Microsoft Outlook MFA – problema password

twitterlinkedin

Quando attivate l’autenticazione multi fattore  in Office 365 potrebbe capitare di avere qualche problema con Outlook per Windows.
Il problema si palesa in un loop infinito di richiesta password dell’account email impostato.
A prescindere che voi mettiate correttamente l’app password creata appositamente, il sistema continuerà a chiedere la password.
Potrebbe anche capitare, invece, che la password non venga richiesta e che il collegamento a Exchange non vada a buon fine.

Per risolvere ho trovato questa soluzione.

 

  1. Chiudete Outlook e tutte le app della suite Office;
  2. Aprite “Gestione credenziali” e rimuovete le credenziali denominate “MicrosoftOffice16_Data…” e “outlook.office365.com”. Prima di rimuoverle, verificate che si riferiscano all’account in questione;
  3. Aprite “Editor del Registro di sistema” e alla chiave “Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity” aggiungete il valore DWORD (32 bit) “DisableADALatopWAMOverride” = 1;
  4. Aprite Outlook e alla richiesta della password inserite la password app.

 

A me è capitato e in questa maniera ho risolto il problema.
Da quanto ho capito, alcune build di Outlook hanno questo problema che non permette al sistema di riconoscere la password app; da qui nasce il loop infinito.
Mettendo quella chiave nel registro di sistema non si fa altro che forzare la nuova modalità di autenticazione, facendo si che venga riconosciuta la password app.

twitterlinkedin

Windows Server – Autologon per procedure schedulate a utente attivo

twitterlinkedin

L’accesso a un sistema Microsoft Windows prevede l’inserimento dell’utente e della relativa password. Si presentano situazioni, soprattutto sui sistemi server, dove le procedure schedulate e/o automatiche richiedono un accesso utente attivo. Questa specifica esigenza riguarda sia sistemi fisici che sistemi virtuali.

Per rendere automatico l’accesso dopo il riavvio del server di un utente con la propria password possiamo agire sul registro di sistema (sconsigliato per la scrittura in chiaro della password) o con l’utilizzo di un’utility ad hoc (consigliato per la cifratura della password).

Per farlo è sufficiente aprire il registro di sistema (Start > Esegui > regedit), navigare fino al seguente percorso:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon

e modificare le seguenti chiavi di registro:

AutoAdminLogon = “1”
DefaultUserName =
DefaultPassword = 1

DefaultPassword = Questo procedimento funziona, ma ha l’enorme difetto di costringere chi lo adotta a inserire la password in chiaro all’interno del registro: una falla di sicurezza non da poco, specialmente se stiamo parlando dell’utente Administrator.

Per risolvere questo problema è possibile utilizzare Autologon for Windows, un software gratuito sviluppato da Mark Russinovich e disponibile sul sito Sysinternals ( https://docs.microsoft.com/it-it/sysinternals/downloads/autologon ): il programma svolge una operazione del tutto analoga a quella descritta sopra, inserendo però la password in modalità criptata.

autologon-sysinternals-enable-autologin-windows

twitterlinkedin

OpenVPN Server – CentOS 7 x64

twitterlinkedin

In questo documento viene descritta la procedura per installare un server OpenVPN per la connettività verso l’azienda da sedi mobili remote. La soluzione è compatibile con i nuovi standard di sicurezza Apple ed utilizzabile dai sistemi operativi iOS, MAC OS, Microsoft Windows.

La configurazione proposta prevede la distribuzione lato client del certificato CA embedded nel file di configurazione e la preparazione di username/password per l’accesso account.

Per la preparazione del sistema operativo CentOS 7 x64 seguire l’articolo al link http://vlab.abconsultinggroup.eu/centos-7-perfetta-installazione-e-preparazione/ .

