Einige Informationen zu ACTA
Mit Acta sieht das Internet bald so aus:
oder bei Youtube werden bald alle Videos so aussehen…
Willst Du das ?
Icinga – Q&D – How to authentificate the ICINGA classic ui with Active Directory
Requirements:
- Apache 2 (with Apache modules for LDAP Authentification called “libapache2-mod-vhost-ldap” and “libapache2-mod-ldap-userdir”)
- Installed Icinga Version
- the Path are for Debian – It shoud be the some on moste Linux Systems
To Authentificate to an AD Server you need the following things FROM the Server – and – Actualy its plain LDAP not SSL !
- Servername
- The complete Domain Name
- you should have a User who can Read on Ldap Server
- A Group to Put your Icinga Users into
————–
Then open the Apache Config for Icinga. On a Debian System it is located at
/etc/apache2/conf.d/icinga.conf
the config looks like this (not exactly the Same but its an old System 
:
# SAMPLE CONFIG SNIPPETS FOR APACHE WEB SERVER
#
# This file contains examples of entries that need
# to be incorporated into your Apache web server
# configuration file. Customize the paths, etc. as
# needed to fit your system.ScriptAlias /icinga/cgi-bin “/usr/local/icinga/sbin”
#ScriptAlias /nagios/cgi-bin “/usr/local/icinga/sbin”
#alias /nagvis  “/usr/local/nagios/share/nagvis”
#Alias /nagios “/usr/local/icinga/share/”
#Alias /nagios3 “/usr/local/icinga/share/”<Directory “/usr/local/icinga/sbin”>
#Â SSLRequireSSL
Options ExecCGI
AllowOverride None
Order allow,deny
Allow from all
#Â Order deny,allow
#Â Deny from all
#Â Allow from 127.0.0.1
</Directory>
Alias /icinga “/usr/local/icinga/share/”<Directory “/usr/local/icinga/share/”>
#Â SSLRequireSSL
Options None
AllowOverride None
Order allow,deny
Allow from all
#Â Order deny,allow
#Â Deny from all
#Â Allow from 127.0.0.1
</Directory>
—
You now have to add the following strings to you config into the <Directory> Statements :
AuthName “Restricted”
## AuthName:Â – the Name for the Authentification window
AuthType Basic
## AuthType :Â – Asks for Username an Password
AuthLDAPURL “ldap://[YOURLDAPSERVER]:389/cn=Users,dc=[DOMAIN],dc=[TOPLEVELDOMAIN]?samAccountName?sub?(objectCategory=person)”
## AuthLDAPURL : This is your Query String – Where can the LDAP Server Reached and how to ask him about your Data and whitch Object are used (AD contains a loot of Objects like “computer” or something – It sould be logical to use “person”)
[YOURLDAPSERVER] : Your Domain Controller
[DOMAIN] : if your AD Name is “FOO.BAA” – Domain iss “FOO”
[TopLEVELDOMAIN] : if your AD Name is “FOO.BAA” – the Topleveldomain iss “BAA”
AuthLDAPBindDN “CN=[USERNAME FROM ADS],OU=[YOUR OU],DC=[DOMAIN],DC=[TOPLEVELDOMAIN]“
## AuthLDAPURL: – you LDAP Lookup User to connect to the AD and query your Authentification String
[USERNAME FROM ADS] : If the Name of the Object is “JOHN DOW” you shold COPY THE NAME DISPLAYED IN AD MANAGER INTO THIS FIELD
[YOUR OU]: This is the Organisation Unit, your Lookup User is Stored into – Mostly its “System Users” or something else (without Quotes)
[DOMAIN] : if your AD Name is “FOO.BAA” – Domain iss “FOO”
[TopLEVELDOMAIN] : if your AD Name is “FOO.BAA” – the Topleveldomain iss “BAA”
for Example the AuthLDAPBindDN looks like this:
AuthLDAPBindDN “CN=John Dow,OU=System Users,DC=FOO,DC=BAA”
AuthLDAPBindPassword “[password]“
## AuthLDAPBindPassword : its the password for the Lookup user
require valid-user
# You Need a Valid User to enter…
AuthBasicProvider ldap
# AuthBasicProvider : Use LDAP for Authentification
AuthzLDAPAuthoritative off
#
require ldap-group “CN=[Group],OU=[OrgaUnit],DC=[DOMAIN,DC=[TOPLEVELDOMAIN]“
#require ldap-group : the User who wants to logon to you Icinga Server must place into this security Group in the ADS
[Group] : this is the Groupname showd in AD Manager – Don’t know why, dont use Blanks.
