Technologie – JiříkovoEgo.cz

Přístup do LDAP SSL z PHP aplikace ve Windows

23.10.201923.10.2019Jirka PrášekNapsat komentář

Před nějakou dobou jsem potřeboval odbavovat jednoduchý PHP skript, který pracoval s uživatelskými účty v Active Directory. Pokud ale takový skript pracuje s hesly, nebo parametry pro platnost účtu, systém požaduje připojení přes LDAP over SSL (ldaps).

PHP aplikace nám běží na Windows Serveru a Microsoft IIS. Průzkumem internetu se mi povedlo web server nakonfigurovat, takže se o výsledek podělím a hlavně si ho zaznamenám pro případ další potřeby Smile Předpokládám, že PHP už máte na Windows Serveru rozchozené. Pokud ne, použijte instalaci přes Web Platform Installer.

Konfigurace PHP

Otevřeme si php.ini pro editaci a povolíme (odkomentujeme):
extension=php_ldap.dll
extension=php_openssl.dll

Nahrání DLL knihoven do systému

Z adresáře instalace PHP překopírujeme knihovnu libeay32.dll do systémové složky operačního systému (nejčastěji c:\windows\system32). V případě, že z neznámých důvodů potřebujeme provozovat super-prehistorickou verzi PHP 4.2 a nižší, použijeme soubor libsasl.dll.

Konfigurační soubor k LDAP

Vytvořme adresář C:\openldap\sysconf, který bude obsahovat soubor ldap.conf. Jeho obsah by měl vypadat následovně:

TLS_REQCERT never
TLS_CACERT c:\openldap\sysconf\myserver.pem

Instalace certifikační autority

Active Directory by měla mít nainstalovanou certifikační autoritu. Pokud nemá, nainstalujete jí pomocí Server Manager – Add roles and features – Server Roles – Active Directory Certificate Services.

Po úspěšné instalaci začne Active Directory poslouchat na portu 636.

Získání Active Directory certfikátu

Na serveru s certifikační autoritou si otevřeme MMC konzoli a připojíme snap-in Certifikační autorita. Následně klikneme na jeho název pravým tlačítkem, zvolíme vlastnosti. Na kartě Obecné pak Zobrazit certifikát, karta Podrobnosti a Kopírovat do souboru.

Certifikát vyexportujeme do souboru *.cer, jako Base-64 Encoded X.509(.cer).

Konverze certifikátu

Pro běh PHP potřebujeme certifikát nikoliv ve formátu *.cer, ale *.pem. Konverzi můžeme provést například přes openSSL. Příklad příkazu pro konverzi:

C:\openssl\openssl x509 -in myserver.cer -out myserver.pem

Instalace certifikátu

Certifikát myserver.pem překopírujeme do cesty zadané v souboru ldap.conf.

Nyní restartujte IIS, aby se upravená konfigurace osvěžila na serveru a ldap_connect(‚ldaps://ldapserver.domana.ltd/‘); začne fungovat.

Windows 10: Chybějící Internet Explorer

1.5.20192.5.2019Jirka PrášekNapsat komentář

Přesto, že ve Windows 10 můžeme používat několik opravdu kvalitních prohlížečů, jako je již předinstalovaný Microsoft Edge, nebo ultimátní kladivo v podobě Opery, musíme občas sáhnout po legacy Internet Exploreru. Co ale dělat, když ve Windows 10 nenacházíme?

Instalace přes systémová nastavení

Start – Nastavení – Aplikace – Spravovat volitelné funkce – Přidat součást – Internet Explorer 11.

Stejným způsobem ho můžeme naopak i odinstalovat.

Instalace pomocí příkazové řádky

Pokud se nám předchozí způsob nedaří, použijme kouzlo příkazové řádky. Spusťme příkazový řádek s administrátorským oprávněním a odpalme příkaz:

dism /online /get-featureinfo:Internet-Explorer-Optional-amd64

Zažil jsem bohužel stav, kdy místo instalace systém pouze hlásí chybu Feature name Internet-Explorer-Optional-amd64 is unknown. A Windows feature name was not recognized.

V tomto případě zkusme třetí cestu.

