Frank Seitz - Developer Logbuch - Netz

LDAP: Authentisierung gegen Active Directory

nospam@example.com (Frank Seitz) — Fri, 28 Oct 2022 18:27:12 +0200

Eine Authentisierung über LDAP gegen ein Active Directory (AD) besteht im Kern im Aufruf der Methode bind(). Gelingt dieser Aufruf, ist der Benutzer authentisiert:

use Net::LDAP;

my $workgroup = '...';
my $user = '...';
my $password = '...';

my $ldap = Net::LDAP->new(
    'ldaps://dc1',    # verschlüsselte Verbindung
    verify => 'none', # keine Verifikation des Server-Zertifikats (sollte eigentlich 'require' sein)
    onerror => 'die', # Exception, wenn wenn nachfolgende Methodenaufrufe fehlschlagen
) or die $@;

$ldap->bind("$workgroup\\$user",password=>$password);
$ldap->unbind;

# ab hier ist der Benutzer authentisiert

PuTTYgen: Schlüsselpaar für Windows und Linux erzeugen

nospam@example.com (Frank Seitz) — Tue, 14 Sep 2021 08:27:52 +0200

Wir rufen PuTTYgen auf und erzeugen ohne Änderung an den Voreinstellungen durch Betätigung des Buttons Generate ein RSA Schlüsselpaar mit 2048 Bit Schlüssellänge:

Anschließend speichern wir drei Dateien, um in einem Netzwerk aus Windows-Clients und Linux-Servern eine Anmeldung mit Public-Key-Authentisierung einrichten zu können:

id_rsa.pub

Mit Copy & Paste speichern wir den Public Key, der im oberen Bereich des Fensters angezeigt wird, in id_rsa.pub. Den Inhalt dieser Datei fügen wir auf allen Linux-Servern, auf denen wir uns mit Public-Key-Authentisierung einloggen wollen, zur Datei .ssh/authorized_keys hinzu.

id_rsa.ppk

Mit Klick auf Save private key speichern wir den Private Key in id_rsa.ppk. Diese Datei machen wir allen Windows-Clientprogrammen bekannt, mit denen wir uns per Public-Key-Authentisierung auf einem Linux-Server einloggen wollen. Im PuTTY-Client z.B. wird der Dateipfad in die Konfiguration eingetragen unter Connection / SSH / Auth / Private key file for authentication.

Verlangt ein Client die PPK-Datei in einem älteren Format (Version 2 statt Version 3), können wir dieses erzeugen, indem wir unter Key / Parameters for saving files ... die Option PPK file version: 2 setzen, bevor wir den Private Key speichern.

id_rsa

Wollen wir uns ferner zwischen Linux-Rechnern per Public-Key-Verfahren authentisieren, erzeugen wir über den Menüeintrag Conversions / Export OpenSSH key den Private Key für Linux und speichern diesen in rsa_id. Diese Datei hinterlegen wir auf den Linux Rechern, von denen aus wir uns auf andere Linux-Rechner per Public-Key-Authentisierung einloggen wollen, in .ssh/rsa_id. Die Datei darf nur für ihren Owner lesbar sein und muss daher mit chmod 600 .ssh/rsa_id gegen fremden Zugriff geschützt werden.

Perl: Erreichbarkeit eines Hosts prüfen

nospam@example.com (Frank Seitz) — Thu, 01 Oct 2015 14:44:06 +0200

Mitunter möchte man wissen, ob ein bestimmter Host erreichbar ist, z.B. vor Beginn von Regressionstests gegen Services des Hosts. Diese Prüfung kann in Perl mittels des Core-Moduls Net::Ping durchgeführt werden.

use Net::Ping;

my $p = Net::Ping->new;
my $isAlive = $p->ping($host);
$p->close;

if ($isAlive) {
    print "Host $host ist erreichbar\n";
}

Per Default versucht die Klasse via TCP eine Verbindung zum echo-Port aufzubauen. Für andere Möglichkeiten (Test per UDP, ICMP, ...) siehe Doku.

Globale Verbreitung von DNS-Änderungen überprüfen

nospam@example.com (Frank Seitz) — Thu, 16 Jul 2015 10:49:00 +0200

Wer wissen möchte, ob jüngst durchgeführte Änderungen an DNS-Einträgen in anderen Teilen der Welt bereits angekommen sind, kann sich des "DNS Propagation Checkers" whatsmydns.net bedienen.