[YOUR OU]: This is the Organisation Unit, your Lookup User is Stored into – Mostly its “System Users” or something else (without Quotes)
[DOMAIN] : if your AD Name is “FOO.BAA” – Domain iss “FOO”
[TopLEVELDOMAIN] : if your AD Name is “FOO.BAA” – the Topleveldomain iss “BAA”
#####################################
After Adding this your config should look like these:
# SAMPLE CONFIG SNIPPETS FOR APACHE WEB SERVER
#
# This file contains examples of entries that need
# to be incorporated into your Apache web server
# configuration file. Customize the paths, etc. as
# needed to fit your system.ScriptAlias /icinga/cgi-bin “/usr/local/icinga/sbin”
#ScriptAlias /nagios/cgi-bin “/usr/local/icinga/sbin”
#alias /nagvis  “/usr/local/nagios/share/nagvis”
#Alias /nagios “/usr/local/icinga/share/”
#Alias /nagios3 “/usr/local/icinga/share/”<Directory “/usr/local/icinga/sbin”>
#Â SSLRequireSSL
Options ExecCGI
AllowOverride None
Order allow,deny
Allow from all
#Â Order deny,allow
#Â Deny from all
#Â Allow from 127.0.0.1
AuthName “Restricted”
AuthType Basic
AuthLDAPURL “ldap://[YOURLDAPSERVER]:389/cn=Users,dc=[DOMAIN],dc=[TOPLEVELDOMAIN]?samAccountName?sub?(objectCategory=person)”
AuthLDAPBindDN “CN=[USERNAME FROM ADS],OU=[YOUR OU],DC=[DOMAIN],DC=[TOPLEVELDOMAIN]”
AuthLDAPBindPassword “[password]”
require valid-user
AuthBasicProvider ldap
AuthzLDAPAuthoritative off
require ldap-group “CN=[Group],OU=[OrgaUnit],DC=[DOMAIN,DC=[TOPLEVELDOMAIN]”</Directory>
Alias /icinga “/usr/local/icinga/share/”<Directory “/usr/local/icinga/share/”>
#Â SSLRequireSSL
Options None
AllowOverride None
Order allow,deny
Allow from all
#Â Order deny,allow
#Â Deny from all
#Â Allow from 127.0.0.1
AuthName “Restricted”
AuthType Basic
AuthLDAPURL “ldap://[YOURLDAPSERVER]:389/cn=Users,dc=[DOMAIN],dc=[TOPLEVELDOMAIN]?samAccountName?sub?(objectCategory=person)”
AuthLDAPBindDN “CN=[USERNAME FROM ADS],OU=[YOUR OU],DC=[DOMAIN],DC=[TOPLEVELDOMAIN]”
AuthLDAPBindPassword “[password]”
require valid-user
AuthBasicProvider ldap
AuthzLDAPAuthoritative off
require ldap-group “CN=[Group],OU=[OrgaUnit],DC=[DOMAIN,DC=[TOPLEVELDOMAIN]”</Directory>
it sould be done.
if i forgot something, please use the comments below.
2011 und doch noch im Digitalen Mittelalter
Wir schreiben Tatsächlich das Jahr 2011. Die Erde und deren umgebendes Sonnensystem ziehen immernoch, unbeirrbar Kreise um unsere namenlose Sonne und es gibt immernoch Religiöse Kriege um Mittelalterlich Themen wie “ist mein Gott besser als deiner” – Kurz die Menschheit steckt immernoch in den Kinderschuhen und ist weit davon entfernt Sinnvoll zusammenarbeiten zu können.