Instalace pomocí instalačního média

Pro tyto potřeby potřebujeme instalační médium s Windows 10. Jedno, zda máme USB flashdisk, nebo jen stažené ISO. Postup je následující:

Připojme USB disk, nebo ISO soubor
Na disku nalezneme adresář Soursce – sxs (např. d:\sources\sxs). Z něj budeme potřebovat soubory Microsoft-Windows-InternetExplorer-Optional-Package-cs-CZ.cab a microsoft-windows-internetexplorer-optional-package.cab. Buď ho zkopírujte, nebo si zapamatujte cestu.
Použijte příkazy:
dism /online /add-package /packagepath:d:\sources\sxs\Microsoft-Windows-InternetExplorer-Optional-Package-cs-CZ.cab
dism /online /add-package /packagepath:d:\sources\sxs\microsoft-windows-internetexplorer-optional-package.cab
Restartujte počítač
Použijte dism /online /enable-feature /featurename:internet-explorer-optional-amd64

Google Chrome neotevírá https stránky po aktualizaci Windows 1803

31.7.2018Jirka Prášekkomentářů 13

Po aktualizaci Windows 10 na verzi 1803 (April update) jsem na některých strojích objevil problém v otevíráním https stránek.

Stránka se nejdříve extrémně dlouho načítá (Establishing Secure Connection/Navazování zabezpečeného připojení) a následně skončí na ERR_CONNECTION_TIME_OUT. V jiných prohlížečích (Microsoft Edge) se tento problém nevyskytoval.

connection-time-out

Průzkumem jsem zjistil, že tento problém má co dočinění se službou CryptSvc/Šifrování. Po jejím zastavení se stránky načítají správně, ale to není řešení.

Na službě CryptSvc jsou závislé různé DCOM moduly. Pohledem do EventLogu je jasné, že tady bude problém. S oprávněním.

Spálil jsem několik hodin prohledáváním Technetího fóra, ale bez úspěchu. Nakonec mi pomohla utilita od Bleepingcomputers/tweeking.com.

Stačí stáhnout portable verzi, spustit Repair_Windows.exe (jako administrator), zvolit “Jump To Repairs” a zvolit “Preset: Permissons Only”.

Aplikace zresetuje nastavení oprávnění pro jednotlivé systémové složky a klíče v registru, což zdá se, tento problém řeší.

Downgrade edice Windows

26.9.2017Jirka PrášekNapsat komentář

Operační systémy rodiny Windows dokáží poměrně snadný in-place upgrade, kterým je lze povýšit na novou verzi. Ještě jednodušší je změna edice (např. ze Standard na Enterprise) pouhým zadáním nového licenčního čísla.

Problém ale nastává, když potřebujeme jít opačně. Například kvůli upgrade. Klasickým příkladem je pokus o upgrade Windows Server 2008R2 Datacenter –> Windows Server 2012R2 Std.

Oficiálně není takový přechod možný, musíte provést kompletní reinstalaci. Jak si ale ušetřit čas, nervy i starosti? Samozřejmě neoficiálním, nepodporovaným, ale funkčním postupem Smile

Stačí v editoru registrů najít cestu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion a následně změnit klíče:

EditionID na hodnotu např. ServerStandard

ProductName na hodnotu např. Windows Server 2008R2 Standard

V tuto chvíli vás již in-place upgrade wizard nechá dokončit požadované operace!

Synchronizace nastavení Windows 10 doménového počítače pomocí Microsoft Account

27.6.201728.6.2017Jirka Prášek1 komentář

Pokud využíváte více zařízení s Windows 10 (počítače, tablety, telefon) je vhodné mezi nimi synchronizovat některá nastavení. Typickým příkladem jsou oblíbené/k přečtení v Microsoft Edge.

Pro synchronizaci mezi zařízeními se využívá účtu Microsoft (Microsoft Account), nebo účtu Azure Active Directory.

V případě doménových počítačů však s Creators Update přišla zásadní změna. Účet Microsoft si do počítače přidáte, ale není ho možné využívat pro synchronizaci – nastavení jsou zašedlá. Prý kvůli požadavkům enterprise zákazníků.

Přiznám se, že takové nastavení je bolestivé zejména u prohlížeče. A ne vždy chceme svůj telefon/tablet přidávat do firemní Azure AD. Přejděme důvody, proč se Microsoft rozhodl k naprostému zaříznutí synchronizace (přes MSA), místo volitelného nastavení (např. přes GPO) a pojďme zkusit takové nastavení obejít.

Základem je najít počítač s Windows 10 Anniversary Update, případně Windows 10 Creators Update, kde nám nastavení funguje ještě z minula (updatem se nerozbije). Následně vyexportujte registr HKEY_USERS\.DEFAULT\Software\Microsoft\IdentityCRL\StoredIdentities

Nyní stačí jen tento klíč naimportovat v novém PC a následně v Nastavení – Účty – Vaše informace potvrdit správnost Microsoft Account zadáním hesla.

