Eigentlich ist HTTP Basic-Auth ja eine durchaus feine Sache. Schnell eingerichtet und für die meisten Zwecke ausreichend sicher. Aber es gibt auch Nachteile, so können viele (alle?) Browsererweiterungen von gängigen Kennwortsafes diese nicht automatisch ausfüllen. Schlimmer noch, in vielen Browsern verhindert der Anmeldedialog, dass ich überhaupt an meinen Kennwortsafe herankomme (zumindest wenn diese als Browsererweiterung implementiert ist), weil das Fenster den Fokus hat und auch nicht abgeben mag. Also Anmeldevorgang abbrechen, Zugangsdaten raussuchen, neu versuchen. Nervt. Bliebe noch ein Benutzername und Kennwort die man sich merken kann, auch nicht schön.
Schön wäre SSO (und nicht nur, weil es insbesondere komfortabler ist, als das oben geschilderte Szenario). Viele Dienste für Kennwortsafes bieten SAML-IdP (Identity Provider) von Haus aus gleich mit an und wenn man sowas nicht hat, ein IdP ist z.B. mit simplesamlphp
auch recht schnell selbst aufgesetzt. Aber wie bringt man das jetzt Apache bei?
Hier hilft mod_auth_mellon
(https://github.com/latchset/mod_auth_mellon).
Windows 11 in einer virtuellen QEMU Umgebung zu betreiben, benötigt leider etwas Vorarbeit, da Windows 11 ja ein aktives TPM voraussetzt. Dies steht normalerweise in einer KVM nicht zur Verfügung. Aber dank swtpm
existiert eine Lösung für dieses Problem.
Leider ist swtpm
für Debian Buster ebenso wenig standardmäßig verfügbar wie für Bullseye. Also ist selbst bauen angesagt.
Cronjobs sind praktisch und fast jeder Admin nutzt sie. Leider finden sich häufig auch Jobs in der Liste, die sehr häufig ausgeführt werden (z.B. jede Minute), weil der Admin nicht weiß, wann es tatsächlich nötig wäre, den Job zu starten. Häufig kann hier incron
helfen.
Ich habe hier im Blog ja schon öfter Artikel zu Clustern geschrieben, es handelte sich aber immer um Active/Passive Setups. Diesmal soll es ein Active/Active Setup werden.
Worin liegt der Unterschied? Bei einem Active/Passive Setup gibt es einen aktiven Node auf dem alle gewünschten Dienste gestartet sind. Auf dem passiven Node sind zwar dieselben Dienste und Daten vorhanden, aber nicht gestartet. Tritt auf dem aktiven Node ein Fehler auf werden die restlichen Dienste dort heruntergefahren und auf dem passiven Node gestartet. Das dauert natürlich etwas und in der Zeit sind die Dienste nicht erreichbar. In einem Active/Active Setup sind die Dienste auf allen Nodes gestartet und es gibt keine Downtime, wenn auf einem Node ein Fehler auftritt. Ein weiterer Vorteil, man kann die Last auf die Nodes verteilen.
Ein VPN ist eine praktische Sache und eine der seltenen Maßnahmen, die sowohl Komfort als auch Sicherheit erhöhen. Die Einrichtung eines VPNs kann recht komplex sein, mit OpenVPN geht es aber ziemlich leicht. Außerdem stehen für OpenVPN Clients für quasi jedes Betriebssystem zur Verfügung.
Ich habe kürzlich beschlossen etwas über meinen Linux-Tellerrand zu schauen und habe mich mal ein wenig mit CentOS beschäftigt. Anfangs war auch alles ziemlich einfach, VirtualBox und los. Aber auf Dauer macht sowas nicht glücklich, also habe ich mich entschlossen es auf Xen-Basis nochmal zu probieren. Die erste Ernüchterung Xen auf CentOS 7-Basis geht nicht. CentOS 6.5 würde gehen, aber ich habe mich entschieden dann doch auf den bewährten Debian-Unterbau zu setzen.
So, nach längerer Abstinenz hier mal ein kleiner Rundumschlag. Ich habe zuhause einen kleinen Atom-Rechner im mini-ITX-Format, der leider kürzlich den Geist aufgegeben hat. Zeit für etwas Neues. Das System dient hauptsächlich als Fileserver, aber auch als Spielwiese. Damit man auch wirklich mal einige Dinge ausprobieren kann ohne das eigentliche System vollzusauen habe ich mich für ein Xen-Setup entschieden.
Wie man ein System mit Xen aufsetzt habe ich ja schon zu genüge hier im Blog breitgetreten. Hier soll es jetzt darum gehen, ein Cluster-Setup auf dem System einzurichten. Klar, mir nur einem Server ist das nicht so wahnsinning zielführend, aber es geht ja um eine Spielwiese.
Windows-Dateifreigaben sind auf allen Plattformen sehr einfach zu nutzen. Mit einer LDAP-Anbindung können alle Benutzer von allen Rechnern des Netzwerks aus auf die Freigaben zugreifen.