Search

Visitors Counter

TodayToday29
YesterdayYesterday54
This_WeekThis_Week29
This_MonthThis_Month837
All_DaysAll_Days32921
Your_IP 54.159.238.28

W grudniu, po aktualizacji certyfikatu Start SSL pojawił się problem z produktami firmy Apple. Na stronie tej firmy czytamy:

"Produkty Apple będą blokować certyfikaty głównych urzędów certyfikacji WoSign i StartCom, jeśli data „Not Before” (Nie wcześniej niż) to 00:00:00 1 grudnia 2016 r. czasu GMT/UTC lub późniejsza."

Blokowanie certyfikatów spowodował brak możliwości odbierania poczty na urządzeniach mobilnych.

Postanowiłem więc zmienić dostawcę zabezpieczeń SSL. Wybór padł na  Let's Encrypt. Podobnie do StartSSL certyfikat jest darmowy. Niestety jego okres ważności jest krótki i trwa tylko 3 miesiące. Wiąże się to z częstszą koniecznością jego aktualizacji.

Aby zainstalować ten certyfikat na sewerze Zimbry wykonujemy następujące czynności:

Jako user zimbra zatrzymujemy usługi:

  • zmproxyctl stop
  • zmmailboxdctl stop

Następnie (jeżeli nie mamy instalujemy git (apt-get install git)), instalujemy letsencrypt poprzez polecenia 

Uruchamiamy zainstalowany program

  • ./letsencrypt-auto certonly --standalone

Po uruchomieniu programu włączy się konfigurator, w którym zostaniemy zapytani o adres email przydatny w przypadku zgubienia klucza. Kolejnymi pytaniami będzie akceptacja umowy użytkowania oraz domena na którą chcemy wystawić certyfikat. Możemy podać kilka, rozdzielając je za pomocą przecinków lub spacji. Po tych operacjach certyfikat zostanie wygenerowany i ściągnięty na dysk. 

Certyfikat znajdziemy w katalogu /etc/letsencrypt/archive/[domena którą podaliśmy w kreatorze]

Powyższy katalog zawiera 4 pliki - cert.pem (nasz certyfikat), chaim.pem (ścieżka autoryzacji), fullchain.pem (połączenie cert.pem + chaim.pem), private.pem (klucz prywatny)

Brakuje jednak certyfikatu głównego. Potrzebujemy go dopisać do pliku chaim.pem. W tym celu edytujemy plik. Po linii -----END CERTIFICATE----- dopisujemy

-----BEGIN CERTIFICATE-----
MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/
MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT
DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow
PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD
Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB
AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmTrE4O
rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq
OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b
xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt+/yUFw
7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD
aeQQmxkqtilX4+U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV
HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/xBVghYkQMA0GCSqG
SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+DT69
ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX+5v3gTt23ADq1cEmv8uXr
AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87ipxZz
R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5
JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo
Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ
-----END CERTIFICATE-----

Certyfikat root jest ważny do roku 2021.

Przed docelową instalacją sprawdzamy, czy nasz cerfyfikat jest poprawny

  • mkdir /opt/zimbra/ssl/letsencrypt
  • cp /etc/letsencrypt/live/[nasza domena]/* /opt/zimbra/ssl/letsencrypt/
  • chown zimbra:zimbra /opt/zimbra/ssl/letsencrypt/*
  • ls -la /opt/zimbra/ssl/letsencrypt/
  • /opt/zimbra/bin/zmcertmgr verifycrt comm privkey.pem cert.pem chain.pem 

Ostatnie polecenie wykonujemy w zależności od wersji Zimbry jako zimbra user (gdy wersja>=8,7) lub jako root (gdy wersja<=8,6)

Jako wynik poleceń powinniśmy otrzymać:

Certificate (cert.pem) and private key (privkey.pem) match.
Valid Certificate: cert.pem: OK

Gdy tak się stało możemy przystąpić do wdrożenia certyfikatu. W pierwszej kolejności wykonujemy kopię folderu zawierającego obecny certyfyfikat:

  • cp -a /opt/zimbra/ssl/zimbra /opt/zimbra/ssl/zimbra.$(date "+%Y%m%d")

Kopiujemy klucz prywatny do odpowiedniego folderu

  • cp /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key

Wdrażamy certyfikat

  • /opt/zimbra/bin/zmcertmgr deploycrt comm cert.pem chain.pem 

Restartujemy usługi (zmcontrol restart) i uruchamiamy przeglądarkę aby sprawdzić poprawność instalacji.

postqueue -p /lista wszystkich wiadomości w kolejce

postsuper -d (Queue ID) /usuwa wiadomość o danym ID

postsuper -d ALL /usuwa wszystkie wiadomości z kolejki

postsuper -h (Queue ID) /zatrzymanie wiadomości w kolejce

postsuper -H (Queue ID) /przeniesienie wiadomości z powrotem do menadżera kolejek

postsuper -r ALL /zwraca wiadomości z powrotem do kolejki

postqueue -f /wypycha wiadomości

postqueue -s domain.com /wypycha wiadomości domeny

postcat -q /wyświetlanie zawartości kolejki

 

mailq -q /lista wiadomości w kolejce do obsłużenia

tail -f /var/log/maillog /log postfix-a

/etc/sysconfig/network

DHCP

BOOTPROTO='dhcp'
BROADCAST=''
ETHTOOL_OPTIONS=''
IPADDR=''
MTU=''
NAME=''
NETMASK=''
NETWORK=''
REMOTE_IPADDR=''
STARTMODE='auto'
DHCLIENT_SET_DEFAULT_ROUTE='yes'

