Co to je AAA ?
AAA = authentication, authorization and accounting protocol
tedy v češtině:
autentizační, autorizační a účtovací protokol počítačových sítí
středa 26. února 2020
pondělí 24. února 2020
WiFi autentizační metody
Pro účely autentizace se v 802.1x sítích využívá protokol EAP (Extensible Authentication Protocol).
V operačním systému ANDROID 9.x jsou k dispozici tyto následující autentizační metody.
V operačním systému ANDROID 9.x jsou k dispozici tyto následující autentizační metody.
čtvrtek 20. února 2020
CA nemůže publikovat CRL certifikáty - event ID 66,74,75
Certifikační autorita (CA) vydává certifikáty.
A v pravidelných intervalech CA vydává také seznam zneplatněných certifikátů. V něm jsou zapsány informace o certifikátech, které jejich vlastníci prohlásili za neplatné (nechali je zneplatnit).
K tomu dochází např. tehdy, když je zcizen soukromý klíč vlastníka nebo skončí podmínky pro používání certifikátu.
A v pravidelných intervalech CA vydává také seznam zneplatněných certifikátů. V něm jsou zapsány informace o certifikátech, které jejich vlastníci prohlásili za neplatné (nechali je zneplatnit).
K tomu dochází např. tehdy, když je zcizen soukromý klíč vlastníka nebo skončí podmínky pro používání certifikátu.
Ve firemním prostředí se to nejčastěji stává při ukončení pracovního poměru (ukončení spolupráce) se zaměstnancem (nebo s externím pracovníkem, brigádníkem, ...) .
Default nastavení pro publikaci CRL certifikátů v AD CS MW Windows Server 2019
je nastaveno na:
- CRL publication Interval: 1 Weeks
- Delta CRLs: 1 Days
Publikaci lze také provést ručně:
- v grafickém prostředí přejdeme na název CA
- přejdeme na Revoked Certifikates
- v MENU zvolíme ALL TASKS
- následně PUBLISH
- a následně NEW CRL nebo DELTA CRL ONLY
Při ruční publikaci NEW CRL můžeme obdržet tyto následující chyby:
- Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)
- V Event logu (Servers Roles - Active Directory Certification Services) Event ID: 66 + 74 + 75 (podrobněji viz níže)
Při ruční publikaci DELTA CRL ONLY můžeme obdržet tyto následující chyby:
- Operation aborted 0x80004004 (-2147467260 E_ABORT)
- V Event logu (Servers Roles - Active Directory Certification Services) Event ID: 66 +74 + 75 (podrobněji viz níže)
Event ID: 75
Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location on server adcs.firma.cz: ldap:///CN=CA(2),CN=CA19,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domena,DC=cz.
Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND).
ldap: 0x20: LDAP_NO_SUCH_OBJECT: 0000208D: NameErr: DSID-03100241, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=CA,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=domena,DC=cz'
Event ID: 74
Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server adcs.firma.cz: ldap:///CN=CA(2),CN=CA19,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=firma,DC=cz.
Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND).
ldap: 0x20: LDAP_NO_SUCH_OBJECT: 0000208D: NameErr: DSID-03100241, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=CA,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=firma,DC=cz'
Event ID: 66
Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location: ldap:///CN=CA(2),CN=CA19,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=firma,DC=cz.
Operation aborted 0x80004004 (-2147467260 E_ABORT).
Tato chyba je poměrně nepříjemná.
Některé další navazující systémy si kontrolují seznam zneplatněných certifikátů. A pokud ho neobdrží, tak mohou odepřít uživateli přístup (v mém případě bylo nefunkční přihlášení do firemní WiFi sítě ... pro ověřování se používá osobní certifikát uživatele).
Některé další navazující systémy si kontrolují seznam zneplatněných certifikátů. A pokud ho neobdrží, tak mohou odepřít uživateli přístup (v mém případě bylo nefunkční přihlášení do firemní WiFi sítě ... pro ověřování se používá osobní certifikát uživatele).
Nad řešením jsem strávil několik bezesných nocí a spousty pracovních dnů.
čtvrtek 13. února 2020
pondělí 10. února 2020
SMB - Zakázání protokolu SMB verze 1
Protokol SMB verze 1 obsahuje mnoho zranitelností, které s úspěchem využívají viry typu RANSONWARE.
I proto je vhodné ho vypnout.
Provádí se v Powershellu takto:
I proto je vhodné ho vypnout.
Provádí se v Powershellu takto:
čtvrtek 6. února 2020
SMB - Šifrování přenosu dat
Přenos dat v protokolu SMB ve výchozím stavu není šifrován.
Šifrování protokolu SMB lze zapnout pouze od verzi 3.
Provádí se PowerShell příkazem:
středa 5. února 2020
Přihlásit se k odběru:
Příspěvky (Atom)