Nelze instalovat Creators Update pomocí WSUS: chyba 0x80244019

13.4.201713.4.2017Jirka PrášekNapsat komentář

V případě, že ačkoliv na vašem WSUS serveru schválíte upgrade na Windows 10, verze 1703, ale koncové stanice místo instalace hlásí Při instalaci některých aktualizací došlo k problémům, pokus o instalaci se bude opakovat později. Pokud se vám tato zpráva zobrazuje opakovaně a chcete si najít další informace na webu nebo se obrátit na podporu. může vám pomoci toto:

Budoucí aktualizace na Windows 10 Pro, verze 1703, cs-cz, Retail – chyba 0x80244019 zkuste následující řešení:

Otevřete váš WSUS server, na kterém spusťte Internet Informarmation Services (IIS). Otevřete si nastavení MIME Types.

Pomocí tlačítka Add přidejte záznam .esd – application/octet-stream.

Následně stačí IIS server restartovat.

HUAWEI E3372 a FortiGate

7.4.20177.4.2017Jirka Prášek1 komentář

Běžně provozuji routery od Fortinetu s 3G/LTE USB modemem, který konfiguruji jako backup pro případ výpadku primární linky. Naposledy se mi ale dostal do rukou modem Huawei E3372, brandovaný T-Mobile, který byl lehce nepoddajný a FortiGate se přes něj odmítal připojit.

Po průzkumu internetu jsem objevil problém – modem se hlásí primárně jako USB disk (s ovladači, software apod.), nikoliv jako modem. Protože obsah internetových diskuzí mizí, ale JiříkovoEgo přetrvává, slouží tento text jako archiv Veselý obličej

Nejprve modem připojte k počítači, spusťte Správce zařízení – Modemy – HUAWEI Mobile Connect –3G Modem a otevřete kartu Modem. Zapamatujme si, na jakém COM portu je zařízení připojeno.

Nyní spusťte Putty a připojte se k COM portu zjištěnému výše.

Nyní použijeme AT příkaz, aby se zařízení tvářilo jako modem. Může se stát, že co píšete v Putty neuvidíte.

at^setport="ff;10,12,16,A1,A2"

Protip: Pokud si chceme zjistit aktuální konfigurace, třeba kvůli budoucí obnově, použijte příkaz

at^setport?

Alternativně můžeme nastavit preferenci LTE sítí před 3G a 2G

AT^SYSCFGEX="030201",3FFFFFFF,0,2,800C5,,

Mimochodem, ^ se píše jako ALT+094

Nyní můžeme modem připojit do FortiGate a nakonfigurovat ho klasickým způsobem

config system modem
    set status enable
    set auto-dial enable
    set phone1 "*99***1#"
    set extra-init1 "at+cgdcont=1,\"ip\",\"internet.t-mobile.cz\""
    set altmode disable
    set distance 15
end

Je tato tiskárna důvěryhodná (aktualizováno)

27.7.201627.7.2016Jirka Prášekkomentářů 6

Od systému Windows 2000 je implementována funkce “Ukázat a tisknout” (Point and Print). Tato funkce slouží k automatickému nainstalování ovladačů a konfigurace pro sdílené tiskárny. Jak to funguje? Uživatel si vybere (ukáže) jednoduchým způsobem tiskárnu, následně je mu ze vzdáleného serveru nahrán ovladač a je provedena jeho konfigurace. Od této chvíle daný uživatel může tisknout.

Funkce Ukázat a tisknout se často používá ve velkých sítích, kdy např. uživatelé cestují s notebooky a potřebují mít k dispozici různé tiskárny. Další její využití je v logon skriptech, kdy uživateli dle umístění nainstalujeme všechny potřebné tiskárny.

Ve Windows Vista a 7 však můžeme narazit na nutnost potvrzení důvěryhodnosti tiskárny. To je v kombinaci s UAC “smrtící” pro pracovníky s uživatelskými právy. Taktéž nám v tomto případě neprojde přiřazení tiskárny přes logon skript, nebo skupinovou politiku. Co s tím? Microsoft nám to tentokrát lehce zkomplikoval.

Řešením je úprava skupinové politiky “Omezení funkce Ukázat a tisknout”. Bohužel pro různé operační systémy jí musíme konfigurovat na různých místech.

