Установка центров сертификации root ca Windows 2000 Server и Windows Server 2003 Part 1.

Всем большой привет. Пишу сегодня последние сообщение в старом году. Короче, сижу на работе 31.12... А дома - жена и сын. Вот и убиваю предпраздничное время в полупустом офисе.
Хочу описать настройку и установку корневого офлайн центра сертификации. За основание написания данного поста были взять материалы курса М2823, и эта статья на сайте M$.
Сначала я это проставил на 2003 винде, но потом, чисто из любопытства начал делать на 2000. Результат почти тот же.

Для начала будем ставить Stand-alone Offline Root CA.
Так как это счастье будет работать на 2003 сервере, то после установки винды ее не мешало бы обновить до SP2. (Скачать можно тут). Когда будем настраивать на 2000, то она должна быть уже с SP4. Далле, чтобы проставить драйвера на сеть, видео, и автомап мыши, делаем из консоли Hyper-V Action - Insert Integration Services Setup Disk, и в нашей гостевой системе ставятся необходимые дрова. После перезагрузки можно приступать к установке нашего цетра сертификации.
1. Для этого надо создать файл CAPolicy.inf следующего содержания, и положить его в %Systemroot% (Что и как значит в этом файле читаем в статье CAPolicy.inf Syntax):

[Version]
Signature= "$Windows NT$"

[Certsrv_Server]
RenewalKeyLength=4096
RenewalValidityPeriod=Years
RenewalValidityPeriodUnits=10
CRLPeriodUnits=26
CRLPeriod=weeks
CRLDeltaPeriodUnits=0
CRLDeltaPeriod=days

[CRLDistributionPoint]
Empty=True

[AuthorityInformationAccess]
Empty=True

Оговорюсь сразу: у меня не сработал буфер обмена между клиентом и виртуалкой... Выход я нашел следующий - файл, который необходимо пробросить внутрь виртуалки я конвертировал в ISO и подключал как компакт-диск.

2. Для начала установки заходим в Установку и Удаление программ, Компоненты Винды, там выбираем следующие компоненты:

IIS
Certificate Services
Internet Explorer
(Optional) Certificate Services Web enrollment support
(Optional) Internet Information Services for Web enrollment support

Далее просто копирую из статьи из сайта M$

3.In the Windows Components Wizard, select the Certificate Services check box, and then click Next.

4.In CA Type, click Stand-alone root CA, select the Use custom settings to generate the key pair and CA certificate check box, and then click Next.

5. Click Microsoft Strong Cryptographic Provider.

6.In Hash algorithm, click the default hash algorithm, SHA-1.

7.In Key length, click 4096.

8.Confirm that both the Allow this CSP to interact with the desktop check box and the Use an existing key check boxes are cleared, and then click Next.

9.On CA Identifying Information, in Common name for this CA, type a name that will identify the CA to you. In this example, use CorporateRootCA.

10.(Optional) In Distinguished name suffix, type DC=concorp,DC=contoso,DC=com.

В этом месте нужно указать реальный адрес, доступный из интернета
(Для Windows 2000 поле CA Name, оно идет первым в списке)

11.In Validity period, select 10 years.

12.In Certificate database and Certificate database log, enter the locations of the certificate database and the log files for the certificate database.
The certificate database and the certificate database log must be saved to a local NTFS hard disk.
Впринципе, можно оставить по умолчанию, так как предлагает система.

13.(Optional) To install a CA in the same location as a previously installed CA, select the Preserve existing certificate database check box.
Мы этого не делаем, так как у нас нет ни подписанного сертификата какой-либо другой конторой, и не было другого центра сертификации. Потому пропускаем.

14.Select the Store configuration information in a shared folder check box and, in Shared folder, enter a local pathname as the name for the shared folder, such as C:\CAConfig, and then click Next.