Dieser fragt DNS-Server in verschiedenen Teilen der Welt ab, zeigt die Ergebnisse in Form einer Tabelle an und zeichnet sie in eine Weltkarte ein. Als Suchkriterium gibt man die Domain, den Record-Typ und - optional - den erwarteten Record-Wert vor.

Insbesondere nach dem Anlegen einer neuen Domain kann es eine Weile dauern bis die Nameserver-Definitionen global propagiert sind. Mit diesem Service lässt sich das verfolgen.

Perl: Hostname zu IP-Adresse ermitteln

nospam@example.com (Frank Seitz) — Fri, 10 Jul 2015 10:48:05 +0200

Bei der Auswertung von HTTP-Zugriffen möchte man u.U. die IP-Adressen zu Hostnamen auflösen. Das geht in Perl so:

1	use Socket;
2	$hostname = gethostbyaddr(inet_aton($ip),AF_INET);

Zwei Punkte sollte man dabei im Hinterkopf behalten:

nicht jede IP-Adresse kann zu einem Hostnamen aufgelöst werden (gethostbyaddr() liefert dann undef)
der Aufruf kann u.U. eine Weile dauern (bei mir bis zu 10 Sekunden)

Perl: Web Services mit SOAP::WSDL ansprechen

nospam@example.com (Frank Seitz) — Sat, 22 Jun 2013 08:42:00 +0200

Das Perl-Modul SOAP::WSDL stellt Mittel bereit, um Web Services ansprechen zu können, für die eine WSDL-Definition existiert.

Der bevorzugte Weg ist, aus der WSDL-Definition eine Client-Schnittstelle zu generieren und diese zur Interaktion mit dem Web-Service zu nutzen. Die generierte Schnittstelle ist objektorientiert, besteht also aus einer Sammlung von Klassen.

Die Schnittstelle wird von dem Programm wsdl2perl.pl generiert, das Bestandteil des Moduls SOAP::WSDL ist. Ein typischer Aufruf ist:

$ wsdl2perl.pl -b DIR -p PREFIX URL

DIR    : Zielverzeichnis (Default: ".")
PREFIX : Präfix für alle generierten Klasse (Default: "My")
URL    : URL der WSDL-Definition

Beispiel

Der Web Service "Global Weather" ist ein einfacher Dienst, der aktuelle Wetterinformation über größere Städte der Welt liefert. Als Ausgangsinformation steht zur Verfügung:

eine verbale Beschreibung der SOAP-Schnittstelle: http://www.webservicex.net/globalweather.asmx
die WSDL-Definition der SOAP-Schnittstelle: http://www.webservicex.net/globalweather.asmx?wsdl

Aus der formalen WSDL-Definition generieren wir mittels wsdl2perl.pl eine objektorientierte Client-Schnittstelle für Perl:

$ wsdl2perl.pl -b lib -p GW:: http://www.webservicex.net/globalweather.asmx?wsdl
Creating element class GW/Elements/GetWeather.pm
Creating element class GW/Elements/GetWeatherResponse.pm
Creating element class GW/Elements/GetCitiesByCountry.pm
Creating element class GW/Elements/GetCitiesByCountryResponse.pm
Creating element class GW/Elements/string.pm
Creating typemap class GW/Typemaps/GlobalWeather.pm
Creating interface class GW/Interfaces/GlobalWeather/GlobalWeatherSoap.pm

Nun können wir einen Client programmieren, der das Wetter abfragt:

#!/usr/bin/env perl

use strict;
use warnings;

use lib 'lib';
use GW::Interfaces::GlobalWeather::GlobalWeatherSoap;

if (@ARGV != 2) {
    die "Usage: gw COUNTRY CITY\n";
}
my ($country,$city) = @ARGV;

my $soap = GW::Interfaces::GlobalWeather::GlobalWeatherSoap->new;

my $res = $soap->GetWeather({
    CountryName=>$country,
    CityName=>$city,
});

printf "%s\n",$res->get_GetWeatherResult;

Aufruf und Resultat:

