První dvorský GeoEvent

Dne 29.1.2010 se ve Dvoře Králové n.L. konal vůbec první Event, což je událost příznivců Geocachingu. Název této Eventové cache zněl První dvorsky GeoEvent - GC22HYX. U příležitosti této cache byli rovněž publikovány dvě nové cache. První byla Ziva zahrada / Animated garden - GC234VH a druhou byla moje s názvem Pusuv splav - GC22WZV. Pevně věřím, že se hospodská akce líbila. Třešničkou na dortu byl noční výlet k Hořicím za FTF Kouzelna prd.. - GC23EJH.

Jak editovat LDAP zaznamy ?

Tuto otázku si asi položí každý, kdo používá např. OpenLDAP pro centrální úložiště kontaktů nebo pro správu uživatelů Samby nebo např. Jabber serveru OpenFire. Velmi populární je phpLDAPAdmin, ale možností je více.

• phpLDAPAdmin web php aplikace
  
• Apache Directory Studio java aplikace
  
• ldapvi terminalový editor
  
• gq Gnome aplikace
  
• lat Gnome aplikace

IBM-HTTP s SSL a Plug-in do WAS

Po nějaké době fungování WAS spolu s IBM HTTP (Apache) se při zadání URL na aplikaci přez HTTPS spojení né a né spojit vše končilo chybou 500. Po dlouhém pátrání jsem byl nucen vygenerovat nový certifikát, což sprvu nepomohlo.

Admin WAS je funkční na http://server.domena.cz:9060/admin/

Servery / Webove servery / webserver1 / Globalni direktivy / Spravovat klice a certifikaty
a
Servery / Webove servery / webserver1 / Globalni direktivy Kopirovat do adresare uloziste klicu

Je třeba nezapomenout uvést Alias certifikátu úložiště klíčů. Tento alias se posléze musí uvést v nastavení Apache.

joe /opt/IBM/HTTPServer/conf/httpd.conf
...
SSLServerCert MyCert

Zde jsem udělal chybu, protože jsem nový certifikát pojmenoval jinak, než ten původní. V logu se objevila tato kódová chyba SSL0227E.

I po vygenerování nového klíče jsem zaplakal, protože aplikace ne a ne běžet. Bylo nutné si ještě zaklikat v Adminovi :-)

Servery / Webove servery / webserver1 / Vlastnosti modulu plug-in

Tyto soubory se ukázaly být klíčové a dle mých nulových zvalostí WAS mají přímou vazbu na SSL certifikáty vygenerované v Admin rozhraní.

plugin-cfg.xml
plugin-key.kdb
http_plugin.log

Tento návod nikomu asi k ničemu nebude, dělám si do blogu poznámku hlavně pro sebe.

Hodinová sekera

Tak jako každou středu až čtvrtek čekám na rychlík od Liberce a on nikde (prý hodina zpoždění), tak dnes mám Home Office, ještě, že to jde. Jako test, "Bloguji z mobilu."

Motokáry Dřevíč

Motokára číslo 4.
Originally uploaded by SmEjDiL

V sobotu jsem se s radostí nechal ukecat a vyrazil již podruhé do Velkého Dřevíče do areálu motokár. Trať je vskutku zajímavá. Na této motokáře jsem jezdil a i přez mou značnou váhu se mnou uháněla i do kopce :-) Musím se sem zase někdy vrátit. Více fotek je zde.

FB - Jan Kaplický

Na webu sociální sítě FaceBook vznikla skupina Synchronizace, která má za cíl různé sociální aktivity :-). Ta dnešní je vzpomínka na Jana Kaplického, který právě před rokem náhle zemřel. Proto si na celý den změním na FB své jméno na Jan Kaplický.

Tato aktivita je hodně podobná Ručníkovému dni.

fail2ban na FreeBSD

Dnes mě kolega informoval o velmi užitečném scriptu fail2ban, který sleduje logy a v případě nalezení nějakých podezřelých pokusů o neoprávněné přístupy je zdrojová IP automaticky zablokována ve firewalu. Nejprve jsem si myslel, že to bude fungovat jen v Linuxovém světě, ale script je napsán v Pythonu a podpora pro PF je zdokumentována na stránkách projektu.


Po instalaci balíčku postačí přidat jen jednu akci a patřičnou tabulku do PF.

cd /usr/ports/security/py-fail2ban; make install clean

./action.d/pf.conf:

[Definition]

actionstart =
actionstop =
actioncheck =
actionban = pfctl -t fail2ban -T add  
actionunban = pfctl -t fail2ban -T delete `pfctl -t fail2ban -T show 2>/dev/null | grep `

[Init]

port = ssh
localhost = 127.0.0.1

============================================================

/etc/pf.conf:

table  persist
block in on $ext_if from 

FreeBSD 8 USB memstick

Od verze FreeBSD-8.0-RELEASE je k dispozici též memstick.img. Tento obraz lze snadno zkopírvat na přenosné medium.

dd if=8.0-RELEASE-i386-memstick.img of=/dev/sdd bs=10240 conv=sync
90157+0 vstoupivších záznamů
90157+0 vystoupivších záznamů
923 207 680 bajtů (923 MB) zkopírováno, 1 257,69 s, 734 kB/s

Pozor na cílový device of= !

Podrobné informace jsou zde.

LDAP jako uložiště konfigurace DHCP a DNS

Přelom roku je u mě ve znamení adresářových služeb. Nějak jsem se do toho zakousl a nemůžu se pustit :-) Jelikož mě LDAP vždy zajímal, poslední vzdělávání ve zprovoznění síťových služeb, které mají své konfigurace uložené v adresárových strukturách.

