Erleuchtung – Seite 3

Owncloud 4 Kalender mit iPhone Fehlermeldung

Die Idee seine Kalenderdaten nicht bei einem externen Anbieter (Apple, Google, … ) zu haben ist reizvoll. Was geht es Google an wann ich meinen Zahnarzttermin habe und warum sollte Apple Wissen, wann mein nächster Kundentermin stattfindet.

Es gibt die Möglichkeit komplette Kollaborationssuiten zu nehmen (Zimbra/OpenExchange/…) aber auch einen reinen Caldav Server (z.B. calendarserver). zuletzt häufig in den News war Owncloud, was eine komplette Cloud inklusive Fotos, Musik und Kalender auf eigener Hardware ermöglicht.

Ich hatte bislang calendarserver auf Debian im Einsatz, das funktioniert auch relativ gut, die Konfiguration mittels XML Dateien ist umständlich und beim parallelen Zugriff auf verschiedene Kalender (Meinen, den meiner Frau) gemischt mit Lightning am PC kommt es häufiger mal zu Problemen.

Also habe ich Owncloud 4 ausprobiert.

Die Installation ist einfach, ein paar PHP Module und das Paket einfach entpacken. Fertig. Schicke Oberfläche, wenn auch etwas langsam (mag an meinem DualCore Celeron Server liegen).
Bilder hochladen geht, aber wichtig war mir der Kalendar.

User anlegen, zwei Termine eintragen und dann im Lightning als externen Kalendar einrichten. Klappt problemlos, die URL kann man sich einfach kopieren.
Am iPhone war es garnicht einfach. Die Anleitungen genau befolgt und das iPhone quittiert das ganze mit einem „Kalender-Account
Account-Information konnten nicht überprüft werden“

Viel probiert, Webserver neu installiert (von Lighttpd auf Apache, testweise auf Ubuntu LTS usw..) keine Chance.

Nach viel probieren habe ich die richtige Antwort bekommen: Die Dokumentation ist falsch/veraltet der richtige Link lautet: ADDRESS/remote.php/caldav/principals/username/

Und nicht ADDRESS/apps/calendar/caldav.php/principals/username

Danach funktioniert das Einbinden des Kalenders im iPhone und jetzt kann der Test beginnen.

Kommentare entfernen

Immer wiedermal will man Kommentarzeilen aus einer (Konfigurations)Datei entfernen.
Im Internet hab ich diesen guten Link, wo man das über ein kurzes Shellscript machen kann.

#!/bin/sh 
egrep -a -v '^[[:space:]]*#' $1 | egrep -a '[[:print:]]'

Funktioniert und nimmt 70kB Konfigurationsdateien den Schrecken.

Userauthentifizierung gegen Radius – Alcatel

Nach Cisco und Fortigate jetzt noch die Kurzanleitung um Alcaltel Switche gegen Radius zu Authentifizieren.

Bei Alcatel Der einfache Adminzugang für einen Switch ist schnell erledigt, wie es mit Routern oder Firewalls aussieht behandle ich später (wenn ich dazu komme).

Bei Alcatel ist das ganze ein bisschen komplexer, die Userberechtigungen handlet man über Bitmasken ab, so kann man z.B. FTP zulassen, aber ssh verbieten. oder lesend per ssh erlauben, aber nicht per Telnet.

Hier lassen wir im Beispiel lesenden Zugriff nur per ssh zu.
Der schreibende Zugriff (aluadmin) darf überall drauf zugreifen.

Im Radiusserver hinterlegt man die entsprechenden User/Rückgabe Werte in /etc/freeradius/users:

"aluadmin" Cleartext-Password:= "aluadmin"
        Xylan-Asa-Access = all, 
        Xylan-Acce-Priv-F-W1 = 0xffffffff,
        Xylan-Acce-Priv-F-W2 = 0xffffffff,
"aluread" Cleartext-Password:= "aluread"
        Xylan-Asa-Access = all, 
        Xylan-Acce-Priv-F-R2 =  0xffffffff, 
        Xylan-Acce-Priv-F-R1 =  0xffffffff, 
        Xylan-Acce-Priv-F-W1 =  0x00000002,
        Xylan-Acce-Priv-F-W2 =  0x00000000,

Für den lesenden Zugriff ist komischerweise auch „schreibend“ auf ssh nötig.
Dies braucht man damit show Kommandos abgeschickt werden können.

Der schreibende Zugriff auf die einzelnen Abschnitte der Konfiguration muss separat freigeschaltet werden.
Die Bitmasken sind kann man sich über

show aaa priv hexa

anzeigen lassen.

->show aaa priv hexa
file            = 0x00000001 0x00000000,
ssh             = 0x00000002 0x00000000,
scp             = 0x00000004 0x00000000,
telnet          = 0x00000008 0x00000000,
ntp             = 0x00000010 0x00000000,
dshell          = 0x00000020 0x00000000,
debug           = 0x00000040 0x00000000,
..
[snip]

De folgende Nutzer hat read-only Zugriff nur auf „vlan“. Es ist dem Benutzer nicht möglich z.B. „show ip interface“ einzugeben.

