我们计划对 Kubernetes 实施 OpenID 身份验证,我正在寻找一种方法将 oidc-issue-url 添加到 Kubernetes 集群,如Kubernetes OpenID中的描述
但我找不到集群配置。如何使用 kubectl 向 Kubernetes 集群 API 服务器添加或编辑值?
您如何让用户在具有不同权限的网站上进行身份验证。我想要管理员、超级用户、协作者和普通用户。特别是,我想限制普通用户的访问权限,只允许其他用户访问。此外,超级用户和管理员应该允许/撤销对协作者的访问。我的意思是,不是每个人都应该能够登录,只有管理员和超级用户指定的人才能登录。为此使用 openId 有意义吗?如果是的话,我该如何去做呢?管理员如何在超级用户首次登录之前授予其访问权限?谢谢
对于那些允许用户指定 OpenID 提供者 (OP) 的依赖方 (RP),在我看来,比任何知道或猜测您的 OpenID 的人都可以
- 输入他们自己的 OP 地址。
- 让它验证他们拥有你的 OpenID。
- 在 RP 上访问您的帐户。
RP“可以”通过仅允许原始 OP 验证 OpenID 来采取措施防止这种情况发生,但是......
- 你怎么知道他们做的?
- 如果不更改 OpenID,就永远无法更改 OP。
大家好,我真的很困惑这个问题。我试着描述一下:
问题是: http://mydomain.com/somedir/somephp.php?arg1=value&arg2=http://otherdomain.com&arg3=http://othertoo.com/somepath/something ... 完全失败。有 url 编码,也没有。
我的站点读取了 mydomain.com/everything 之后的所有内容,但存在的文件和目录除外。我正在使用 mod_rewrite:
Options -Indexes
RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ handler.php上面的查询示例登陆 handler.php。如果我注释掉 RewriteRule,就会出现 apache 错误:
Forbidden
You don't have permission to access /somedir/somephp.php on this server.
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.经过大量测试等,我发现 url 参数中的 http:// 或 :// 字符串存在问题。但它以 url 编码的形式出现:S
这东西应该是一个 openId 身份验证系统,它在回发时失败,我确定 url 参数中的 url 会产生这个错误。
我以前从未遇到过这个问题,尽管我做了很多同样的事情。url 编码的东西必须工作。
请帮我!谢谢!
大约一周前,我更新了我的 DNS,添加了:
主机、类型、值、TTL
*.soup-team.com CNAME www.myopenid.com 3600
mail.soup-team.com CNAME ghs.google.com 3600
主机、类型、价值、
MX
、
TTL
.l.google.com 20 3600汤队.com MX
aspmx2.googlemail.com 30 3600 汤队.com MX
aspmx3.googlemail.com 30 3600 汤队
.com MX aspmx4.googlemail.com 30 3600
汤队.com MX aspmx5.googlemail.com 30 3600
从以前开始,我有:
主机、类型、值、TTL
汤队.com A 64.120.188.121 3600
汤队.com NS ns01.000webhost.com 3600 汤
队.com NS ns02.000webhost.com 3600
www.soup-team.com CNAME 汤-team.com 3600
其他详细信息:
该域是从 www.proisp.no 购买的,
www.everydns.com 用于 DNS 管理。
现在,在家里,一切正常,但在大学里,mail.soup-team.com 和任何与 OpenID 相关的子域都不起作用。而是显示来自我的网络主机 (000webhost) 的错误消息 - err.000webhost.com。
我使用OpenDNS 的 CacheCheck (www.opendns.com/support/cache/) 来检查他们的缓存,因为我认为这可能有助于我识别问题。在请求刷新后(昨天和今天),他们的所有缓存都正确指向 mail.soup-team.com,其中大部分指向与 OpenID 相关的子域(对于不同的用户名,未更新的缓存似乎有所不同)。
我有一个理论,这些问题可能与忽略 *.soup-team.com 规则并查询 000webhost 名称服务器的某些缓存有关。
所以,我的问题是:
1)我有没有配置错误?
2)由于我有一个指向 000webhost 的 IP 的 A 记录,并且我没有使用他们的子域选项,我可以删除 NS 记录(ns01.000webhost.com 和 ns02.000webhost.com)而不会造成其他类型的麻烦?
提前致谢,
方法139
PS:我对DNS很陌生。如果我在本文中使用了错误的词来描述某些内容,我也很高兴收到任何与此相关的反馈。
帮我找到一个强大的 OpenID 2.0 提供商!
我们正在为我们的组织寻找各种 SSO 解决方案,我想建议 OpenID 作为一个可行的选择,因为 (a) 在许多 Web 应用程序中都有良好的消费者支持,并且 (b) 它比 Shibboleth 更易于实施,这是替代技术。然而,这需要我们找到一个强大的 OpenID 提供者,最好是满足 2.0 规范的提供者。
到目前为止,我遇到的唯一解决方案是:
-
这看起来很棒,尽管 4000 美元的价格标签可能很难卖。
-
这看起来是一个有趣的想法,但我不确定项目质量是否处于合适的水平(目前)。特别是,尚不清楚 LDAP 支持是否真的有效(这将是我们环境中的要求)。
您是否在您的环境中实施了 OpenID?你在用什么?您是否选择了另一种 SSO 技术?
我想为我们的组设置一个 OpenID 提供程序,我们可以使用它来登录内部和外部的 OpenID 感知服务(例如 stackoverflow.com)。
我们的用户都有我们的 CA 颁发的 X.509 证书,所以我认为理想的解决方案是使用它来验证他们(即提供商不应该要求输入密码)。也许 Apache FakeBasicAuth 可以从 SSL 连接的证书中提取用户名?
什么是最好的软件?开源优先。
当您的密码爆炸,让魔法从您的服务器中冒出并设置lp0时,您不只是讨厌它吗?
严肃地说,一个人需要用户名和密码的地方数量正在急剧增加。看起来OpenID不会在不久的将来解决这个问题,而且单点登录在内部似乎更像是一个目标而不是现实,即使忽略了那里的巨大网络。
我刚参加了一次会议,有人告诉我,我们已经支付了访问多个外部站点的费用,并且希望降低标准并增加员工(和学生)使用这些资源的可能性。发言者认为,我们前 5% 到 10% 的用户可能会使用这些网站,但如果我们能够提供一种让人们登录网站(并为他们提供启动页面)的方式,那么使用率可能会增加戏剧性地(而且我们可以节省技术支持费用,但不必在人们忘记密码时提供帮助。)
您在组织中针对此问题采取了哪些措施?有什么明智的做法吗?
