www.Net-Help.dk

Home

Guacamole - 1.1.0 - bedre og bedre...

For noget tid siden skrev jeg om guacamole, siden da har jeg brugt det en del, og der er kommet nogle gode opdateringer.

Støreste problem, som jeg dog som tekniker kan leve med, var mangle på dansk tastatur i RDP, dette er løst nu, blot husk at sæt det op på connectionen.

Sikkerheds mæssigt, er det nemt at få understøttelse at TOTP -> dvs. en MFA authentication code på min mobil.

Sidst jeg sat det op på en Debian 10 installation,var via guac-install.sh -> https://github.com/MysticRyuujin/guac-install/

Hvis man vælger at benytte "guac-install.sh" scriptet som er nemt og hurtigt, skal man huske at den forventer at man køre det som sudo og gør man det ikke går den i stå da ldconfig ikke kan findes.

Min hurtige workaround som jeg læse mig frem til var at tilføje ALWAYS_SET_PATH yes til   /etc/login.defs ( kilde: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=918754)

køre man  guac-install.sh --totp , får man fra sekundt 1 af mfa på admin kontoen, og husker man at give de bruger man oprettet lov til at skifte deres eget pw, kommer det også på dem...

En anden ting, er at man kan få NLA til at virke med RDS, dette kræver dog at man udfylder authentication felterne når man opsætter en ny host, til gængæld skal man ikke nedgrader RDP sikkerheden på klienten i baggrunden som jeg gjort i første omgang,  laver man ldap integration med guacamole, kan man få det første logon, til at løbe hele vejen igennen, sådan det nærmest bliver dynamisk sso logon, agtigt.

beskrivelse af ldap kan ses her: https://github.com/Zer0CoolX/guacamole-install-rhel/wiki/LDAP-or-LDAPS-Authentication

 Den helt korte og hurtige sekvens for at installer guacamole

hent sudo og git ned, det er bland de første commandoer som skal benyttes

apt-get install sudo git

Se at ens bruger er del af sudoers 
sudoedit /etc/sudoers

Log ud og ind igen, såfremt man er forbundet via putty

Opret mappe til at køre installationen fra

mkdir -p /usr/src/guacamole/1.1.0
cd /usr/src/guacamole/1.1.0

Hent installationen

git clone https://github.com/MysticRyuujin/guac-install
cd ./guac-install

Se at git har hentet filerne ned
ls -lh

Gør installations scriptet eksikverbar

chmod +x guac-install.sh

Start installatinen, og besvar spørgsmål som kommer, hvilket primært at omkring mysql kodeord.

Sudo ./guac-install.sh --totp

Opleves nedestående fejl, skyldes path ikker er på plads og man ikke har kørt kommandoen som sudo


./guac-install.sh: line 440: ldconfig: command not found
betyder at man ikke har kør det som sudo
ryd op i mappen
rm -rf guacamole-*
rm -rf mysql-connector-java-8.0.19
rm -rf mysql-connector-java-8.0.19.tar.gz

og køre igen, hvor det huskes at benytte sudo

 

Exim4 - DKIM til flere domainer.

For noget tid siden fik jeg beskyttet mine domainer med Dmarc, en forholdvis let opgave, dog betød dette at jeg begyndte at løbe i nogle udfordringer i forhold til forenings arbejde, hvor vi benytter One.com som maillist distributions knud.

Efter Dmarc var kommet på plads, blev mine email der via mail listen hos One.com skulle videre til "gmail" afvise, jeg kunne sandsynligvis løse dette med at gå fra -all til ~all i min spf record, eller jeg kunne opsætte DKIM, noget jeg har haft planer om i noget tid.

Mit udgangs punkt blev beskrivelsen her: https://www.obstance.com/ubuntu/dkim-on-multiple-domains-with-exim4/ dog med nogle ændringer og naturligvis Exim dokumentationen her: https://www.exim.org/exim-html-current/doc/html/spec_html/ch-dkim_and_spf.html

Jeg benytter 2048 i mine certifiater og jeg benytter ikke default selector.

