ActiveDirectory SSO mit Apache

Sollen Benutzer für Intranet Anwenungen per SSO authentifiziert werden, muss es nicht immer der IIS sein. Dank Kerberos und der flexiblen Authentifizierungsmodule im Apache, klappt auch hier die Anbindung. Häufig ist die Authentifizierung per Kerberos aber nur ein Teil der Anmeldung, Weitere Benutzerinformationen müssen im Fall der Anbindung ans Active Directory zusätzlich per LDAP(S) abgefragt werden. Für beide Zwecke muss im AD ein Proxy-Benutzer eingerichtet sein.

Anlegen eines Active Directory Proxy Benutzers

Windows LDAPS mit Let's Encrypt Zertifikat

Seit Herbst 2020 erfordert Microsoft Secure Channel Binding für LDAP. Um Drittsysteme dennoch per Simple Bind mit dem Active Directory kommunizieren zu lassen, genügt es allerdings für eine verschlüsselte Kommunikation per LDAPS zu sorgen. Häufig verzichten Anbindungen auf einen Zertifikatscheck (TLS_REQCERT never).

Mit öffentlich gültigen Zertifikaten auf den Domain-Controllern ist das nicht notwendig. Dieser Beitrag zeigt, wie das unter bestimmten Voraussetzungen funktioniert.

Debian on WD My Cloud Home single-bay (MCH) - part 2

 In part 1 Debian Buster was installed on the Western Digital My Cloud Home. Unfortunately the default Kernel lacks quite a bit of features. Compiling our own kernel is desirable. Before we getting started to compile away, some base understanding of the device's boot process is required.

Debian on WD My Cloud Home single-bay (MCH) - part 1

 It's been almost ten years that I've been using a (few) WD MyBookLive (MBL) as my home server. In the end I used it for pure NAS tasks (Samba) only. The original 3TB became too small a couple of months ago, and I started looking for a larger harddisk.

 At that time the price for an 8TB NAS drive would be about 220€. Hence my surprise when I found an offer of a new WD NAS called My Cloud Home with an 8TB (WD RED CMR drive) for just 199€. Even if I would only use the disk it would still be cheaper - I guess that's the benefit of WD, being a harddrive manufacturer...

Windows Active Directory Domain mit Split-Horizon DNS

Man hat nicht oft den Luxus, eine Windows Domäne neu aufzusetzen. wenn es dann doch so weit ist, kommt man nicht umhin, sich über den Namen Gedanken zu machen. Sehr gut werden die einzelnen Optionen im Samba Wiki beleuchtet.

Ich möchte kurz beschreiben, welche Herausforderungen überwunden werden müssen, wenn die AD Domain der externen DNS Domain entspricht - insbesondere auf die Überschneidung mit der Unternehmenswebseite unter http://domain.tld.

FHEM auf der Fritz!Box 7490 unter Freetz

Wie im vorherigen Beitrag beschrieben, läuft auf meiner Fritz!Box nun (wieder) Freetz. Nachdem AVM eine Zeit lang FHEM sogar als Labor Firmware mit anbot, entschied man sich, wohl aus Wartungs- und Sicherheitsgründen, diesen "Community" Weg nicht weiterzuverfolgen.
Aber offensichtlich ist die Idee aus Ressourcen-Sicht garnicht so abwegig, FHEM auf einer 7490 laufen zu lassen. Das herunterladbare Tar-Archiv auf der alten FHEM Fritz!Box Seite brachte unter FW 6.90 leider immer einen Segmentation Fault. Deshalb musste ich zunächst Perl für die Box Cross-Kompilieren und konnte dann FHEM installieren - inkl. JSON, IO::Socket::SSL/Net::SSLeay und sogar DBD::SQLite.

Fritz!Box 7490 mit Freetz für Unbound flashen

Es ist keine sonderlich schlaue Idee, den Heimnetz DNS auf einen Rechner zu packen, der nur über eine fehleranfällige Powerline mit hoher Latenz angebunden ist - aber das wusste ich ja vorher...

Die (noch) aktuelle Fritz!Box 7490 hat 256MB RAM, 512MB NAND Flash und einen MIPS DualCore mit 600MHz, das sind eigentlich die perfekten Vorraussetzungen für alle Netzwerkaufgaben. Mein Ziel ist daher - unter Beibehaltung der "normalen" Funktionen" - folgende Software auf der Fritz!Box laufen zu lassen:

• dnsmasq als lokaler DNS- und DHCP-Server
• unbound als DNSSEC Resolver und QName-Minimization "Anonymizer"
• AD-Block Filter

Mit Freetz steht ein hervorragendes Projekt für die Modifikation der Fritz!Box bereit. Meine Erfahrungen liegen zwar schon über 10 Jahre zurück (FB-7050, FB-7170), aber so schwer kann's ja wohl nicht sein...