В очередной раз мне в руки попалась пара старых контроллеров первого поколения APC UPS Network Management Card (NMC1) AP9618, которые потребовалось настроить для удалённого управления и мониторинга ИБП серии APC Smart-UPS. И в очередной раз столкнулся с проблемой настройки повышения уровня безопасности доступа к этим контроллерам. После обновления до последней имеющейся на сайте APC для этих контроллеров версии Firmware AOS 3.7.3 / SUMX 3.7.2 и включения поддержки HTTPS, я не смог получить доступ по протоколу HTTPS к такому контроллеру ни из одного из современных браузеров.
-
Заливаем прошивку AOS 3.9.2 в контроллер APC NMC AP9618 для поддержки TLS 1.0
-
ИТ Вестник №10.2016
Представляем вашему вниманию очередной обзорный материал об интересных, на наш взгляд, информационных обновлениях в ИТ-сфере за прошедший месяц. За помощь в подготовке выпуска благодарю Евгения Лейтана.
-
Развёртывание Mozilla Firefox ESR помощью System Center 2012 R2 Configuration Manager
Ранее мы уже делали заметку о том, как развернуть Mozilla Firefox на компьютеры пользователей при помощи System Center 2012 Configuration Manager (SCCM). Сначала я думал обновить старую запись, но позже решил написать новую заметку, так как сейчас мы воспользуемся несколько иным подходом к созданию приложения для развёртывания. На этот раз пойдёт речь пойдёт о дистрибутивах Firefox с расширенной поддержкой - Extended Support Release (ESR). Дистрибутивы ESR отмечены более высокой стабильностью, поэтому корпорация Mozilla рекомендует именно эти релизы для развёртывания в организациях, учебных и гос. учреждениях.
-
Разворачиваем Mozilla FireFox с помощью SCCM 2012
Рассмотрим процесс развёртывания браузера Mozilla FireFox версии 15.0.1 с помощью System Center 2012 Configuration Manager.
-
Настраиваем Web Proxy Automatic Discovery (WPAD)
Если вы настраиваете параметры прокси сервера в веб-браузере Internet Explorer (IE) с помощью групповых политик, и тем более делаете это с запретом изменений настроек для пользователя, то рано или поздно может возникнуть ситуация, когда пользователь выехавший в командировку не сможет воспользоваться на служебном ноутбуке браузером для доступа в интернет где-нибудь в гостинице или аэропорте из-за невозможности отключения этих самых жёстко заданных настроек прокси.
Чтобы избежать подобной проблемы можно воспользоваться механизмом авто-настройки параметров прокси в браузере - Web Proxy Automatic Discovery (WPAD). С точки зрения клиентского браузера суть механизма WPAD в том, что при попытке доступа в интернет, браузер будет находить (через DNS/DHCP) сервер, на котором размещён настроечный файл http://wpad.holding.com/wpad.dat
Файл Wpad.dat это файл Java-script в котором задаются настройки параметров расположения имени и порта прокси сервера, а также список исключений для обхода прокси. В случае недоступности данного файла браузер будет выполнять попытку прямого подключения к Интернет-ресурсам через настроенный в свойствах сетевого адаптера шлюз по умолчанию. При этом в настройках самого браузера в явном виде параметры прокси не указываются, а включается соответствующая опция авто-обнаружения. Механизм WPAD поддерживают браузеры Internet Explorer, Mozilla Firefox, с некоторыми ограничениями Opera и др.
Для того чтобы клиентский браузер узнал о том, где в локальной сети расположен сервер с опубликованным файлом wpad.dat, может использоваться механизм обращения в DNS или получения настроек с сервера DHCP. Эти оба метода можно применять как раздельно, так и совместно и каждый из этих методов имеет свои достоинства и недостатки.
WPAD и DHCPМетод настройки сервера DHCP для использования WPAD можно найти здесь: TechNet Library - Creating a WPAD entry in DHCP
Его основа сводится к добавлению на сервер DHCP дополнительной опции 252, в которой указывается URL файла авто-настройки. Эта опция назначается на сервер или отдельную область и передается клиентам DHCP вместе с основными настройками IP.
