Příspěvky

151

Windows a jiné systémy / Re:Web IIS na Windows a SSO (ověření Windows)

« kdy: 14. 04. 2022, 16:03:05 »

Pokud chceš použít NTLM transparent authentication, stejně potřebuješ server v doméně nebo proti komu se chceš přes NTLM přihlašovat? Proti lokálním uživatelům na serveru? Případně zase potřebuješ prostředníka, který ti identitu uživatelů vzdáleně ověří.

Pořád tady je stejná písnička, pokud Windows server není v doméně, IIS se neumí dotázat na identitu uživatele, je možné použít variantu se SPNEGO wrapperem (NTLM + kerberos v5), tam se pak předá podepsaný tiket přes IIS do TGS od klienta, takže přihlášení funguje transparentně pro doménové uživatele přes IIS, který není v doméně, je to tvůj use case?

Ono je v tom trocha viac nuansy.

"Server v doméne" znamená viacero vecí:

1. kerberos: má vydaný keytab na host/fqdn@realm,
2. LDAP: je v CN=Computers (by default, môže byť v inej).

Ani jedno nie je postačujúca podmienka, aby IIS vedel overiť klienta - keytab z bodu 1 totiž patrí hostovi, nie IIS. Ten by mal mať vlastný keytab, http/fqdn@realm, ktorý môže mať iné oprávnenia ako ten z hosta (napríklad teoreticky môže vedieť delegovať).

Takže IIS teoreticky (prakticky to mám odskúšané len s Apache, Keycloak/Wildfly a KeycloakX) stačí SPN, ktoré je povolené pre špecifického hosta, ten host potrebuje mať v DNS A záznam pre fqdn (pre Windows klientov, Linuxu a MacOS, resp. MIT a Heimdall, stačí CNAME) a reverzný záznam (len Windows klient, ten kanonalizuje hostname, Linux a MacOS to nerobia, a preto ho nepotrebujú). Doména vo fqdn nemusí byť zhodná s realmom. Keytab pre tento SPN nastavíš vo webserveri a ten bude vedieť overiť používateľa voči doménovému Kerberovi.

Zistiť, ako nastaviť vlastný keytab na IIS je ponechané ako domáca úloha. Otázka je, či je to vôbec možné, alebo používa natvrdo SSPI a nechá to na hosta.

Bude však vedieť overiť len to, či používateľ je ten, čo ticket tvrdí, že je. Nebude vedieť členstvo v skupinách alebo atribúty z usera, na to sa treba nabindovať na LDAP a to anonymne nepôjde. Bude treba mať credentials, buď tým istým SPN ako sa pýta Kerbera, ale dá sa aj meno/heslo.

152

Sítě / Re:LTE modem pro domácí síť

« kdy: 01. 04. 2022, 18:29:17 »

Děkuji za doporučení DHGG modelu - nenapadlo mě, že DHG má pouze 100 Mbit eth.

Koukal jsem po vhodných BTS v okolí a nejlepší adept je asi 4,5 km daleko na přímou viditelnost s pásmy 11, 12, 14, 21, 22, 24, což znamená, že jediné pásmo, které je podporováno je 12 (700 MHz). Může to být problém nebo jedno podporované pásmo stačí?

Pokiaľ môžete chvíľu počkať, v blízkej budúcnosti bude oznámený LHGG LTE18 kit. Ako názov hovorí, bude to mať Cat 18 modem, s podporou pásiem 1, 3, 5, 7, 8, 20, 28, 38, 40 a 41.

Otázka je, aká bude dostupnosť.

153

Sítě / Re:LTE modem pro domácí síť

« kdy: 25. 03. 2022, 18:49:51 »

Mikrotik má viacero modelov. Napr. LHG a SXT. Samotný modem v nich je rovnaký, na boarde sú drobné rozdiely (SXT má 2xeth, ale na oboch modeloch je iba 100Mbps interface!) a najväčší rozdiel je v anténe. Asi by stálo za to, pozrieť sa v akom pásme bude na danom mieste prebiehať komunikácia a potom ktorý z modelov má lepší zisk na danej frekvencii, na bežný vidiecky Band 20 (800 MHz) je o trochu lepší LHG.

Pekna kravina. Alokace bandu a jejich vyuziti se v miste muze dost menit a bandy se muzou soubezne pouzivat. Treba tady u letiste uz byla 3x zmena tento rok. A to nepocitam test 700Mhz ktery chvilku bezel.
Hlavne koukejte na FDD bandy, jestli ma CA a aspon nejake MIMO.

Hluposť, naproti tomu sú oblasti, kde sa alokácia bandov nemenila od spustenia LTE, t.j. dlhšie, ako je morálna životnosť zariadenia. A keby sa aj zmenila, stále bude fungovať, len nebude mať optimálny zisk.

