Thunder-Boy

Aprender é Bom Demais!!!

Autenticando usuário via LDAP tanto em domínio único quanto em uma floresta inteira

HowTo: Autenticação de usuários de forma transparente, buscando o mesmo em uma floresta e não apenas no domínio principal Active Directory.

EXPLICANDO O CENÁRIO:

Uma empresa que possui 6 unidades (matriz e 5 filiais) interligadas com Active Directory (VPN, link dedicado ou outra forma…).

Se tem um problema que costuma dar dor de cabeça é a questão das senhas dos usuários, pois eles vivem esquecendo e confundindo senha de domínio com senha de sistema, senha de sistema com senha de comunicador e por aí vai.

Nada melhor do que poder integrar tudo que for possível ao controlador de domínio, unificando as senhas. Ao trocar a senha de domínio, trocam-se todas ao mesmo tempo, tudo fica automatizado, economizando um tempo enorme com atendimentos para trocas de senhas e manipulação de grupos e usuários em vários sistemas e softwares.

Vamos usar como exemplo a aplicação OPENFIRE (servidor de chat corporativo), mas funciona em qualquer outra aplicação que permita autenticação no Active Directory ou LDAP, testei também no REDMINE, GLPI e em um script de autenticação em PHP que utilizamos em alguns sistemas.

Integrar o OPENFIRE em um domínio AD/LDAP é relativamente fácil.

Basta que na Configuração de Perfis, seja escolhida a opção Servidor de Diretórios (LDAP), na sequência especificar o tipo do servidor (no meu caso o AD), o host (que pode ser o FQDN – desde que possa ser resolvido pelo DNS – ou IP do controlador de domínio, eu utilizo por IP), a porta LDAP (389 por padrão), a base DN completa (em formato LDAP, dc=empresa,dc=com,dc=br), o DN completo do Administrador do DC (também em formato LDAP, cn=administrador,cn=users,dc=empresa,dc=com,dc=br) e por fim a senha do Administrador do domínio.

No final da configuração, indique no mínimo um usuário do AD para ser administrador do Openfire (obrigatório).

Isso é o suficiente para fazer com que o OPENFIRE interaja com o DC, lendo a base LDAP do AD e reconhecendo grupos e usuários do domínio, podendo assim autenticá-los com suas respectivas senhas do domínio, bastando tão somente habilitar no OPENFIRE os grupos do AD (o que é o menor dos problemas).

Não vou entrar em detalhes sobre a instalação por não ser este o objetivo deste tutorial, mas indico este link.

Servidor Messenger Openfire passo-a-passo no Linux

EXPLICANDO O PROBLEMA

Se eu tivesse apenas 1 domínio eu estaria plenamente satisfeito, mas era exatamente neste ponto que morava meu problema, já que tenho 6 domínios em relação de confiança separados fisicamente nas unidades.

Como fazer com que os usuários de todos os domínios da floresta se loguem e se enxerguem em uma única interface?

Se o AD é capaz de procurar usuários/grupos em toda a floresta de uma única vez, obviamente existe uma forma de realizar essa consulta via LDAP e consequentemente, utilizar no OPENFIRE.

E graças a Microsoft TechNet foi possível chegar a solução de como realizar consultas LDAP tanto em domínios únicos quanto em uma floresta inteira (catálogo global), que era exatamente o que eu precisava e BINGO! Funcionou exatamente e perfeitamente como esperado.

Usuários de todos os domínios logando-se em um único servidor integrado a floresta do AD e se enxergando na lista de contatos uns dos outros, cada um no seu devido grupo.

A partir daí foi só habilitar os grupos de todos os domínios filhos de acordo com a estrutura organizacional da empresa para que tudo estivesse de acordo com o escopo do projeto.

A SOLUÇÃO

A solução é bem simples, baseia-se parte no nome do domínio e parte em configuração de porta.

Ou seja, quando se deseja realizar consultas que se estendam por toda a floresta (domínios pai e filhos) é necessário especificar apenas parte do nome do domínio e alterar a porta de 389 para 3268, como na figura abaixo.

Perceba que a Base DN é apenas “com.br” em formato LDAP. Apenas o DN do Administrador do Domínio Pai deve ser completo, pois ele é quem poderá realizar as consultas em todos os Domínios da floresta.

