Poslední články
Veeam Backup & Replication - úvod, termíny a principy
První díl mého seznamování se zálohovacím řešením Veeam. Pro získání obecného přehledu jsem se pokusil (nejen z Veeam dokumentace) sepsat co to je Veeam Backup & Replication (k čemu slouží a co hlavního umí). Uvést termíny (částečně tedy funkce), nástroje a základní principy zálohování a obnovy. Nejde o kompletní výčet, ale pouze o to, co mi přišlo základní nebo zajímavé. Popis je pouze stručný, detaily budeme řešit v dalších dílech. Příště se podíváme na základní komponenty a jejich architekturu a topologii.
Fortigate SSL VPN s Azure AD MFA z počítačů v doméně
Článek se věnuje situaci, kdy máme Fortinet FortiGate a na něm využíváme SSL VPN. Připojování do VPN chceme více zabezpečit. Takže se rozhodneme vyžadovat vícefaktorovou autentizaci při přihlašování uživatelů. Také chceme povolit připojení do VPN pouze z firmou spravovaných zařízení. To jsou počítače zařazené do AD domény. Využíváme cloudové služby Microsoft 365, kam replikujeme účty. Jako řešení se tedy nabízí napojení FortiGate na Azure AD pomocí SAML 2.0. A využití Azure AD MFA spolu s Conditional Access Policy.
Veeam Backup & Replication - Backup Copy Job a WAN akcelerace
Šestý díl mého seznamování se zálohovacím řešením Veeam. Stručně popisuje oblast, která je dobře popsána i v oficiální dokumentaci. Vytvoření a fungování úlohy pro kopírování záloh (Backup Copy Job) na jiné úložiště záloh, které může být v jiné lokalitě. Pokud jde komunikace přes WAN (obecně pomalejší linku), tak můžeme využít komponentu WAN akcelerátor (WAN Accelerator).
Veeam Backup & Replication - zálohování aplikací
Pátý díl mého seznamování se zálohovacím řešením Veeam. Podíváme se na zálohování vybraných aplikací, které Veeam Backup & Replication nativně podporuje. Umožňuje provést transakčně konzistentní zálohu a také granulární obnovu na úrovni položek aplikace. Stručně si popíšeme (a uvedeme odkazy do různé dokumentace), jak zálohování funguje, co bychom měli nastavit a jaká jsou doporučení. Věnovat se budeme doménovým řadičům Active Directory, Exchange Server, SQL Server a Oracle Database.
Veeam Backup & Replication - Backup Job
Čtvrtý díl mého seznamování se zálohovacím řešením Veeam. Podíváme se na vlastní zálohování, tedy vytvoření zálohovací úlohy (Backup Job). Primárně se zaměříme na zálohování virtuálních strojů (VM), ale zmíníme také zálohování pomocí agenta. Stručně si uvedeme různé možnosti, které můžeme v úloze nastavit a využít. Shrneme určitá doporučení Veeamu pro zálohování. Na závěr si uvedeme, jak zálohovací úlohu přejmenovat, včetně změny názvu složky.
Veeam Backup & Replication Console - ovládání a použití
Třetí díl mého seznamování se zálohovacím řešením Veeam. Podíváme se na ovládací konzoli, tedy uživatelské rozhraní pro konfiguraci a provoz celého řešení. Konzole umožňuje přidávat a spravovat komponenty zálohovací infrastruktury. Vytvářet a monitorovat různé úlohy, kterými plánujeme zálohování, kopírování záloh do jiného úložiště (lokality) a replikace. Provádět mnoho typů obnovy (Restore, Recovery). Projdeme si hlavní oblasti konzole (správy) a stručně popíšeme jednotlivé možnosti a operace (primárně se věnujeme zálohování, ne replikacím).
Veeam Backup & Replication - komponenty, architektura a topologie
Druhý díl mého seznamování se zálohovacím řešením Veeam. Podíváme se na základní komponenty a služby, z kterých se řešení Veeam Backup & Replication skládá. Jaké jsou možností nasazení a jaká je architektura řešení. Možné topologie pro VMware vSphere a Microsoft Hyper-V. Tedy zjednodušeně, jak propojit zálohovaný zdroj s Veeam komponentami a úložištěm, a jak proudí data.
