主页 / user-313022

joebegborg07's questions

Martin Hope
joebegborg07
Asked: 2023-09-05 16:56:53 +0800 CST
  • 5

我正在尝试循环 IAM 策略资源块中的字符串值以允许 rds IAM 身份验证。我的资源定义是:

  resource "aws_iam_policy" "rds_iam_authentication"{
  name    = "${title(var.environment)}RdsIamAuthentication"
  policy  = templatefile(
    "${path.module}/iam_policy.json",
    {
      aws_account_id        = data.aws_caller_identity.current.account_id
      region         = var.region
      environment           = var.environment
      iam_rds_pg_role_name  = var.iam_rds_pg_role_name
    }
  )
}

iam_rds_pg_role_namein的变量定义terraform.tfvars如下:

region                  = "eu-west-3"
environment             = "env_name"
iam_rds_pg_role_name    = ["read_only_role", "full_role"]
aws_account_id          = "1234567890"

IAM 策略模板文件为:

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "rds-db:connect"
          ],
          "Resource": [
            %{ for rds_role in iam_rds_pg_role_name ~}
              "arn:aws:rds-db:${region}:${aws_account_id}:dbuser:*/${rds_role}"
            %{ endfor ~}
          ]
      }
  ]
}

我收到一条错误消息

错误:“policy”包含无效的 JSON:数组元素后的字符“”无效

我非常确定问题与 json 编码有关,但是当尝试jsonencode像下面这样在 json 中定义 arn 时,错误仍然存​​在:

%{ for rds_role in iam_rds_pg_role_name ~}
    jsonencode("arn:aws:rds-db:${region}:${aws_account_id}:dbuser:*/${rds_role}")}
%{ endfor ~}

希望有人能解释我所缺少的内容或有人为我指明正确的方向。

提前致谢

terraform
Martin Hope
joebegborg07
Asked: 2019-08-13 06:02:32 +0800 CST
  • 4

所以我想将请求代理传递到 https 后端服务器,但是,每次我尝试使用 https:// 配置的后端重新加载 nginx 服务器时,都会收到以下错误:

nginx: [emerg] https protocol requires SSL support

这是 nginx 配置

server{

    listen 8080;

    root /opt/nginx_1.17.0/nginx_ok/html;
    server_name www.frontedndomain.com;

    index index.php index.html;

            location /health-monitor/ {
                    add_header Custom-Header test;
            }

            location ~* ^\/([a-z][a-z]\/)?abc\/?(.*)? {
                    error_log /opt/nginx_1.17.0/nginx_ok/logs/proxy_error.log;
                    add_header X-query-string $is_args$query_string;
                    resolver 0.0.0.0;
                    resolver_timeout 15s;
                    proxy_pass https://backenddomain.com;
                    proxy_ssl on;
                    proxy_http_version 1.1;
                    proxy_set_header Accept-Encoding "";
                    proxy_set_header Cache-Control no-cache;
                    proxy_set_header Upgrade $http_upgrade;
                    proxy_set_header Connection 'upgrade';
                    proxy_set_header X-Real-IP $remote_addr;
                    subs_filter_types *;
           }
    }

最初我为源代码构建了 nginx,这是 nginx -V 的输出

nginx 版本: nginx/1.16.0 由 gcc 4.8.5 20150623 (Red Hat 4.8.5-36) (GCC) 构建 配置参数: --prefix=/opt/nginx_1.17.0/nginx_ok/ --sbin-path=/ opt/nginx_1.17.0/nginx_ok/sbin/nginx --with-openssl=/opt/nginx_1.17.0/openssl-1.1.1c/ --add-module=/opt/nginx_1.17.0/ngx_http_substitutions_filter_module/ --with-zlib =/opt/nginx_1.17.0/zlib-1.2.11/

有人可以请概述我在此配置中缺少的内容。我还想将查询字符串转发到后端。

nginx
Martin Hope
joebegborg07
Asked: 2016-02-05 06:11:16 +0800 CST
  • 1

Windows 10 更新引入了安全增强功能,Windows 10 客户端无法浏览到 syslog 和 netlogon 共享,以防止对这些位置的意外访问。

症状是任何尝试从 Windows 10 机器访问这些共享,都会提示用户输入登录凭据,甚至域管理员帐户都不会被授予访问权限。

这可以通过将 DC 的 UNC 路径 (<\\DC_name>) 添加到每个 Windows 10 客户端的本地 GPO 编辑器中的硬化 UNC 路径来解决,该路径位于

Computer Configuration > Administrative Templates > Network > Network Provider > Hardened UNC Paths

现在这是一个可行的解决方案,但它并不理想,因为我们有 120 多个客户端(其中一些位于地理位置偏远的站点),手动执行它们并不方便,更不用说违背选择一个整体目的的事实了用于中央客户端管理的域控制器。

当尝试从 GPO 推送此类设置时,有两个问题:

  1. 相同的 GPO 在服务器 2012 (DC) 上的 GP 管理控制台中不可用。
  2. 由于 GPO 是通过 sysvol 文件夹推送的,并且此类文件夹不可访问(除非您手动进行修复),因此推送到客户端是相当不可能的。

期望的结果是通过 DC 解决此问题,而不是从每个 Windows 客户端单独解决。

我期待提供帮助。

谢谢,

Ĵ

windows
Martin Hope
joebegborg07
Asked: 2016-01-14 02:20:13 +0800 CST
  • 1

我正在测试我们的域环境从 2003 年到 2012 年的升级;我们的环境由一个 DC 组成(当前为 2003,但将通过此练习升级到 2012)。

我已经转移了所有 FSMO 角色,测试了机器登录,一切正常。即使 2003 已关闭,Windows 客户端也能够正常连接到 2012 域和环境功能。

我的最后一步是将 2003 dc 降级,以便能够升级林和域功能级别。我在 2003 dc 上运行 dcpromo 并收到错误消息:

找不到网络路径。如果此计算机通过远程访问服务 (RAS) 连接连接到网络,请确保为该连接启用 Microsoft 网络的文件和打印机共享

2012 服务器继承了之前在 2003 DC 上运行的服务(Active Directory 域服务、DNS 和 DHCP

windows