09/09/2014

WebSEAL unauthenticated object

Una delle operazioni fondamentali del setup di una nuova istanza WebSEAL consiste nel fare in modo che il prodotto protegga determinati oggetti mediante autenticazione (di vario genere, basic, form authentication o altro) e permetta l’accesso anonimo verso altri.

Apparentemente l’operazione è banale, si creano entità nello spazio oggetti di WebSEAL e si applicano differenti ACL in base alle proprie necessità.
Ad esempio si possono creare due ACL, una (all_view) per l’accesso anonimo e una (all_auth) per l’accesso autenticato (senza distinzioni di gruppi o utenti), ciascuna con i propri parametri di accesso.

acl

Si sfoglia lo spazio oggetti di WebSEAL mediante il comando “object list” e una volta ottenuto il percorso esatto dell’oggetto desiderato (per esempio una transparent junction /wps che espone un portale WebSphere Portal) occorre collegare l’ACL all’oggetto mediante il comando “acl attach <object-name> <acl-name>”.

Con il comando “object show” si può verificare il dettaglio dell’oggetto e le acl ad esso associate (Attached ACL) oppure ereditare da un oggetto padre (Effective ACL).

object_show

Durante un nuovo setup però può capitare che l’effetto di questa operazione non sia quello voluto, insomma che le ACL non funzionino a dovere oppure che l’associazione tra l’oggetto e l’ACL non sia efficace.
In realtà questa eventualità è piuttosto remota (almeno io non ho mai osservato un comportamento simile sebbene siano anni che mi trovo a lavorare con questo prodotto IBM), è molto più probabile che vi siate dimenticati di settare un parametro fondamentale nel file di configurazione di WebSEAL.

Nel dettaglio potete osservare che la junction dell’esempio /wps ha valorizzato il parametro “Basic authentication mode” con “supply” (comando “server task <SERVER NAME> show <JUNCTION NAME>”)

junction

Guardacaso nel file di configurazione di WebSEAL (percorso di default su GNU/Linux: /opt/pdweb/etc/webseald-<SERVER NAME>.conf ), sotto stanza “server” è presente il parametro “allow-unauth-ba-supply” che di default è valorizzato in modo tale da non permettere l’accesso anonimo a junction con flag BA attivo.

conf

Una volta modificato il parametro inserendo come valore “yes” e riavviato WebSEAL (pdweb restart) la junction ad accesso anonimo risulterà rispondere correttamente.

03/09/2014

Una mazzata sulle gengive

Scrivo questo post a futura memoria, per evitare che tragedie simili si ripetano in futuro…

Centro di Milano (zona S. Ambrogio), locale che dall’esterno sembra una comune rosticceria/salumeria, menù:

  • un piatto (nemmeno abbondante) di tortellini di carne al ragù
  • un piattino di contorno a base di zucchine saltate in padella e patate al forno
  • 1/2 litro di acqua naturale
  • caffè
  • un piatto misero di tortellini (4) con ripieno di ricotta e spinaci
  • un piattino di contorno a base di zucchine saltate in padella e patate al forno
  • 1/2 litro di acqua naturale + un bicchiere di vino rosso
  • caffè

A me tremano ancora le gengive dalla mazzata nei denti che abbiamo preso, giudicate voi dagli scontrini…

scontrini

28/08/2014

Duplicati sftp proxy

Tempo fa ho promosso Duplicati al ruolo di mio software di riferimento per i piccoli backup personali, lo uso sul mio pc di casa, sul fedele ThinkPad lavorativo, sui pc di amici e famigliari.
E’ piccolo, leggero, semplice da usare, versatile e (cosa che non guasta mai) gratuito, insomma una manna.

