PIT – Power of IT – Seite 4 – Gedanken und Anleitungen zur einen oder anderen IT Stolperfalle

WordPress Sicherheit erhöhen

1. Mai 2017 von Urs Heeb

WordPress liefert von Haus aus schon eine relativ gute Sicherheit.

Neulich bin ich durch einen Newsletter auf ein Plugin aufmerksam gemacht worden, welches die Sicherheit noch ein wenig erhöht.

Das Plugin All In One WP Security & Firewall bietet diverse Funktionen um den eigenen Blog besser abzusichern. Die Funktionen reichen von einem automatischen DB Backup, über einen Schutz vor Brute Force Attacken, einer Firewall und vieles mehr…

Als nette Funktion sei noch erwähnt, dass die Übersicht vom Plugin uns auch ein Rating der Seite bietet, also ein Indikator, ob man noch mehr Zeit in die Sicherheit investieren sollte, oder ob es soweit passt.

Ich habe das Plugin mittlerweile bei allen von mir verwalteten WordPress Blogs implementiert und der Aufwand beläuft sich auf 15-30 Minuten.

PRTG – SNMP Konfiguration

28. März 202023. April 2017 von Urs Heeb

Die im letzten Beitrag vorgestellten Monitoring-Software PRTG von Paessler kann auf diverse Arten die Umgebung überwachen: Ping, WMI und natürlich auch SNMP. Mit WMI lässt sich zwar im Windows Umfeld viel Abfragen, jedoch geht dies zu Lasten der Leistung sowie die Zuverlässigkeit ist auch nicht immer gegeben. Schnell und zuverlässig hingegen funktioniert SNMP.
In diesem Artikel möchte ich kurz aufzeigen, wie dies im PRTG, Windows und div. anderen Produkten konfiguriert wird.

PRTG – Professionelles Monitoring zum vernünftigen Preis

1. Mai 20174. April 2017 von Urs Heeb

Immer wieder wurde ich von meinen Kursteilnehmern gefragt, welche Monitoring-Lösung ich verwenden würde. Bisher waren mir Produkte wie SCOM, Nagios etc. bekannt. Seit meinem Arbeitgeberwechsel durfte ich ein neues Produkt kennenlernen.

PRTG von Paessler ist ein intuitives Monitoring-Programm, welches schnell zu erlernen ist. Gerne werde ich in Zukunft auch öfter über Konfigurationen hier schreiben.

SMTP Relay mit Exchange 2016 und NetScaler einrichten

28. März 20203. Januar 2017 von Urs Heeb

Ich bin mich wieder frisch am Einarbeiten in das Thema Exchange.

Das Grundsetup mit Exchange 2016 habe ich recht schnell hingekriegt und auch den externen Zugang via NetScaler war dank eines Skriptes von meinem Kollegen einfach hergestellt. Nun wollte ich jedoch noch für div. Dienste einen einfachen internen SMTP Relay Server erstellen.

Eine erste Anleitung dazu fand ich dann relativ schnell bei Paul Cunningham (Link).

Leider funktionierte dies nicht ganz so im Web GUI. Der Grund lag einfach gesagt an einem Bug von Microsoft und die Lösung war Powershell. Die Anleitung dazu fand ich dann bei Jeff Guillet (Link).

Nun funktionierte mein SMTP Relay zwar wenn ich den Exchange Server direkt ansteuerte, jedoch nicht via NetScaler. Und dies wollte ich dann auch noch lösen:

Sharefile StorageZone TLS Fehler

28. Dezember 2016 von Urs Heeb

Nachdem die SAML Authentifizierung funktionierte, wollte ich die StorageZones konfigurieren.

Der erste Versuch mit der Restricted SZ scheiterte, bzw. mein Kollege riet aus div. Gründen davon ab, so dass ich diese nochmals ohne Restriktion einrichtete.
Diesmal lief es auch besser, nur wollte es noch immer nicht mit dem Upload der Daten funktionieren.

Wieder einmal über den Blog von Jason Samuel fand ich den richtigen Input: Link

Mit dem erwähnten Tool IIS Crypto konnte ich die Einstellungen vornehmen (TLS 1.2 deaktivieren) und entsprechend erfolgreich testen:

Quelle: Jason Samuel

Skript: NS-Sharefile

Sharefile SAML mit NetScaler Unified Gateway

28. März 202028. Dezember 2016 von Urs Heeb

In meiner kleinen Demo-/Testumgebung wollte ich Sharefile mit SAML Authentifizierung mittels NetScaler Unified Gateway einrichten.

