• Развёртывание и настройка Icinga 2 на Debian 8.6. Часть 12. Настройка интеграции Grafana в Icinga Web 2.4.1

    В прошлый раз мы поговорили о развёртывании Graphite и настройки модуля интеграции с Icinga Web 2, что позволяет привнести возможности отображения графиков производительности непосредственно в веб-интерфейсе Icinga Web 2. Однако говоря о теме визуализации накопленных метрических данных, нельзя обойти вниманием такой интересный инструмент, как Grafana. В этой заметке мы рассмотрим простейший пример развёртывания фронтэнда Grafana на Debian Jessie (с подключением к данным Graphite) и посмотрим, какие у нас имеются на сегодняшний день возможности интеграции этой красоты с Icinga Web 2.

    Читать далее...

  • Развёртывание и настройка Icinga 2 на Debian 8.6. Часть 10. Аутентификация и авторизация пользователей Active Directory в Icinga Web 2 (Kerberos и SSO)

    В этой части нашего цикла заметок об Icinga будет рассмотрен пример того, как можно организовать доменную аутентификацию пользователей Active Directory (AD) с поддержкой Kerberos и Single sign-on (SSO) при подключении к веб-консоли Icinga Web 2.

    Если мы заглянем в опорный документ Icinga Web 2 Authentication, то узнаем, что веб-консоль Icinga Web 2 способна работать с аутентификаций, основанной на каталоге Active Directory, других реализациях LDAP-каталогов, базах данных MySQL или PostgreSQL, а также делегировать процесс аутентификации непосредственно веб-серверу. Так, как в рассматриваемом нами примере будут использоваться такие вещи, как аутентификация с помощью Kerberos и дополнительная авторизация с помощью PAM, выбран вариант с делегированием процесса аутентификации веб-серверу. При этом процедуры внутренней проверки прав доступа к объектам веб-консоли Icinga Web 2 будут выполняться через специально созданное подключение к AD, как к LDAP-каталогу.

    Читать далее...

  • Создание keytab-файла, содержащего несколько разных Kerberos Principal

    Разные службы и приложения, работающие в Linux и использующие аутентификацию Kerberos, например в связке с контроллерами домена Active Directory (AD), используют для механизмов этой самой аутентификации специальный keytab-файл, который содержит хеши пароля доменной учётной записи пользователя, с которым ассоциирована та или иная служба в Linux-системе (как с Kerberos Principal). И вполне типичной и распространённой практикой является создание отдельного keytab-файла для каждого принципала Kerberos. То есть, как правило, прослеживается такая логика: отдельная учётная запись служебного пользователя в AD, для которого зарегистрировано конкретное имя службы ServicePrincipalName (SPN) => отдельный keytab-файл, сопоставимый с записью SPN в AD.

    Читать далее...

  • Развёртывание и настройка Icinga 2 на Debian 8.6. Часть 7. Переопределение аргументов выполнения Команд в Icinga Director 1.3 (на примере стандартного плагина check_http)

    Прошлую заметку про основные приёмы использования Icinga Director мы закончили на том, что после создания Служб из базового набора Команд Icinga, автоматически импортированных в Icinga Director, можно столкнуться с ситуацией, когда стандартные настройки Команд приводят к не совсем ожидаемому результату. Например, используемые по умолчанию аргументы Команды http приводят к переводу созданной нами Службы http в состояние WARNINIG для некоторых клиентов Icinga, хотя на самом деле веб-сервер на этих системах работает штатно. Попробуем разобраться с тем, почему так происходит, и как в Icinga Director 1.3 можно решить этот вопрос.

    Читать далее...

  • Высоко-доступный балансировщик ZEVENET Load Balancer Community Edition 3.10.1 на базе виртуальных машин oVirt c 64-битной ОС Debian GNU/Linux 8.6

    В Марте этого года было объявлено о доступности Zen Load Balancer Community Edition 3.10, где была добавлена поддержка Debian Jessie, удалена поддержка профилей GSLB и TCP (вместо этого предлагается использовать L4xNAT), исправлены некоторые ошибки. Полный список изменений можно посмотреть в Changelog. Однако не узрев для себя существенных изменений, мы решили не связываться с обновлением ранее описанного форка ZenLB, адаптированного под 64-битную OC Ubuntu Server 14.04.

    Читать далее...

