Poslední články
FortiGate přihlášení do SSL VPN pomocí SAML SSO vůči Azure AD
FortiGate podporuje protokol SAML, který můžeme využít pro ověřování (autentizaci) uživatelů vůči vzdálenému serveru (podobně jako využíváme LDAP nebo RADIUS). Takto ověřené uživatele můžeme využít na různých místech. Zde se zaměříme na SSL VPN a jako Identity Provider (zdroj identity - externí ověřovací server) využijeme Microsoft Azure AD. Může jít o uživatele On-Premises AD DS domény, které synchronizujeme do Azure AD Tenantu (nebo čistě cloudové účty). Ověřování proti Azure AD nám dovoluje využít cloudovou bezpečnost. Například vícefaktorové ověření (Multi-Factor Authentication - MFA) a obecně Conditional Access.
Zabezpečení SMTP komunikace pomocí DANE
Při posílání zpráv, pomocí protokolu SMTP mezi poštovními servery, se již hodně využívá TLS šifrování. Poštovní servery standardně neověřují validitu použitého certifikátu. Údaj o tom, že podporují šifrování, se posílá v čistém textu v protokolu. Pro zabezpečení je možno využít DNS-based Authentication of Named Entities. Do DNS publikujeme speciální TLSA záznam, který říká, že určitá služba podporuje šifrování a jaký využívá certifikát.
FortiGate NAT64 - publikace serveru s interní IPv4 na IPv6
Obecně se nedoporučuje používat pro IPv6 žádnou formu překladu adresu (NAT). Lepší by bylo využít například Dual Stack a IPv6 adresy mít na Front End serverech spolu s IPv4. Ale mohou nastat situace, kdy potřebujeme co nejjednodušším způsobem zajistit dostupnost existující služby přes IPv6. K dispozici máme NAT64, kdy do IPv6 sítě zveřejníme adresu, kterou překládáme na existující interní IPv4 adresu. Na serverech není třeba žádná změna. Bohužel NAT64 Policy na FortiGate má řadu omezení, hlavně nepodporuje žádné Security Profiles.
FortiClient EMS VPN/ZTNA
FortiClient Endpoint Management Server (FortiClient EMS) slouží k centrální správě koncových stanic. Na počítačích využívá FortiClient agenta, kterého konfiguruje a získává pomocí něj informace. Podle licence máme k dispozici funkce pro vzdálený přístup, dnes označované Zero Trust Network Access (ZTNA). Nebo také Advanced Threat Protection (ATP), kde je Antivirus, Firewall a další. Zde se stručně podíváme na správu EMS a využití základní licence (nebudeme řešit pravý ZTNA princip a použití).
DNSSEC na Microsoft DNS Serveru
DNSSEC slouží k zabezpečení DNS záznamům před podvržením. Na Windows Server můžeme nainstalovat roli DNS Server a provozovat Authoritative Name Server, který spravuje určitou doménu (zónu), nebo Recursive Name Server, který slouží k vyhledání odpovědi na DNS dotaz klienta. V obou případech je podporován DNSSEC. V článku si popíšeme, jak se DNSSEC na Microsoft DNS Serveru používá. Zaměříme se na podpis veřejné domény v internetu, ale zmíníme i další využití.
DNSSEC - Domain Name System Security Extensions
DNSSEC slouží k zabezpečení DNS záznamům před podvržením pomocí digitálního podpisu a řetězu důvěry. Pokud na doméně (DNS zóně) využíváme DNSSEC, tak podepisujeme všechny DNS zdrojové záznamy. DNS Resolver může díky tomu zkontrolovat, že záznam pochází od jeho vlastníka a nebyl změněn. Článek se pokouší (stručně) popsat princip fungování DNSSEC a souvisejících technologií.
Chyba Exchange s datem 1.1.2022 - nezpracovává emaily
Pokud máte On-Premises Exchange, tak vás nový rok 2022 možná také přivítal dost špatně. A to tím, že nepřichází ani neodchází žádné zprávy. Vypadá to, že je chyba v Antimalware Scanning a rychlým řešením je jej vypnout.
Azure AD přihlašování bez hesla a vícefaktorové ověření (MFA)
Navážeme na minulý článek, který se věnoval samoobslužnému portálu na reset hesla nebo odemknutí účtu (SSPR). Podíváme se na to, co Microsoft označuje jako přihlašování bez hesla (Passwordless Sign-in). Zde za pomoci aplikace Microsoft Authenticator. Jako hlavní se budeme věnovat vícefaktorové autentizaci (Multi-Factor Authentication - MFA). Znovu si zmíníme ověřovací metody a podíváme se i na jejich správu v Azure AD.