Installazione servizi

# yum install epel-release
# yum install openvpn easy-rsa -y

Configurazione chiavi RSA

# /usr/share/easy-rsa/2.0
# nano vars

# . vars
# ./clean-all
# ./build-ca
# ./build-key-server openvpn.abconsulting.local
# ./build-dh

Configurazione OpenVPN Server

# nano /etc/openvpn/server.conf
local 10.0.0.14
dev tun
proto udp
port 1194


ca /usr/share/easy-rsa/2.0/keys/ca.crt
cert /usr/share/easy-rsa/2.0/keys/openvpn.abconsulting.local.crt
key /usr/share/easy-rsa/2.0/keys/openvpn.abconsulting.local.key
dh /usr/share/easy-rsa/2.0/keys/dh2048.pem

user nobody
group nobody

server 10.8.0.0 255.255.255.0

persist-key
persist-tun

client-to-client

push "redirect-gateway def1"
push "dhcp-option DNS 10.0.0.1"
push "dhcp-option DOMAIN abconsulting.local"

status /var/log/openvpn-status.log 20
log /var/log/openvpn.log
verb 1

plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so login
client-cert-not-required
username-as-common-name

Configurazione routing

# nano /etc/sysctl.conf

# sysctl -p
# systemctl start iptables
# iptables -F
# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o ens32 -j MASQUERADE
# iptables-save > /etc/sysconfig/iptables
# systemctl enable iptables
# systemctl restart network.service

 il valore ens32 dipende dalla scheda di rete

Start e auto esecuzione server OpenVPN

# systemctl start openvpn@server.service
# systemctl enable openvpn@server.service

File di configurazione client

es: abgroup.ovpn


client
dev tun
proto udp
remote <ip pubblico della rete> 1194
resolv-retry infinite
nobind
persist-key
persist-tun
<ca>
il contenuto di questa parte è da ricavare eseguendo il comando
cat /usr/share/easy-rsa/2.0/keys/ca.crt e incollare qui all'interno
da
-----BEGIN CERTIFICATE-----
a
-----END CERTIFICATE-----
compresi
</ca>
auth-user-pass
verb 3

 

twitterlinkedin

Zimbra 8.7.x installazione multiserver – 4 nodi su CentOS 7 x64

twitterlinkedin

Documentazione ufficiale Zimbra

Zimbra Open Source – Administrazion Guide 8.7
Zimbra Open Source – Multi-Server Installation Guide 8.7

Installazione Zimbra 4 nodi

Per la preparazione del sistema operativo CentOS 7 x64 di ogni nodo seguire la guida al link http://vlab.abconsultinggroup.eu/centos-7-perfetta-installazione-e-preparazione/ .

ip=10.0.0.24 host=24-c7-01.abconsulting.local ruoli=LDAP(ZIMBRA), DNS(SYSTEM)
ip=10.0.0.25 host=25-c7-02.abconsulting.local ruoli=MAILBOXSTORE(ZIMBRA), UI(ZIMBRA), LOGGER(ZIMRA)
ip=10.0.0.26 host=26-c7-03.abconsulting.local ruoli=MTA(ZIMBRA)
ip=10.0.0.27 host=27-c7-04.abconsulting.local ruoli=PROXY(ZIMBRA), MEMCACHED(ZIMBRA)

Preparazione NODO01=24-c7-01

** disattivazione postfix
# systemctl stop postfix
# systemctl disable postfix

** configurazione DNS
# nano /etc/hosts

** configurazione dnsmasq, e rete host su DNS
# nano /etc/dnsmasq.conf
** preparazione dominio d’ufficio @abconsulting.local

** a fine file aggiungere i due server per inoltro richieste

# systemctl start dnsmasq
# systemctl enable dnsmasq
** configurare l’host NODO01 a utilizzare se stesso come risolutore nomi FQDN DNS
# nmtui

# systemctl restart network
# cat /etc/resolv.conf

** installazione LDAP(ZIMBRA)
# cd /tmp
# wget https://files.zimbra.com/downloads/8.7.7_GA/zcs-8.7.7_GA_1787.RHEL7_64.20170410133400.tgz
** copiare il pacchetto .tgz nella /tmp negli altri 3 nodi attraverso il comando scp
# tar zxfv zcs-8.7.7_GA_1787.RHEL7_64.20170410133400.tgz
# cd zcs-8.7.7_GA_1787.RHEL7_64.20170410133400
# ./install.sh
** RUOLI=ldap


** alla comparsa del menu scegliere l’opzione 2 e configurare tutte le pass. e segnarle nel proprio documento di installazione; verranno richieste per la conf. dei successivi NODI.

