Statistiky
Stránky si od jejich vzniku zobrazilo již 11 632 667 návštěvníků. Během dneška 4,496. Právě tu je 144 hostů.
Veeam ONE Reporting Service nestartovala kvůli chybějícímu certifikátu
Jednoho dne se bez varování přestala spouštět služba Veeam ONE Reporting Service. Díky tomu nefungovala většina funkcí Veeam ONE. Příčina se ukázala být prostá, ze systémového úložiště certifikátů zmizel self-signed certifikát pro Web API. Jak k tomu došlo, se nepodařilo zjistit, ale oprava byla rychlá a jednoduchá.
Entra ID přehled registrovaných autentizačních metod uživatelů
V tomto článku se podíváme na různé způsoby, jak zjistit, jaké metody ověřování má uživatel registrované (dostupné) ve svém pracovním účtu Microsoft Entra ID. Autentizační metody představují způsob, kterým se uživatelé přihlašují ke zdrojům chráněným prostřednictvím Microsoft Entra. V první části článku se věnujeme možnostem, které má k dispozici běžný uživatel pro zobrazení vlastních registrovaných metod. Druhá část popisuje nástroje určené správcům Entra ID, kteří mohou zobrazit informace o metodách konkrétního uživatele nebo získat souhrnný přehled napříč celým tenantem.
FIDO passkeys část 6 - registrace Entra přístupových klíčů do Windows Hello
Máme tu další novinku pro použití přístupových klíčů pro autentizaci uživatelů v rámci Microsoft Entra ID. Jedná se o nový způsob registrace (přidání) passkeys na Windows počítač do Windows Hello. Funkční je jak pro spravovaná zařízení (připojené či registrované do Entra ID), tak nespravovaná zařízení. Zatím jde o Public preview, ale snad bude brzy GA.
FIDO passkeys část 5 - Entra ID passkey profily a synchronizované passkeys
Microsoft stále rozšiřuje možnosti použití přístupových klíčů pro autentizaci uživatelů. Od března jsou všeobecné dostupné (General Available) nové možnosti v rámci Microsoft Entra ID. Jde o profily přístupových klíčů, které přiřazujeme skupinám uživatelů. Místo jednoho globálního nastavení tak můžeme více granulárně nastavovat povolené passkeys. Druhá novinka je podpora synchronizovaných přístupových klíčů, které nejsou svázané s jedním zařízením.
FortiGate přechod na nový hardware a migrace konfigurace
Článek popisuje moje zkušenosti s výměnou Fortinet FortiGate zařízení, kterým končí podpora, za nová. Samozřejmě chceme co nejjednodušeji přenést aktuální konfiguraci a při přepojení dosáhnout minimálního výpadku. Pro migraci konfigurace využijeme službu FortiConverter. Situace je o něco složitější, protože je řešení tvořeno jako High Availability FGCP cluster se dvěma uzly. Méně významné je, že se využívají VDOM. FortiGate nyní běží na FortiOS 7.4.11. Finální přepojení zařízení proběhlo (po předchozí přípravě) velmi dobře a jen s pěti minutovým výpadkem.
Problém s připojením FortiGate k FortiAnalyzer po upgradu
Po aktualizaci FortiAnalyzer 7.6.4 na verzi 7.6.6 se odpojil jeden FortiGate VM a hlásil se jako neautorizovaný. Problém byl způsoben vynuceným ověřování na základě certifikátu pro OFTP spojení k FortiAnalyzer (místo dřívějšího jména a hesla). A zároveň špatným Common Name u FortiGate Factory certifikátu. Popíšeme si tři možná řešení tohoto problému. Povolení legacy auth, nové vystavení továrního certifikátu a použití vlastního certifikátu.
Terraform a FortiGate s FortiOS - záznamy na DNS Serveru
Pokračování popisu použití Terraformu (nástroje typu Infrastructure as Code) s Fortinet FortiOS Provider pro automatizovanou konfiguraci FortiGate. V tomto článku si vyzkoušíme vytvoření záznamů na DNS serveru běžícím na FortiGate. Popíšeme si komplikovanější situaci, kdy nejprve importujeme aktuální konfiguraci a následně přidáváme nové záznamy. Navíc je tu problém s pořadím načítaných záznamů, které jsou vnořené objekty DNS databáze. Budeme řešit seřazení záznamů, takže využijeme alternativní možnost vygenerování existující konfigurace.