Purtroppo qualche giorno fa il cliente da cui sto lavorando ha effettuato una revisione generale delle politiche di sicurezza limitando molte connessioni verso web, ciò mi ha causato diversi fastidi, non ultimo il blocco dei backup che effettuavo con frequenza giornaliera proprio con Duplicati, il tutto su un server esterno mediante protocollo sftp.
In casistiche come queste una delle possibili soluzioni consiste nell’utilizzare un proxy http (il quale ovviamente deve poter comunicare con il server sftp di destinazione), strumento che generalmente viene messo a disposizione in scenari di questo tipo.

Per fare in modo che Duplicati possa continuare a funzionare correttamente (senza modificare il backupset o il protocollo utilizzato) è necessario utilizzare la suite di Putty.
Aprite Putty e configurate un profilo che punti al vostro server sftp (utilizzando un hostname e una porta che siano raggiungibili dal proxy http che intendete usare) e utilizzi un proxy http.

duplicati_proxy2

Aprite le opzioni di Duplicati e configurate il client sftp puntando al binario di PSFTP

duplicati_proxy1

Create un backupset (o editatene uno esistente) checkando l’opzione “Use installed sftp program instead of the built-in SSH library”

duplicati_proxy

Ora il backup dovrebbe funzionare correttamente utilizzando il profilo configurato con Putty e passando attraverso il server proxy configurato.

25/08/2014

“Sulla strada”

kerouac.scrollDopo averne sentito parlare in lungo e in largo, dopo aver passato anni ripromettendomi di leggerlo, sono riuscito a terminare il celebre “Sulla strada” di Jack Kerouac, il vero “scroll” del 1951.

Devo confessare che non è stata una lettura semplice, è stato più ostico di quanto avessi immaginato fin’ora, e non per la complessità dei concetti espressi (che comunque a volte meritano ripetute letture per godere appieno della loro bellezza e profondità) quanto piuttosto per la forma caotica, senza respiro e senza un reale filo conduttore che renda la lettura scorrevole.

Forse è proprio questa frenesia, questa voglia matta di godere tutto, godere subito, godere “duro”, viaggiare sempre senza sosta e provare tutto… è questa la genialità dell’opera e il motivo per cui anche questa forma caotica è perfettamente coerente e rappresenta così bene la beat generation.
E pensare che l’avevo unicamente associata allo stereotipo ribelle televisivo in stile Fonzie/James Dean, beata ignoranza…

Sono fortemente tentato dal mettermi alla ricerca della prima edizione italiana, avendo però letto lo scroll originale temo di rimanere deluso da tutti i dettagli mancanti, i nomi fittizi e le piccole differenze rispetto all’edizione commerciale del 1959.

 

14/08/2014

Ubiquiti Unifi AP LR

Qualche mese fa ha suonato alla mia porta il corriere di Amazon (che ormai comincerà ad odiarmi vista la quantità di ordini che faccio sul sito…) per consegnare un pacco che attendevo con una certa trepidazione, il nuovo access point Ubiquiti Unifi AP LR.

Ho già avuto una precedente esperienza con i prodotti Ubiquiti Unifi (modello AP PRO) che mi ha lasciato una impressione estremamente positiva, dato che negli ultimi tempi il mio precedente access point Tp-Link TL-WA901ND V2 ha mostrato performance pietose ho preferito andare sul sicuro e puntare su un prodotto consolidato e di sicura affidabilità.

L’AP è decisamente compatto e dalle forme eleganti e, cosa non banale e sicuramente comoda, può essere alimentato mediante PoE (Power over Ethernet), ovvero potete alimentarlo direttamente dal cavo ethernet utilizzando un apposito adattatore fornito in bundle (=no foresta di mangrovie di cavi).
Il dispositivo è pensato prevalentemente per utilizzo in ambito soho o comunque professionale, pertanto è dotato anche di apposita mascherina per il montaggio a soffitto; nel mio caso ho scartato questa soluzione, ma avendola provata in ufficio devo confessare che è estremamente funzionale e comoda, soprattutto se utilizzate un soffitto a pannelli (sarebbe fantastico se Ubiquiti fornisse anche pannelli per il montaggio a rack dei dongle di alimentazione PoE).

