Markus Bäker » ssl

Monitoring Fedora Core 4 with SCOM 2007 R2 – Part 1

markus — Thu, 02 Jun 2011 16:58:28 +0000

Fedora bases upon Red Hat Enterprise linux which is supported by SCOM. Fedora Core 3 was the base of RHEL 4 and Fedora Core 6 RHEL 5. In this blog posts I will try to convince SCOM that the Fedora 4 based Asterisk telecom system is a RHEL 4.

First we have to install the RHEL4 scom agent manual onto the systems. In this case we had to install the OpenSSL library, too. Additional we add the scom user account to the system.

After that we sign the local created certificate by the scom server and replace it on the Fedora system.

Now we can test the connection from the SCOM server with this winrm command:

winrm enumerate http://schemas.microsoft.com/wbem/wscim/1/cim-schema/2/SCX_OperatingSystem?__cimnamespace=root/scx -username:scomuser -password:yourpassword -r:https://your.fedora.system:1270/wsman -auth:basic -encoding:UTF-8

The output shows detail information about the OS:

SCX_OperatingSystem

CSCreationClassName = SCX_ComputerSystem

CSName = your.fedora.system

Caption = Fedora Core release 4 (Stentz)

CreationClassName = SCX_OperatingSystem

CurrentTimeZone = 120

Description = Fedora Core release 4 (Stentz)

Distributed = null

ElementName = null

EnabledDefault = 2

EnabledState = 5

FreePhysicalMemory = 1399808

FreeSpaceInPagingFiles = 2039808

FreeVirtualMemory = 3439616

HealthState = null

InstallDate = null

MaxNumberOfProcesses = 32216

MaxProcessMemorySize = 0

MaxProcessesPerUser = 999

Name = Red Hat Distribution

[…]

Interesting for the monitoring are three settings: the caption, the description and the name.

If you want to know how the Red Hat Management pack discovers his systems you have to look into the signed management pack (MP). The authoring console only shows some information of a signed MP. If you want so see all information or want to copy some discovery routines you have to unsign it.

This is a very simple task with the SCOM powershell:

get-managementpack -Name “Microsoft.Linux.RedHat.Library” | export-managementpack -path “c:\export”

This one-liner retrieves the Microsoft.Linux.RedHat.Library MP and saves it unsigned to c:\export. You have to do it with the Microsoft.Linux.RedHat.Library and the Microsoft.Linux.RHEL.4 management pack.

If you look into the discovery routines with the authoring console you see that the discovery takes place in three steps. The Red Hat Library discovers all Red Hat systems by the operating system name. In this case the name of the Fedora OS is equal to the search name of the Red hat library: “Red Hat Distribution”. For the discovered systems an object of the type “Microsoft.Linux.RedHat.Computer” is created.

The Microsoft.Linux.RHEL.4 MP checks all this objects for a RHEL 4 distinguished caption value to create a “Microsoft.Linux.RHEL.4.Computer” object. So if you want to convince SCOM that a Fedora 4 is a RHEL 4 you have to create a MP that creates a RHEL4 object based on the Fedora Stentz caption.

SCOM: Überprüfen des Cross-Platform Zertifikates

markus — Fri, 18 Mar 2011 16:30:16 +0000

Das von Agentsetup automatisch erstellte Zertifikat auf einem Linux Client kann u.U. auf den falschen Hostnamen ausgestellt sein. Um das SCOM Zertifikat zu überprüfen kann folgende Kommandozeile auf dem Linux/Unix System ausgeführt werden:

openssl x509 -in /etc/opt/microsoft/scx/ssl/scx-host-.pem -noout –text

So sieht dann die Ausgabe aus:

Certificate:

Data:

Version: 1 (0×0)

Serial Number: 1 (0×1)

Signature Algorithm: sha1WithRSAEncryption

Issuer: CN=SCX-Certificate/title=SCX633376D2-E3E2-4f31-8461-D09259ACEF3D, DC=SCOMSERVER

Validity

Not Before: Sep 8 12:40:34 2009 GMT

Not After : Sep 17 13:44:04 2020 GMT

Subject: DC=xy, DC=domainname, CN=servername, CN=servername.domainname.xy

Subject Public Key Info:

Public Key Algorithm: rsaEncryption

RSA Public Key: (2048 bit)

Modulus (2048 bit):

00:ce:15:0b […]

Exponent: 65537 (0×10001)

Signature Algorithm: sha1WithRSAEncryption

7a:70:c4 […]

Den Namen des Linuxsystems erhält man über den Befehl “hostname”. Er sollte identisch mit dem CN im Subject aus. Ebenso sollte der Full Qualified Domain Name (FQDN, Befehl: hostname -f) identisch mit dem letzten CN im Subject sein.

Anhand des Issuer erkennt man, ob das Zertifikat bereits vom SCOM signiert wurde (im DC sollte der Name des RMS stehen).

Online Passwort Manager

markus — Tue, 23 Jun 2009 18:58:02 +0000

Online Passwort Speicher gibt es wie Sand am Meer (vielleicht etwas weniger). Ich persönlich finde momentan https://www.clipperz.com sehr gut. Übertragung ist wie bei den meisten per SSL gesichert. Aber die kompletten Benutzernamen und Passwörter werden mittels des Loginkennwortes lokal mit Javascript verschlüsselt. Dadurch kennt der Server nie die eigentlichen Daten. Auch für die Anmeldung ist die Angabe der Email Adresse nicht erforderlich (oder möglich).
Und da alles per JavaScript Clientseitig abläuft (ausser die Speicherung der Verschlüsselten Daten auf dem Server) kann man sich auch eine Offline Version erstellen lassen (bei der die Daten nicht auf dem Server sondern direkt und verschlüsselt in die Offline HTML Datei eingebetet werden), so dass man an seine Passwörter auch ohne Internetzugang aber trotzdem gesichert drankommt.
Das automatische Login ist bei Clipperz ebenfalls möglich. Dafür muss man im Gegensatz zu anderen Diensten nicht ein Bookmarklet für die Anmeldung verwenden, sondern verwendet das Bookmarklet im Vorfeld um das Logonform auszulesen und als kleine Beschreibungsdatei in Clipperz einzufügen. Daraus erstellt das System direkt die benötigten Felder und kann dann clientseitig das Login simulieren.

Insgesamt läuft somit alles lokal im Browser ab. Der Server ist eigentlich nur ein dummer Speicher, der noch nicht einmal die Daten versteht, die auf ihm abgelegt werden.

Zertifikate von ADDS LDAP/SSL Verbindungen testen

markus — Fri, 16 Jan 2009 07:28:56 +0000

Um schnell ein Zertifikat eines ADDS Servers zu überprüfen, bietet sich überraschender Weise ein Webbrowser wie der Firefox auf. Trägt man dort in der Adressleiste https://dns-name-des-domänencontrollers:636 ein. Beim Aufruf erscheint unten links das bekannte SSL-Schloss, dass man zur genaueren Inspektion nutzen kann.

Aber: Neuere Firefoxversionen verhindern https Verbindungen auf ungewöhnlichen Ports. Daher muss hier eine Ausnahme für ldaps eingetragen werden:
Um in die erweiterten Einstellungen des Firefoxes zu gelangen muss man in die Adressleiste about:config eingeben. Dort als zusätzlichen Eintrag network.security.ports.banned.override hinzufügen und als Wert den Port 636 hinterlegen (weitere Ports kann man durch Komma getrennt eingeben):

Details s.a. http://kb.mozillazine.org/Network.security.ports.banned.override