Теперь, мы имеем установленный корневой центр сертификации. Чтобы проверить, правильно ли мы все сделали, надо зайти в консоль Certification Authority раздела Administration Панели Управления. В открывшейся консоли кликаем правой машью по нашему центру сертификации и выбираем Properties. На вкладке General написано имя центра сертификации и его описание, а нажав по кнопку View Certificate можно просмотреть сертификат самого центра сертификации.
Вот. Центр сертификации установлен и в следующий раз я постараюсь написать, как проверить правильность настройки нашего корневого Центра Сертификации и поднять Enterprise CA на Windows Server 2008 R2 Enterprise.

Пользуясь случаем, хочу искренне поздравить всех с Новым 2010 годом и наступающим Рождеством Христовым. Удачи всем в новом году.

Настройка RSAT на Windows 7 для подключения к Windows Server 2008 R2 Hyper-V

Всем привет. У нас для тестовых и учебных нужд развернули Hyper-V. Благо железяка позволяет.
Так вот. Для поднятия корневого центра сертификации (и утилизации старой лицензии 2000 Сервера) надо поставить 2000 Сервер. Проблема в том, что при подключению к Hyper-V по RDP я не могу подключить мышь внутрь виртуалки с 2000. Тут-то на выручку и пришел RSAT для Windows 7. Но не без проблем.
Я не претендую на то, что мои действия это истинна в последней инстанции. Просто я описываю свои действия.
0. Идем на эту страницу и скачиваем RSAT, после чего его ставим, следуя инструкциям на сайте M$.
1. На своей локальной машине создаю пользователя с таким же именем и паролем, как и на серваке Hyper-V.
2. (Временное решение). Отключаю на серваке файервол для внутренней сети.
3. На локальной машине в консоли пишу:
а. DCOMCNFG
б. Прохожу к: “Component Services > Computers > My Computer”.
в. Открываю свойства “My Computer” в выбираю вкладку COM Security.
г. В секции “Access Permissions” нажимаю кнопку “Edit Limits”.
д. Выбираю группу “Anonymous Logon” и ставлю птичку напротив“Remote Access” в поле Allowed.
4. Далее чтобы не заходить под другим пользователем, в командной строке пишем:
runas /user:root mmc, где root - имя пользователя, от которого Вы будете загружать mmc консоль и подключаться к серваку.
5. В пустой консоли делаем File - Add\Remove Snap-in, из списка слева выбирам Hyper-V Manager, нажимаем кнопку Add и Ok.
6. В открывшейся консоли делаем Action - Connect to Server, и в открывшемся окне пишем адрес или имя сервера.
7. Работаем...

Вот такой небольшой рецепт.
Буду рад любым отзывам и комментам

Небольшое изменение приоритетов

Всем большой привет. За последнее время у меня произошло много разных изменений, одна из них - катастрофическая нехватка времени... Думаю, что знакомо всем... В последнее время у меня почти нет времени заниматься Линухами, а на работе требуют Винды... Вот, сижу на курсах по безопасности Виндов, и пишу эти строки.
Короче, в связи с очень ограниченным временем и задачами руководства, буду много времени приделять Виндам. Но, также, буду публиковать то, что у меня будет получаться. Вот такие дела.

До скорого...

Оживление старого ноута Toshiba Tortege 3480CT

Всем большой привет. Сорри, что долго не отписывался, на то было очень много причин. И хороших и не очень... Наконец-то выбрал немного времени заняться чем-то полезным в свое удовольствие и настроить свой старый ноут...
Итак, у меня в загашниках валялся очень старый ноут Toshiba Portege 3480CT (10" экран с разрешением 1024 х 768). Это его плюс. Также к плюсам относится и батарея, которая держит около 2х часов. На этом плюсы закончились... Из минусов - отстутствие Док-станции, СД-привида и сетевух на самом девайсе, 64 Метра памяти на борту (можно купить еще 128, но они стоят около 100 баксов). На нем стояла 98 винда, что не очень-то и приятно на сегодняшний момент. Идея дать этой прилестной читалке книжек вторую жизнь у меня родилась около полугода назад, но из нее ничего не получилось. Сначала я на него поставил DeliLinux, но он сразу же был вытерт. Потом была попытка поставить Дебиан, но после перестановки винта с НР в Тошибу получили массу лагов. После чего идею я забросил. Вернулся я к эксперементам только пару дней назад, потому что к нам приехала проверка, и нам надо просто убивать время...
Мне посоветовали попробовать VectorLinux (http://vectorlinux.com/), как выяснилось, это обработанная напильником Slackware, и заправленная ракетным топливом :).
Как это делалось:
1. Поставил на свой рабочий боевой ноут VirtualBox 3.0.8, создал там машинку с 64 Метрами памяти и установил на нее систему в полном фарше.
2. После этого установленную в виртуалке машину я забэкапил Акронисом.
3. Подключил винт из Тошибы карманом к ноуту и развернул из Акрониса образ.
4. Втыкнул винт в Тошибу и загрузился.

Самое интересное, что система заработала, спокойно загрузилась в Х, и работает очень даже шустренько. Для эксперемента я подключил pcmcii сетевуху, и система ее нашла, и даже удалось вылезти в корпоративную сеть. Флешка была тоже опознана с полпинка, только со знаками вопросов вместо русских букв. Но это буду точить потом.

В следующий раз расскажу о тонкой настройке

Настройки Proxy для apt на Ubuntu

Всем большой привет.
Есть у меня одна серьезная мечта, как говорится, совместить приятное с полезным - запустить Винду под Линуксом. Требования такие, чтобы на винде, запущенной внутри виртуалки, работали все приложения, ежедневно необходимые админу на работе. Из технической части имеется ноут Lenovo T61/2Gb Ram/250 Hdd/Wifi.
Вчера попробовал поставить на него OpenSuse 11.1. Сегодня снес. К чертям. Повелся, блин, на пиар нового дистра. Короче, вернулся обратно к Убунте... (На серваке у меня стоит Дебиан) Как говорится, кто с чего начинал, тот к тому и возвращается.

Сразу после установки xubuntu возникло большое требование в обновлении дистра и доустановке нового софта. Все бы хорошо, да на работе весь трафик идет через проксю, причем ОЧЕНЬ злую. Сразу возник вопрос: а куда прописать проксю, чтобы apt мог с ней работать?
Ответ на этот вопрос я нашел давно, но очень долго искал... Все оказывается очень просто:
$ sudo vi /etc/apt/apt.conf
дальше пишем следующую строку

Acquire::http::Proxy "http://username:password@ip_or_name_proxy:port"
[Esc]
:wq

Также, чтобы внести глобальные настройки прокси для всей системы, необходимо внести изменения в файл /etc/environment:
$ sudo vi /etc/environment

http_proxy=http://username:password@ip_or_name_proxy:port
[Esc]
:wq

где username - имя пользователя прокси, password - его пароль, ip_or_name_proxy - можно указывать как ip-шник, так и DNS имя прокси сервера.
Все. У вас все настроено. Чтобы проверить, работает ли, можно дать
$ sudo apt-get update,
и если в выводе нет сообщений об ошибка - у Вас все правильно получилось.
Удачи

Подсветка сиснтаксиса Perl в vim

Всем привет. Долгое время не писал, так как не было времени даже попить кофе, не говоря уже о том, чтобы писать блог.

В последнее время я начал изучать Perl, так как надо автоматизировать задачи администрирования. Первое, с чем я столкнулся, что надо бы как-то сделать подсветку синтаксиса в vi. vi этого не поддерживает, зато поддерживает vim.

Итак, для начала нам надо установить полную версию vim:

apt-get install vim-full

После чего необходимо создать файл ~/.vimrc со строкой syntax on:

vim ~/.vimrc

в редакторе пишем (i)

syntax on

(ESC, :wq)

Теперь можно и попробовать что-то написать на Перле:

vim test.pl

И наслаждаемся раскраской синтаксиса :)
Удачи

-bash: /dev/fd/62: No such file or directory

Всем привет. Сегодня хочу рассказать, как бороться с ошибкой, когда при работе под пользователем не работает автодополнение путей. Тоесть не срабатывает команда типа

$ ls /use/lo

и после нажатия клавиши выпадает ошибка типа -bash: /dev/fd/62: No such file or directory
или -bash: /dev/fd/64: No such file or directory, или еще какая-либо другая из той же оперы.

Решение этой проблемы очень простое: в системе не установлен пакет udev. Для его установки необходимо выполнить:

# apt-get install udev

Все, автодополняка работает нормально...

Настройка SSH на виртуальном сервере

Всем привет. Хочу написать решение пролемы с входом на виртуальный сервер посредством ssh. Проблема заключается в том, что при попытке входа на сервер через ssh посредством putty, получаем ошибку server refused to allocate pty.
Для решения этого неприятного момента нам необходимо сделать следующее:

apt-get install ssh openssh-server udev

Далее нам необходимо подправить файл /etc/fstab, добавив в него следующие строки:

vi /etc/fstab
none /dev/pts devpts gid=5,mode=620 0 0

После всего нам необходимо еще подпонтировать недостающие файловые системы:

mount -a

Все, к Вашему серверу можно подключаться через putty или ssh

Как изменить имя хоста?

Всем привет. При установке новых виртуальных машин стает вопрос - как установить имя хоста гостевой системы, отличным от имени хоста системы Домена 0?
Ответ очень прост: необходимо прописать имя хоста всего в 2 файла - /etc/hosts и /etc/hostname:

# vi /etc/hosts
hostname_of_your_computer

# vi /etc/hostname
hostname_of_your_computer

Далее, перезагружаем машину и получаем результат

Почему не поднимается сеть?

Всем привет. Сегодня решил одну маленькую проблемку с настройкой сетевых интерфейсов с файла /etc/network/interfaces.

На одной из поднятых мною виртуальных машин была проблема с тем, что при загрузке не активировался сетевой интерфейс eth0, при этом lo работал нормально.

Вот начальный конфиг /etc/network/interfaces:

auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.0.15
netmask 255.255.250.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.1
dns-nameservers 192.168.0.1

Проблема была в том, что за поднятие и инициализацию интерфейса отвечает строка auto, тоесть, если конкретный интерфейс не прописан в строке, то он при загрузке не поднимется, и ему прийдется ставить вручную адрес и говорить ifconfig eth0 up.

Решение проблемы простое - добавление имени интерфейса в следующую строку:

auto lo eth0

Настройка гостевой системы в XEN

Всем большой привет. За последние несколько дней я поднял на базе вышеупомянутого сервера систему виртуализации XEN.
Я не буду рассказывать о том, как я настраивал, я просто дам ссылки.
xgu.ru/wiki/Xen/installation Тут описано как ставить XEN и создать образ виртуальной машины.
Напомню только то, что в качестве domain 0 используется Debian 5 Lenny. Ядро 2.6.26-1-xen-686 как на domain так и для Domain U. Кстати, под Domain U подразумевается любая вирутальная машина.

xgu.ru/wiki/Xen/linux
Также, очень детальная статья на тему того, как установить Линукс внутрь XEN.
Все бы хороше, если бы не несколько НО.
Когда я настраивал по первой инструкции, то система не захотела загружаться. Точнее, она загрузилась, но не выдала приглашения для логина.
Выглядело это так:

dj-root:~$ sudo xm create -c vm2
Using config file "/etc/xen/vm2".
Started domain vm2
......
INIT: Entering runlevel: 4
Starting enhanced syslogd: rsyslogd.
Starting periodic command scheduler: crond.