Ich fand schnell eine brauchbare Anleitung im Blog von Jason Samuel (Link)

Anders wie in seinem Artikel beschrieben verwende ich keinen AAA vServer sondern die Authentifizierung findet an einem NetScaler Gateway vServer statt.
Zu beginn scheiterte ich jedoch kläglich im Test, bis ich mit meinem Kollegen auf eine Stolperfalle in der Sharefile Control Plane gestossen bin.
Nachdem alle Einstellungen vorgenommen und gespeichert wurden, darf man nicht mehr auf „SAVE“ klicken, da sonst das SP Zertifikat neu generiert wird:

Weiter sollte man die Web-Authentifizierung deaktivieren, da sonst in den Plugins die Webseite aufgebaut wird, anstelle der Plugin-Funktion.

Um das eigene SAML Zertifikat nicht zu oft aktualisieren zu müssen, kann das IDP (x.509) Zertifkat auch von einer internen CA mit längerer Dauer ausgestellt worden sein und muss nicht zwingend mit dem FQDN des IDP übereinstimmen:

Quelle: www.jasonsamuel.com

Skript: NS-Sharefile

XenDesktop 7.12 – und der Local Host Cache ist zurück

7. Dezember 2016 von Urs Heeb

Hallo zusammen

Heute (07.12.16) ist die neue Version von XenApp/XenDesktop erschienen. Nebst vielen Neuerungen welche ihr hier nachlesen könnt, kam der Local Host Cache (LHC) zurück.

Mit diesem ist es nun wieder wie vor der Ära von Version 7.x möglich, dass der Betrieb einer XA/XD Umgebung weiterläuft, auch wenn die Verbindung zum SQL Server fehlschlägt. Im Gegensatz zum alten LHC, welcher von jedem XenApp Server lokal verwaltet (Access DB) und direkt angesteuert wurde, läuft der neue LHC in einer kleinen SQL Instanz (Local DB) und bei einem Ausfall des SQL Servers wird eine Instanz bestimmt, auf welche sich alle Controller verbinden. Da die verschiedenen LHC von den jeweiligen CCS parallel zum eigentlichen Betrieb aktuell gehalten werden, soll diese neue Variante auch einiges stabiler sein als der alte LHC.

Die Local DB ist bei einer Neuinstallation von XA/XD 7.12 standardmässig aktiv.

Bei einem Upgrade einer älteren Installation wo das Connection Leasing aktiv war, muss dieses noch deaktiviert und der LHC aktiviert werden:

Mehr und detailliertere Informationen findet ihr in den Docs.

Viel Spass beim Erfahrungen sammeln :-)

NetScaler Customizing in mehreren Sprachen

28. März 202022. November 2016 von Urs Heeb

Seit NetScaler 11.x ist das Customizing der Anmeldeseite vom NetScaler Gateway richtig komfortabel geworden.
Innerhalb des GUIs wird man Schritt für Schritt durch alle Punkte durchgelotst und man kann eine Sprache definieren um die Textfelder wunschgemäss anzupassen.

Was nun aber, wenn man damit rechnen muss/darf, dass Zugriffe mit verschiedenen Browsersprachen geschehen? Zum Beispiel in mehrsprachigen Ländern wie der Schweiz oder bei global tätigen Firmen? Oder auch was ist wenn man detailliertere Anpassungen tätigen will, als dass das GUI einem zur Verfügung stellt?

Diesen Fragen gehen wir nun ein wenig genauer auf den Punkt:

NetScaler Ressourcenzuweisung an Gruppen – Teil III

28. März 20205. August 2016 von Urs Heeb

Hallo zusammen

In den letzten beiden Artikel der Serie haben wir ein wenig die Möglichkeiten der Ressourcenzuweisung mit NetScaler Gateway sowie einer Gruppe mit Authorization Policies erläutert.
Was ist nun aber, wenn beim Anmelden via AAA mehrere oder gar verschachtelte Gruppen Zugriff erhalten sollen.

Dies wollen wir uns nun ein wenig genauer anschauen.

NetScaler Ressourcenzuweisung an Gruppen – Teil II

28. März 20204. August 2016 von Urs Heeb

Hallo zusammen

Im letzten Artikel ging ich auf die Zuweisung von Session Policies an Gruppen innerhalb NetScaler Gateway ein. Auch wenn dieser dem einen oder anderen Leser vielleicht sehr banal vorkam, so wird dies in Kursen und im Support öfter mal angefragt.

In diesem Artikel wollen wir uns die Möglichkeiten anschauen, Authorization Policies des AAA Features aufgrund Gruppenmitgliedschaften ausführen zu lassen.