Step 1) oprette korrekte mapper

mkdir /etc/exim4/dkim

Step 2) opret keys

cd /etc/exim4/dkim

openssl genrsa -out mxbox.dk.pem 2048

openssl rsa -in mxbox.dk.pem -pubout > mxbox.dk.pub

 

Step 3) sæt korrekt permissions på keys

chown -R Debian-exim:Debian-exim /etc/exim4/dkim/

chmod 640 /etc/exim4/dkim/*

 

Step 4)

Derefter skal exim config filen ændres, jeg køre med split så hos mig var det
Nano /etc/exim4/conf.d/transport/30_exim4-config_remote_smtp

og indsæt i toppen

 DKIM_DOMAIN = ${lc:${domain:$h_from:}}

DKIM_FILE = /etc/exim4/dkim/${lc:${domain:$h_from:}}.pem

DKIM_PRIVATE_KEY = ${if exists{DKIM_FILE}{DKIM_FILE}{0}}

DKIM_SELECTOR = gw2019

DKIM_CANON = relaxed

 

 

Dkim selector er vigtigt at bide mærke i, da dette er den DNS TXT record som det public certificat skal ligges ind i.

 

Step 5)

Opret txt record. gw2019._domainkey.mxbox.dk

Text: v=DKIM1; p=MIGfMA0GCSqGS....... stregnen fra  mxbox.dk.pub certificatet der blev oprettet i step 2)

 

Step 6)

test DNS opsætningen efter 5 minutter i hos dmarcian:  https://dmarcian.com/dkim-inspector/?domain=mxbox.dk&selector=gw2019
d
et er for at sikre der ikke er nogle typo  eller c&p fejl.

Step 7)

opdater exim  config. med

update-exim.conf

derefter reload exim

/etc.init.d/exim restart

 

step 8) 

Send en email til f.eks en gratis gmail konto og se at DKIM er blevet valideret korrekt.

 

echo "This is a123123123" | mail -r This email address is being protected from spambots. You need JavaScript enabled to view it. -s Test23123 This email address is being protected from spambots. You need JavaScript enabled to view it.

 

Herefter skulle dkim gerne køre korrekt. :-) husk at forny selector nøglen 1 gang årligt ;-)

Ovenstående bør naturligvis løbes igennem for alle de domains en gateways sender emails ud på vegne af.

 

Guacamole - what ?

Et af mine senste små projekter har være at lave en linux baseret RDS løsnig. JA, linux service som agere som RDS server :-)

Projektet er baseret på Guacamole og projekt sitet findes her: https://guacamole.apache.org/

Det virker super fint, men kræver at man ændre nogle sikkerhed indstillinger på windows 10 før RDP.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
 “SecurityLayer” dword 1
“UserAuthentication” dword 0

Kort info om hvad konsekvensen af overnståene ændring giver kan læses her:

 https://www.mvps.net/docs/how-to-secure-remote-desktop-rdp/

Ældre RDP kiienter ( windows 7 / server 2008R2 ser udtil at virke ude problemer )

Men ellers Guacamole er en fin lille java web-service hosted på en jboss motor.

Installationen er nem, jeg fulgte blot den samme som findes på debians Wiki : https://wiki.debian.org/Guacamole men brugte seneste pakker på siden.

 

Login page, hvor brugen godt kan styres fra en ldap f.eks ad i følge dokumentationen.

 

 

Efterfølgende kommer man en til landing sted, hvor de maskiner som man har rettigheder til en kan tilgåes fra.

Her under er der en RDP til en windows 10 klient ( jump station) og en ssh til en linux box.

 

Selve windows 10 logon via browser

 

 

og fuld desktop

 

 What not to like ?

Hvis der ikke er mfa på siden, vil jeg nok have at folk skal køre ind igennem nogle "jump" stations, sådan det er 2 sæt credentials som skal crackes før data kan tilgåes.

Mit test har jeg en Haproxy foran, guacamole serveren og et Lets encrypt  SSL certificat. 

 

 

\Setup\Perf\ApaAgentPerfCounters.h. Verify that the file exists and that you can access it

Exchange 2013 CU22 opgrading som bestemt ikke er gået efter bogen...

Egent var det lidt min egenskyld.