  • Заливаем прошивку AOS 3.9.2 в контроллер APC NMC AP9618 для поддержки TLS 1.0

    В очередной раз мне в руки попалась пара старых контроллеров первого поколения APC UPS Network Management Card (NMC1) AP9618, которые потребовалось настроить для удалённого управления и мониторинга ИБП серии APC Smart-UPS. И в очередной раз столкнулся с проблемой настройки повышения уровня безопасности доступа к этим контроллерам. После обновления до последней имеющейся на сайте APC для этих контроллеров версии Firmware AOS 3.7.3 / SUMX 3.7.2 и включения поддержки HTTPS, я не смог получить доступ по протоколу HTTPS к такому контроллеру ни из одного из современных браузеров.

    Читать далее...

  • Настройка Kerberos аутентификации с SSO на веб-сервере Apache с помощью SSSD

    В прошлой заметке был рассмотрен пример простейшего ограничения доступа к веб-серверу Apache с применением незащищённой Basic-аутентификации и использованием учётных данных из файла. Разумеется такой режим аутентификации нельзя считать безопасным и поэтому в данной заметке мы рассмотрим пример настройки Kerberos-аутентификации и авторизации на веб-сервере Apache c помощью службы SSSD (System Security Services Daemon).

    Ранее уже рассматривался пример подобной настройки веб-сервера Apache, однако в том случае для поддержки Kerberos-аутентификации в систему устанавливался пакет krb5-workstation, а для авторизации использовался функционал интеграции oVirt с Active Directory. В этой заметке мы пойдём по несколько иному пути, так как для аутентификации пользователей в домене AD будем использовать модуль Apache mod_auth_gssapi, а для авторизации модуль - mod_authnz_pam, который будет использоваться в связке с SSSD. То есть получать доступ к веб-серверу смогут все те доменные пользователи, что уже имеют доступ на подключение к самому серверу. Такая конфигурация может быть проста в настройке и полезна в тех случаях, когда некоторому кругу администраторов Linux-сервера нужно предоставить возможность прозрачного подключения (Single sign-on) к веб-сайту того или иного сервиса, работающего на этом сервере, как в ранее рассмотренном случае с веб-консолью QUADStor.

    Читать далее...

  • Пропускаем приложения .NET Framework 4 через HTTP-прокси с аутентификацией

    imageВ очередной раз сталкиваемся с приложением работающем в среде .NET Framework и не способным в своей базовой конфигурации работать с внешними веб-ресурсами через HTTP-прокси (в нашем случае используется Squid). Ряд подобных приложений попросту не имеют среди своих настроек параметров прокси. Соответственно, если такое приложение попытается получить прямой доступ к кому-либо внешнему веб-ресурсу, возникнет ошибка. В данном случае речь идёт о приложении "Потребители продукции импортозамещения" (ptr_client.exe) от Пермского ЦНТИ

    Читать далее...

  • Балансировщик Zen Load Balancer (ZenLB) и логи на Back-End веб-серверах IIS

    imageПрочитав предыдущую заметку, один из моих коллег высказал замечание о том, что использование внешних балансировщиков может вызвать такой побочный эффект, как искажение информации в логах на бак-энд веб-серверах IIS об адресе клиента, который выполняет запросы к веб-серверу. То есть возникает потенциальная угроза того, что в нужный момент будет невозможно достоверно определить адрес клиента, обращающегося к веб-серверу находящемуся за таким балансировщиком.

    Читать далее...

  • Высоко-доступный балансировщик Zen Load Balancer (ZenLB) Community Edition на базе 64-битной ОС Ubuntu Server 14.04

    imageДавно подумывал о внедрении выделенного сетевого балансировщика, который бы мог, с одной стороны, работать в режиме высокой доступности (кластеризация узлов балансировщика), а с другой стороны, мог бы повысить уровень контроля доступности балансируемых веб-ресурсов. Всевозможные программно-аппаратные решения, как вариант, не рассматривались из-за их высокой стоимости, особенно в контексте реализаций высокой доступности. В эпоху повсеместного применения виртуализации, в качестве более доступного и масштабируемого решения, само собой напрашивается программное решение в виде сконфигурированной виртуальной машины под ту или иную платформу виртуализации. Начал изучать соответствующие варианты. Одними из основных критериев выбора были такие очевидные вещи, как отсутствие финансовых затрат, простота управления (желательно через веб-интерфейс), поддержка высокой доступности.

    Читать далее...