A diferença entre as portas 389 e 3268 é que a primeira permite a consulta somente na base local e é necessário que a base DN seja completa (dc=empresa,dc=com,dc=br) e a segunda permite a consulta em toda a floresta, especificando apenas parte do nome do domínio (dc=com,dc=br). Abaixo um exemplo com a configuração no REDMINE:

Exemplo:

Eu tenho 6 domínios em relação de confiança:
—empresa1.com.br
——-filial1.empresa1.com.br,
——-filial2.empresa1.com.br,
——-filial3.empresa1.com.br,
——-filial4.empresa1.com.br e
—-empresa2.com.br

No meu caso, tenho 2 domínios com shortnames diferentes (empresa1.com.br e empresa2.com.br), apenas terminados em com.br.

Ao especificar “dc=com,dc=br” e a porta 3268 estou informando que a consulta deve abranger todos os domínios da floresta, que contenham .com.br em seus nomes DNS, dessa forma consigo incluir os domínios com shortnames diferentes (atente-se a esse detalhe caso os domínios não sejam padronizados).

Se eu não tivesse o domínio empresa2.com.br eu poderia especificar a base DN assim: “dc=empresa1,dc=com,dc=br” que seria suficiente.

CONCLUSÃO

No final das contas bastou apenas 1 único servidor para atender toda a floresta de forma efetiva.

Se a função Server 2 Server tivesse funcionado, eu precisaria de 1 servidor Openfire em cada unidade da empresa, alocando recursos, consumo de energia e mais tempo para configurar todos os servidores. Além de ter que me preocupar com 6 servidores estarem online.

Howto: Balanceamento de Carga (Load Balancing) entre duas WAN e Captive Portal em pfSense

Neste tutorial vamos ver como configurar um balanceamento de carga (Load Balancing) entre duas WAN (com Failover) e mais Captive Portal para autenticação sem fio.

Requisitos: pfSense V2 com 4 adaptadores de rede e duas conexões de Internet.

Este é nosso Diagrama de Rede

Read the rest of this entry »

Projeto VLAN em uma instituição de ensino

Padronizar a segmentação de rede, ou simplesmente criar VLANs (Virtual Local Area Networks), propicia a solidez exigida para que soluções de gestão de rede mais maduras possam ser adotadas e implementadas com facilidade.

Este é o projeto de padronização de VLANs do Instituto Federal de Santa Catarina, uma instituição de ensino com uma estrutura multicampi. Tem por objetivo propor um modelo teórico de segmentação de rede, o qual possa ser escalável de forma a atender tanto câmpus menores (avançados) quanto câmpus maiores.

Obviamente este modelo serve para diversos outros segmentos.

Donwload do projeto
Agradecimento especial ao professor Emerson Ribeiro de Mello por disponibilizar este material.

WordPress como subdomínio em proxy reverso no apache

Instalar o WordPress com proxy reverso no apache é algo trivial, como qualquer outra aplicação, agora, se o site WordPress for chamado por um subdomínio e você necessitar utilizar Links Permantes com mod_rewrite, ai pode complicar um pouco.

Howto: Como habilitar Links Permanentes (permalinks mod_rewrite) no WordPress como Proxy Reverso do Apache

1. Chamada do subdominio:
[php]

ServerName sub.host.com.br
ServerAlias www.sub.host.com.br

ProxyPass / http://192.168.0.10/sub/
ProxyPassReverse / http://192.168.0.10/sub/

CustomLog /var/log/httpd/sub-access.log combined
ErrorLog /var/log/httpd/sub-error.log

[/php]

2. Habilite Links Permanentes no WordPress com a estrutura desejada (Configurações – Links Permanentes)

É muito utilizado esta estrutura: http://sub.host.com.br/%postname%/ para aparecer somente o nome do post após a URL, ou seja, ativando links permanentes não será mais exibido algo como ?page_id=10 para o identificar o post ou page.

Caso não execute os passos seguintes, ao acessar um post ou page qualquer, será exibido este erro:
Not Found
The requested URL /index.php was not found on this server.

3. O pulo do gato é utilizar um plugin da Universidade de Stanford:

Salve este arquivo na pasta wp-content/plugins com o nome de su_reverse_proxy.php e ative-o na interface de administração do WordPress.

4. Na raiz da instalação do seu WordPress, edite o arquivo .htaccess, este passo é muito importante.

# vim .htaccess

Você vai alterar somente a linha do RewriteRule, que deve estar assim:

[php] RewriteRule . /index.php [L] [/php]

E deverá ficar assim:

[php] RewriteRule . /sub/index.php [L] [/php]

Claro, se estiver usando nginx, existe soluções mais elegantes:
https://wordpress.org/plugins/nginx-compatibility/
https://wordpress.org/support/topic/permalink-problem-on-nginx

Configuração inicial pfSense com modem ADSL – WAN

Neste post, será mostrado como configurar seu Firewall pfSense para se conectar à Internet e atuar como roteador para sua rede local. Iremos utilizar uma máquina física para instalar o pfSense, embora funcione muito bem em uma máquina virtual.