Итак, для настройки сервера DHCP на Windows Server 2008 R2 откроем консоль управления этой ролью (Start -> Programs -> Administrator Tools -> DHCP) и в свойствах сервера выберем пункт управления опциями - Set Predefined Options.
В окне опций, чтобы добавить новую опцию нажмём Add и затем укажем параметры опции:
Name – WPAD
Code – 252
Data Type – String
Description - Web Proxy Automatic DiscoveryПосле этого зададим в поле String значение URL по умолчанию и сохраним параметр.
В документации встречается отдельное замечание о том, что имя файла wpad.dat должно быть написано в данном случае в нижнем регистре.
После того как опция создана мы можем сконфигурировать её как для отдельной области так и глобально для всего сервера DHCP:
Как видно, при задании URL размещения файла авто-настройки можно указывать нестандартный порт вместо 80, что является преимуществом в сравнении с методом настройки через DNS где при публикации файла может использоваться только 80 порт. С другой стороны метод настройки через DHCP не поможет нам на системах где используется статическая IP адресация (DHCP клиент не запущен) и при этом требуется настройка браузера, например на терминальных серверах. Более того, по имеющейся информации обрабатывать опцию с DHCP способен только Internet Explorer, то есть говорить об альтернативных браузерах в данном случае не приходится вообще.
WPAD и DNS
В нашем практическом примере мы будем использовать метод с использованием DNS, так как, на мой взгляд, он является наиболее универсальным, хотя и не лишён некоторых недостатков (некритичных в нашей ситуации).
Суть метода настройки клиентов WPAD с использованием DNS заключается в том, что в основной зоне DNS (DNS Suffix) создается запись формата wpad.domain.com которая ссылается на сервер где опубликован файл wpad.dat. Тип этой записи может быть как A так и CNAME.
В нашем примере все клиенты находятся в DNS домене holding.com. В зоне прямого просмотра holding.com мы создаём запись CNAME - tmgcluster.holding.com. Эта запись ссылается на имя массива из двух серверов Forefront TMG находящихся в NLB кластере.
Прежде чем начать использовать наш DNS сервер для WPAD, мы должны убедиться в том, что он не настроен на блокировку обновления/разрешения имён wpad. Такая блокировка по умолчанию защищает сервер от атак по регистрации фальшивых узлов wpad. Во времена Windows Server 2003 такая защита обеспечивалась тем, что в зонах DNS создавалась специальная запись-заглушка с типом TXT. Подробней об этом можно почитать в статье KB934864 - How to configure Microsoft DNS and WINS to reserve WPAD registration. С приходом Windows Server 2008 в роли DNS Server появился встроенный механизм глобальных листов блокировки. В нашем примере используется сервер DNS на базе Windows Server 2008 R2, и для того, чтобы посмотреть задействован ли в данный момент механизм глобальных блокировок выполним команду:
dnscmd /info /enableglobalqueryblocklist
Чтобы получить содержимое блок-листа выполним:
dnscmd /info /globalqueryblocklist
В конфигурации по умолчанию в блок-лист как раз таки включены записи wpad и isatap. Чтобы переписать содержимое блок-листа, исключив оттуда интересующий нас wpad, выполним команду:
dnscmd /config /globalqueryblocklist isatap
По сути в данном случае утилита dnscmd оперирует с параметрами реестра описанными в статье TechNet Library - Remove ISATAP from the DNS Global Query Block List
В ветке реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDNSParameters
блок-лист хранится в параметре GlobalQueryBlockList
Если есть желание отключить использование блок-листа совсем, можно выполнить:
dnscmd /config /enableglobalqueryblocklist 0
или же в изменить соответствующий параметр реестра EnableGlobalQueryBlockList
После сделанных изменений нужно перезапустить службу DNS
net stop dns & net start dns
WPAD серверИспользуя TechNet Library - Configuring a WPAD server рассмотрим настройки на стороне сервера Forefront TMG, который будет у нас выполнять роль сервера WPAD с опубликованным файлом авто-конфигурации wpad.dat
В консоли Forefront TMG Management в дереве навигации перейдём в ветку Networking на закладку Networks и выберем сеть, для которой нам нужно создать прослушиватель WPAD (обычно это внутренняя сеть – Internal). Откроем свойства этой сети
На закладке Auto Discovery включим опцию публикации файла wpad.dat - Publish automatic discovery information for this network
В поле где указан номер порта устанавливаем 80 порт. Как уже отмечалось ранее, в силу того, что мы используем связку WPAD/DNS, мы должны использовать именно этот порт.