Es Entscheidet heute immernoch die Tatsache, wo man zufälligerweise gezeugt und gebohren worden ist, um Bildung zu bekommen und somit Wissen sich anzueignen. Was viel schlimmer ist, ist der Teufelskreis der Habgier, welcher die Welt regiert und die Entwicklung der Menschheit ziemlich erfolgreich ausbremst.
Heutzutage gibt es kaum Projekte die nicht Finanziell etwas abwerfen müssen und sich “rechnen” müssen. Freiwillige Arbeit und kleine Unternehmen werden meist damit abgestraft, daß Sie sich einer Flut von Patentrechtlichen, Steuerrechtlichen und somit Finanziellen Problematiken gegenüber sehen. Nicht selten kommt es vor, daß kleine Firmen, welche gute Ideen haben schnell mal aufgekauft werden und deren Ideeen wegen rechnerischen Planspielen in einer Schublade versauern.
Leider wird die Weiterentwicklung von Produkten durch das Patentrecht und findigen Herstellern sabotiert, indem z.b. Spezielle (meist unausgereifte) Protokolle verwendet werden oder sich ein Spezieller (natürlich Patentierter) Connector vergebaut wird um möglichst viel Profit aus einer Entwicklung abzuziehen.
Mit erschrecken Verfolge ich auch die Entwicklung, daß spezielle Software für Spezielle Geräte geschreiben wird, allerdings schon wenige Monate nach der Veröffentlichung des Produktes keine Updates mehr erfolgen, damit man die User zwingt ein neues Produkt zu kaufen, wenn sie neue Funktionen haben möchten. Man fährt also mit angezogener Handbremse durch die Software-Welt. Eine beliebte Handbremse sind hier z.b. Gerätetreiber die bei Hardwareherstellern einer gewissen Beliebtheit erfreuen und die Weiterentwicklung ausbremsen.
So werden schnell Geräte zu Sondermüll, welche durch eine etwas modifizierte Software durchaus ihren reitz behalten würden. Für Hersteller natürlich undenkbar, daß ein einmal gekauftes Gerät Länger als zwei Jahre bestand haben könnte.
Dabei wird die Hardware meist nicht schlecht. Nur die Software macht Probleme. Die meist halbherzig unter zeitrdurck Programmierte und mit Buggs veröffentlichte Software impliziert meist das heisse Erwarten auf eine Aktuellere Version mit neuen Features und Bugfreiheit. Obwohl die neueren Geräte meist ähnliche Prozessoren und Chipsets haben, unterstützt die neue Software die alten Gerätekennungen natürlich nicht mehr.
Anstelle dann die alten Sourcen und Treiber freizugeben, wird einfach der Support für die Gerätschaften eingestellt. Kurz das Gerät ist fast schrottreif. Somit ist auch keine Evolution bzw. Mutation der Software auf solchen Geräten mehr möglich ohne langes Reverse Engeneering.
Leider dominiert diese kleingeistige Taschenrechnermentalität aktuell die gesamte Elektronik-Schiene. So werden Haushaltsgeräte die dem Benutzer mehr Informationen bieten allerdings in der Technik nicht aufwendiger als zwei kostengünstige Bauteile gleich um ein weit aus höheren Preis verkauft (z.b. Waschmaschinen mit LCD display) Gleichzeitig werden Gadgets die Technisch deutlich weiterentwickelt sind (wie Personenwagen mit eingebautem WLAN und Webserver) für ein Schleuderpreis vertickt. Mir Persönlich wäre der umgekehrte Fall lieber. Eine Waschmaschine die mir Via WLan und einem Webserver ihren Status anzeigt. Dies wurde jetzt als Innovation vorgestellt, in Wirklichkeit kaum mehr als die Logische Weiterentwicklung und ein Versuch der Industrie mit einem Notwendigen Luxusprodukt (Waschmaschine) Geld abzuringen. Schaut man im Internet nach, gibt es seit einigen Jahren findige Bastler die das schon lange in Eigenarbeit umgesetzt haben.
