• Windows Server 2012 R2 Remote Access - Настраиваем VPN сервер с двухфакторной аутентификацией на базе L2TP/IPsec и авторизацией через RADIUS

    21.01.2015 Автор:Алексей Максимов
    124 329 Просмотров 81 комментарий

    imageВ этой заметке будет рассмотрен пример настройки VPN-сервиса на базе Windows Server 2012 R2 с ролью Remote Access. Для повышения доступности VPN-сервиса в рассматриваемой далее конфигурации будет использоваться два виртуальных сервера (на базе Hyper-V) объединённых в NLB-кластер. Для повышения гибкости правил предоставления доступа к разным ресурсам локальной сети для VPN-клиентов на стороне VPN-серверов будет выполнена привязка схемы аутентификации к расположенным в локальной сети RADIUS серверам (на базе Network Policy Server). Для повышения безопасности VPN-соединений в качестве основного протокола будет использоваться L2TP/Ipsec с использованием цифровых сертификатов. Двухфакторная аутентификация будет основана на проверке сертификата и доменной учетной записи пользователя Читать далее...

  • Развёртывание клиентской части системы документооборота Directum с помощью System Center 2012 R2 Configuration Manager

    26.12.2014 Автор:Виталий Якоб
    8 540 Просмотров Комментариев нет

    imageВ рамках внедрения корпоративной системы документооборота (СЭД) Directum была поставлена задача централизованного развёртывания клиентской части этого ПО. “Внедренцами” нам был выдан подготовленный дистрибутив клиентской части c пакетом интеграции в Microsoft Office. Вместе с msi-пакетами нам был предложен командный файл, с помощью которого можно было организовать развертывание ПО из сетевой папки с помощью разных инструментов автоматизации, таких как например Group Policy. Но в силу того, что задача развёртывания осложнялась необходимостью генерации персонального цифрового сертификата (для возможности работы механизма цифровых подписей) для пользователей, было решено расширить функции автоматизации этой задачи с помощью System Center 2012 R2 Configuration Manager (SCCM). Далее мы кратко рассмотрим основные этапы необходимых манипуляций для реализации поставленной задачи по следующему плану:

    1. Создание и развёртывание приложения Directum Client в SCCM
    2. Создание и развёртывание пакета интеграции Microsoft Office в SCCM
    3. Развёртывание скрипта генерации сертификата пользователя в SCCM
    4. Централизованная работа с ярлыками с помощью GPP (Group Policy Preferences)

    Читать далее...

  • Настраиваем базовый мониторинг виртуальной машины HP 3PAR Virtual Service Processor 4.3.0 (Red Hat Enterprise Linux Server 6.1) на базе System Center 2012 R2 Operations Manager

    20.11.2014 Автор:Алексей Максимов
    6 684 Просмотров 4 комментария

    imageВ прошлой заметке мы упомянули тему интеграции виртуальной машины HP 3PAR Virtual Service Processor (VSP) 4.3.0 в существующую инфраструктуру System Center 2012 R2. В этой заметке мы продолжим эту тему, рассмотрев процесс установки агента Operations Manager (SCOM) в виртуальную машину VSP для обеспечения базового мониторинга операционной системы Red Hat Enterprise Linux Server (RHEL) 6.1. Настройка SCOM и управляемой системы на базе ОС Linux уже рассматривались ранее на примере Ubuntu Server 14.04 LTS. Поэтому чтобы полностью не повторять прошлую заметку, постараюсь изложить те действия, которые будут отличаться от предыдущего описания в силу специфики использования другой версии Linux с учётом “загогулин” VSP. Читать далее...

  • CertUtil.exe на Windows XP & ЦС на Windows Server 2012 R2 - 0x80094011 - Имеющиеся разрешения для центра сертификации не позволяют текущему пользователю получать сертификаты

    18.09.2014 Автор:Алексей Максимов
    8 358 Просмотров Комментариев нет

    imageИз исходных данных имеем - автономный Центр сертификации (ЦС) на базе Windows Server 2012 R2 и клиентский компьютер на базе Windows XP SP3, с которого выполняется попытка получения корневого сертификата ЦС с помощью утилиты CertUtil.exe (из состава Windows Server 2003 Administration Tools Pack). В результате получаем ошибку:

    0x80094011 (-2146877423) Имеющиеся разрешения для центра сертификации не позволяют текущему пользователю получать сертификаты

    image

    Описание причины такого поведения можно найти в документе TechNet Library - Windows Server 2012 R2 and Windows Server 2012 - What's New in Certificate Services in Windows Server

    Читать далее...

