Tag: authentication

你可以创build主机名是灵活的Kerberos主体？（泊坞）: 我特意试图用Apache Storm（1.0.2）来做到这一点，但它与任何使用Kerberos保护的服务都是相关的。我试图在Docker中运行安全的Storm集群。 Storm有很多现成的docker图片，而且他们的工作很不安全。我使用https://github.com/Baqend/docker-storm 。我也有Storm在RHEL VM上安全运行。但是，我的理解是Kerberos将主机名与主体绑定，所以如果我为客户端提供服务foobar，则需要创buildfoobar/hostname@REALM的主体。然后，一个客户端服务可能会连接到hostname与主要foobar ，Kerberos将查找foobar/hostname@REALM在其数据库中，发现它在那里（因为我们创build一个正是这个名字的主体），一切都会工作。在我的情况下，这里描述： https : //docs.hortonworks.com/HDPDocuments/HDP2/HDP-2.3.0/bk_installing_manually_book/content/configure_kerberos_for_storm.html 。 nimbusauthentication为storm/<nimbus host>@REALM ，主pipe和外部客户authentication为storm/REALM 。一切正常。但在2017年，我们有容器和主机名不再是静态的。那么，我将如何Kerberize在Docker数据中心（或Kubernetes等）中运行的服务？我必须将未知的主机名附加到服务器身份validation。我想我可以为所有可能的主机名创build一个主体，并根据容器的存储位置在启动时dynamic地select正确的主体，但这就是kludgy。我误解了Kerberos的工作原理吗？这里有没有解决方法，我不明白？我在网上看到多个在Docker上运行Storm的人的例子，但我无法想象没有人的群集是安全的。

使用来自traefik 1.3.0的基本authentication和dockerfunction的密码错误: 我尝试了traefik的1.3.0版，但是我无法做出基本的authentication工作。这是我做的，你能指出我的错误（如果有的话）吗？我正在使用Docker 17.03.1-ce制作c6d412e的Macbook Pro。我跟着我的本地主机上的一个节点（没有docker机）traefik文档的docker群模式教程， docker swarm init docker network create –driver=overlay traefik-net docker service create \ –name traefik \ –constraint=node.role==manager \ –publish 80:80 –publish 8080:8080 \ –mount type=bind,source=/var/run/docker.sock,target=/var/run/docker.sock \ –network traefik-net \ traefik \ –docker \ –docker.swarmmode \ –docker.domain=traefik \ –docker.watch \ –web docker service create \ –name whoami \ –label traefik.port=80 […]

在Docker中运行的GUI应用程序的X11转发: 首先：我已经阅读了类似的问题的答案，但没有一个工作。情况：使用GUI的应用程序在Arch Linux下的Docker容器（CentOS 7.1）中运行。（机器A）机器A有一个监视器连接到它。我想通过我的Arch Linux客户机上的X11转发来访问这个GUI。（机器B）什么工作： GUI在本地机器A上工作（将/tmp/.X11-unix安装在Docker容器中）。 X11转发任何在Docker外部运行的应用程序（X11转发设置并正确运行，以便非docker使用）。我甚至可以在远程login时切换用户，将.Xauthority文件复制到其他用户，X11转发也可以。一些设置信息： Dockernetworking被“桥接”。容器可以到达主机（防火墙已打开）。在容器中设置DISPLAYvariables（因为sshd正在侦听的TCP端口6010，所以host-ip-addr：10.0）。数据包到X转发端口（6010）从容器到达主机（ tcpdump被选中）。什么不行： X11转发Docker应用程序错误： X11 connection rejected because of wrong authentication. xterm: Xt error: Can't open display: host-ip-addr:10.0 我试过的东西：在机器B上用ssh -Y选项启动客户端ssh 在机器B的ssh_config中放入"X11ForwardTrusted yes" 机器B上的xhost + （允许任何客户端连接）将Host *放在机器B的ssh_config中在机器A的sshd_config中放入X11UseLocalhost no （允许非本地主机客户机）在机器A上从login用户xauth add容器中的X身份validation令牌只需将工作用户的.Xauthority文件复制到容器中即可使舒尔.Xauthority文件具有正确的权限和所有者我怎样才能禁用所有的X安全的东西，并得到这个工作？ […]

Docker容器的encryption和相互authentication？: 我有两个与Docker容器通信和安全相关的问题。我已经看到，通过启用安全标志，可以通过encryption来保护容器到容器的通信。此function是否可用于通过默认（或定制）桥接器上的docker运行产生的任何独立容器？或者，它只能在群集模式中的相同覆盖networking的容器中使用？那么，在容器中有没有类似于SSL相互authentication的特性呢？就像在说，只有具有由特定CA签名的证书的容器可以相互交谈？还是其他任何机制来限制哪些容器可以与哪些容器交谈，即使它们是同一个覆盖networking的一部分？谢谢沙比尔

nginx与auth_basic_user_file: 我运行nginx与basic_auth作为一个Web应用程序的容器套件中的一个docker容器。 server { auth_basic "Restricted Area"; auth_basic_user_file /assets/config/auth/passwd; } 截至星期二（7月11日 – 由于nginx的docker图像已经更新，但这个问题发生在所有图片我已经尝试）出现login框，但密码不再接受 – login框只是保持重现。我已经检查了docker容器直接和容器本身的密码文件是正确的，似乎有正确的读取权限。当我将两个auth_basic行复制到nginx中的其他所有位置（api 除外）时，login框会接受预期的密码。 location /api/ { proxy_pass https://api_servers/; proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Host $server_name; # auth_basic "Restricted Area"; # auth_basic_user_file /assets/config/auth/passwd; } 当我将api中的auth行重新打开时，login失败。 api位置的设置与其他位置相同。这里发生了什么？

