Archiv pro rubriku: Programování

Fallback přihlašování z mod_auth_kerb na login stránku aplikace

V určitých případech je vhodné na webové aplikaci přebírat přihlášení uživatelů odjinud. Jedním z takových případů může být přebírání Kerberos autentizace – ve větších organizacích celkem běžná věc, protože na Kerberu je postavena například Active Directory doména. Ve výsledku je pak možné nabídnout uživateli komfortní přístup do aplikace, protože se nemusí znovu přihlašovat. Stačí, že je přihlášen pod svým účtem na pracovní stanici.

Při implementaci CzechIdM podobný požadavek často řešíme, jmenovitě konfigurací Apache HTTPD modulu mod_auth_kerb, který autentizaci doménou implementuje. Modul běží na reverzní proxy představené před aplikačním serverem identity manageru a informace o přihlášení uživatele mu posílá přidané v proxovaných požadavcích.

Continue reading

Jste schopni podporovat velká řešení? Ano, již servisujeme!

Včera se mne zeptal jeden IT ředitel, zda jsme schopni supportovat velká řešení Identity a Access Managementu (IdM a AM). Nejen, že to nabízíme, ale dlouhodobě máme zákazníky s velkými řešeními, které jsme dodali a supportujeme!
Několik čísel:
  • Aktuálně zákazníkům pomáháme spravovat 3.000.000 účtů! Kdo spravuje více v ČR pomocí IdM?
  • více jak 65.000 spravovaných rolí
  • stovky připojených spravovaných systémů. Máme připojené všechny možné personální systémy v ČR.
  • přes 2600 vyřízených funkčních požadavků na zlepšení vlastního IdM – CzechIdM, za 12 měsíců
  • Máme reference v ČR. Poptejte se nás na info@bcvsolutions.eu na další.
Na CzechIdM u nás pracuje tým deseti zkušených vývojářů a konzultantů, kteří se roky věnují pouze projektům IdM a AM. Znají řešení u zákazníků a detailně produkt CzechIdM. Což nám umožňuje velmi rychle reagovat na požadavek zákazníka.

JSON-RPC API v systému FreeIPA v4

FreeIPA je software vyvýjený pod záštitou společnosti RedHat, který má za úkol poskytovat snadnou správu identit, politik a auditů (IPA). S příchodem zatím poslední verze FreeIPA bylo představeno nové lightweight API, využívající formátu JSON. V článku se podíváme na nové API a úskalí, na která lze narazit při jeho používání, potažmo i při integraci se systémem FreeIPA.

Continue reading

Auditní log pro entity v CzechIdM 7.0

Na nové verzi CzechIdM 7 jsme dokončili auditní log pro entity. Nyní již v plném proudu auditujeme dění na všech entitách v systému a zároveň na jejich vazbách. Audit jsme postavili nad ORM Envers. Envers nám poskytl základní stavební kámen, který jsme si přizpůsobili, aby zapadl přesně do našeho systému a auditoval jak a kdy si přejeme.

Continue reading

Fronta požadavků v případě nedostupnosti spravovaného systému

CzechIdM jako integrační nástroj ve středu infrastruktury, se musí často vypořádat s neduhy spravovaných systémů. Co však dělat v případě, kdy daný systém neodpovídá? Uživatel si například může měnit heslo, operace selže a uživateli se zobrazí hláška „Spojení se systémem selhalo, zkuste to prosím za 10 minut“ která určitě každého potěší. A nebo ještě hůře: provede se aktualizace na základě jednorázového automatického procesu a ta je pak nenávratně ztracena. Následují hodiny času prohledávání logů a hledání příčiny. Tyto problémy k identity managementu neodmyslitelně patří a IdM se s nimi musí nějak vypořádat. My jsme vyvinuli řešení, určené pro tyto situace.
Continue reading

Bezpečnostní chyba v Linuxu – Kernel Local Privilege Escalation

Objevila se (resp. byla opravena) bezpečnostní chyba Linuxového jádra, která umožňuje jakémukoliv lokálnímu uživateli eskalaci práv na roota. V kombinaci se získáním shellu pomocí jiné díry v některé po síti dostupné aplikaci (apache, ssh, cokoliv dalšího) je možné její zneužití i vzdáleně. Je potvrzené, že tato chyba je již aktivně využívána.

Doporučujeme všem urychlenou aplikaci bezpečnostních patchů.

Patche aktuálně existují pro RHEL 7, na RHEL 6 ještě nejsou vydané (CentOS to samé, bere patche z RHEL). Status patchů je možné sledovat zde: https://access.redhat.com/security/vulnerabilities/2706661 na záložce „Resolve“.

Protože jde o update kernelu, je nutné opatchovanou mašinu rebootovat. V případě že stroj rebootoval „nelze“, lze použít následující způsob: https://bugzilla.redhat.com/show_bug.cgi?id=1384344#c13, ten je ale nutné po každém rebootu zopakovat a navíc rozbíjí debuggery, antiviry a obecně všechno, co používá ptrace.d

Do boje pod vlajkou nového GUI – release 2016q2

Po poměrně krátké době od vydání letošního prvního releasu CzechIdM 2016q1 náš tým vývojářů opět šlápl do pedálů a zkompletoval vydání další verze našeho identity manageru. Na nebi uživatelské přívětivosti přibyla nová hvězda, o které jsme čtenáře s předstihem informovali v našem článku o novém uživatelském rozhraní. Nyní však nastal okamžik, kdy se nové uživatelské GUI oficiálně stává součástí nového vydání CzechIdM. Continue reading

Jak skutečně funguje GIT?

GIT je v současné době asi nejpoužívanější nástroj pro správu verzí. A přes to, že drtivá většina nejen vývojářů GIT používá, nebo se s ním alespoň setkala, jen malé procento lidí skutečně ví, co GIT skutečně dělá a jak to dělá. Přitom porozumění pár základním principům týkajících se toho, jak jsou v GITu uložena a verzována data, může nejen dramaticky zvýšit efektivitu práce s tímto nástrojem, ale i předejít frustraci a nejistotě, kterou spousta vývojářů denně při práci s GITem zažívá.

Continue reading

Nové GUI pro správu rolí

S nedávno vydaným releasem CzechIdM 2016q1 přichází nejen řada nových a zajímavých funkcí, ale i několik změn v GUI. Tou nejvýraznější z nich je nový, uživatelsky přívětivější formulář pro vytváření a editaci rolí. Jelikož se řada nových funkcí týká právě rolí a práce s nimi, přibylo do již tak poměrně nepřehledného editačního formuláře mnoho nových konfiguračních políček. Právě proto vyvstala potřeba formulář přepracovat. Continue reading