Iremos configurar o firewall para negar todo o tráfego de entrada e utilizaremos Network Address Translation (NAT) para o nosso tráfego de saída.

Faremos também algumas configurações avançadas de NAT para acessar o modem ADSL que estará configurado como Bridge.

Read the rest of this entry »

Howto: Configurando o PKP – Open Conference Systems – OCS para enviar e-mail SMTP pelo Google

Para usar o SMTP do GMAIL para enviar mensagens a partir do Sistema de Administração de Conferências PKP-OCS.  Você pode usar a seguinte configuração no arquivo config.inc.php.

[php]
; Use SMTP for sending mail instead of mail()
smtp = On

; SMTP server settings
smtp_server = “ssl://smtp.gmail.com”
smtp_port = 465

; Enable SMTP authentication
smtp_auth = PLAIN
smtp_username = “user@gmail.com”
smtp_password = “password”
[/php]

Note que o usando o Gmail para entregar mensagens, resultará que todos os e-mails enviados, irá conter no “de”, a sua conta do Gmail, em vez do usuário OCS que iniciou a mensagem. Você pode querer considerar a aplicação de patches http://pkp.sfu.ca/bugzilla/show_bug.cgi?id=8085 para permitir incluir um prefixo de e-mail, explicando que a mensagem está sendo enviada em nome de sua conferência e não precisa ser respondida.

Esta mesma configuração serve para o sistema PKP – Open Journal Systems.

Note também que você pode ter que configurar senhas específicas do Gmail – https://support.google.com/accounts/answer/185833?hl=en para mais detalhes.

Palitos crocantes de berinjela

Berinjela

Se você também curte berinjela, assim como eu, está aí uma excelente sugestão de petisco para acompanhar aquela cervejinha, palitinhos saborosos de berinjela. Os palitos foram feitos no forno, ao invés de fritos, e a guloseima ficou muito mais saudável.

Para dar um gostinho ainda mais picante faça também este creminho azedo, que é excelente até para acompanhar algumas saladas. Confira!
Vamos à receita:

Ingredientes:

– 1/2 xícara de farinha de trigo
– 1/4 xícara de queijo ralado
– 2 berinjelas muito bem higienizadas
– 1 ou dois ovos batidos
– Sal a gosto
– 200ml de creme de leite (fresco ou sem soro)
– suco de 1/2 limão
– sal a gosto

Modo de Preparo:

Misture a farinha com o queijo ralado e reserve.

Sem descascar as berinjelas, corte-as em palitos, passe no ovo batido e na farinha com queijo.

Arrume as berinjelas em uma assadeira com papel manteiga e leve ao forno até ficarem crocante e douradas.

Creme azedo

Misture o creme de leite com o suco de limão e tempere com sal, bata bem com um mixer ou com fouet.

Leve à geladeira por pelo menos meia hora antes de servir.

Sirva os palitos de berinjela com o creme azedo, se desejar pode acrescentar cheiro verde no creme.

Bom Apetite!!!

Fonte da receita dos palitos:
http://allrecipes.com.br/receita/10332/palitos-de-berinjela-frita.aspx

Corrigir e otimizar tabelas no MySQL

Comando que pode te salvar de um crash em tabelas em um banco MySQL ocasinado por mal desligamento do servidor:

[sql]mysqlcheck -u root -p –auto-repair –check –optimize –all-databases[/sql]

Streaming de áudio, vídeo e fotos de um compartilhamento Samba no Android

Sei que existem diversas aplicações para isso, mas compartilho aqui uma solução simples e eficiente.

Como muitos por ai, eu também tenho um servidor NAS que contém todas as minhas mídias (filmes, músicas, fotos, documentos, etc), acessível através de um compartilhamento Samba em computadores, tablets, celulares e TVs, através da minha rede local wifi.

XMBC funciona muito bem para exibir todas as mídias diretamente na TV, no entanto, eu estava procurando uma maneira de transmitir a mídia diretamente para um tablet Android e para o Google TV – Rikomagic MK802 IV que utilizo em uma TV antiga, que não possui recursos de smartTV. E encontrei esta solução gratuita:

  • Instale ES File Explorer (gratuito) a partir do Google Play.
  • Instale RockPlayer Lite (gratuito) a partir do Google Play

Com o ES File Explorer aberto, vá até a aba LAN (Rede), em seguida, clique em ‘New’, e então em ‘Servidor’ (menu).