Preparazione NODO02=25-c7-02

** disattivazione postfix
# systemctl stop postfix
# systemctl disable postfix

** configurare l’host NODO02 a utilizzare il NODO01 come risolutore nomi FQDN DNS
# nmtui
# systemctl restart network
# cat /etc/resolv.conf

# cd /tmp
# tar zxfv zcs-8.7.7_GA_1787.RHEL7_64.20170410133400.tgz
# cd zcs-8.7.7_GA_1787.RHEL7_64.20170410133400
# ./install.sh
** RUOLI=logger, store, apache, spell (il ruolo logger va installato solo su un mailbox store)

** al momento del menu, configurare in sequenza:
** 1) common configuration > LDAP (mettendo i dati del NODO01), andare su NODO01 in ssh ed eseguire da utente zimbra il comando # zmlocalconfig -s | grep ldap e inserire la pass visualizzata dal parametro zimbra_ldap_password
** 4) zimbra-store > 9) smtp-host = mettere i dati del NODO03 (anche se ancora da preparare)

Preparazione NODO03=26-c7-03

** disattivazione postfix
# systemctl stop postfix
# systemctl disable postfix

** configurare l’host NODO03 a utilizzare il NODO01 come risolutore nomi FQDN DNS
# nmtui
# systemctl restart network
# cd /tmp
# tar zxfv zcs-8.7.7_GA_1787.RHEL7_64.20170410133400.tgz
# cd zcs-8.7.7_GA_1787.RHEL7_64.20170410133400
# ./install.sh
** RUOLI=mta

** al momento del menu, configurare in sequenza:
** 1) common configuration > LDAP (mettendo i dati del NODO01), andare su NODO01 in ssh ed eseguire da utente zimbra il comando # zmlocalconfig -s | grep ldap e inserire la pass visualizzata dal parametro zimbra_ldap_password
** 3) zimbra-mta > postfix ldap user e amavis ldap user quelle impostate durante la creazione del NODO01

Preparazione NODO04=27-c7-04

** disattivazione postfix
# systemctl stop postfix
# systemctl disable postfix

** configurare l’host NODO04 a utilizzare il NODO01 come risolutore nomi FQDN DNS
# nmtui
# systemctl restart network
# cd /tmp
# tar zxfv zcs-8.7.7_GA_1787.RHEL7_64.20170410133400.tgz
# cd zcs-8.7.7_GA_1787.RHEL7_64.20170410133400
# ./install.sh
** RUOLI=memcached, proxy (il ruolo memcached va installato solo su un proxy)

** al momento del menu, configurare in sequenza:
** 1) common configuration > LDAP (mettendo i dati del NODO01), andare su NODO01 in ssh ed eseguire da utente zimbra il comando # zmlocalconfig -s | grep ldap e inserire la pass visualizzata dal parametro zimbra_ldap_password
** 4) zimbra-proxy > nginx ldap user quella impostate durante la creazione del NODO01

SET-UP  Finale dei NODI

**!! su ogni NODO (01, 02, 03, 04) eseguire i seguenti comandi:

** da utente zimbra
# su – zimbra
# zmupdateauthkeys

** da utente root
# /opt/zimbra/libexec/zmsyslogsetup

**!! solo sul NODO02 (MAILBOX+LOGGER)
# nano /etc/rsyslog.conf
** togliere il commento alle righe in screen

# nano /etc/sysconfig/rsyslog

SYSLOGD_options=”-r -m 0″

# systemctl restart rsyslog

** i DNS record MX devono essere riposizionati sul NODO03(MTA)
** modificando il file /etc/dnsmasq.conf presente nel NODO01