$ gw germany hamburg
<?xml version="1.0" encoding="utf-16"?>
<CurrentWeather>
  <Location>Hamburg-Finkenwerder, Germany (EDHI) 53-32N 009-50E 13M</Location>
  <Time>Jun 22, 2013 - 09:20 AM EDT / 2013.06.22 1320 UTC</Time>
  <Wind> from the SSW (200 degrees) at 15 MPH (13 KT) (direction variable):0</Wind>
  <Visibility> greater than 7 mile(s):0</Visibility>
  <SkyConditions> mostly cloudy</SkyConditions>
  <Temperature> 69 F (21 C)</Temperature>
  <DewPoint> 57 F (14 C)</DewPoint>
  <RelativeHumidity> 64%</RelativeHumidity>
  <Pressure> 29.85 in. Hg (1011 hPa)</Pressure>
  <Status>Success</Status>
</CurrentWeather>

SSH: Über SSH-Tunnel mit MySQL Datenbank verbinden

nospam@example.com (Frank Seitz) — Wed, 10 Apr 2013 17:54:02 +0200

Eine MySQL-Datenbank, die von innen (Host oder lokalem Netzwerk), jedoch nicht von außen (Internet) per TCP/IP erreichbar ist, kann von einem entfernten Rechner über einen SSH-Tunnel erreicht werden, wenn man einen SSH-Zugang zu dem Datenbank-Host oder einem Host des Netzwerks besitzt.

1 - SSH-Tunnel zum MySQL Port 3306 aufsetzen:

$ ssh <user>@<host> -L <port>:localhost:3306 -f -N

-L <port>:localhost:3306 : Verbinde lokalen Port <port> remote mit MySQL Port 3306
-f                       : Lege den ssh-Prozess in den Hintergrund
-N                       : Führe remote nichts aus (kein Login, kein Kommando)

2 - Mit der Datenbank verbinden:

$ mysql --host=localhost --port=<port> --protocol=tcp ...

oder

$ mysql --host=127.0.0.1 --port=<port> ...

Dieser spezielle Fall von SSH-Tunneling kann natürlich auch auf andere Dienste (Ports) übertragen werden.

Ein weiterer Artikel zu dem Thema: http://www.revsys.com/writings/quicktips/ssh-tunnel.html

phpMyAdmin

Um mit einer lokalen phpMyAdmin-Applikation über den Tunnel auf die Remote-Datenbank zugreifen zu können, wird eine entsprechende Server-Definition in der phpMyAdmin-Konfiguration vereinbart, z.B. in /etc/phpmyadmin/conf.d/<Server-Name>.php:

<?php

$cfg['Servers'][$i]['verbose'] = '<Server-Name>';
$cfg['Servers'][$i]['host'] = '127.0.0.1';
$cfg['Servers'][$i]['port'] = '3305';
$cfg['Servers'][$i]['connect_type'] = 'tcp';
$i++;

Das Timeout hochsetzen:

$cfg['LoginCookieValidity'] = <Wert in Sekunden>;

Z.B. ein Tag:

$cfg['LoginCookieValidity'] = 86400;

0 bedeutet nicht unendlich, sondern sofortiges Logout!

Liste der geöffneten TCP-Ports

nospam@example.com (Frank Seitz) — Sun, 10 Jun 2012 19:07:03 +0200

Zeige die Liste der geöffneten TCP-Ports und welche Programme sie nutzen:

# netstat -pant

-p : Zeige PID und Programmnamen
-a : Zeige sowohl Listening- als auch Non-Listening-Sockets
-n : Zeige numerische Werte statt symbolischer Host-, Port- und Benutzernamen
-t : Zeige TCP-Ports (-u UDP-Ports)

Streamripper: Internet-Radio aufzeichnen

nospam@example.com (Frank Seitz) — Thu, 10 May 2012 17:26:00 +0200

Streamripper ist ein Kommandozeilenprogram, mit dem es möglich ist, SHOUTcast- und Icecast-Internetradiosendungen aufzuzeichnen. Das geht so:

Rippe Stream URL, speichere die Dateien im aktuellen Verzeichnis und erzeuge einen Relay-Server auf Port 8000:

$ streamripper URL -r

Gib den Stream parallel über den von streamripper erzeugten Relay-Server wieder:

$ cvlc -q http://localhost:8000

Beispiel: Speichere die Songs des Kanals SomaFM/Groove Salad im Unterverzeichnis groove-salad und überschreibe eine existierende Datei nur, wenn sie größer ist:

$ streamripper http://somafm.com/groovesalad256.pls -r -d groove-salad -o larger

Radio-Links

SomaFM: http://somafm.com/
Digitally Imported: http://www.di.fm/

HTTPS-Server: SSL-Zertifikat erwerben und einrichten

nospam@example.com (Frank Seitz) — Fri, 30 Dec 2011 09:49:00 +0100

Antragstellung: über Strato V-Server Account, SSL-Zertifikatstyp: thawte SSL123, Kosten: 3,90 EUR/Monat.