Fragt man nach, so würden Umfrageergebnisse zufolge das nicht wichtig für die Hausfrau von heute sein. Dies nenne ich gerne den “Senseo Effekt”. Diesen hab ich mittlerweile mehrfach beobachtet. Schenkt man jemand die besagte Pad-Kaffeemaschine der vorher nur eine normale Filtermaschine hatte, sagt diese Person meist “Danke, aber ich brauch das doch nicht.”. Fragt man nach einigen Monaten (meist schneller) nach, bekommt man die Aussage “die hab ich zwar nicht gebraucht, doch jetzt möchte ich Sie nicht mehr missen.”
So ähnlich sehe ich das mit modernen Haushaltsgeräten ist die Bedienung einfach, bieten sie zusätzliche Vereinfachungsfunktionen die die Geräte nicht gleich mehrere Hundert eure Teurer machen, so werden diese auch genutzt.
Wenn man aktuell durch die TV Programme schaltet sieht man ab und an “das Haus der Zukunft”. Dies ist Utupie und doch schon Realität. Utupie deshalb, da man sich mit Patenten und seperaten Protokollen sowie kosten für Entwicklung herausreden möchte, um ein komplett eigenes zu anderen inkompatibeles Produkt zu schaffen und auf der Gegenseite Realtität da findige Bastler dies schon lange erschaffen haben, dies aber nicht laut sagen dürfen, da Sie ja dann Hacker sind und gegen Patente verstossen haben.
Anstelle das Firmen von solchen Evolutionären Hackern lernen würden, werden diese meist Verteufelt.
Um der Frage gleich vorweg zu kommen: Ja, ich wünsche mir auch eine vernetzte Wohnung, wo mir meine Waschmaschine sagte, daß sie Fertig ist, mein eingeschaltetes Radioprogramm mir durch die Wohnung folgt und meine Wohnung sich kosteneffektiv nach meiner Anwesenheit und meinen Vorgaben Richtet. Grosse Teile der Anwendungen gibt es schon seperat von unterschiedlichen Herstellern zu den unterschiedlichsten Preisen. Es gibt nur keine Schnittstellen dazwischen, da jeder Hersteller sein eigenes Süppchen kocht. Und dabei sind das alles nur Kleinigkeiten die das Leben einfacher machen würden. Einfach ein Stück Evolution heraus aus dem digitalen Mittelalter.
Spam
Ha, es hat mich getroffen… es kommt SPAM in das Kommentarsystem meines Blogs. Die Kommentare sind Moderiert und müssen freigeschaltet werden. Deine lieber Spamer werden gelöscht.
… noch nicht Bereit für Sicherheit
Als Netzwerk-Spezialist hat man heutzutage die unterschiedlichsten Probleme mti der unterschiedlichsten Software. Zumal Diese immer komplexer in Anwendung und Struktur wird.
Man sollte heutzutage Denken, daß diejenigen die Software für Unternhemen Entwickeln sich ein wenig gedanken über Sicherheit auch in einem Unternehmensnetzwerk machen. Dies ist jedoch, nach meinen Erfahrungen, weniger der Fall als man nach den letzten Datenskandalen denken würde.
So kommt die Anforderung nach etwas gebrächlichem wie verschlüsselte HTTP oder verschlüsselte FTP Verbindungen meist sehr überraschend. Vorallem wenn man dies im zusammenhang mit Datenschnittstellen wünscht. Die Reaktionen reichen von Ãœberrascht über einen solchen Wunsch bis hin zu der Reaktion das sei “nicht möglich”.
Für einige Entwickler für Appslikationen einer *IRONIE AN* kleinen Softwareklitsche aus Walldorf *Ironie aus* ist dies meist eine Herausforderung welche unüberwindbar scheint. (kleiner Kommmentar am Rande: Bitte leibes Arbeitsamt, schick keine Bauarbeiter mehr auf SAP umschulung… )
Eine Ganz beliebte Ausrede im zusammenhang mit Verschlüsselten Protokollen ist immer die Aussage: “ja, wir machen das erstmal ohne Verschlüsselung, dann können wir das besser Debuggen” – Hierzu fällt mir dann immer nur ein Wort ein: “Bullshit!” – Das Debuggen von verschlüsselten Komponoenten ist genau so gut möglich wie das ohne, wenn man Weiß was man tut. Im Endeffekt kommen später dan nur noch weitere Ausreden wie “jetzt ist das nicht mehr möglich” oder “dafür ist jetzt kein Projektbudget mehr vorgesehen”. Dies treibt so manchen Admin doch in Richtung eines Bewaffneten Konfliktes oder gar zu Anwendung Körperlichen Disziplinarmaßnahmen.