Переключаемся на закладку Web Browser и настраиваем список исключений для узлов и доменов к которым клиенты должны ходить напрямую минуя прокси.
Сохраняем настройки конфигурации TMG и после этого через веб браузер TMG должен отдавать нам скрипт авто-настройки по адресу http://tmgcluster.holding.com/wpad.dat
Открыв этот файл, мы сможем проверить попали ли в него данные списка обхода прокси. Изучив содержимое этого файла можно заметить то, что по умолчанию в этот файл адреса прокси-серверов попадают в виде IP адресов
...
DirectNames=new MakeNames();
cDirectNames = 10;
HttpPort = "8080";
cNodes = 2;
function MakeProxies(){
this[0] = new Node("192.168.0.11",2531460408,1.000000);
this[1] = new Node("192.168.0.12",3457248957,1.000000);
}
Proxies = new MakeProxies();
...
В некоторых случаях, например если требуется авторизация Kerberos, это может вызвать некоторые сложности. Есть хороший пост на эту тему Forefront TMG (ISA Server) Product Team Blog > Understanding By-Design Behavior of ISA Server 2006: Using Kerberos Authentication for Web Proxy Requests on ISA Server 2006 with NLB.
Для того чтобы изменить адреса прокси попадающие в wpad с IP на FQDN можно воспользоваться подключением к COM-объекту TMG через Powershell и свойством CarpNameSystem. Чтобы получить текущее значение этого свойства, выполним скрипт:
$ServerName = "TMGCLUSTER"
$FPCRoot = New-Object -comObject "FPC.Root"
$TMGObj = $FPCRoot.Arrays.Connect($ServerName)
$TMGObj.ArrayPolicy.WebProxy.CarpNameSystem
Установленное по умолчанию значение "2" нам нужно будет заменить на значение "0" следующим образом:
$ServerName = "TMGCLUSTER"
$FPCRoot = New-Object -comObject "FPC.Root"
$TMGObj = $FPCRoot.Arrays.Connect($ServerName)
$TMGObj.ArrayPolicy.WebProxy.CarpNameSystem = 0
$TMGObj.ApplyChanges()
Для вступления параметров в силу нужно перезапустить сервера TMG.
После перезагрузки снова проверяем содержимое файла wpad.dat и убеждаемся в том, что адреса прокси указаны в виде FQDN серверов.
...
function MakeProxies(){
this[0] = new Node("TMG01.holding.com",2531460408,1.000000);
this[1] = new Node("TMG02.holding.com",3457248957,1.000000);
}
...
WPAD клиенты
Дело осталось за малым – включить настройку WPAD в свойствах клиентских веб-браузеров. В Internet Explorer эта опция включена по умолчанию, и если ранее вы использовали групповые политики для явного задания настроек прокси, то возможно имеет смысл их же использовать для стирания старых настроек и включения авто-определения.
В браузере Mozilla Firefox активация механизма WPAD делается аналогичным образом и работает без нареканий (проверено на текущей версии 12.0)
Дополнительная информация:
TechNet Library - Automatic Discovery for Firewall and Web Proxy Clients
-
Mozilla Firefox & NTLM/Kerberos Single Sign-on (SSO)
При попытке открыть в Mozilla Firefox внутренние корпоративные сайты на SharePoint Server с включённой аутентификацией Kerberos получил запрос на ввод имени пользователя и пароля. То есть прозрачная передача учетных данных текущего пользователя, как в Internet Explorer, не произошла. Просмотрел все доступные опции в меню навигации Firefox "Инструменты" > "Настройки", но с к сожалению не нашёл там ничего, касающегося безопасности передачи учетных данных текущего пользователя. После некоторых поисков в Интернете, обнаружил, что способ передачи учётных данных всё-таки имеется. Читать далее...