unifi

Unifi AP LR con natura mortissima e conchiglie…

Come per tutti gli altri modelli della serie (oltre che per i router ethernet Ubiquiti) l’access point non ha una interfaccia di amministrazione stand-alone (al massimo è possibile connettersi in ssh al dispositivo) e per essere configurato è necessario installare (su un comune pc o server) il software di amministrazione UniFi Controller, i cui requisiti sono tali da poter essere utilizzato su qualsiasi sistema operativo (si tratta di una applicazione java distribuita tramite archivio .jar), persino Raspberry PI.
Il software è estremamente semplice da usare e permette di amministrare da un singolo dispositivo fino a una intera batteria di access point e router dalla stessa interfaccia, di fatto permette di godere dei vantaggi di una architettura enterprise con controller dedicato senza doversi svenare con prodotti concorrenti (Cisco Aironet e SonicWall in primis).

Configurazione radio con mappa per verificare la sovrapposizione della copertura

Configurazione radio con mappa per verificare la sovrapposizione della copertura

 

Statistiche grafiche client, configurazione wifi, tagging VLAN e selezione profilo cifratura

Statistiche grafiche client, configurazione wifi, tagging VLAN e selezione profilo cifratura

 

Elenco client e pagina principale per abilitazione guest client

Elenco client e pagina principale per abilitazione guest client

 

Settings, notifiche, logging, rogue ap detection

Settings, notifiche, logging, rogue ap detection

Dal punto di vista prettamente operativo il passaggio dal mio vecchio modello TP-Link a questo nuovo Unifi ha risolto completamente i problemi di copertura e banda che sperimentavo col vecchio AP.
Nonostante l’etichetta LR (Long Range) la copertura del segnale è molto simile al mio precedente modello, a differenza di prima però anche in condizioni di segnale non eccellente la banda passante è più che sufficiente per qualsiasi utilizzo abbia sperimentato fin’ora.
Per farvi un esempio, in precedenza in certi punti rilevavo una copertura ridotta e una banda passante talmente ridicola da non riuscire a sostenere nemmeno lo streaming di un filmato Youtube a bassa risoluzione, ora riesco tranquillamente a visualizzare senza interruzioni filmati a 720p (ovviamente i test sono stati effettuati senza altro traffico wan e verificando le performance della connessione stessa a prescindere dalla copertura wifi).

Non è mia intenzione effettuare un test esaustivo (anche perchè al momento non dispongo nemmeno di un client con interfaccia tale da permettere di sfruttare appieno il channel bonding sui 2.4GHz), ma giusto per avere un’idea della resa ho provato a misurare un trasferimento via share di rete (cifs) ottenendo questi risultati in ricezione…

wifi.receive

…e in trasmissione

wifi.transmit

Risultati alquanto buoni per un dispositivo di questa fascia di mercato, ancora di più considerando il fatto che per il test ho dovuto utilizzare un client con interfaccia limitata a 240Mbps, quindi con una differenza del 20% si potrebbero ipotizzare quasi 80Mbps in upstream e quasi 90Mbps in downstream, non male davvero…

In definitiva non posso che essere entusiasta di questo access point, performance e copertura ottime per un dispositivo 802.11n 2.4GHz, esteticamente sobrio e piacevole, molto versatile e dotato di un software di gestione davvero completo, a questo aggiungete il fatto che c’è una comunità molto attiva e il dispositivo è ampiamente personalizzabile (OS BusyBox).
Unico neo di questo Ubiquiti AP LR è l’interfaccia ethernet a 100Mbps, effettuando test simili sul fratello maggiore AP Pro (che monta interfaccia gigabit ethernet)  ho riscontrato performance di poco superiori ma comunque simili.

In rapporto al prezzo e per questo genere di dispositivi (802.11n 2,4GHz) credo sia una delle migliori soluzioni disponibili sul mercato.

« Post precedenti