt htmlFlexFlash
    关键字:focus、 setFocus、 IFocusManager、KeyboardEvent 焦点、设置焦点、获得焦点、键盘事件 一、无焦点的困扰——组件监听不到键盘事件 原因:只有获得焦点的组件(确切说是InteractiveObject)才能监听到键盘事件的目标阶段;键盘事件(flash.events.KeyboardEvent)参与冒泡阶段,所以焦点组件的父项(以及它爸
  • Yii全局函数使用 dcj3sjt126com yii
    由于YII致力于完美的整合第三方库,它并没有定义任何全局函数。yii中的每一个应用都需要全类别和对象范围。例如,Yii::app()->user;Yii::app()->params['name'];等等。我们可以自行设定全局函数,使得代码看起来更加简洁易用。(原文地址) 我们可以保存在globals.php在protected目录下。然后,在入口脚本index.php的,我们包括在
  • 设计模式之单例模式二(解决无序写入的问题) come_for_dream 单例模式volatile乱序执行双重检验锁
                    在上篇文章中我们使用了双重检验锁的方式避免懒汉式单例模式下由于多线程造成的实例被多次创建的问题,但是因为由于JVM为了使得处理器内部的运算单元能充分利用,处理器可能会对输入代码进行乱序执行(Out Of Order Execute)优化,处理器会在计算之后将乱序执行的结果进行重组,保证该
  • 程序员从初级到高级的蜕变 gcq511120594 框架工作PHPandroidhtml5
    软件开发是一个奇怪的行业,市场远远供不应求。这是一个已经存在多年的问题,而且随着时间的流逝,愈演愈烈。 我们严重缺乏能够满足需求的人才。这个行业相当年轻。大多数软件项目是失败的。几乎所有的项目都会超出预算。我们解决问题的最佳指导方针可以归结为——“用一些通用方法去解决问题,当然这些方法常常不管用,于是,唯一能做的就是不断地尝试,逐个看看是否奏效”。 现在我们把淫浸代码时间超过3年的开发人员称为
  • Reverse Linked List hcx2013 list
    Reverse a singly linked list.   /** * Definition for singly-linked list. * public class ListNode { * int val; * ListNode next; * ListNode(int x) { val = x; } * } */ p
  • Spring4.1新特性——数据库集成测试 jinnianshilongnian spring 4.1
    目录 Spring4.1新特性——综述 Spring4.1新特性——Spring核心部分及其他 Spring4.1新特性——Spring缓存框架增强 Spring4.1新特性——异步调用和事件机制的异常处理 Spring4.1新特性——数据库集成测试脚本初始化 Spring4.1新特性——Spring MVC增强 Spring4.1新特性——页面自动化测试框架Spring MVC T
  • C# Ajax上传图片同时生成微缩图(附Demo) liyonghui160com
        1.Ajax无刷新上传图片,详情请阅我的这篇文章。(jquery + c# ashx)         2.C#位图处理  System.Drawing。         3.最新demo支持IE7,IE8,Fir
  • Java list三种遍历方法性能比较 pda158 java
    从c/c++语言转向java开发,学习java语言list遍历的三种方法,顺便测试各种遍历方法的性能,测试方法为在ArrayList中插入1千万条记录,然后遍历ArrayList,发现了一个奇怪的现象,测试代码例如以下: package com.hisense.tiger.list; import java.util.ArrayList; import java.util.Iterator;
  • 300个涵盖IT各方面的免费资源(上)——商业与市场篇 shoothao seo商业与市场IT资源免费资源
    A.网站模板+logo+服务器主机+发票生成 HTML5 UP:响应式的HTML5和CSS3网站模板。 Bootswatch:免费的Bootstrap主题。 Templated:收集了845个免费的CSS和HTML5网站模板。 Wordpress.org|Wordpress.com:可免费创建你的新网站。 Strikingly:关注领域中免费无限的移动优
  • localStorage、sessionStorage uule localStorage
    W3School 例子   HTML5 提供了两种在客户端存储数据的新方法: localStorage - 没有时间限制的数据存储 sessionStorage - 针对一个 session 的数据存储   之前,这些都是由 cookie 完成的。但是 cookie 不适合大量数据的存储,因为它们由每个对服务器的请求来传递,这使得 cookie 速度很慢而且效率也不
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他