Решение проблемы было найдено в этой странице. Чтобы все заработало, необходимо было внести следующие изменения в файл /etc/xen/vm2:
В строку

root="root=/dev/hda1 ro"

Необходимо дописать

console=hvc0

. Тогда общий вид стоки в моем случае будет

root="root=/dev/hda1 ro console=hvc0"

Также, необходимо строку 1:2345:respawn:/sbin/getty 38400 в файле /etc/inittab на гостевой системе привести к следующему виду:

1:2345:respawn:/sbin/getty 38400 tty1 hvc0

После всех этих правок гостевая система загрузилась.

Ниже я выкладываю все конфигурационные файлы:

dj-root:/dev/xen$ sudo grep -v ^# /etc/xen/vm2 | grep -xv ''
[sudo] password for dj-root:
kernel = "/boot/vmlinuz-2.6.26-1-xen-686"
ramdisk = "/boot/initrd.img-2.6.26-1-xen-686"
builder='linux'
memory = 192
name = "vm2"
vif = [ 'mac=00:16:3e:00:00:04, bridge=br0' ]
disk = [ 'phy:xen/vol2,hda1,w' ]
root = "/dev/hda1 ro console=hvc0"
extra = "4"
dj-root:/dev/xen$

dj-root:/dev/xen$ sudo grep -v ^# /etc/inittab | grep -xv ''
id:2:initdefault:
si::sysinit:/etc/init.d/rcS
~~:S:wait:/sbin/sulogin
l0:0:wait:/etc/init.d/rc 0
l1:1:wait:/etc/init.d/rc 1
l2:2:wait:/etc/init.d/rc 2
l3:3:wait:/etc/init.d/rc 3
l4:4:wait:/etc/init.d/rc 4
l5:5:wait:/etc/init.d/rc 5
l6:6:wait:/etc/init.d/rc 6
z6:6:respawn:/sbin/sulogin
ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
pf::powerwait:/etc/init.d/powerfail start
pn::powerfailnow:/etc/init.d/powerfail now
po::powerokwait:/etc/init.d/powerfail stop
1:2345:respawn:/sbin/getty 38400 tty1 hvc0
2:23:respawn:/sbin/getty 38400 tty2
3:23:respawn:/sbin/getty 38400 tty3
4:23:respawn:/sbin/getty 38400 tty4
5:23:respawn:/sbin/getty 38400 tty5
6:23:respawn:/sbin/getty 38400 tty6
dj-root:/dev/xen$

Как не надо делать, работая с LVM

Всем привет. Хочу рассказать о том, как я убил систем, махнув шашкой.
При установке сервера Debian 5 Lenny я создал раздел под LVM. Система создала его размером в 300Гиг, чего мне стало мало. А на диске еще свободно было 2 с лишним ТБ. Вот и решил я расширить группу томов.
Взял parted , создал в нем раздел /dev/sda3 на всем свободном месте.
далее pvcreate /dev/sda3
vgextend xen /dev/sda3
Когда давал vgdisplay, то получил ответ, что группа томов на 2х разделах /dev/sda2 и /dev/sda3. Что очень даже хорошо.
Но потом, я захотел сделать fdisk -l /dev/sda, и увидел, что /dev/sda3 имеет тип 83 (Линукс), а должен был быть 8е. И тут мелькнула мысль, что надо исправить недочет и изменить тип раздела /dev/sda3 на 8е.
Изменил. Перезагрузился. Система не нашла корень....
Правильно было бы отмонтировать от группы томов /dev/sda3, сделать с ним все, что надо и примонтировать обратно.
Вот такие пироги

Приветствие

Всем привет. Сегодня решил начать писать блог. Почему решил? Да потому, что нет надежного места, куда складывать заметки, какие-то наработки, и так далее.

Основная тема блога - посвящена ОС Linux, ее настройки. Вот.
Поэтому, рад видеть всех у меня на блоге