No a neviem ako v Čechách, ale na Slovensku je CA akurát v okolí niektorých miest. Zvyčajne tam, kde by permanentné pripojenie cez LTE nikto aj tak neriešil, pretože by bolo k dispozícii lepšie riešenie. Je zbytočné priplácať za zariadenie s Cat 12 v miestach, kde to ešte roky nepôjde viac ako Cat 4, a zmení sa to až keď pribudne 5G veža.

154

Sítě / Re:LTE modem pro domácí síť

« kdy: 25. 03. 2022, 17:25:19 »

Dá se na tom vynutit konkrétní LTE pásmo?

A není to poněkud nepraktický mít SIM kartu někde na stožáru?

Dá: https://imgur.com/a/GCqvZ3O

155

Sítě / Re:LTE modem pro domácí síť

« kdy: 25. 03. 2022, 16:57:45 »

Mikrotik má viacero modelov. Napr. LHG a SXT. Samotný modem v nich je rovnaký, na boarde sú drobné rozdiely (SXT má 2xeth, ale na oboch modeloch je iba 100Mbps interface!) a najväčší rozdiel je v anténe. Asi by stálo za to, pozrieť sa v akom pásme bude na danom mieste prebiehať komunikácia a potom ktorý z modelov má lepší zisk na danej frekvencii, na bežný vidiecky Band 20 (800 MHz) je o trochu lepší LHG.

Pozor, LHG má i variantu s Gbit eth.

Áno, LHGG. Tam už je rozdielov viac, je to ARM board (LHG a SXT sú MIPS), ale stále ten istý modem.

156

Sítě / Re:LTE modem pro domácí síť

« kdy: 25. 03. 2022, 16:00:04 »

Mikrotik má viacero modelov. Napr. LHG a SXT. Samotný modem v nich je rovnaký, na boarde sú drobné rozdiely (SXT má 2xeth, ale na oboch modeloch je iba 100Mbps interface!) a najväčší rozdiel je v anténe. Asi by stálo za to, pozrieť sa v akom pásme bude na danom mieste prebiehať komunikácia a potom ktorý z modelov má lepší zisk na danej frekvencii, na bežný vidiecky Band 20 (800 MHz) je o trochu lepší LHG.

157

Sítě / Re:Mikrotik VLAN DHCP

« kdy: 22. 03. 2022, 23:20:00 »

v menu bridge: jeden bridge, do neho pridat porty, vytvorit vlan-y, zadefinovat, ktory port ma pristup do ktorej vlany tagovany/netagovany.

pozor: vlan filtering na bridgi zapinat az ked bude vsetko nastavene, je to velmi dobry sposob, ako sa odrezat od zariadenia a ak nie je k dispozicii seriovy port, pokracuje sa resetom do defaultu. Rovnako je to dobra prilezitost oboznamit sa so safe mode.

v menu interface: vytvorit bridge, vytvorit vlan interfacy, pridat vlan interfacy (a nic ine) do bridgu.

v menu ip/addresses: pridat ip adresy pre vlan interfacy.

v menu ip/dhcp server: vytvorit dva dhcp servery, pre kazdy vlan interface samostatne.

158

Hardware / Re:Jaky HW pro Kodi

« kdy: 21. 03. 2022, 10:51:31 »

nezapomen k nemu tu eMMC

Diky za upozorneni. Planuju mit system na SSD, jde z toho Petit bootu spoustet system ze SSD bez pouziti eMMC, ze ano?

EDIT: Resp. je nejaka vyhoda eMMC oproti SSD?

Ako tam chceš pripojiť SSD? N2 nemá m.2 ani SATA port, plánuješ USB?

N2 vie nabootovať z SPI, eMMC a sd karty. V SPI je z továrne naflashovaný Petitboot, ktorý teoreticky vie ďalej bootovať z USB.

eMMC má tú výhodu, že je v sockete na doske a dá sa z neho priamo bootovať. Je to v podstate interný storage ako býva v telefónoch; technicky je to na úrovni sd karty, len má širšiu zbernicu a preto je rýchlejší, zhruba ako pomalšie ssd disky. Nemá wear leveling ako majú ssd disky, preto sa nehodí na použitie tam, kde sa stále niečo zapisuje alebo maže, ako napr. na desktope. Na openelec je to OK.

159

Sítě / Re:MikroTik - zablokování přes MAC adresu

« kdy: 21. 03. 2022, 00:52:40 »

MAC adresa je v nizsi vrstve, listovat je v IP firewallu nema smysl, respektive je to špatné řešení.

Pristup zarizeni pres povolene MAC se resi pomoci ARP.

Na portu/bridge pro LAN se nastaví Reply only/Disabled a "povolené" MAC adresy se přidají do /ip arp

Pokud za Mikrotikem neni zarizeni s vlastni ARP tabulkou, neuvidi se neuvedena zarizeni ani mezi sebou a to ani v případě správně nastavené statické IP.