如何在centos中使用docker插件: 预先感谢您的回答。我的目标是validation每个用户在同一个服务器上使用docker容器（一个用户不能删除某个人的docker会话而没有validation令牌）我认为docker auth插件是最好的搭配。所以我正在阅读docker插件安装和开发指南。但我不明白如何激活docker插件甚至search每一个谷歌网页（即时通讯使用centos7）每个指南都使用boot2docker而不是主机docker守护进程。那么，我怎样才能激活和使用插件在centos？

自动validation私人dockerregistry: 我有一个GitLab托pipe的私人dockerregistry。我需要支持自动访问这个registry（通过Gitlab CI），但我不想使用开发人员凭据（不安全，并且需要每次开发人员离开公司时更改它们）。别人怎么authentication？你是否创build了一个“API帐户”进行身份validation？ Docker似乎不支持服务帐号密钥或其他validation方法。谢谢编辑： GitLab CI SSHregistrylogin 这里接受的答案回答了GitLab的问题。不过，我想知道是否有其他select，因为这仍然只允许通过GitLab CI进行部署时的临时密钥

与SQL和匿名奇怪的行为Ejabberdauthentication: 通过sqlauthenticationconfigurationejabberd之后，它可以像预期的那样工作，通过广告DIGEST-MD5和SCRAM-SHA-1作为可能的authentication机制。但是，当我添加匿名身份validation的可能性时，它会停止将DIGEST-MD5和SCRAM-SHA-1作为可能的身份validation机制进行广告宣传。 host_config: "xmpp.example.com": auth_method: [sql] [debug]（tls | <0.570.0>）在stream上发送XML = <<"<stream:features> <mechanisms xmlns='urn:ietf:params:xml:ns:xmpp-sasl'> <mechanism>SCRAM-SHA-1</mechanism> <mechanism>DIGEST-MD5</mechanism> <mechanism>PLAIN</mechanism> <mechanism>X-OAUTH2</mechanism></mechanisms> </stream:features>">> – host_config: "xmpp.example.com": auth_method: [sql, anonymous] [debug]（tls | <0.554.0>）在stream上发送XML = <<"<stream:features> <mechanisms xmlns='urn:ietf:params:xml:ns:xmpp-sasl'> <mechanism>ANONYMOUS</mechanism> <mechanism>PLAIN</mechanism> <mechanism>X-OAUTH2</mechanism> </mechanisms></stream:features>">> 目前在docker中运行postgres数据库

构buildnginx容器时面临身份validation和权限问题: 码：版本：“2”设置：conductor_base：centos：7服务：ansible.play_container：from：“nginx_base”angular色： nginx_container ports: "xxx" user: root command: ['app/xxx/docker-entrypoint.sh'] registries: {}“` OS/Environment : Ansible Container, version 0.9.2 Linux, 3.10.0-327.13.1.el7.x86_64, #1 SMP Mon Feb 29 13:22:02 EST 2016, x86_64 2.7.5 (default, May 3 2017, 07:55:04) [GCC 4.8.5 20150623 (Red Hat 4.8.5-14)] /usr/bin/python 使用的命令：Sudo ansible-container –debug build Error Log: fatal: [ansible.nginx-container]: UNREACHABLE! => { "changed": false, "msg": […]

密码：chsh：PAM：authentication失败: 试图运行 RUN chsh -s /bin/bash www-data （dockerfile）我试图将其更改为/ bin / zsh，但仍然无法正常工作。 Docker文件太长，有文件https://hub.docker.com/r/alexcheng/magento2/~/dockerfile/ 结果： Password: chsh: PAM: Authentication failure The command '/bin/sh -c chsh -s /bin/bash www-data' returned a non-zero code: 1 / etc / passwd文件 / etc / passwd文件 root:x:0:0:root:/root:/bin/zsh daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/usr/sbin/nologin man:x:6:12:man:/var/cache/man:/usr/sbin/nologin lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin mail:x:8:8:mail:/var/mail:/usr/sbin/nologin news:x:9:9:news:/var/spool/news:/usr/sbin/nologin uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin proxy:x:13:13:proxy:/bin:/usr/sbin/nologin www-data:x:33:33:www-data:/var/www:/bin/zsh backup:x:34:34:backup:/var/backups:/usr/sbin/nologin list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin […]