Archiv 23. November 2007

Freitag, 23. November 2007

Das Wetter vor hundert Jahren

image-1801

Das Wetter vor hundert Jahren
Originally uploaded by emeidi

Das Wetter vor hundert Jahren

K.R. Der „Schweizerfreund“ vom 11. Juni 1816 berichtet: „Letzten Freitag ist in unsern Berner Bergen wieder Schnee gefallen und man hat sich in einem von der Hauptstadt nicht mehr als drei Stunden weit entfernten Dorfe an einer Hauptstrasse gelegen mit Schneeballen beworfen – am 7. Brachmonat!“ Am 18. Juni berichtet das gleiche Blatt aus Basel: „Vor einigen Tagen wurden auch die Anhöhen um unsere Stadt mit Schnee bedeckt. Die Weinreben, welche eine erfreuliche Hoffnung gezeigt hatten, sind nun im traurigsten Zustande und der Ertrag ist ganz dahin, wie es leider auch voriges Jahr schon war, wo an vielen Orten nicht einmal Weinlese gehalten wurde.“

Quelle: Der Bund, 9. Juni 1916, Abendblatt.

Tags: , ,
Labels: Medien

Keine Kommentare | neuen Kommentar verfassen

Freitag, 23. November 2007

Apache 2.2 gegen LDAP authentifizieren

Die meisten werden es kennen: Wo man sich auch immer in der IT-Landschaft bewegt benötigt man Zugangsdaten. Vielerorts sind diese noch nicht vereinheitlicht (Stichwort Single-Sign-On, Kerberos etc.) – Administratoren wie Endbenutzer müssen sich eine Vielzahl von Benutzernamen und Passwörtern merken, um der täglichen Arbeit nachzugehen.

Wenn wie bei mir auf der Arbeit hingegen bereits ein von einer anderen Einheit betriebenes LDAP-Verzeichnis besteht, kann man dieses bei der Bewirtschaftung von Web-Applikationen zur Benutzer-Authentifizierung und -Authorisierung hinzuziehen.

In der hier vorliegenden Anleitung erläutere ich, wie Web-Verzeichnis gegen unbefugten Zugriff geschützt werden. Zum Einsatz kommen Debian und Apache 2.2 – ich gehe davon aus, dass beides bereits ordnungsgemäss installiert und konfiguriert wurde.

OpenLDAP & Hilfsprogramme installieren

Als erstes installiert man OpenLDAP sowie die ldap-utils mit einigen nützlichen Hilfsprogrammen:

apt-get install slapd
apt-get install ldap-utils

OpenLDAP lässt man aber unkonfiguriert, denn ein aktiver LDAP-Server befindet sich ja bereits im Netzwerk und versieht seinen Dienst.

Anschliessend passt man die Konfiguration von OpenLDAP an:

$ cat /etc/ldap/ldap.conf
BASE            o=org,c=ch
URI             ldaps://ldap.domain.tld
TLS_CACERTDIR   /etc/ldap/cacerts
TLS_REQCERT     never

SSL-Zertifikate

In unserem Falle reichte es, in /etc/ldap einen Symlink auf /etc/ssl/certs einzurichten. Der LDAP-Server verwendet ein Standard-Zertifikat von CyberTrust, welches bei Debian schon von Beginn weg dabei ist (?).

Bei einer frischen Debian-Installation (4.0r3) existiert dieses Verzeichnis nicht; Zertifikate sind auf dem System standardmässig keine vorhanden. Zuerst gilt es nun also, das Zertifikat des Servers herauszufinden:

openssl s_client -connect ldap.domain.tld:636 -showcerts

Anhand dieser Angaben sucht man über Google nach dem „<anbieter> global root“ des Anbieters (bspw. Cybertrust) und gelangt so normalerweise sofort zu den gesuchten Information. In meinem Fall war es:

ct_root.pem

Dieses Zertifikat laden wir uns herunter und legen es im Verzeichnis /etc/ldap/cacerts ab.

Anstelle in der ldap.conf explizit ein Zertifikat anzugeben, überlassen wir es OpenLDAP, das richtige Ding zu eruiren. Das klappt natürlich nur, wenn der Sysadmin des LDAP-Servers nicht selbst ein Zertifikat gebastelt hat.

Testlauf

Um zu überprüfen, ob OpenLDAP korrekt konfiguriert wurde, lässt man eine erste Abfrage laufen:

$ ldapsearch -x "uid=maeby"
# extended LDIF
#
# LDAPv3
# base <> with scope subtree
# filter: uid=maeby
# requesting: ALL
#

# maeby, suborg, org, ch
dn: ...
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
objectClass: ...
objectClass: ...
objectClass: ...
uid: maeby
shadowFlag: 1
description: temporary staff account, imported from domain
homeDirectory: /home/maeby
uidNumber: 0001
gidNumber: 0010
cn: Mario Aeby
loginShell: /bin/bash

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

Wenn dies klappt, geht es zum nächsten Schritt:

Apache 2.2 konfigurieren

Als erstes aktiviert man die zwei LDAP-Module:

$ cd /etc/apache2/mods-enabled
ln -s ../mods-available/ldap.load
ln -s ../mods-available/authnz_ldap.load

Es empfiehlt sich, einen LDAP-Cache einzurichten. Im selben Verzeichnis (/etc/apache2/mods-enabled) erstellt man deshalb eine Datei ldap.conf mit folgendem Inhalt:

$ cat /etc/apache2/mods-enabled/ldap.conf
# Enable the LDAP connection pool and shared
# memory cache. Enable the LDAP cache status
# handler. Requires mod_ldap and mod_auth_ldap

LDAPSharedCacheSize 2000000
LDAPCacheEntries 1024
LDAPCacheTTL 28800
LDAPOpCacheEntries 1024
LDAPOpCacheTTL 28800

# specify shared memory file, to activate cache
LDAPSharedCacheFile /var/cache/apache2/ldap.cache

Web-Verzeichnisse schützen

Das Vorgehen ist ähnlich zu einer Authentifikation über eine htpasswd-Datei, abgesehen davon dass man einige andere Befehle einsetzt:

$ cat .htaccess
AuthType Basic
AuthName Test

AuthLDAPURL "ldaps://ldap.domain.tld/o=org,c=ch?uid"
AuthzLDAPAuthoritative on

AuthBasicProvider ldap

Require ldap-user maeby bgates sjobs

Anstelle Benutzer kann man auch Gruppen spezifizieren – oder gar spezielle Filter mitgeben, die erfüllt sein müssen.

Tags: ,
Labels: Linux, Web

Keine Kommentare | neuen Kommentar verfassen

Freitag, 23. November 2007

Der Zweck heiligt die Mittel

The Directors approached the making of the film in a way that has never been done before, choosing to show the reality of Stress Positions in as authentic a way as possible. They filmed a person being put into Stress Positions over a 6 hour period. There is no acting on the part of the “prisoner” – his pain and anguish is for real.


Quelle: Amnesty International (Hochauflösende Version)

Naomi Wolf hat zehn Punkte einer sich ausbildenden Diktatur definiert:

  1. Invoke a terrifying internal and external enemy – Juden
  2. Create a gulag – Konzentrationslager (KZ)
  3. Develop a thug caste – Sturmabteilung (SA), Schutzstaffel (SS)
  4. Set up an internal surveillance system – Gestapo
  5. Harass citizens‘ groups – ? [Schikanierung von Menschenrechtsgruppen]
  6. Engage in arbitrary detention and release – Schutzhaft
  7. Target key individuals – ? [„Köpfung“]
  8. Control the press – Gleichschaltung
  9. Dissent equals treason – Vaterlandsverräter
  10. Suspend the rule of law – Ermächtigungsgesetz

Quelle: Naomi Wolf Warns That The End of America Is Near

Irgendwie befürchte ich, dass solche Praktiken in den kommenden Jahrzehnten der Ressourcenknappheit wieder hoffähig werden könnten … Wehret den Anfängen!

Tags:
Labels: Uncategorized

Keine Kommentare | neuen Kommentar verfassen

Freitag, 23. November 2007

Our Man in Fribourg

image-1798

Our Man in Fribourg
Originally uploaded by emeidi

Na, wenn das nicht der Tscheche ist!

PS: Über Drittfirmen Angestellte Microsoft-Mitarbeiter erkennt man an dem der E-Mail-Adresse vorangestellten „v-„.

PPS: Tom, jetzt hast du endgültig verloren. Beim nächsten Rundmail von Zgräsch wird deine Geschäftsadresse für Drei- und Vierfachkopien missbraucht.

Tags:
Labels: Blogosphäre, Funny, Schweiz

Keine Kommentare | neuen Kommentar verfassen