"vlanread" Cleartext-Password:= "vlanread"
        Xylan-Asa-Access = "all", 
        Xylan-Acce-Priv-F-R1 = 0x10000000, 
        Xylan-Acce-Priv-F-R2 = 0x00000000, 
        Xylan-Acce-Priv-F-W1 = 0x00000002, 
        Xylan-Acce-Priv-F-W2 = 0x00000000

Ein Dokumentation von Alcatel findet man z.B.
in diesem PDF auf Seite 8

Die Konfigurationen auf dem Switch sind in wenigen Zeilen erledigt (der Radiusserver muss vom Switch aus erreichbar sein -> IP Adressen Routing etc. muss stimmen ..)

!Falls Radiusserver tot ist es praktisch noch einen lokalen Account haben
user localadmin password Rettemich read-write all
! aaa aktivieren, primär radius fallback auf local
aaa radius-server "RadiusServer" host 172.16.1.32 key 12345678 
aaa authentication telnet "RadiusServer" "local" 
aaa authentication ssh "RadiusServer" local
aaa authentication console "RadiusServer" local

Man kann natürlich auch mit

aaa authentication default RadiusServer local

alles abfrühstücken

Das sollte es gewesen sein.

SNMPv3 mit Alcatel Lucent Omniswitch

Will man SNMP auf einem Alcatel OmniSwitch nutzen sind die Befehle uU.. nicht völlig eingängig.

Will man einen v2 user zum lesen und einen v3 user zum schreibenden Zugriff haben ist folgendes nötig:

aaa authentication snmp local user snmpv2user password 111222333 read-only all no auth user snmpv3user password abcd1234 md5+des read-write all snmp community map "public" user "snmpv2user" on snmp security authentication set

– Zum authentifizieren nutzen wir die lokale Datenbank.
– Der User „snmpv2user“ angelegt und darf dank no auth auch snmp.
– Die SNMP community „public“ wird auf den user gemappt. Dank „no auth“ darf dieser snmp machen, fehlt das geht es nicht.
– Der User „snmpv3user“ darf dank „md5+des“ snmpv3 machen und nutzt auch die Privacy Extension -> Verschlüsselt.
– Mit „snmp security authentication set“ sagt man snmpv1/2c ist mit „get“ erlaubt für „set“ braucht man mindestens v3 gesigned.

Kontrolle:
>show snmp community map Community mode : enabled status community string user name --------+--------------------------------+-------------------------------- enabled public snmpv2user >show user [..] User name = snmpv3user, Password expiration = None, Password allow to be modified date = None, Account lockout = None, Password bad attempts = 0, Read Only for domains = None, Read/Write for domains = All , Snmp allowed = YES, Snmp authentication = MD5, Snmp encryption = DES, Console-Only = Disabled User name = snmpv2user, Password expiration = None, Password allow to be modified date = None, Account lockout = None, Password bad attempts = 0, Read Only for domains = None, Read/Write for domains = All , Snmp allowed = YES, Snmp authentication = NONE, Snmp encryption = NONE, Console-Only = Disabled

Mit dem SNMP Tester von Paessler kann man schön überprüfen, ob man mit v2c/public oder dem v3 User reinkommt.

Zumindest im Paessler muss man wenn der user mit md5+des angelegt ist sowohl bei v3 Password und v3 encryption key das user Passwort angeben, nur eins reicht nicht.

Dank hierfür geht an Klaus Peras, der hat viel davon schon gewußt.

Im OmniVista macht man zur Nutzung für auto discovery folgendes
Discovery ->Ping Sweep -> Next
[New] SNMP Setup
Hier einen Namen angeben auf dem zweiten Reiter SNMPv3 angeben und auf dem letzten Reiter den Usernamen „Auth Method = MD5“ und Auth/Priv Password angeben.
Auf der nächsten Seite (Next) macht man eine Range und wählt das grade angelegte Setup.
Fertig.
Unter ->Toplogy -> Switches sollten die Geräte dann vorhanden sein.

Alcatel AOS PoE aktivieren

Will man auf PoE fähigen Alcatel-Switchen Power over Ethernet aktivieren, geht das ganz einfach:

lanpower 1 start

Ansehen kann man sich das ganz so:

show lanpower 1 Port Maximum(mW) Actual Used(mW) Status Priority On/Off ----+-----------+---------------+-----------+---------+------ 1 15400 0 Powered Off Low ON 2 15400 0 Powered Off Low ON 3 15400 0 Powered Off Low ON 4 15400 0 Powered Off Low ON 5 15400 3000 Powered On Low ON 6 15400 0 Powered Off Low ON 7 15400 0 Powered Off Low ON 8 15400 0 Powered Off Low ON 9 15400 0 Powered Off Low ON 10 15400 0 Powered Off Low ON 11 15400 0 Powered Off Low ON ..

Ein Fragezeichen auf der Cisco CLI eingeben

Manchmal muss man auf der Cisco CLI ein Fragezeichen eingeben, z.B. wenn man DHCP Options angeben will wo auf eine Webseite verwiesen wird und dort Parameter übergeben werden:
x.y.z/website.php?option=username

Auf der CLI bringt Cisco gleich die Kontext Hilfe. Will man das verhindern weil man halt wirklich ein „?“ braucht muss man vor dem Fragezeichen ein mal STRG+V benutzen.

M	D	M	D	F	S	S
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30