** verifica su tutti i NODI (01, 02, 03, 04) del parametro
# su – zimbra
$ zmprov gacf | grep zimbraLogHostname
zimbraLogHostname: 25-c7-02.abconsulting.local

 

twitterlinkedin

VMWare e licenze ROK (brand HP, DELL)

twitterlinkedin

Le licenze MS Windows possono essere acquistate godendo dello sconto del brand (ad es: HP o DELL) solo se queste vengono installate su hardware dedicato. Il controllo di queste licenze (che avviene durante l’installazione) può trovare impedimenti se l’ambiente è virtualizzato. In questo caso la licenza non trova le specifiche hardware a cui è legata.

Il risultato è il blocco dell’installazione.

Failed Bios Lock when installing Windows 2012 ROK on VMware

In ambiente VMWare è possibile trasferire in modo trasparente le informazioni BIOS dell’hardware al sistema operativo guest impostando il parametro

smbios.ReflectHost = TRUE

Di seguito le schermate per impostare correttamente il parametro nella VM.

vmproperties

aggiungere la riga seguente nella lista parametri:

VMware issue

twitterlinkedin

Open Source: Zimbra 8.7 – ActiveSync – Autodiscover – Z-Push 2.3.0 – Zimbra Backend 64 – CentOS 6.8 x64

twitterlinkedin

L’uscita di Zimbra 8.7 e dei nuovi telefoni basati sui sistemi Android rende necessario un aggiornamento alle ultime release di ActiveSync Open Source. In questo articolo verrà trattata la completa installazione e configurazione di un server CentOS 6.8 64bit che svolgerà il compito di ActiveSync verso i mobile per la soluzione di posta elettronica e collaborazione basata su Zimbra 8.7.

Premessa

Server Zimbra
Nome HOST: zimbra.dev.andreabalboni.com
IP HOST Zimbra: 10.0.0.20/24
Iptables e SELINUX disattivati

Server ActiveSync/Autodiscover
nome host: activesync.dev.andreabalboni.com
ip host: 10.0.0.19/24
Iptables e SELINUX disattivati

Verifica iptables disattivato

# iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Verifica SELINUX disattivato

# cat /etc/selinux/config

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing – SELinux security policy is enforced.
# permissive – SELinux prints warnings instead of enforcing.
# disabled – No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
# targeted – Targeted processes are protected,
# mls – Multi Level Security protection.
SELINUXTYPE=targeted

Installazione / Configurazione Server ActiveSync / Autodiscover

I punti che verranno svolti saranno:

1- installazione web server (httpd)
2- installazione php ver. 5.4
3- creazione del certificato autofirmato SSL (durata 10 anni)
4- configurazione del server web verso la zona z-push (2.3.0)
5- download, installazione e configurazione z-push e autodiscovery
6- installazione e configurazione backend zimbra (6.4) per z-push (2.3.0) e Zimbra (8.7)

1- installazione web server (httpd)

Accedere con utente root al sistema CentOS 6.8 x64
# yum install httpd
# yum install mod_ssl openssl

2- installazione php ver. 5.4

Per installare php ver. 5.4 è necessario abilitare un repository alla CentOS 6.8.
Vedi articolo http://vlab.abconsultinggroup.eu/centos-567-installazione-php-5-3-es-php-5-4/

Pacchetti da abilitare per activesync/autodiscovery.
# yum install php54w.x86_64 php54w-cli.x86_64 php54w-soap.x86_64 php54w-process.x86_64 php54w-mbstring.x86_64

3- creazione del certificato autofirmato SSL

Accedere con utente root al sistema WEB Server php/httpd

# openssl genrsa -out ca.key 1024
# openssl req -new -key ca.key -out ca.csr
# openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt
# cp ca.key /etc/pki/tls/private/
# cp ca.csr /etc/pki/tls/private/
# cp ca.crt /etc/pki/tls/certs/