  • Windows Server 2012 R2 Remote Desktop Connection Broker - Предупреждение безопасности RDP-клиента при использовании доверенного сертификата.

    24.08.2014 Автор:Алексей Максимов
    15 344 Просмотров 13 комментариев

    imageВыполнено развёртывание Remote Desktop Service на базе Windows Server 2012 R2 в конфигурации с высоко-доступным RD Connection Broker. В свойствах развёртывания для нужд RD Connection Broker SSO назначен сертификат, выпущенный внутренним Центром сертификации, корневому сертификату которого доверяют все клиентские компьютеры локальной сети. Казалось бы, все минимальные условия для беспроблемного подключения клиентов к ферме RDS соблюдены, однако в процессе подключения у RDP-клиента возникает дополнительный вопрос о том, действительно ли мы доверяем “Издателю”.

    image

    Читать далее...

  • System Center 2012 R2 Operations Manager - настраиваем базовый мониторинг ОС Linux на примере Ubuntu Server 14.04 LTS

    18.08.2014 Автор:Алексей Максимов
    16 433 Просмотров 10 комментариев

    imageПродолжая тему интеграции развёрнутого нами ранее Linux сервера на базе Ubuntu Server 14.04 LTS в инфраструктуру Windows, в этой заметке мы рассмотрим процесс подключения Linux-севера к системе мониторинга Microsoft System Center 2012 R2 Operations Manager (SCOM).

    Информацию о совместимости SCOM c ОС на базе Linux мы сможем найти в документе System Center 2012 Agent Requirements for System Center 2012 R2. На текущий момент в этом документе есть информация о поддержке в качестве Operations Manager Linux/Unix Agent систем Ubuntu Linux Server версий 10.04 и 12.04 (x86/x64). В этой заметке мы попробуем установить агента SCOM на более современную версию Ubuntu - 14.04.1 LTS (GNU/Linux 3.13.0-34-generic x86_64).    

    Читать далее...

  • Замена сертификата APC Web/SNMP Management Card

    03.10.2011 Автор:Алексей Максимов
    6 702 Просмотров 5 комментариев

    secure_web_hostВ предыдущей заметке рассматривалась процедура связки механизма аутентификации на контроллерах управления APC Web/SNMP Management Card с RADIUS сервером и отдельно отмечалось, что при использовании доменной аутентификации важно защитить HTTP трафик шифрованием с помощью цифровых сертификатов.  По умолчанию для построения HTTPS соединения контроллеры APC создают само-подписанный сертификат, на который по понятным причинам веб-браузеры реагируют выводом соответствующих предупреждений о недоверии данному сертификату. Чтобы избавиться от этих предупреждений мы можем заменить само-подписанный сертификат на контроллере на сертификат выданный нашим локальным доверенным центром сертификации на базе Windows Server.

    Читать далее...

  • Mozilla Firefox & NTLM/Kerberos Single Sign-on (SSO)

    29.07.2011 Автор:Алексей Максимов
    11 068 Просмотров Комментариев нет

    imageПри попытке открыть в Mozilla Firefox внутренние корпоративные сайты на SharePoint Server с включённой аутентификацией Kerberos получил запрос на ввод имени пользователя и пароля. То есть прозрачная передача учетных данных текущего пользователя, как в Internet Explorer, не произошла. Просмотрел все доступные опции в меню навигации Firefox "Инструменты" > "Настройки", но с к сожалению не нашёл там ничего, касающегося безопасности передачи учетных данных текущего пользователя. После некоторых поисков в Интернете, обнаружил, что способ передачи учётных данных всё-таки имеется. Читать далее...

  • Установка сертификата от Windows Server CA на веб-сервер Apache

    15.02.2010 Автор:Алексей Максимов
    11 282 Просмотров 3 комментария

    imageРассмотрим пример установки цифрового сертификата X509 на веб-сервер Apache, выданного локальным корневым Центром сертификации, работающим на Windows Server 2008. Пошагово решение задачи состоит из нескольких последовательных шагов:

    • Генерация запроса на сертификат средствами OpenSSL к ЦС Windows;
    • Получение от ЦС файла сертификата (.cer) в формате DER X509
    • Конвертация полученного сертификата в .pem и прикручивание оного к веб-серверу Apache

    Читать далее...

Предыдущая страница