1) jeg havde ikke fået holdt serveren opdateret, og lavede derfor en Jump fra en .net 452 understøttende CU til CU22 der understøtter .net 472

2) Hvade overset at C++ 2013 var prereq ( både 32bit og 64 bit )

 Ingen af ovenstående ville havde været virkelighed, såfremt at det ikke var en Lille test server, med meget meget lidt data.

Første installations forsøg blev naturligvis stopped af manglende C++ 2013, hvilket jeg løse ved at blot installer C++ 2013 64 bit, og efter en genstart kom installationen igang, schema prep gennemførtes fint, men under "Copy Exchange Files" fik jeg en MSI 1603 - ikke godt.CU22 Install Error

Efter lidt googling fandt jeg en enkelt anden person som havde haft denne fejl, denne henviste til en eventuelt korrupt installations download, som blev løst ved en redownload.

Dette forsøgte jeg mig også med, kom forsat frem til ovenstående fejl, som I øverigt var total vrøvl, for den file som angives at skulle være fejl at læse fra, var fint til rådighed......

https://social.technet.microsoft.com/Forums/en-US/55a3e902-a58f-411a-b02f-e8eb730c2ad3/exchange-2013-cu-21-22-install-issue-exchange2013cu22setupperfapaagentperfcountersh-verify?forum=exchangesvrdeploy

 Et request ud på Microsoft Exchange 2013 forum, gav et hint om rootcause kunne være mangle på c++ 2013, jeg havde jo undladt at installere 32bit, så det blev straks forsøgt, men dette løste ikke mit problem. 

Gode råd dyre, En server død i en opdatering er sjældent nem at recover, selv om jeg havde exporetet Pst filer, til nødstilfælde ( det er en test exchange server) og lavet alm exchange server backup af databaserne for at få fjernet logfilerne.

Et forsøg var at lave en Procmon trace på installationen, for at se hvad den virkelige fejl var.

Og meget tydeligt Msiexec forventede at der var en file som nedenstående som jo er den som Msiexec meldte fejl på.

 Indskyldelse, hvis jeg nu manuel kopierede filen ind i mappen hvad så ??? det blev til handling og installationen forsatte videre, til næste file som kunne løses på sammevis og på denne måde blev hele "Copy exchange files" gennemført med ca 3 - 5 manuelle kopieringer.

Herefter forsat language installationen, og denne fejlede lidt på samme måde, nogle andre filer som skulle kopier til andre placeringe, under sprog mapperne, altid nogle filer til setup\perf\languageID og noglefiler til bin\languageID\Serverroles\common\......

Installation, kørt stille og rolig videre på denne måde.

Tilsidste kom "service delen" hvor den fejlede, da alle services stod som "disabled" og installerend ikke kunne finde udad at ændre disse til automatic, dette håndtede jeg dog manuelt ved at følge installations routinen og manuelt sætte alle services til automatic, hvergang at installeren havde sat dem til "disabled"

Tilsidst sprang exchange igang, og efter en genstart virkede exchange 2013 incl Cu22 igen.

Opgaven er nu at hurtigst muligt få bygget en ny test exchange server og flyttet dertil, jeg stoler bestemt ikke på holdbarheden af den gamle...

 ----------- Opdatering -----------------

En exchange admin jeg kender via mit tidligere arbejde oplevede det samme som ovenstående en af de seneste dage, dog lykkes det ham at omgå bøvlet ved at installere via et netværks share, om det så er severen selv man mapper, eller en anden node i et DAG betød ikke noget i følge ham

 

Page 1 of 2

  • 1
  • 2
  • You are here:  
  • Home

Main Menu

  • Home
  • Microsoft Client
  • Windows 7
  • Windows 8
  • Windows 10
  • Client Applikationer
  • Microsoft Server
  • Server 2008
  • Server 2012 R2
  • Server 2016
  • Exchange
  • Exchange 2010
  • Exchange 2013
  • Linux
  • Debian
  • Management
  • Malware
  • RES software
  • Powershell
  • PMSDS
  • EventForward
  • Hardware
  • Mikrotik
  • Misc
  • Edbcentral.dk
  • Arkiv
  • My GITHUB

Back to Top

© 2021 www.Net-Help.dk