Categoría: Software

Servidor Radius en windows 2008 NPS

Configuración de Radius Rol NPS en windows 2008 y 2012.

Si el radius va a autenticar contra un dominio, debe formar parte del dominio activo antes de comenzar la instalación.

Se debe comenzar con la instalación del rol de servidor:

rad01

Se crean los nuevos clientes, con su secreto y su IP:

rad02

Se crea la directiva de red, que especifica qué usuarios del dominio van a poder acceder a la red

rad03

En la directiva de red, se especifican también los servidores DNS si procede.

rad04

Verificamos la directiva de solicitud de conexión para asegurar que siempre se permita el acceso de conexión

rad05

 

Los logs de conexiones se guardan en

C:\Windows\System32\LogFiles

Recomendamos el uso de log parser / log lizard para acceder a ellos.

Monitorización desde Nagios:

Probando el paquete freeradius-utils, hemos conseguido hacer un script que se ocupe de la monitorización en tiempo real del radius.

https://github.com/esterniclos/nagios_radius

Se basa en un cliente check_radius.sh que se debe instalar en la carpeta de nagios para plugins, y llamar a través de un servicio.

Para hacer pruebas en bash, se puede usar la siguiente línea:

echo "User-Name=$USER,User-Password=$PASSWORD" | radclient -4 $HOST auth $SECRET

 

Redhat: Explicación de licencias linux server standard

Una licenciaRed Hat Enterprise Linux Server Standard (1-2 Sockets) up to 4 guests, se puede instalar sobre un servidor, y cubre también hasta 4 máquinas virtuales que ejecuten sobre ese servidor.

Una buena noticia para los que virtualizamos, aunque últimamente Microsoft está mucho más generoso con las licencias de hiperV que cubren el SSOO de las máquinas del host.

Redhat pone a nuestra disposición un pdf con la comparativa de licencias.

Y en su portal de usuario, podemos siempre ver qué licencias tenemos disponibles en cada momento.

 

Snort: Consultas a la base de datos

Abrimos conexión con la base de datos

mysql -u root -p

En la base de datos de snort,

use snort;

Para ver el diagrama entidad relación de la base de datos:

Buscamos el identificador del evento que necesitamos:

select sig_id,sig_name from signature;

En mi caso, es

223 | COMMUNITY WEB-MISC mod_jrun overflow attempt

Seleccionamos los eventos de mi  signature:

select * from event where signature = 223;

En la tabla de eventos, tenemos las alertas con origen y destino

SELECT timestamp, inet_ntoa(ip_dest), inet_ntoa(ip_src) FROM iphdr WHERE  inet_ntoa(ip_src)="192.168.5.125";

 

Finalmente, hacemos el join entre ambas tablas, y ya podemos sacar el resultado a un fichero de texto:

select inet_ntoa(ip_src), inet_ntoa(ip_dst) from event,iphdr  where iphdr.cid=event.cid and event.sid=iphdr.sid and event.signature = 223  and inet_ntoa(ip_dst)="195.23.2.123" GROUP BY ip_src ORDER BY ip_src  INTO OUTFILE '/tmp/res.txt';

Sobre el acceso a snort a través de la base de datos, tienen un post estupendo en everything about nothing.

cntlm. Proxy con autenticación para herramientas que no admiten la autenticación windows

cntlm funciona como un servicio de windows, y se ocupa de la autenticación con el proxy de todas esas herramientas que no lo soportan.

 

En mi caso, tenemos, por ejemplo f5editor, owncloud, tortoise git… Aceptan parámetros de proxy, pero con autenticación no funciona.

La instalación de cntlm es sencilla, y su configuración se basa en un archivo de texto. Eso sí, usuario y contraseña del dominio quedan en claro.