DHCP
Jako dhcp server jsem si vybral isc-dhcp30-server, který na FreeBSD lze zprovoznit i s patchem pro LDAP dhcp-3.0.7-ldap-patch. Pro verzi serveru isc-dhcp31-server není podpora LDAPu zatím dostupná.

je nutné nastavit WITH_DHCP_LDAP=true

/usr/ports/net/isc-dhcp30-server
make install clean

Po instalaci máme možnost vytvořit dhcpd.ldif pomoci perlového scriptu dhcpd-conf-to-ldap.pl, kterým načteme např. existující dhcpd.conf. Do OpenLDAP serveru musime pridat patřičné schéma dhcp.schema, samotný dhcpd.conf bude obsahovat nastavení spojení s LDAP serverem.

ldap-server "localhost";
ldap-port 389;
ldap-username "cn=DHCP User, dc=domena, dc=cz";
ldap-password "heslo";
ldap-base-dn "dc=domena, dc=cz";
ldap-method dynamic;
ldap-debug-file "/var/log/dhcp-ldap-startup.log";

Při restartu serveru se ISC DHCP server spojí s LDAPem a stáhne si nastavení jednotlivých nakonfigurovaných sítí, pro které můžeme mít statické alokace s MAC adresou nebo dynamické alokace.

DNS
Pro konfiguraci dns zón, kterou máme uloženou v LDAP adresáři lze použít script ldap2dns, který pouštíme před restartem dns serveru bind9 stahneme jím nastavení zon a samotné zónové soubory obsahující DNS záznamy.

cd /usr/ports/net/ldap2dns/
make install clean

Daný script vyžaduje hnedle několik perlových modulů, které se sami doinstaluji.

Pro fungování je opět třeba přidat do OpenLDAP serveru další schéma ldap2dns.schema

Kde je hosts ve window$ ?

Widloidní OS maji daný soubor zde. Jinak to etc na Window$ je dost zavádějící :-) Kdo od koho opisoval?

WinXP
c:\WINDOWS\system32\drivers\etc\hosts

Unix
/etc/hosts

Jak na SSL certifikát Secure Site Pro with EV od VeriSign

Řešil sem vytvoření SSL certifikátu a ověření u certifikační autority dále jen CA VerySign. Jednalo se o tento produkt Secure Site Pro with EV. V minulosti jsem měl zkušenosti s CA Thawte a tak jsem nestudoval všechny podrobnosti a to se mi vymstilo.

CSR jsem jsem si vytvořil následovně.

openssl req -newkey rsa:2048 -sha1 -nodes -keyout private.key -out public.csr

Protože EV certifikát vyžaduje velikost privátního klíče 2048. Takto vytvořený CSR sice bezproblémově prošel certifikací, ale web server Apache odmítal nastartovat natož nahodit 443 virtual. V logu ssl_engine_log se objevovalo toto.

[error] Init: (www.domena.cz:443) Unable to configure RSA server private key (OpenSSL library error follows)
[error] OpenSSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch

Po dlouhém hledání a nastudování patřičných návodů k dané chybě, jsem ověřil že modus nesedí (není stejný), což je vyžadováno. Nápomocné jsou tyto příkazy OpenSSL, které načtou informace o klíčí a certifikátu. Další nápověda je zde.

openssl x509 -noout -text -in www.domena.cz.crt-modulus | less
openssl rsa -noout -text -in www.domena.cz.key-modulus | less

Byl jsem tudíž donucen stávající a ověřený klíč Revokovat a vytvořit nové CSR a privátní klíč pomocí doporučených OpenSSL příkazů. Certificate Signing Request (CSR) Generation Instructions - Apache SSL

openssl genrsa -des3 -out www.domena.cz.key 2048
openssl req -new -key www.domena.cz.key -out www.domena.cz.csr

U VeriSign jsem narazil na problém při přepsání klíče.

Revoke and Replace
4) Summary
We are unable to continue with this enrollment for the following reason: eECAS_INSTANT_DN_NOT_MATCH

Dále jsem provedl jen Revoke a manuální přepsání, ale to nikam nevedlo.

2) Summary
We are unable to continue with this enrollment for the following reason:
eECAS_INSTANT_DN_NOT_MATCH

Po kontaktování podpory jsem byl nasměrován na popis chyby. Error: errors.ecas.1 during EV Certificate replacement no a po novém certifikačním požadavku, kde se u platby uvede Order Number na které je vázána již uskutečněná platba.

Pro korektní zprovoznění certifikátu je třeba nakonfigurovat Apache takto. Volba SSLPassPhraseDialog se užije jen v případě, že máme klíč s pass phrase k čemuž nás VeriSign nabádá.

SSLPassPhraseDialog exec:/usr/local/etc/apache22/certi/ssl_pwd.pl
SSLCertificateFile certificates/www.domena.cz.crt
SSLCertificateKeyFile certificates/www.domena.cz.key
SSLCACertificateFile certificates/intermediate.crt
nebo
SSLCertificateChainFile certificates/intermediate.crt

SmEjDiL's GeoGem

SmEjDiL's GeoGem
Originally uploaded by SmEjDiL

K vánocům jsem byl obdarován tímto krásným Geo předmětem. Doposud jsem se s obdobnou Geo věcičkou ještě nesetkal Ksavier diky.