問題タブ [trust]

ASP.Net サイトのサブドメインを削除して再作成しました。その後、ファイルをアップロードしましたが、ブラウザーを開いたときに、アプリケーションの構成ファイルを変更して信頼を付与する必要があることを示すセキュリティー例外が発生しました。悲しいことに、エラー メッセージには、問題の原因となったファイル、問題となっている信頼など、私が確認できることは何も記載されていません。

ここに私が見るものがあります：

考え？

問題があり、適切な回答があれば、同じ問題を抱えている多くの人に役立つと思います.

問題は、IIS の「中信頼レベル」構成に関するものです。数か月前、ローカル マシンで「完全信頼レベル」構成の Web サイトをコーディングし、それをホストにアップロードしたところ、正常に動作していました。しかし、私のホスティング会社には信頼レベルに関する新しいルールがあり、現在は「中程度の信頼レベル」しか許可されていません。

私のウェブページは現在機能していません.私は自分のウェブサイトを適応させようとしましたが、それを行う方法がわかりません.そして、それは多くの人がどちらも知らないのは確かです..手伝って頂けますか？

最初に、ここに移動してローカル構成を変更しようとしましたが、

C:\Windows\Microsoft.NET\Framework\v4.0.30319\Config

私のwebconfigファイルを開いて、変更しました

に

その後、テストのために、ASP デフォルト テンプレートを使用して新しい Web サイトを作成しました。動作していました。次に、Mysql データベースに接続するための参照として Mysql.dll を追加しました。しかし、そのスタックでセキュリティ例外がスローされました。

[SecurityException: タイプ 'System.Security.Permissions.SecurityPermission、mscorlib、Version=4.0.0.0、Culture=neutral、PublicKeyToken=b77a5c561934e089' のアクセス許可の要求が失敗しました。] MySql.Data.MySqlClient.MySqlTrace..cctor() + 0

ならどうしよう？もうmysqlデータベースに接続できませんか? または、解決策はありますか?Web サイト プロジェクト フォルダーの webconfig ファイルを変更したことがありません。ここで何かを変更する必要がありますか? みんな助けてください？

ビルド プロセスに、RFC-3161 準拠の TSA からのタイムスタンプを含めたいと考えています。実行時に、コードはこのタイムスタンプを検証しますが、できればサードパーティ ライブラリの支援は必要ありません。(これは .NET アプリケーションなので、標準のハッシュおよび非対称暗号化機能を自由に使用できます。)

ASN.1 や X.690 などに依存する RFC 3161 の実装は簡単ではありません。そのため、少なくとも今のところ、Bouncy Castle を使用して TimeStampReq (要求) を生成し、TimeStampResp (応答) を解析しています。応答を検証する方法がよくわかりません。

これまでのところ、署名自体、公開証明書、タイムスタンプが作成された時刻、および送信したメッセージ インプリント ダイジェストと nonce (ビルド時の検証用) を抽出する方法を理解しました。私が理解できないのは、このデータをまとめて、ハッシュされ署名されたデータを生成する方法です。

これが私がやっていることと私がやろうとしていることの大まかな考えです。これはテスト コードなので、いくつかのショートカットを使用しています。うまくいくものを手に入れたら、いくつかのことを片付けて、正しい方法で行う必要があります。

ビルド時のタイムスタンプ生成:

実行時のタイムスタンプ検証 (クライアント サイト):

ご想像のとおり、私が行き詰っていると思うのはMagicallyCombineThisStuff関数です。

製品には WSO2 ID サーバーを使用しています。アプリケーションに関しては、IDS を使用してユーザーを認証しています。現在、サードパーティ製品と統合したいと考えています。また、ID サービス [auth/auth] に WSO2 IS を使用することも提案しました。

サードパーティのアプリケーションにリクエストを送信すると、サードパーティのアプリケーションはアプリケーション リクエストを認証し、リクエストを受け入れる必要があります。彼らは私たちの ID プロバイダーを信頼できる認証プロバイダーとして追加できますか?それは、ユーザー要求が私たちの ID ソースに対して認証されるのに役立ちますか?

これは可能ですか？もしそうなら、それが行われているサンプルを教えてください!

