Poslední články
FIDO passkeys část 3 - použití přístupových klíčů v Microsoft Entra ID
Microsoft v současné chvíli přidává (možná lépe řečeno rozšiřuje) podporu pro přístupové klíče na svých účtech, jak pro osobní Microsoft účty, tak pracovní nebo školní účty v Entra ID. Podíváme se na možnosti pro osobní účty, kde je použití volnější. Více se budeme věnovat firemním účtům, které vyžadují přístupové klíče vázané na zařízení. Navíc na mobilních zařízeních Android a iOS se zatím mohou nacházet pouze v aplikaci Microsoft Authenticator.
FIDO passkeys část 2 - praktické použití přístupových klíčů na Windows a Android
Podíváme se na praktické možnosti vytváření a používání přístupových klíčů pro přihlášení k online službám na platformách Microsoft Windows a Google Android, včetně Cross-Device Authentication (ověření mezi zařízeními). Tedy využití interního autentizátoru (a lokálních passkeys) nebo externího autentizátoru (a passkeys na jiném zařízení), včetně FIDO2 bezpečnostního klíče. Vyzkoušíme různé webové prohlížeče. Testy budeme provádět na Google účtu, pro který vytvoříme passkey na různých zařízeních.
FIDO passkeys část 1 - přístupové klíče pro autentizaci
Uživatelská FIDO autentizace s přístupovými klíči (passkeys). Přístupové klíče jsou výrazně bezpečnější možnost, jak se přihlásit k nějaké službě, než použití hesla. Využívá se soukromý (vlastní uživatel) a veřejný (uložen u služby) klíč. Passkeys jsou FIDO credentials podle standardu FIDO2. V článku se podíváme jak passkeys fungují, jaké jsou jejich vlastnosti a jak souvisí s FIDO2 security key.
Kerberos deaktivace RC4 část 2 - přechod z RC4 na AES
V první části jsme se věnovali teorii fungování Kerberos protokolu a volbě typu šifrování. Dnes navážeme praktickými příklady. Jak detekovat tickety s RC4. Jak hledat účty, které nemají povolen AES nebo nemají vystaveny AES klíče. Jaké informace a chyby můžeme nalézt mezi událostmi v logu na doménovém řadiči. Kde mohou být problémy, pokud používáme Keytab soubory. Pro většinu věcí budeme využívat PowerShell. Na závěr si uvedeme jak vynutit použití AES a zablokovat RC4.
Kerberos deaktivace RC4 část 1 - princip protokolu a typy šifrování
Podíváme se na autentizační protokol Kerberos. Hlavní zaměření je zablokování slabé a nebezpečné šifry RC4 a kompletní přechod na AES šifrování. Tomu se budeme věnovat v druhé části. V tomto článku projdeme fungování Kerberos protokolu, které je docela důležité znát pro provádění změn. Zaměříme se na šifrovací algoritmy a klíče, obecněji typy šifrování. Hlavní je, jak se volí použitý typ šifrování, tedy jestli se využije RC4 nebo AES. Mimo teoretických informací si ukážeme nějaké příkazy pro zjišťování údajů a nastavování parametrů pro šifrování. Na konci trochu rozebereme Microsoft aktualizaci 11/2022, která částečně mění chování a přináší nové možnosti. Při zveřejnění patrně obsahovala chybu, na kterou snad již nenarazíme.
Nastavení výchozí (startovací, domácí) stránky ve webových prohlížečích
Potřeboval jsem zjistit možnosti, jak ve firemním prostředí nastavit, aby se po startu běžného webového prohlížeče otevřela určitá stránka (adresa). Prakticky jsem testoval nejnovější verze webových prohlížečů Microsoft Edge (Chromium), Google Chrome a Mozilla Firefox. Podíval jsem se na lokální možnosti nastavení a pak na centrální konfiguraci pomocí Group Policy. Vše je pouze stručně popsané.
Veeam Backup & Replication - upgrade na v12.1
Pouze pár poznámek k in-place upgradu Veeam Backup & Replication 12 na verzi 12.1 (globálně Veeam Data Platform 23H2 update). V mém prostředí proběhl jednoduše a bez jakýchkoliv komplikací nebo problémů.