Windows Vista

V GPO: Konfigurace uživatele – Šablony pro správu – Ovládací panely – Tiskárny – Omezení funkce Ukázat a tisknout

Windows 7

V GPO: Konfigurace počítače – Šablony pro správu – Tiskárny – Omezení funkce Ukázat a tisknout.

Pokud nechcete dělat příliš velké restrikce, použijte nastavení:

Uživatelé mohou odkazovat a tisknout pouze na těchto serverech: Zakázáno

Uživatele mohou odkazovat a tisknout pouze v počítačích ve vlastní doménové struktuře: Povoleno

Při instalaci ovladačů pro nové připojení: Nezobrazovat upozornění ani dotaz na zvýšení úrovně

Při aktualizaci ovladačů pro existující připojení: Nezobrazovat upozornění ani dotaz na zvýšení úrovně

Aktualizace 27.7.2016

Po aktualizacích KB3170455 (Windows 7) a KB3163912 (Windows 10) přestal Microsoft podporovat nastavení “Omezení funkce Ukázat a tisknout” pro starý typ ovladačů typu "non-packaged".

V tuto chvíli nevím, zda se jedná o trvalé nastavení, nebo jen dočasnou reakci na objevenou zranitelnost.

Pokud vám tedy nastavení funguje, zkontrolujte, zda je ovladač zabalen. To lze udělat přes MMC konzoli – Správa Tisku – Ovladače.

V případě, že je ovladač označen jako Nepravda, požádejte výrobce zařízení o nový ovladač.

Windows 10 Fotky: Prvek nebyl nalezen

10.6.201625.8.2019Jirka PrášekNapsat komentář

Na Windows 10 jsem se setkal s chybující aplikací pro otevírání obrázků. Při pokusu o otevření souborů se objevila pouze chyba “Prvek nebyl nalezen” (element not found).

Snad všechny dohledatelné rady na internetu doporučují “SFC /scannow”. Znáte někoho, komu tento magický příkaz dokázal vyřešit problém? Já ne Veselý obličej

Jak tedy postupovat při řešení problémů:

Odstranění aplikace Fotky
1. Na klávesnici stiskněte klávesu Windows + R
2. Vložte cestu %appdata%\..\Local\Packages\Microsoft.Windows.Photos_8wekyb3d8bbwe\LocalState a stiskněte OK
3. Smažte celý obsah složky
4. Restartujte počítač
Oprava Registru

Po restartu počítače může být problém opraven, ale často nastane další chyba – systém hlásí “Neplatná hodnota registru” (Invalid value for registry)

1. Spusťte aplikace Editor registru (regedit)
2. Najděte cestu HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppModel\Repository\Families
3. Smažte celý klíč Microsoft.Windows.Photos_8wekyb3d8bbwe
4. Restartujte počítač

V případě, že se nedaří odmazat klíč, spusťte regedit pomocí aplikace RunAsSystem. Po té místo klíče v registru HKEY_CURRENT_USER otevírejte HKEY_USERS\<SID_ÚČTU>\.

Symantec Endpoint Protection Manager: Přístup k datům databáze

12.1.201625.8.2019Jirka PrášekNapsat komentář

Symantec Endpoint Protection je komlexní nástroj pro zabezpečení koncových bodů (počítačů, notebooků…). Obsahuje klasický antivir, heuristickou analýzu, nebo např. firewall. Vzhledem k tomu, že se jedná o korporátní řešení (pro domácnosti je určena řada Norton) je k dispozici samozřejmě obsáhlý management.

Management sbírá různá data z klientů, která se nám mohou hodit, zvlášť pokud nemáme nasazenou žádnou asset aplikaci. Symantec sám o sobě umí naprosto mizerné exporty těchto dat. Pro hromadné zpracování je nejvhodnější jejich export přímo z databáze.

V případě použití interní databáze (ASA) se mi nejvíce osvědčil nástroj Database Browser, který je k dispozici i v portable verzi.

Jak se připojit

Stáhněte si Database Browser (ideálně v portable verzi)
Rozbalte ho na serveru, kde je nainstalován SEPM
Spusťte Database Browser jako správce(!)
Z menu Connection vyberte Add
Nastavte následující parametry:
- Connection Type: ODBC
- ODBC DSN: SymantecEndpointSecurityDSN
- User name: dba
- Heslo: Stejné, jako první přihlášení do admina
Tlačítkem Test Connection otestujte dostupnost připojení a potvrďte přes OK