4- configurazione del server web verso la zona z-push
Accedere con utente root al sistema WEB Server php/httpd

# mkdir /var/www/html/zpush
# mkdir /var/log/zpush
# nano /etc/httpd/conf/httpd.conf

 

NameVirtualHost *:443

Alias /Microsoft-Server-ActiveSync /var/www/html/zpush/index.php
AliasMatch (?i)/Autodiscover/Autodiscover.xml “/var/www/html/zpush/autodiscover/autodiscover.php”

<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /etc/pki/tls/certs/ca.crt
SSLCertificateKeyFile /etc/pki/tls/private/ca.key
<Directory /var/www/html/zpush>
AllowOverride All
php_flag magic_quotes_gpc off
php_flag register_globals off
php_flag magic_quotes_runtime off
php_flag short_open_tag on
</Directory>
DocumentRoot /var/www/html/zpush
ServerName activesync.dev.andreabalboni.com
</VirtualHost>

5- download, installazione e configurazione z-push

# wget http://download.z-push.org/final/2.3/z-push-2.3.0.tar.gz
# tar zxfv z-push-2.3.0.tar.gz
# cd z-push-2.3.0
# cp -R * /var/www/html/zpush/.
# mkdir /var/www/html/zpush/state
# mkdir /var/www/html/zpush/backend/zimbra

Configurazione z-push

# nano /var/www/html/zpush/config.php

conf#01

* Default settings
*/
// Defines the default time zone, change e.g. to “Europe/London” if necessary
define(‘TIMEZONE’, ‘Europe/Rome’);

conf#02

*/
define(‘USE_FULLEMAIL_FOR_LOGIN’, true);

conf#03

*/
define(‘STATE_MACHINE’, ‘FILE’);
define(‘STATE_DIR’, ‘/var/www/html/zpush/state/’);

conf#04

// Filelog settings
define(‘LOGFILEDIR’, ‘/var/log/zpush/’);
define(‘LOGFILE’, LOGFILEDIR . ‘zpush.log’);
define(‘LOGERRORFILE’, LOGFILEDIR . ‘zpush-error.log’);

conf#05

// SYNC_FILTERTYPE_1MONTH, SYNC_FILTERTYPE_3MONTHS, SYNC_FILTERTYPE_6MONTHS
define(‘SYNC_FILTERTIME_MAX’, SYNC_FILTERTYPE_6MONTHS);

conf#06

* Backend settings
*/
// the backend data provider
define(‘BACKEND_PROVIDER’, ‘BackendZimbra’);

Configurazione Autodiscovery

Il sistema Autodiscovery è legato al DNS pubblico del dominio. Nel caso di un dominio di posta elettronica @domain.ltd, dovrà essere definito il record A nel DNS pubblico come autodiscover.domain.ltd verso l’ip pubblico del webserver su cui viene configurato l’autodiscovery e lo zpush. Nel nostro caso il dominio su cui stiamo lavorando è @dev.andreabalboni.com e il record A definito per l’autodiscovery è autodiscovery.dev.andreabalboni.com .

# nano /var/www/html/zpush/autodiscover/config.php

conf#01

*/
// Defines the default time zone, change e.g. to “Europe/London” if necessary
define(‘TIMEZONE’, ‘Europe/Rome’);

conf#02

// The Z-Push server location for the autodiscover response
define(‘SERVERURL’, ‘https://activesync.dev.andreabalboni.com/Microsoft-Server-ActiveSync’);

conf#03

define(‘USE_FULLEMAIL_FOR_LOGIN’, true);

conf#04

*/

define(‘LOGBACKEND’, ‘filelog’);

define(‘LOGFILEDIR’, ‘/var/log/zpush/’);
define(‘LOGFILE’, LOGFILEDIR . ‘autodiscover.log’);
define(‘LOGERRORFILE’, LOGFILEDIR . ‘autodiscover-error.log’);

conf#05

*/
// the backend data provider
define(‘BACKEND_PROVIDER’, ‘BackendZimbra’);