NetApp ONTAP EMS události, notifikace, monitoring zaplnění
EMS (Event Management System) shromažďuje události (Events) generované ONTAP systémem. Obsahuje velké množství informací o provozu o stavech systému. Je důležité být okamžitě upozorněni na systémové problémy, abychom mohli rychle reagovat. Podíváme se na možnosti prohlížení událostí a nastavení odesílání vybraných EMS událostí (Notifications) na email. Speciálně si popíšeme nastavování upozornění na docházející místo v agregátech a svazcích (sledování zaplnění).
NetApp ONTAP CLI příkazy
Správa diskových polí NetApp se systémem ONTAP se může provádět pomocí webového rozhraní ONTAP System Manager, ale mnohem více možností nám poskytne využití příkazové řádky ONTAP CLI. Díky příkazům můžeme detailně konfigurovat a zobrazovat vše. V článku se podíváme na běžně využívané příkazy a na realizaci určitých konkrétních úloh.
Nejčtenější článek
TCP/IP - adresy, masky, subnety a výpočty
Sedmá část seriálu o počítačových sítích je již více zajímavá a přináší praktické informace. Na začátku je popis základních termínů pro sítě a podsítě, IP adresy a masky. Dále se probírají různé síťové třídy a způsoby zápisu subnetů. Druhá část se věnuje praktickým výpočtům síťových rozsahů, masek sítí, počtu hostů a subnetů.
Poslední aktuality
Poslední fotogalerie
Instalace CUCM 8.6 Publisher
fotky z období: 12/2014
založeno: Pondělí, 22.12.2014 13:00 | Samuraj | Cisco admin
poslední změna: Úterý, 23.12.2014 11:02
počet obrázků: 24 | velikost galerie: 1223 kB
založeno: Pondělí, 22.12.2014 13:00 | Samuraj | Cisco admin
poslední změna: Úterý, 23.12.2014 11:02
počet obrázků: 24 | velikost galerie: 1223 kB
Fotočlánek, který dokumentuje čistou instalaci Cisco Unified Communications Manager (CUCM) serveru ve verzi 8.6.2.20000-2 jako Publisher.
Poslední komentáře
Statistiky
Stránky si zobrazilo 8,767,757 návštěvníků. Během dneška 2,764.
Právě tu je 78 hostů a 0 přihlášených uživatelů.
Hezký den, nmašel jsem doménu kde DANE funguje: nukib.cz tak ten příklad daneverify by bylo fajn obohatit taky o záznam kde bude výsledek SUCCESFULL. Možná se zeptám blbě, ale když tedy podle toho návodu udělám TLSA záznam u WEDOSu na svou doménu neco.eu nebo neco.cz s tím, že tam dam SHA256 otisk certifikátu email.seznam.cz? Ten se aůe mění každé 3 měsíce a to se mi nechce :-/
Teoretická otázka lze propojit mezi sebou dva servery pomocí SAN. Stím že by jeden poskytoval uložný prostor druhému - prostě by se ze serveru udělo uložiště. Něco jako pomocí LAN přímé propojení kabelem, jen taby to bylo optikou jak by to bylo z nastavením WWN?
Děkuji
[2]dík za odpověď. Podle toho co jsem našel jedinou podporovanou možností je mít on-prem Exchange server, kde se Exchange atributy mění. V AAD to nejde, protože se opačným směrem nejspíš nic nepřenáší. Řada adminů ale radši edituje Exchange atibuty v Active Directory Users and Computers v záložce pro editaci atributů, nebo v ADSIedit a prý to funguje. MS už slibuje změnu dlouhá léta, ale když není schopný ani vydat VNext podle plánu a dokonce ani teď říct kdy opravdu bude, jak se bude licencovat ani kolik to bude stát, nedá se od nich nic moc čekat. My máme Ex2007, tak půjdu cestou "Staged Migration" a uvidíme
. Mimochodem, testoval jsem AAD Sync v jiné prostředí (s Ex2019), uživatel se mi přenesl i členství ve skupině, ale nemůžu se pod ním přihlásit, tvrdí že je špatné heslo a v https://admin.microsoft.com/AdminPortal/ se u něj ukazuje failed login-špatné heslo. Nějak nevím jak s tím dál, nedaří se mi dostat do powershell třeba příkaz Get-ADSyncAADCompanyFeature, pořád to nezná.
Při dvoufázovém ověřování (heslo z mobilní aplikace FortiToken), mi to hlásilo několik různých chyb a občas se povedlo připojit, asi 1 z 20-ti pokusů. Problém zmizel, když jsem z mobilní aplikace FortiToken, odebral licenční token a poté vložil ten samý zpět.