Digite o endereço do servidor/ IP, em seguida, uma barra, então o nome do compartilhamento e as credenciais, se necessário.

Pressione OK, agora você deve ser capaz de ver todos os arquivos em seu compartilhamento Samba com facilidade.

Quando você abrir em um arquivo de filme (avi/mpg/wmv etc), você receberá um prompt para escolher qual player de vídeo você deseja usar. Selecione RockPlayer Lite, e seu filme vai começar a rodar em poucos segundos.

Eu testei isso para uma variedade de tipos de arquivo de filme e tamanhos e RockPlayer Lite funciona muito bem, inclusive avançando e retrocedendo através do filme.

Para filmes em HD, tem que se esperar um pouco mais para seja carregado em buffer antes de começar a rodar (por exemplo uns 10 segundos), uma vez que começar, fica bastante estável (sem buffer).

Eu também testei essa abordagem em um Galaxy Tab P1000 (Android 2.2) e funciona da mesma forma). Incrível!

E, claro você também pode usar esta solução para ouvir música e ver fotos do seu servidor, em qualquer lugar ao alcance do seu sinal wifi 🙂

Como estender o acesso à rede para outros cômodos, ou outros prédios de forma barata?

Recentemente um cliente solicitou uma solução para estender seu acesso à Internet em de sua principal para um anexo, o que ele chamou de jardim-office, que nada mais é que um espaço separado da casa principal, cerca de uns 90 metros.

Havia um roteador sem fio na casa principal, mas o sinal chegava fraquíssimo no jardim-office que possuía muros e paredes com vidro.

O lançamento de um cabo UTP do roteador para os equipamentos do anexo teria sido tecnicamente a melhor solução, mas considerando que isso envolveria passagem de canaletas ou eletrodutos que influenciaria diretamente na estética do ambiente e caso a opção fosse utilizar dutos subterrâneos o custo para escavação elevaria o valor do projeto, esta solução foi descartada.

Uma opção mais barata seria a de instalar um ponto de acesso sem fio externo ao lado da casa com a antena direcionada ao anexo, mas, dada a construção do anexo (paredes duplas de tijolos) não havia a chance de que a intensidade do sinal dentro da anexo fosse confiável.

Wireless Bridge

Outra opção sem fio teria sido a de criar uma ponte (bridge) entre a casa principal e um anexo, como mostrado no diagrama abaixo:

Esta opção também teria sido uma boa solução, mas isto envolveria custos significativos em termos de equipamentos e mão de obra na montagem dos dispositivos externos.

Vale destacar que quando se deseja interligar pontos que estão até 10 km um do outro, Wireless Bridger é de fato uma excelente solução de baixo custo para fornecer serviços de telecomunicações e internet.

HomePlug

Na verdade, a solução de bridge teria sido a solução preferida, mas para o fato de que havia uma conexão elétrica de alimentação ligando o anexo à casa principal, isso nos permitiu usar a rede de cabeamento elétrico existente para fornecer acesso à internet no jardim-office por cerca de R$ 100,00.

Esta solução é conhecida como HomePlug (ou Powerlan).

Uma solução HomePlug é composta por pelo menos dois adaptadores de rede: um adaptador primário e até 15 adaptadores escravos.

O adaptador primário se conecta através de um cabo de rede a uma das portas Ethernet na parte de trás do roteador existente. Ele também se conecta a uma tomada elétrica de alimentação. Os adaptadores escravos são ligados à rede elétrica nas áreas onde o acesso à rede é necessário.

Existem diferentes tipos de adaptadores escravo. Para o anexo optamos por um adaptador escravo que combinava as funções de um ponto de acesso sem fios e portas ethernet, facilmente encontrado nos sites chineses como o aliexpress e dealextreme (Tenda PW201A, GEEYA H25C1 e outros).

Isso proporcionou o acesso sem fio ao anexo juntamente com a capacidade de conectar dispositivo com fio, como uma impressora ou um PC por exemplo. O diagrama abaixo mostra a solução que foi implementada para cliente

Nos últimos anos, dispositivos HomePlug aumentaram sua velocidade e faixa sobre a qual eles operam de modo que atualmente eles podem suportar serviços de dados intensivos, como streaming de vídeo e jogos.

HomePlug nunca vai ser capaz de vencer a velocidade ou a segurança de uma conexão direta via cabo ou a conveniência de uma conexão sem fio padrão. No entanto, em casa ou no escritório onde a instalação de cabeamento seria muito caro ou complicado de implementar, HomePlug deve ser considerado como uma alternativa viável.

Mais um cliente satisfeito!

Twitter Auto Publish Powered By : XYZScripts.com