Terraform konfigurace FortiGate s FortiOS - Firewall Policy
Podíváme se na možnosti využití nástroje Terraform pro automatizaci nasazení a správy FortiGate zařízení. Společnost Fortinet poskytuje FortiOS Terraform Provider, který umožňuje správu FortiGate a FortiManager prostřednictvím principů Infrastructure as Code. Ukážeme si základní konfiguraci připojení k zařízení a praktický příklad vytvoření jednoduché firewallové politiky pomocí deklarativní konfigurace.
Terraform a VMware Cloud Director - import existujících prostředků (VM)
Princip Terraformu je takový, že vytváří (nebo ničí) definované objekty. Informace si uloží do stavového souboru (State) a díky tomu zjišťuje rozdíl mezi aktuálním a požadovaným stavem. Takto vytvořené prostředky můžeme upravovat nebo rušit změnou konfigurace. Pokud chceme pomocí Terraformu provést úpravu prostředků, které byly vytvořeny jiným způsobem, tak musíme provést jejich import do Terraformu. Což není úplně jednoduché. V příkladu budeme importovat všechna VM z určité vApp.
Terraform a VMware Cloud Director - vytvoření více VM
Pokud chceme pomocí Terraform spravovat virtuální infrastrukturu, tak v praxi máme některých prostředků stejného typu desítky, stovky nebo i více. Typicky jde o virtuální stroje (VM). Jejich konfiguraci (popis) chceme mít přehlednou a dobře škálovatelnou. V článku se podíváme na nějaké základní možnosti. Využijeme proměnné, datové typy map a object a meta-argument for_each v rámci resource.
Nejčtenější články
TCP/IP - adresy, masky, subnety a výpočty
Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.
Řádkové příkazy Windows
Měl jsem v plánu sepsat na jedno místo různé užitečné příkazy pro Windows spolu s velmi stručným popisem a příkladem běžného použití. Nějaký základ jsem dal dohromady, ale chtěl jsem to rozšířit a opravit, jenže plynou měsíce a nic, tak to zveřejňuji v nepříliš hotovém stavu. Najdete zde příkazy pro použití v rámci domény, ale i lokální záležitosti. Většinou se jedná o příkazy používané z příkazové řádky, které jsou součástí Windows. Některé jsou však ze Support Tools nebo Windows Resource Kits. Uvítám v komentářích vaše připomínky a doplnění.
VLAN - Virtual Local Area Network
Osmá část seriálu o počítačových sítích. VLAN neboli virtuální lokální síť je v dnešní době běžná technologie, která přináší řadu výhod. Myslím, že všechny střední a větší firmy technologii VLAN používá a i pro malé firmy může být zajímavá. VLANy slouží k logickému členění sítě bez vazby na členění fyzické. V článku se pokouším popsat vše potřebné k pochopení toho, co to VLAN je, jaké jsou výhody a způsoby nasazení.
TCP/IP - Routing - směrování
V jedenácté části seriálu o počítačových sítích se věnuji routingu, tedy směrování v sítích. Je zde stručný popis, vysvětlení termínů a pak jsou velmi stručně popsány některé běžnější routovací metody (RIP, IGRP, EIGRP a OSPF) včetně dělení těchto metod. U metod je ukázka základní konfigurace na Ciscu. Článek není zdaleka vyčerpávající a popis je často bodový. V závěru je zmíněno routování na Windows.
Azure AD / Entra ID identity a autentizace
Články související s identitou uživatelů a zařízení (nejen) v Microsoft Entra ID. Různé možnosti přihlašování a ověřování. Oblasti jako moderní autentizace, vícefaktorová autentizace, přihlašování bez hesla, apod. Často jde o využití FIDO Authentication, třeba za pomoci FIDO2 security key nebo Windows Hello for Business.
(článků v sérii: 18)
Cisco IOS
Velký seriál o operačním systému aktivních prvků firmy Cisco. Obsahuje jedny z nejčtenějších článků na tomto webu. Články popisují konfiguraci switchů a routerů, primárně s Cisco IOS. Věci ohledně portů, VLAN, STP, ACL, QoS, apod.