Private Key erzeugen (mydomain-de.key)

# openssl genrsa -des3 -out mydomain-de.key 2048
Generating RSA private key, 2048 bit long modulus
...

Der Private Key wird hier im Klartext ohne Passphrase erzeugt. Es ist praktischer, keine Passphrase zu verwenden, da sonst beim Neustart des HTTP-Servers die Passphrase manuell eingegeben werden müsste.

Certificate Request erzeugen (mydomain-de.csr)

# openssl req -new -key mydomain-de.key -out mydomain-de.csr
...
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:BUNDESLAND
Locality Name (eg, city) []:STADT
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ORGANISATION
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:mydomain.de
Email Address []:me@mydomain.de

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Der Certificate Request wird bei Thawte eingereicht. Dies wickelt Strato ab. Die Daten werden über ein Webformular unter "SSL-Verwaltung/Easy SSL" erhoben. Thawte meldet sich per Mail. Auf dem Weg und per Bestätigung übers Web findet die Validierung statt. Der Certificate Request hat später für die Verwendung von SSL keine Bedeutung.

Signed Certificate (mydomain-de.crt)

Das signierte Zertifikat wird von Thawte nach Validierung geliefert und kann bei Strato unter "SSL-Verwaltung/Easy SSL" abgerufen werden. Das Zertifikat wird als mydomain-de.crt gespeichert.

Installation

Installation des Private Key und des Zertifikats auf dem Server:

# mv mydomain-de.csr /etc/ssl/certs
# mv mydomain-de.key /etc/ssl/private
# chown root.root /etc/ssl/private
# chmod 600 /etc/ssl/private

Apache-Konfiguration:

<IfModule mod_ssl.c>
  <VirtualHost *:443>
    ...
    SSLEngine on
    SSLCertificateFile /etc/ssl/certs/mydomain-de.crt
    SSLCertificateKeyFile /etc/ssl/private/mydomain-de.key
    ...
  </VirtualHost>
</IfModule>

STRATO HiDrive unter Linux nutzen

nospam@example.com (Frank Seitz) — Thu, 29 Dec 2011 13:17:00 +0100

Installation von davfs (Debian):

# apt-get install davfs2

Dateisystem manuell mounten:

# mkdir /hidrive
# mount -t davfs https://webdav.hidrive.strato.com /hidrive
Username: myname
Password: mypassword

Eintrag zur fstab hinzufügen:

# vi /etc/fstab
...
https://webdav.hidrive.strato.com /hidrive davfs noauto,user 0 0

Dateisystem vereinfacht manuell mounten:

# mount /hidrive

Dateibaum DIR per rsync in HiDrive Nutzerverzeichnis übertragen, ohne Verwendung des Mountpoint:

$ rsync -avz -e ssh DIR myname@rsync.hidrive.strato.com:/users/myname/

Unter "Einstellungen/Kontenverwaltung/OpenSSH-Schlüssel" kann der Public-Key des aufrufenden Benutzers hochgeladen werden, so dass sich die Passworteingabe vermeiden lässt.

Cisco VPN-Verbindung (vpnclient) loggen/debuggen

nospam@example.com (Frank Seitz) — Sun, 27 Nov 2011 11:05:00 +0100

Die Ausgaben des Cisco vpnclient sind nicht unbedingt informativ, wenn etwas schief geht. Hier hilft die Aktivierung und Auswertung des Log. Das Logging wird in der Datei vpnclient.ini aktiviert. Hierzu wird die Option EnableLog=1 gesetzt und alle LogLevel-Einträge auf LogLevel=3.

Das Logging wird gestartet durch

$ ipseclog /tmp/vpnclient.log

Die Logmeldungen werden nach /tmp/vpnclient.log geschrieben.