Ono sa to ešte na prvej stránke spomenulo, že tu diskutujú o /interface/bridge/filter, nie o /ip/firewall, takže sú na Layer 2.

160

Sítě / Re:WireGuard - nefunguje připojení více peerů

« kdy: 06. 03. 2022, 00:49:02 »

Taky sem řešil a je to až neuvěřitelně snadné, i když trošku zmatené.
v nastavení peer na routeru je třeba mít např. endpoint 10.0.200.100 a allow IPs 10.0.200.100/32
paradoxně v nastavení IP/address je třeba mít 10.0.200.0/24
další peer pak už 101 atd. a jede to bezproblémů.

Presne to som pisal v komentari vyssie ;-) Aj s vysvetlenim, preco, a ze to nie je zmatene.

161

Sítě / Re:IP adresy v dockeru

« kdy: 24. 02. 2022, 20:19:15 »

Subnet sa nastavuje pri vytvoreni siete (docker network create --ip-range ...), konkretna ip adresa konkretneho kontajnera pri jeho spusteni (docker run --ip ...), alebo pri docker-compose v docker-compose.yml.

162

Sítě / Re:VPN - přenosné připojení pro offline lokality

« kdy: 24. 02. 2022, 10:30:10 »

Dalsiu moznost by som videl v tunelovani L2.

Cisto sw: zerotier layer 2 bridging.

Krabicky (ale treba dve, na kazdy koniec): Mikrotik a EoIP. Nastavit tunel medzi krabickami (wireguard, ipsec, apod) a potom cez ten tunel EoIP. Pri tomto rieseni netreba nic na klientovi, len aby sa pripojil na niektory z interface krabicky.

163

Server / Re:Virtual desktop nad serverom

« kdy: 23. 02. 2022, 19:17:58 »

Mozne to je, ale ako to bude chodit, to je uplne ina otazka.

Kedysi som sa tiez hral s dl380p gen8, esxi a windows (vtedy , ale ja som tam mal rotujucu hrdzu, a vykon bol zalostny, kapalo to na i/o latencii. V pripade velkej nudze by to pouzitelne bolo, ale bezne pracovat urcite nie.

Neskor pri pokusoch s threadripperom s nvme diskami a proxmoxom to bolo ovela lepsie. Pomohlo davat virtualkam blokove zariadenie pre ich disky (t.j. lv alebo zvol, s virtio-scsi passthrough) a to na normalnu pracu uz pouzitelne je.

164

Hardware / Re:Aktualizace firmwaru tiskárny HP LaserJet Pro MFP M130nw

« kdy: 23. 02. 2022, 12:53:40 »

Tak ono se blbě odděluje tiskárna, která na síti je od internetu - potřebuješ jí dostupnou z ostatních PC ať již na kabelu tak na WiFi a když ti WiFi poskytuje modem tak se blbě nastaví, aby dál nemohla...

Nastavuje sa to velmi jednoducho - v pripade, ze miestny router je cista tragedia, tak dam tlaciarni staticku ip adresu (aj tak maju niektore hp problem zobudit sa s dhcp) a nenastavim default gateway. Pokial by na nom trvala, tak nastavim nespravny, kde nic nenaforwarduje.

V pripade, ze miestny router nie je uplna tragedia, nastavit prislusne pravidlo vo firewalle, aby s nou nic zvonka nemohlo komunikovat. Traffic co nejde cez firewall, t.j. rovnaky subnet, nebude mat problem.

165

Hardware / Re:Aktualizace firmwaru tiskárny HP LaserJet Pro MFP M130nw

« kdy: 23. 02. 2022, 10:50:53 »

Tihleti radoby admini kteri se update firmwaru boji jak update supermicra. Chapu u cinskeho smejdu za par kacek. Ale multifunkce od HP?

No prave u MFP od HP by som sa toho bal. Kolegovi sa stalo, ze updatol nejaky HP a po nabootovani s novym firmware mu odmietlo doteraz pouzivany spotrebny material, ako nie dostatocne genuine (nebol, bol z Pryzmatu). Pritom so starym firmware nemal ziadny problem -- no, stoji to beznemu userovi za to, aby si vyrobil problemy, ktore predtym nemal?

Inak pozeral som sa aj konkretne na 130nw, ako by sa dala updatovat. Cez webove rozhranie som nic nenasiel, az na strankach vyrobcu nejaky windows-only bazmeg, na pouzitie ktoreho treba tlaciaren pripojit cez usb. Kedze pouzivatelia danej tlaciarne ju pouzivaju len cez ethernet+ipp, tak uz vidim, ako by robili taketo manevre len kvoli updatu firmware.