STATIC

BOOTPROTO='static'
ONBOOT='yes'
BROADCAST=''
ETHTOOL_OPTIONS=''
IPADDR='192.168.0.2'
MTU=''
NAME=''
NETMASK='255.255.255.0'
NETWORK=''
REMOTE_IPADDR=''
STARTMODE='auto'

 

 /etc/resolv.conf

nameserver 8.8.8.8
nameserver 8.8.4.4

 

Jak uruchomić menadżer urządzeń z prawami administratora będąc zalogowany jako użytkownik domeny? Po otwarciu go z pozycji panel sterowania / system otrzymujemy informację, że użytkownik nie ma wystarczających praw. Nie wyświetla się okno w którym możemy te prawa zwiększyć poświadczeniami administracyjnymi. Aby nie trzeba było się przelogowywać, można uruchomić konsolę z prawami administratora a następnie wydać polecenie devmgmt.msc

Przy okazji inne aplikacje z panelu sterowania

Accessibility Options control access.cpl

Dodaj sprzęt control sysdm.cpl add new hardware

Dodaj/usuń programy control appwiz.cpl

Data i godzina control timedate.cpl

Ekran control desk.cpl

FindFast control findfast.cpl

Czcionki control fonts

Ustawienia Internetowe control inetcpl.cpl

Joystick Properties control joy.cpl

Klawiatura control main.cpl keyboard

Microsoft Exchange (Windows Messaging) control mlcfg32.cpl

Microsoft Mail Post Office / Poczta control wgpocpl.cpl

Ustawienia modemu control modem.cpl

Mysz control main.cpl

Dźwięki i urządzenia audio control mmsys.cpl

Połączenia sieciowe control netcpl.cpl

Zabezpieczenia control password.cpl

Karty PC control main.cpl pc card (PCMCIA)

Power Management (Windows 95) control main.cpl power

Opcje zasilania control powercfg.cpl

Drukarki i faxy control printers

Opcje regionalne control intl.cpl

Skanery i aparaty fotograficzne control sticpl.cpl

Dźwięki i urządzenia audio control mmsys.cpl sounds

System control sysdm.cpl

Migracja do profilu użytkownika do nowej domeny może okazać się operacją długotrwałą. Przy zmianie domeny komputera zostanie utworzone nowe konto użytkownika. Z tym wiąże się żmudne przenoszenie danych i tworzenie na nowo konfiguracji poszczególnych programów. Można tego jednak uniknąć. Z pomocą przychodzi program ProfWiz firmy ForensiT. 

Jak się zabrać do przeniesienia profilu do nowej domeny?

Przede wszystkim logujemy się na lokalne konto administracyjne.
Następnie dodajemy komputer do nowej domeny.
Po ponownym uruchomieniu komputera znowu logujemy się na lokalne konto administracyjne i uruchamiamy program ProfWiz.
W wyświetlonym oknie wybieramy profil do przeniesienia oraz klikamy przycisk dalej.
Następnie definiujemy nową domenę i konto w które nasz profil ma się znaleźć. Zostawiamy zaznaczone checkbox-y Join Domain oraz Set as default logon.
Po kolejnym kliknięciu przycisku dalej rozpoczyna się migracja, która trwa 1-2 minuty.

 

Jeżeli zapomnieliśmy hasła administratora do programu Comarch Optima mamy opcję jego resetu poprzez usunięcie odpowiednich wpisów w bazie danych. Wykonujemy to poprzez zapytanie SQL w bazie konfiguracyjnej o następującej treści:

update cdn.operatorzy set ope_haslo = '5Z8SfmZByqw' where ope_opeid = 1

update cdn.operatorzy set ope_haslochk = 'Cw' where ope_opeid = 1

W celu wyłączenia funkcji Fast Boot poprzez GPO musimy zmodyfikować rejestr, a konkretnie ustawić wartość 0 dla klucza HKLM\System\CurrentControlSet\Control\Session Manager\Power\HiberbootEnabled.

Kamera LC-255-IP to w rzeczywistości WDM-Q11080W/B (HI 3516C+Sony Mx222) 

Gdy nie działa przeglądarka możemy spróbować zalogować się poprzez telnet

Dane dostępowe to:

login: adminlvjh

password: adminlvjh123

Chcąc usunąć Client Security Manager na systemie Windows 10 napotkałem błąd 1722 uniemożliwiający jego deinstalacje. Aby obejść ten problem przed deinstalacją należy wejść do folderu C:\Users\<USER NAME>\AppData\Local\Temp\ i go wyczyścić. Podczas deinstalacji pojawią się tam 2 foldery. Przed ostatecznym kliknięciem dalej należy edytować plik ShortcutPinning.ps1 znajdujący się w jednym z nowo utworzonych katalogów. Z pliku usuwamy wszystkie dane i zapisujemy. Po tej operacji możemy kontynuować deinstalację. Tym razem już bez błędów.

Jeżeli podczas instalacji lub chęci usunięcia oprogramowania SQL serwer otrzymamy błąd związany z usługą WMI należy w linii poleceń wykonać poniższe komendy. Spowoduje to zresetowanie ustawień usługi.

net stop winmgmt

winmgmt /salvagerepository %windir%\System32\wbem

winmgmt /resetrepository %windir%\System32\wbem

net start winmgmt