Přizpůsobení Windows 11
Nástupcem operačního systému Microsoft Windows 10 jsou Windows 11, která tu jsou již nějakou dobu. Počítač s korektně licencovanými Windows 10 je možno zdarma upgradovat na Windows 11. Zařízení ale musí splňovat minimální HW požadavky (dvě 64bit jádra, 4GB RAM, UEFI, TPM 2.0). Nový systém přináší určité změny v uživatelském rozhraní. Podíváme se na pár možností, jak si jejich vzhled a použití upravit.
NetApp ONTAP CLI příkazy
Správa diskových polí NetApp se systémem ONTAP se může provádět pomocí webového rozhraní ONTAP System Manager, ale mnohem více možností nám poskytne využití příkazové řádky ONTAP CLI. Díky příkazům můžeme detailně konfigurovat a zobrazovat vše. V článku se podíváme na běžně využívané příkazy a na realizaci určitých konkrétních úloh.
Cisco WLC C9800 - Software Upgrade
Podíváme se na možnosti, jak provádět přechod na vyšší verzi softwaru Cisco IOS XE na kontrolérech Cisco Catalyst 9800 Wireless Controller. C9800 podporuje různé způsoby aktualizace, kdy se snaží minimalizovat výpadky dostupnosti sítě. Další oblast správy software je instalace oprav zranitelností a chyb, rozšíření podporovaných modelů přístupový bodů a aktualizace firmware HW komponent.
Nejčtenější článek
TCP/IP - adresy, masky, subnety a výpočty
Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.
Poslední aktuality
Poslední fotogalerie
Instalace CUCM 8.6 Publisher
fotky z období: 12/2014
založeno: Pondělí, 22.12.2014 13:00 | Samuraj | Cisco admin
poslední změna: Úterý, 23.12.2014 11:02
počet obrázků: 24 | velikost galerie: 1223 kB
založeno: Pondělí, 22.12.2014 13:00 | Samuraj | Cisco admin
poslední změna: Úterý, 23.12.2014 11:02
počet obrázků: 24 | velikost galerie: 1223 kB
Fotočlánek, který dokumentuje čistou instalaci Cisco Unified Communications Manager (CUCM) serveru ve verzi 8.6.2.20000-2 jako Publisher.
Poslední komentáře
Statistiky
Stránky si zobrazilo 9,523,300 návštěvníků. Během dneška 740.
Právě tu je 115 hostů a 0 přihlášených uživatelů.
Ahoj, diky za super navod, vse funguje perfektne, akorat mam problem, pri prihlaseni pres saml to napise invalid certificate a musim dat continue unsafe, v ssl settings mam certifikat fortinet_factory, je potreba si vygenerovat lets encrypt? Bohuzel mame jen jednu public ip a na ni je mail server. Setkal jste se s timto problemem? Dekuji
Dobrý den,
Chci se zeptat jestli je možné udělat script v PowerShell, který by mi přejmenoval více uživatelů v Active Directory a změnil jim ten user logon name do formátu příjmení + 2 první písmena ze jména (momentálně jsou pojmenováni ve formě jméno.příjmení) a aby byl zachován email, tak to stávající jméno.příjmení by se hodilo do Attribute editoru do proxyAddresses ve formě SMTP:jméno.příjmení@doména.cz
Děkuji
[1] Bohužel se obávám, že to nelze (ale detailně jsem nepátral). Také by se mi taková možnost líbila.
Díky. Nevím úplně jak to myslíte. NPS můžeme nainstalovat na několik serverů se stejnou konfigurací (můžeme použít import/export). A aplikace, která využívá tuto autentizaci, asi vždy dovoluje zadat více RADIUSů. Když je některý nedostupný, použije další.
Dobrý den pane Bouška, moc děkuji za články, jsou výborné. Prosím, jak probíhá instalace sekundarního NPS radius serveru? Máte nějaké zkušenosti?
Děkuji