 

6- installazione e configurazione backend zimbra per z-push

# wget http://downloads.sourceforge.net/project/zimbrabackend/Release64/zimbra64.tgz?r=https%3A%2F%2Fsourceforge.net%2Fprojects%2Fzimbrabackend%2F&ts=1472108441&use_mirror=kent
# tar zxfv zimbra64.tgz
# cd zimbra64
# cd z-push-2
# cp -R * /var/www/html/zpush/backend/zimbra/.
# chown -R apache:apache /var/www/html/zpush /var/log/zpush
# chmod -R 775 /var/www/html/zpush /var/log/zpush
# nano /var/www/html/zpush/backend/zimbra/config.php

conf#01

// define(‘ZIMBRA_URL’, ‘https://127.0.0.1’);

define(‘ZIMBRA_URL’, ‘https://zimbra.dev.andreabalboni.com:8443’);

 

twitterlinkedin

CentOS 5/6/7 – installazione PHP > 5.3 – es: php 5.4

twitterlinkedin

Per installare PHP successiva alla versione proposta dal sistema (repository di default) CentOS, si devono abilitare nuovi repository. Di seguito le versioni CentOS e i relativi comandi YUM.

CentOS / RHEL 7.x

rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm

CentOS / RHEL 6.x

rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm
rpm -Uvh https://mirror.webtatic.com/yum/el6/latest.rpm

CentOS / RHEL 5.x

rpm -Uvh https://dl.fedoraproject.org/pub/epel/epel-release-latest-5.noarch.rpm
rpm -Uvh http://mirror.webtatic.com/yum/el5/latest.rpm

Eseguendo il comando di seguito si possono verificare le nuove versioni di PHP installabili sul proprio sistema CentOS/RHEL.

yum search php

twitterlinkedin

Open Source Email Platform – Zimbra Collaboration Open Source Edition

twitterlinkedin

Zimbra offers an open source email platform  for the enterprise. Easily customize, extend and integrate Zimbra with line-of-business applications and organizational workflows.

Sorgente: Open Source Email Platform – Zimbra Collaboration Open Source Edition

twitterlinkedin

CentOS 7 – PPTPD Vpn, how to

twitterlinkedin

Accesso al sistema SSH da root e seguire i comandi di installazione librerie attraverso l’utility yum.

Installazione librerie PPTPD

# yum install ppp pptp pptp-setup
# rpm -Uvh https://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-5.noarch.rpm
# yum install ppp pptpd

Configurazione servizio PPTPD

# nano /etc/pptpd.conf

localip 10.0.0.15
remoteip 10.0.0.200-210

# nano /etc/ppp/chap-secrets

USERNAME pptpd PASSWORD *

# nano /etc/sysctl.conf

net.core.wmem_max = 12582912
net.core.rmem_max = 12582912
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.core.wmem_max = 12582912
net.core.rmem_max = 12582912
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.core.wmem_max = 12582912
net.core.rmem_max = 12582912
net.ipv4.tcp_rmem = 10240 87380 12582912
net.ipv4.tcp_wmem = 10240 87380 12582912
net.ipv4.ip_forward = 1

# sysctl -p
# systemctl enable pptpd
# systemctl start pptpd

twitterlinkedin

VMWare ESXi 5.x – comandi utili da shell SSH per gestione virtual machines

twitterlinkedin

Lista delle macchine virtuali presenti nell’host ESXi:
vim-cmd vmsvc/getallvms

Stato di una specifica macchina virtuale nell’host ESXi:
vim-cmd vmsvc/power.getstate VMID

Spegnimento in modalità SHUTDOWN di una macchina virtuale specifica nell’host ESXi:
vim-cmd vmsvc/power.shutdown VMID

Spegnimento forzato (modalità POWEROFF):
vim-cmd vmsvc/power.off VMID

Accensione di una macchina virtuale specifica nell’host ESXi:
vim-cmd vmsvc/power.on VMID

twitterlinkedin