(článků v sérii: 46)
Computer Storage
Ukládání dat je v počítačovém světě rozsáhlá a komplexní problematika. Zde se nachází články, které se věnují sítím Storage Area Network (SAN), technologiím iSCSI, Fibre Channel, diskovým polím (Storage System, Disk Srray) i obecně ukládání dat a úložištím.
(článků v sérii: 23)
Fortinet FortiGate a další
Bezpečnostní řešení firmy Fortinet. Nejvíce zaměřeno na Next Generation Firewall (NGFW) FortiGate. Konfigurace FW, politik, NATu, ale také VPN a možností autentizace. Okrajově práce s logy pomocí FortiAnalyzer a s klienty pomocí FortiClient EMS.
(článků v sérii: 28)
Kerberos protokol se zaměřením na SSO v AD DS
Nový seriál, který se podrobně věnuje protokolu Kerberos V5, hlavně v prostředí Microsoft Active Directory. Popisuje i řadu souvisejících věcí, které jsou potřeba pro pochopení fungování Kerberos Single Sign-On (SSO).
(článků v sérii: 14)
Microsoft Exchange
Skoro od začátku mé praxe se věnuji administraci poštovního serveru od firmy Microsoft, tedy Exchange Serveru. Začínal jsem na verzi 2003 a dostal se až k Exchange Online. Články popisují mnoho oblastí správy. Nejvíce od migrace na Exchange Server 2016 a jeho kompletní konfiguraci. Ale také Exchange Hybrid a bezpečnost elektronické pošty.
(článků v sérii: 62)
Počítačové sítě - Computer networks
Tento seriál se věnuje základům počítačových sítí. Jsou zde stručně popsány důležité praktické aspekty, které by měl znát každý, kdo se o sítě zajímá. Obsahuje jedny z nejčtenějších článků na tomto webu. Je využíváno pro výuku na školách.
(článků v sérii: 28)
Veeam Backup & Replication
Články, které se věnují zálohovacímu řešení společnosti Veeam Software. Jde o platformu pro zálohování (Backup), replikaci (Replication) a obnovu (Restore) dat. Jinak řečeno řešení pro ochranu dat (Data Protection) a obnovu po havárii (Disaster Recovery).
(článků v sérii: 37)
Základy počítačových sítí
Tento seriál jsem napsal pro časopis Connect. Většinu informací obsahuje shodně jako můj starší seriál Počítačové sítě - Computer networks, ale je napsán trochu jiným způsobem. Nejprve jsou stručně shrnuty technologie počítačových sítí a pak se trochu podrobněji probírají od nejnižších vrstev nahoru.
(článků v sérii: 4)
Poslední komentáře
Našel jsem zajímavou doplňující informaci, že typ použití PKIX-TA (záznam TLSA typ 0) pro SMTP na portu 25 se obecně nedoporučuje nebo se nepovažuje za dostatečně bezpečné a je preferováno DANE-TA (2) a DANE-EE (3)"
Dokonce RFC 7672, který upravuje zabezpečení SMTP prostřednictvím oportunistického DANE, výslovně uvádí, že použití PKIX-TA(0) a PKIX-EE(1) by se pro SMTP neměla používat.
PKIX-TA se spoléhá na tradiční, často nezabezpečené, ověřování certifikační autority. Může to být problematické, pokud připojující se klient plně nedůvěřuje řetězci důvěryhodnosti poštovního serveru, zatímco DANE-TA/DANE-EE se na tradiční důvěryhodnost certifikační autority nespoléhají, což je činí lepšími pro zmírnění podvodného vydávání certifikátů.
rh16c
rh16c
Nice document
Thanks for the article
Díky za pěkné shrnutí, ostatně jako vždy :-). Aktuálně jsem dvakrát migroval 40F do novějšího boxu z řady G a FortiConverto se sice nabízel, ale zhodnotil jsem, že rychlejší bude to udělat přes ruční úpravu zálohy konfiguráku z původního boxu. Co se týká FortiOS, obojí na 7.2.13. Bylo potřeba:
1. přepsat hlavičku v prvním řádku na model nového boxu
2. v původní záloze upravit část interfaců (s opravou SNMP indexu)
3. ve zbytku konfiguráku si pohlídat, že tam jsou správně nahrazené jména ifaců
Ve výsledku to nebyla zase tak velká "drbačka", ale až budu migrovat něco většího.
Great article, nicely put together - thanks for sharing.
You do not need to install gMSA, this only applies to sMSA