Markus Bäker

Fedora bases upon Red Hat Enterprise linux which is supported by SCOM. Fedora Core 3 was the base of  RHEL 4 and Fedora Core 6 RHEL 5. In this blog posts I will try to convince SCOM that the Fedora 4 based Asterisk telecom system is a RHEL 4.

First we have to install the RHEL4 scom agent manual onto the systems. In this case we had to install the OpenSSL library, too. Additional we add the scom user account to the system.

After that we sign the local created certificate by the scom server and replace it on the Fedora system.

Now we can test the connection from the SCOM server with this winrm command:

winrm enumerate http://schemas.microsoft.com/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem?__cimnamespace=root/scx -username:scomuser -password:yourpassword -r:https://your.fedora.system:1270/wsman -auth:basic -encoding:UTF-8

The output shows detail information about the OS:

Read more…

Das von Agentsetup automatisch erstellte Zertifikat auf einem Linux Client kann u.U. auf den falschen Hostnamen ausgestellt sein. Um das SCOM Zertifikat zu überprüfen kann folgende Kommandozeile auf dem Linux/Unix System ausgeführt werden:

openssl x509 -in /etc/opt/microsoft/scx/ssl/scx-host-<hostname>.pem -noout –text

So sieht dann die Ausgabe aus:

Certificate:

    Data:

        Version: 1 (0×0)

        Serial Number: 1 (0×1)

        Signature Algorithm: sha1WithRSAEncryption

        Issuer: CN=SCX-Certificate/title=SCX633376D2-E3E2-4f31-8461-D09259ACEF3D, DC=SCOMSERVER

        Validity

            Not Before: Sep  8 12:40:34 2009 GMT

            Not After : Sep 17 13:44:04 2020 GMT

        Subject: DC=xy, DC=domainname, CN=servername, CN=servername.domainname.xy

Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

            RSA Public Key: (2048 bit)

                Modulus (2048 bit):

                    00:ce:15:0b […]

                Exponent: 65537 (0×10001)

    Signature Algorithm: sha1WithRSAEncryption

        7a:70:c4 […]

Den Namen des Linuxsystems erhält man über den Befehl “hostname”. Er sollte identisch mit dem CN im Subject aus. Ebenso sollte der Full Qualified Domain Name (FQDN, Befehl: hostname -f) identisch mit dem letzten CN im Subject sein.

Anhand des Issuer erkennt man, ob das Zertifikat bereits vom SCOM signiert wurde (im DC sollte der Name des RMS stehen).

Online Passwort Speicher gibt es wie Sand am Meer (vielleicht etwas weniger). Ich persönlich finde momentan https://www.clipperz.com sehr gut. Übertragung ist wie bei den meisten per SSL gesichert. Aber die kompletten Benutzernamen und Passwörter werden mittels des Loginkennwortes lokal mit Javascript verschlüsselt. Dadurch kennt der Server nie die eigentlichen Daten. Auch für die Anmeldung ist die Angabe der Email Adresse nicht erforderlich (oder möglich).
Und da alles per JavaScript Clientseitig abläuft (ausser die Speicherung der Verschlüsselten Daten auf dem Server) kann man sich auch eine Offline Version erstellen lassen (bei der die Daten nicht auf dem Server sondern direkt und verschlüsselt in die Offline HTML Datei eingebetet werden), so dass man an seine Passwörter auch ohne Internetzugang aber trotzdem gesichert drankommt.
Das automatische Login ist bei Clipperz ebenfalls möglich. Dafür muss man im Gegensatz zu anderen Diensten nicht ein Bookmarklet für die Anmeldung verwenden, sondern verwendet das Bookmarklet im Vorfeld um das Logonform auszulesen und als kleine Beschreibungsdatei in Clipperz einzufügen. Daraus erstellt das System direkt die benötigten Felder und kann dann clientseitig das Login simulieren.

Insgesamt läuft somit alles lokal im Browser ab. Der Server ist eigentlich nur ein dummer Speicher, der noch nicht einmal die Daten versteht, die auf ihm abgelegt werden.

Um schnell ein Zertifikat eines ADDS Servers zu überprüfen, bietet sich überraschender Weise ein Webbrowser wie der Firefox auf. Trägt man dort in der Adressleiste https://dns-name-des-domänencontrollers:636 ein. Beim Aufruf erscheint unten links das bekannte SSL-Schloss, dass man zur genaueren Inspektion nutzen kann.

Aber: Neuere Firefoxversionen verhindern https Verbindungen auf ungewöhnlichen Ports. Daher muss hier eine Ausnahme für ldaps eingetragen werden:
Um in die erweiterten Einstellungen des Firefoxes zu gelangen muss man in die Adressleiste about:config eingeben. Dort als zusätzlichen Eintrag network.security.ports.banned.override hinzufügen und als Wert den Port 636 hinterlegen (weitere Ports kann man durch Komma getrennt eingeben):

Details s.a. http://kb.mozillazine.org/Network.security.ports.banned.override