Archiv pro rubriku: Doména a služby sítě

IDS – Intrusion Detection System

V rámci interního vzdělávání jsem měl prezentaci o tom, co je to IDS (Instrusion Detection System) a jak jsme jej nasazovali u zákazníka. V tomto článku vám popíši základní principy IDS a jak jej správně začlenit do síťové infrastruktury. Představím vám také některé aplikace, které jsem ve svém řešení IDS použil. Na závěr se budu zabývat tím, jakým způsobem IDS nastavit, jaká volit pravidla a co použít pro vizualizaci reportů.

Continue reading

Prezentace Metasploit framework

V rámci interních školení u nás proběhla prezentace o Metasploit framework. Metasploit framework je nástroj, který nám dokáže poskytnout velké množství informací o bezpečnostních chybách v systému. Jak už z popisu vyplývá, je známý především mezi lidmi, kteří se pohybují okolo bezpečnosti – tedy vývojáři, analytiky, hackery, atd. Jaká témata jsme v prezentaci probrali se dozvíte z agendy níže.

Continue reading

SOGo – tipy z provozu – zálohování, náprava špatně nastavených práv na kalendáře

Delší dobu používáme jako kalendářový server a webmail SOGo. Uživatelé přistupují ke kalendářům převážně z tlustého klienta – buď Thunderbird/Lightning na Linuxu a Windows nebo iCal/Callendar na Mac OS X. Během provozu SOGo jsem narazil na pár problémů znepříjemňujících život, ale postupně je autoři opravili. Nejvíc mi dal zabrat problém co jsem si způsobil sám – nefungovala práva sdílení na nově vytvořené kalendáře.

Continue reading

CzechIdM a správa poštovního serveru

Náš Identity Manager CzechIdM nasazený u zákazníků umí spravovat souborové systémy, doménové účty, firemní systémy, ale také poštovní servery. A právě správy poštovního serveru pomocí CzechIdM se bude týkat tento článek.

Co je to poštovní server?

Poštovní servery (mail servery) slouží ke zpracování elektronické pošty (e-mailů). Elektronickou poštu umí přijímat, ale také předávat dalším poštovním serverům a to převážně přes internet. V praxi kdokoliv z nás obdrží vlastní e-mailovou adresu ve tvaru cokoliv@doména.tld a přístupové heslo. Tyto přihlašovací údaje používáme pro přístup k poštovnímu klientovi – webovému rozhraní běžícímu na server (webmailu) nebo klasickému klientovi nainstalovanému na našem osobním počítači (Mozila Thunderbird, Microsoft Outlook atd.). Klient po ověření přístupových údajů a úspěšném přihlášení poté stáhne z poštovního serveru poštu a zobrazí ji. Ať už z bezpečnostních důvodů (data zůstávají na firemních serverech) nebo z organizačních důvodů si firmy často provozují své vlastní poštovní servery. S tím ale vzniká firmám nová starost – někdo se musí o e-mailové účty vytvořené na poštovním serveru starat, což administrátorům zabírá často mnoho času navíc. Jak z toho ven?

 

Continue reading

CzechIdM správa SAMBA domény II.

V tomto článku si ukážeme konkrétní scénáře při správě domény pomocí CzechIdM a technologie doménového řadiče SAMBA.
V minulém článku jsme nastínili, jak jednoduše je možné pomocí Identity Manageru CzechIdM spravovat doménu postavenou na Sambě. Pokud jste článek dosud nečetli, doporučuji tak nyní udělat: http://blog.bcvsolutions.eu/czechidm-sprava-domeny/.

Continue reading

Doménový řadič a další služby sítě – Adresářový server I

Tento článek je pokračováním k předchozím článkům (1,2), které popisují jak vybudovat Doménový řadič a další služby sítě.

Stavíme síť, která má více vzdálených poboček a chceme nabídnout uživatelům možnost přecházet z jednoho pracoviště na druhé. Abychom mu toto mohli nabídnout, je třeba, aby jeho uživatelský účet (jméno a heslo) byl dostupný napříč všemi pobočkami. Pokud k tomu přidáme ještě skutečnost, že pobočky jsou propojeny s centrálou například přes ADSL, tak nezbývá než všechny uživatelské účty uchovávat lokálně na pobočkových serverech. Pokud by tomu tak nebylo, pobočka by byla závislá na propojení s centrálou, a  každý si zřejmě dokáže představit rozladění uživatele, který přijde do práce a zjistí že se nepřihlásí, protože někdo překopl kabel od ADSL a internet prostě nejde.

Uživatelé jsou v OS Linux standardně založeni do souboru /etc/passwd, hesla mají v šifrované podobě v souboru /etc/shadow. Z hlediska doménového řadiče je jméno a heslo pouze malá část potřebných informací, další – podstatně větší množství – si Samba uchovává v lokálním souboru. Samozřejmě takto zapsané informace se velmi špatně replikují na další servery (pobočky). Continue reading

Kalendářové služby a webmail SOGo

Kalendářové a poštovní služby si zajišťujeme ve firmě sami pomocí mailserveru popsaného v jednom z předchozích článků a kalendářů přes DAViCal. Mailserver jako takový funguje perfektně, ale s DAViCal máme trošku problémy – v některých případech nefungují správně práva, jeho správa je dost komplikovaná a nemá webové rozhraní pro uživatele. Došli jsme tedy k závěru, že nahradíme DAViCal vhodnějším nástrojem.

Po dlouhém testování vyhrálo SOGo.

Continue reading

Doménový řadič a další služby sítě: návrh

V minulém článku jsem popsal co si představit pod Doménovým řadičem a dalšími službami sítě, nyní je na čase popsat jak to bude fungovat. Pro úplnou představu toho co vlastně stavíme předkládám obrázek. Protože je obrázek trochu složitější, uvedu slovní popis:

Na obrázku vidíte server Hlavní doménový řadič (1), Záložní doménový řadič (2) a pobočkové servery (3 a 4). Každý ze serverů nabízí všechny služby a je schopen samostatné práce i bez napojení na VPN. Servery jsou propojeny přes síť Internet VPN tunelem. K serverům jsou připojení klienti s různými verzemi Windows (5, 6,7).

Continue reading

Synchronizace hesel mezi doménou MS Windows a CzechIdM

CzechIdM umožňuje snadno měnit hesla v doméně MS Windows ať už je doména realizována v rámci MS Active Directory nebo na Sambě. V opačném směru – z domény do CzechIdM zatím předávání hesel nebylo možné (jiné atributy se běžně přebírají).

Synchronizace hesla z domény do CzechIdM umožní přímou změnu hesel ve všech aplikacích napojených na CzechIdM pouhou změnou z MS Windows tak jak jsou uživatelé heslo měnit standardně.

Continue reading