Möglichkeiten sich zu Wehr zu setzen gibt es für einen Admin in diesem Fall meist duch einfache Mittel wie einfaches Protokolieren des Netzwerk-Verkehres mittels geeignetem Programm sobald man der Geschäftsführung Ihre Passworte im Klartext vorlegt sind diese meist auch für eine Verschlüsselung der Kommunikation. (Dies vorher natürlich absprechen)
Ein beliebtes Argument ist, daß eine Verschlüsselung mehr kostet. Nur äuserst raffgierige Firmen verlangen für eine Verschlüsselung von Schnittstellen einen unbegründeten finanziellen Mehraufwand.
Es gibt durchaus Schnittstellen und Übertragungswege, deren Verschlüsselung unnötiger Overhead ist. Allerdings gilt die Faustregel, daß sobald eine Applikation mit dem User Interagiert und aktiv vom Benutzer eingaben mittels Tastatur erfordert, sollte eine Verschlüsselung erfolgen. Bei automatisierten Schnittstellen sollte am dem Moment eine Verschlüsselung erfolgen, ab dem eine Authentifikation benötigt wird. Es sollte auch Gelten, daß sobald ein Teil eines Benutzerinterfaces Verschlüsselt ist, alle anderen Teile automatisch mit verschlüsselt sein sollten. Dies hat ein ganz Simplen Hintergrund. Die Benutzer werden beim Absprung auf einen unsicheren Bereich aus einem Sicheren Bereich gewarnt. Diese Warnung will man alleine aus Gründen des Bedienkomfort den Endanwendern nicht zumuten.
Umgehen und somit den Komfort steigern kann man, indem alle Applikationen eines Intranet-Portals z.B. mittels Verschlüsselung zur Verfügung stellt.
Nun habe ich hier immer von Verschlüsselung Gesprochen ohne jedoch konkrete Methoden und Algorythmen zu nennen. Ich kann nur die anmerkung geben, daß jede Verschlüsselung besser als eine Klartextübetragung ist. als Beispiel ist hier ein einfaches Beispiel ausreichend. Sie lassen ja auch nicht Ihren Gehaltszettel nicht für alle kollegen offensichtlich liegen, sondern legen decken ihn, teilweise mit einfachsten Mitteln wie ein einfaches Blatt Papier ab. Schon ist es für den Kollegen schwerer, an die Information zu kommen. Es gibt klar die Möglichkeit den Gehaltszettel z.b. in die Schreibtischschublade zu legen oder sogar in einen Tresor zu legen – allerdings ist der Zweck mittels dem einfachstem Mittel (in diesem Beispiel einem Blatt) erfüllt. Je nach Beschaffenheit der Daten muss dann dementsprechend eine andere Qualität der Verschlüsselung gewählt werden.
Verschlüsselung von Datenübertragungen ist heutzutage kein Luxus mehr, allerdings noch Meilenweit von einem Standard entfernt, solange es noch Millionen e-Mail gibt, in denen teilweise vertrauliche Geschäftsdaten und Kennworte unverschlüsselt über öffentliche Netze übertragen werden.
Erster Eintrag
So, jetzt ist hier auch mal etwas inhalt auf der Seite…
In der nächsten Zeit werde ich euch etwas mit meinen Projekten – Vorallem Rackview – bei Laune halten. Ich denke es wird dem ein oder anderem Gefallen und hoffentlich kann es der Ein- oder Andere gebrauchen.
Was Rackview ist und die andern Projekte werd ich hier von Zeit zu Zeit mal vorstellen 
gruß Thomas