FortiGate přihlášení do SSL VPN pomocí SAML SSO vůči Azure AD
FortiGate podporuje protokol SAML, který můžeme využít pro ověřování (autentizaci) uživatelů vůči vzdálenému serveru (podobně jako využíváme LDAP nebo RADIUS). Takto ověřené uživatele můžeme využít na různých místech. Zde se zaměříme na SSL VPN a jako Identity Provider (zdroj identity - externí ověřovací server) využijeme Microsoft Azure AD. Může jít o uživatele On-Premises AD DS domény, které synchronizujeme do Azure AD Tenantu (nebo čistě cloudové účty). Ověřování proti Azure AD nám dovoluje využít cloudovou bezpečnost. Například vícefaktorové ověření (Multi-Factor Authentication - MFA) a obecně Conditional Access.
Zabezpečení SMTP komunikace pomocí DANE
Při posílání zpráv, pomocí protokolu SMTP mezi poštovními servery, se již hodně využívá TLS šifrování. Poštovní servery standardně neověřují validitu použitého certifikátu. Údaj o tom, že podporují šifrování, se posílá v čistém textu v protokolu. Pro zabezpečení je možno využít DNS-based Authentication of Named Entities. Do DNS publikujeme speciální TLSA záznam, který říká, že určitá služba podporuje šifrování a jaký využívá certifikát.
FortiGate NAT64 - publikace serveru s interní IPv4 na IPv6
Obecně se nedoporučuje používat pro IPv6 žádnou formu překladu adresu (NAT). Lepší by bylo využít například Dual Stack a IPv6 adresy mít na Front End serverech spolu s IPv4. Ale mohou nastat situace, kdy potřebujeme co nejjednodušším způsobem zajistit dostupnost existující služby přes IPv6. K dispozici máme NAT64, kdy do IPv6 sítě zveřejníme adresu, kterou překládáme na existující interní IPv4 adresu. Na serverech není třeba žádná změna. Bohužel NAT64 Policy na FortiGate má řadu omezení, hlavně nepodporuje žádné Security Profiles.
Nejčtenější článek
TCP/IP - adresy, masky, subnety a výpočty
Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.
Poslední aktuality
Poslední fotogalerie
Instalace CUCM 8.6 Publisher
fotky z období: 12/2014
založeno: Pondělí, 22.12.2014 13:00 | Samuraj | Cisco admin
poslední změna: Úterý, 23.12.2014 11:02
počet obrázků: 24 | velikost galerie: 1223 kB
založeno: Pondělí, 22.12.2014 13:00 | Samuraj | Cisco admin
poslední změna: Úterý, 23.12.2014 11:02
počet obrázků: 24 | velikost galerie: 1223 kB
Fotočlánek, který dokumentuje čistou instalaci Cisco Unified Communications Manager (CUCM) serveru ve verzi 8.6.2.20000-2 jako Publisher.
Poslední komentáře
Statistiky
Stránky si zobrazilo 8,872,838 návštěvníků. Během dneška 406.
Právě tu je 84 hostů a 0 přihlášených uživatelů.
Smazat všechny
Nefunguje připojení z FortiClienta 7.0.7 při aktivní kontrole host-check (known issue #727695).
Pokud je zapnutá direktiva "Include in every user group", tak vzdálený RADIUS se nepropíše explicitně do už existujících skupin (a správce si toho nevšimne), ale i přesto se Fortigate pak odvolává i na RADIUS, přestože je skupina vázaná na LDAP.
Pozor také na dřívější (negativní) odpověď LDAP nebo RADIUS. Pokud existuje účet duplicitně, nebo je např. na RADIUS zakázán, bude zamítnuto i přihlášení, protože o pár milisekund dříve dorazila negativní přihlašovací informace od RADIUS, než od LDAP - Fortigate při ověřování posílá žádosti na LDAP i RADIUS současně.
Tedy - mám-li na FG definován LDAP i RADIUS, určitě tohle nezapínat, přidělá to hodně starostí.
[2] Bohužel, těch chyb je tam zase více
. Například, když se využívá SAML ověření v externím prohlížeči, tak se většinou vyvolá 2x najednou (otevřou se 2 záložky).
S FortiClientem 7.0.7 se k SSL VPN nelze připojit, pokud je aktivní host-check nebo os-check.