C:\Program Files (x86)\Cntlm

En cntlm.in configuramos:

Username    myuser
Domain        mydomain
Password    mypass
...
Proxy       192.168.1.10:8080
Proxy       192.168.1.11:8080
...
NoProxy        localhost, 127.0.0.*, 10.*, 192.168.*

Probamos la conexión:

$ cntlm -I -M http://test.com

Espero que os sea muy útil

Activación de licencias en F5

Activación de licencias en modo consola

En este punto, es necesario introducir la licencia. Se recomienda seguir esta guía : http://support.f5.com/kb/en-us/solutions/public/2000/500/sol2595.html?sr=27505445

get_dossier -b KEY_HEXADECIMAL > f1.dossier.txt

Una vez activadas las licencias en la web de F5, se colocan en el sistema de archivos y se carga la licencia:

mv f1.txt /config/bigip.license
reloadlic

IAS y Radius: Olvidé mi secreto

Se puede acceder de forma sorprendentemente fácil a los secretos IAS en windows 2003, simplemente localizando el fichero IAS.mdb y accediendo a la entrada del servidor radius correspondiente:

C:\WINDOWS\SysWOW64\ias
 C:\windows\system32\ias

Abriendo el mdb con access, en la tabla “properties” encontramos una línea por servidor con su clave secreta.

Supongo, o quiero suponer, que lo habrán resuelto ya en la versión de 2008.

Instalación vmware tools (9344) en linux Debian

Al instalar la versión 5.6 de vmware vcenter, hemos tenido que instalar todas las tools, concretamente la versión VMwareTools-9.4.5-1598834.tar.gz

En los debian, hemos seguido el procedimiento normal:

mkdir -p /media/cdrom
 mount -t iso9660 /dev/cdrom  /media/cdrom -o ro
 tar -xvzf /media/cdrom/VMwareTools-*.tar.gz
 ./vmware-tools-distrib/vmware-install.pl

Nos hemos encontrado con un problema porque las tools quieren parchear también las cabeceras del núcleo.

Enter the path to the kernel header files for the 2.6.32-5-amd64 kernel?

The path "" is not a valid path to the 2.6.32-5-amd64 kernel headers.

En nuestro caso, no las habíamos instalado:

apt-get install linux-headers-$(uname -r)
# En nuestro caso:
apt-get install linux-headers-3.2.0-4-686-pae

Desmontamos el cliente:

 umount /media/cdrom
 rm -rf vmware-tools-distrib/

F5 Virtual Edition 11.4

Para hacer las pruebas de nuestro entorno de producción, vamos a optar por un despliegue temporal de F5 virtual.

En primer lugar, descargamos la imagen, con el último hotfix que vamos a utilizar.

El usuario de la edición virtual es root:default.

En la consola, sacamos la configuración inicial mediante el comando config.

e1

Con red, ya es posible pasar a configurar vía red el equipo, con el usuario admin:admin.

Las pruebas requieren licencia de trial que se pueden conseguir a través de la web de F5.

 

 

 

 

 

Renombrar archivos .JPG a .jpg

En ocasiones tenemos programas que no reconocen archivos con la extensión en mayúsculas, ignoro por qué.

Gracias al jiapei100 en el foro de unix.com tenemos este simplísimo script en bash para poder renombrar fácilmente todos los archivos:

for x in *.JPG; do mv "$x" "${x%.JPG}.jpg"; done

Configurando ntp con el real observatorio de la armada

Desde hace unos años, los servicios públicos deben tener la hora configurada contra el real observatorio de la armada.

En los sistemas linux, basta con configurar los paquetes del servicio ntp contra los servidores de hora.roa.es y reiniciar el servicio:

 

[root@server] ~# apt-get install ntp ntpdate

[root@server] ~# cat /etc/ntp.conf 
server pool.ntp.org iburst maxpoll 9 minpoll 6
# XXX: this doesn't work as documented
#restrict default ignore
restrict 127.0.0.1
restrict -6 ::1

server hora.roa.es

disable bclient

[root@server] ~# service ntp restart