OSB であるサービスが、トークンを必要とするサービスに SAML トークンを送信するクライアントの純粋なパススルー サービスとして機能する必要があるというシナリオがあります。OSB Proxy Service でwss10_saml_token_service_policyを使用し、OSB Business Serviceでwss10_saml_token_client_policyを使用しています。

私の質問は、この単純なトークンの場合、信頼を確立する必要がありますか (私の証明書をサーバー キーストアにインポートし、クライアントの証明書を私のキーストアにインポートすること)?

SSL 関連のポリシーまたはメッセージ暗号化関連のポリシーが使用されている場合、信頼が確立されることを知っています。しかし、それはこのポリシーに必要ですか?

WIF 4.5 を使用して Windows 認証とクレームを使用する MVC 3 アプリがあります。

アプリケーションへのアクセスは、(現在) AD グループのメンバーシップを介して制御されます。

AD グループに加えて、追加する必要があるカスタム ロールがあります。(このアプリは Forms から Windows 認証に変換中です)

これらのカスタム ロールをサポートするために (AD で管理されるまで)、それらを ClaimTypes.GroupSid クレームとしてユーザーに追加し、既存のコードを利用[Authorize("ADMIN")]してUser.IsInRole("ADMIN")引き続き機能できるようにします。

そして、これはすべて期待どおりに機能しています。

現在のユーザーがカスタム ロール (ADMIN など) のメンバーではなく、そのロールも AD に存在しない場合を除きます。

シナリオに依存する[Authorize("ADMIN")]さまざまなインスタンスと同様に、コントローラー アクション メソッドで使用します。User.IsInRole("ADMIN")エラーが発生してアプリが爆発するのは、そのような場合です。

AD インフラストラクチャはアップグレード/移行の最中です。私はそこにあるすべての詳細に精通しているわけではありませんが、いくつかのドメインがあり、それらの間に信頼関係があると思われることは知っています.インフラストラクチャの人々から、これらの信頼関係が稼働しているとほのめかされています.

だから本当に私は2つのことを疑問に思っていると思います：

1. これは実際には、コードで処理する必要があるものとは思えません。では、ドメインの何が問題になっているのでしょうか? 信頼関係が失敗している「信頼できる」ドメインを見つけることはできますか?

2. これを回避する最善の方法は何ですか? Authorize()この例外をトラップするためだけにヘルパー メソッドとサブクラスを作成するという考えは嫌いです。

2 つの Java Web アプリケーション サーバーがあり、それらの間で信頼を確立する必要があります。1 つは weblogic、もう 1 つは tomcat です。私のワイルドカード証明書は、キーストアの tc サーバーで使用されています。wls は構成されているところです....すぐにキーストアを作成します。2台のtcサーバーでも問題は同じだと思います。

信頼を確立するための適切な方法は次のとおりです。

• ワイルドカード証明書を信頼できる証明書として wls キーストアにインポートしますか? もしそうなら、これは wls が私のワイルドカード証明書を提示するすべてのホストを信頼するということですか? CA ルート証明書のインポートなど、ここで追加の手順が必要ですか?

また

• tc サーバーから生成およびエクスポートされたホスト固有の (自己署名) 証明書をインポートしますか? もしそうなら、これは wls が tc ホストだけを信頼するということですか? ここに一連の信頼の問題はありませんか?

これらのいずれかが正しいか、私が思うように機能するかはわかりません...ドキュメントを読んで、この特定の答えを見つけるのに苦労しています。

HTTPS 経由の Apache で SVN サーバーを実行してい
ます。サーバー側の構成 "/etc/httpd/conf.d/subversion.conf" は次のとおりです。

この構成は、HTTPS を介したチェックアウト中に PKCS12 証明書認証を受け入れます。
また、HTTP 経由のチェックアウト時に LDAP 認証を受け入れます。

私の問題は、HTTPS 経由のチェックアウト中にクライアント証明書 (PKCS12) が提供されない場合、Apache が LDAP 認証を受け入れるようにするにはどうすればよいですか?

私はセレン webdriver の助けを借りて Java デスクトップ アプリケーション (jar) を開発しました。基本的には、この場合は ie8 の場合、web ブラウザーで web ページ (https) を開き、フォームの投稿を行います。しかし、IEの信頼サイトゾーンにサイトを追加しない限り、IEでWebページ（https）を開くことができません。私は他のブラウザのfirefoxとchomeでそれを試してみましたが、問題はなく、タースティングの問題もありません。ウェブページは簡単に直接開くことができます。ie でサイトを信頼する必要があるのはなぜですか?

助けてください。前もって感謝します