pingcastle - Ergebnisse umsetzen

[MurdocX 949]

vor 10 Stunden schrieb NorbertFe:

Das geht nicht nur um das Lesen der Account restrictions, sondern bspw. in sehr viel häufigerem Umfang um das Auslesen von Mitgliedschaften der Nutzer, was eben dann auch nicht mehr funktioniert. Da dann noch abhängig welches der diversen Groupmembership Attribute ausgelesen werden muss usw. usf.

Das Problem kenne ich. Prominentes Beispiel PRTG. (u. verm. viele Andere auch die Mitgliedschaften auslesen). Lässt sich durch setzen der demensprechenden Berechtigungen natürlich lösen.

 

vor 1 Stunde schrieb daabm:

Das macht ne andere Truppe, das läuft aus Splunk raus weiter in Graylog/QRadar. Problem für uns ist grad der Eingangskanal Splunk mit Lizensierung auf Events pro Sekunde. Aber da arbeiten wir an einer Alternative.

Ich muss ja zugeben, dass mich deine Umgebung schon mal bizelt.... Automatisierung, Systemnahes Troubleshooting etc. :) 

[cj_berlin 1.313]

Gerade eben schrieb MurdocX:

Ich muss ja zugeben, dass mich deine Umgebung schon mal bizelt.... Automatisierung, Systemnahes Troubleshooting etc. :) 

Die stellen ein, glaube ich  

[MurdocX 949]

Gerade eben schrieb cj_berlin:

Die stellen ein, glaube ich  

Den freundlichen Stupser gab es auch schon mal.  

Ich hab gerade Spielwiesen bekommen, die noch ca. 2 Jahre liebe und persönliche Herausforderungen benötigen. Man braucht ja noch Ziele  

[daabm 1.354]

vor 21 Stunden schrieb MurdocX:

dass mich deine Umgebung schon mal bizelt.

 

...und nebenher das Kerberos-1x1 mit disjoint Namespaces, vielen DNS-Quirks und vielen Keytabs. Ich kann's inzwischen auswendig

Vorgestern gelernt: Für Unix (Keytabs) gibt es nur Principal Names. Windows unterscheidet User und Service. Und wenn ein Keytab nur SPNs enthält, bekommt man damit bei einem Windows-KDC kein TGT. Ein Unix-KDC würde das machen, Principal ist Principal.

Vor längerem schon gelernt: Nicht alle Anwendungen verwenden bei Kerberos den FQDN, den man konfiguriert. Manche machen "heimlich" DNS-Resolution und hangeln sich bis zum A-Record durch -> SPN muß registriert werden. (Und wir haben nicht nur CName-Records, sondern auch DName 🙈.)

Und auch vor längerem schon gelernt: Nicht alle Anwendungen machen SSL-Handshake mit dem FQDN. Manche (wie ldp.exe) machen hier auch DNS-Resolution -> SAN im Cert erforderlich.

 

Es hört nie auf 😂 Und ja, Du hättest Spaß. Aber ok, erst mal Wasser fließen lassen.

[roccomarcy 20]

Guten Morgen,

 

ich würde das Thema gerne noch mit einer Rückmeldung von meiner Seite abschließen. Die angesprochenen Punkte aus meinem Eingangspost und noch etwas mehr habe ich als Dienstleistung mit/bei Norbert eingekauft und wurden von uns gemeinsam umgesetzt. Dies soll jetzt keine Werbung für Norbert oder seinem Arbeitgeber sein, ich kann allerdings dennoch mal einen Dank aussprechen, dass die gesamte Umsetzung reibungslos und ohne Ausfall/Störung des laufenden Betrieb erfolgt ist. 

 

Das wird nun niemanden weiterhelfen, der in Zukunft vor ähnlichen Problemen stehen wird und bricht natürlich etwas die Idee eines Forums. Aber bei den Brocken an Themen kann ich eigentlich nur dazu raten einen Dienstleister aufzusuchen, der sein Handwerk versteht. Schont am Ende auf allen Seiten die Nerven und auch den Geldbeutel.

 

Gruß

bearbeitet 27. August von roccomarcy

[Lian 2.421]

Danke für die Rückmeldung, das freut mich.

Alle Hinweise und Kontakte, die geholfen haben, sind völlig in Ordnung. Auch dazu ist ein Forum da.

 

In dem Fall sind Ergebnisse, die auf eine Umgebung bezogen sind und deren Lösung Aufwand bedeutet, sowieso nicht 1:1 übertragbar.

Insofern nützt es vielleicht dem nächsten Leser zur Einschätzung des Vorgehens... ;)