Cisco vpnclient unter Linux Kernel 2.6.38+

nospam@example.com (Frank Seitz) — Sat, 26 Nov 2011 10:06:00 +0100

Problem

Das für frühere Kernel-Versionen kompilierte Kernel-Modul cisco_ipsec crasht bei Aufruf des Cisco vpnclient unter Linux 2.6.38. Das System ist danach nur noch eingeschränkt nutzbar.

Lösung

Das Problem wurde auf http://forum.tuxx-home.at diskutiert und behoben. Der Patch dort funktioniert allerdings nicht, da der Patch, den man nur per Copy&Paste erhalten kann, in der Form defekt ist.

Ich habe diesen händisch restauriert und aus den Patches

http://www.lamnk.com/download/fixes.patch (existiert nicht mehr)
http://forum.tuxx-home.at/viewtopic.php?f=15&t=1293 (defekter Copy&Paste-Patch)

einen einzigen Patch erstellt, der auf das originale Cisco-Archiv angewendet werden kann.

Installation vpnclient für Linux 2.6.38+

Cisco-Archiv herunterladen

# wget http://projects.tuxx-home.at/ciscovpn/clients/linux/4.8.02/\
  vpnclient-linux-x86_64-4.8.02.0030-k9.tar.gz

Patch für Linux 2.5.38+ herunterladen

# wget http://fseitz.de/download/vpnclient.patch-2.6.38

Cisco-Archiv entpacken

# tar xvzf vpnclient-linux-x86_64-4.8.02.0030-k9.tar.gz

Ins vpnclient-Verzeichnis wechseln
```
# cd vpnclient
```
Patch anwenden
```
# patch <../vpnclient.patch-2.6.38
```
Cisco Software kompilieren
```
# make
```
Cisco Software installieren
```
# ./vpn_install
```

scp: Whitespace in Remote-Dateinamen

nospam@example.com (Frank Seitz) — Mon, 06 Dec 2010 15:44:35 +0100

Um per scp Dateien, die Whitespace im Dateienamen enthalten, von einem entfernten System zu kopieren, müssen die Leerzeichen zwei Mal maskiert werden: Einmal für die lokale Shell und einmal für die remote Shell.

Beispiel:

$ scp 'user@host:/pfad/"eine datei"' .

SSH: Timeout unterbinden

nospam@example.com (Frank Seitz) — Mon, 25 Jan 2010 15:26:04 +0100

Clientseitig

$ echo "ServerAliveInterval 120" >> /etc/ssh/ssh_config

Wenn der Server 120 Sekunden kein Paket gesendet hat, sendet der Client ein Dummy-Paket zum Server.

Bei Putty findet sich die Einstellung in den Einstellungen unter Connection / Seconds between keepalives.

Serverseitig

$ echo "ClientAliveInterval 120" >> /etc/ssh/sshd_config
$ /etc/init.d/ssh reload

Wenn der Client 120 Sekunden kein Paket gesendet hat, sendet der Server ein Dummy-Paket zum Client.

SSH: Automatisch einloggen

nospam@example.com (Frank Seitz) — Sun, 24 Jan 2010 15:06:00 +0100

Ein automatisches Login führt SSH durch, wenn auf der Zielmaschine der Öffentliche Schlüssel des eigenen Accounts hinterlegt ist. Der Öffentliche Schlüssel wird auf der Zielmaschine zum Zielaccount hinzugefügt mittels:

$ cat id_rsa.pub >>.ssh/authorized_keys

Die Datei darf nur für den Owner schreibbar sein.

Information zur Schlüsselgenerierung: http://www.supportnet.de/faqsthread/806

Verzeichnisse via rsync abgleichen

nospam@example.com (Frank Seitz) — Thu, 21 Jan 2010 19:26:19 +0100

Verzeichnisbaum spiegeln (local => remote)

$ rsync -avz --delete DIR1/ USER@HOST:DIR2

Der trailing Slash bei DIR1/ ist wichtig, da sonst DIR1 in dir DIR2 hineinkopiert wird. Die Verzeichnisse können unterschiedlich heißen.

Bei Angabe der Option -n wird die Ausführung nur simuliert.

Via ssh

$ rsync -e ssh -avz --delete DIR1/ USER@HOST:DIR2

Via ssh mit speziellem Port

$ rsync --rsh='ssh -p port' -avz --delete DIR1/ USER@HOST:DIR2