FreeBSD: Устранение ошибки DKIM-подписания в Amavisd-New 2.11.0

Устранение ошибок Я уже говорил, что мы выполняем DKIM-подписание исходящей корреспонденции с помощью Postfix и Amavisd-New. Невзирая на то, что указанная инструкция была написана давным-давно, содержащиеся в ней рекомендации продолжают быть актуальными по сей день. При этом многократные обновления всего программного обеспечения, включая операционную систему, никогда не нарушили работоспособность DKIM-подписания. Первое исключение из этого «правила» возникло после установки Amavisd-New версии 2.11.0 из коллекции портов.

Проблема, которой посвящена эта коротенькая заметка, заключалась в том, что Amavisd-New, обновленный до версии 2.11.0, перестал добавлять DKIM-подписи в отправляемые сообщения, обрабатываемые правилами банка политики ORIGINATING. При этом результаты выполнения команд amavisd showkeys и amavisd testkeys, а также содержимое /var/log/maillog (даже в режиме максимальной детальности) говорили об отсутствии каких-либо ошибок, связанных с ключами DKIM или операциями DKIM-подписания. Благодаря тому, что в нашем домене используется практика (она же — политика) подписания всех исходящих сообщений (в соответствующей DNS-зоне присутствует TXT-запись _adsp._domainkey.company.com со значением dkim=all), мы быстро узнали о возникновении проблем с отправкой почты некоторым корреспондентам и получении от них сообщений об ошибке 550 5.7.0 Message rejected per DKIM policy. Продолжить чтение »

Проверка параметров SSL/TLS-серверов в консоли FreeBSD

Проверка параметров SSL/TLS Если Вы захотите выяснить параметры SSL/TLS некоторого публичного HTTPS-сервера, Вам поможет не нуждающийся в представлении SSL Server Test от Qualys SSL Labs. А что делать, если потребуется проверить аналогичные параметры HTTPS-серверов, доступ к которым ограничен, или серверов FTP, IRC, IMAP, POP3, SMTP, XMPP и PostgreSQL, которые поддерживают SSL/TLS? Не думаю, что Вы сильно удивитесь, если я предложу воспользоваться популярными в мире Linux и Unix инструментами, к числу которых относятся OpenSSL, nmap и SSLScan.

Какие параметры мы будем проверять?

Эта заметка описывает относительно простые в использовании и доступные в большинстве операционных систем семейства Linux / Unix способы проверки таких параметров SSL/TLS-серверов, как свойства и отсутствие ошибок установки их собственных SSL-сертификатов (далее — сертификатов), свойства и корректность работы цепочек сертификатов, в состав которых входят серверные сертификаты, поддержка TLS-расширений Server Name Indication и OCSP stapling, поддержка SSL/TLS-протоколов (далее — протоколов), а также соответствующих им наборов шифров, и, наконец, наличие некоторых опасных уязвимостей. Невзирая на то, что для решения перечисленных задач хватит функциональности OpenSSL, я рекомендую Вам не игнорировать соответствующие возможности nmap и SSLScan, использование которых не требует специальной подготовки, а результаты работы предоставляются в более простой для восприятия форме. Продолжить чтение »

FreeBSD: Java в браузерах Mozilla Firefox, Chromium, Epiphany и Opera

OpenJDK Как и в описанном ранее случае с Flash, свежеустановленные браузеры Mozilla Firefox, Chromium, Epiphany и Opera для FreeBSD не поддерживают Java. Я не могу сказать, что добавление поддержки Java к любому из указанных браузеров является сложной задачей, однако из-за существования массы устаревших мануалов процесс поиска подходящего «рецепта» в лучшем случае может затянуться на достаточно продолжительное время, а в худшем — закончиться без получения ожидаемого результата.

Краткая историческая справка

В момент моего знакомства с FreeBSD в роли десктопной операционной системы для обеспечения поддержки Java в браузерах Mozilla Firefox, Konqueror и Opera лучше всего подходил плагин из пакета Diablo JDK 1.6 или его аналог из пакета JDK 1.6, собранного с опцией [X] WEB Enable the browser plugin and Java Web Start. Со временем перечисленные браузеры перестали поддерживать данные плагины, в связи с чем пришлось заменить их плагином из пакета OpenJDK 6, собранного с опцией [X] WEB Enable the browser plugin and Java Web Start. И, наконец, совсем недавно IcedTea-Web стал самостоятельным пакетом. В настоящее время только он позволяет обеспечить полноценную поддержку Java в последних версиях браузеров Mozilla Firefox, Chromium, Epiphany и Opera для операционной системы FreeBSD. Продолжить чтение »

FreeBSD: Вставка информации о пользователях Active Directory в отчеты SARG

Active Directory Если раньше генератор отчетов SARG (Squid Analysis Report Generator), работающий совместно с прокси-сервером Squid, настроенным с поддержкой каких-либо методов аутентификации клиентов по имени и паролю, позволял системным администраторам изменять имена пользователей, помещаемые в поле USERID создаваемых отчетов, только с помощью поддерживаемых вручную статических таблиц, то теперь (начиная с версии 2.3) SARG «научился» получать информацию о пользователях на LDAP-серверах.

Постановка задачи

По умолчанию SARG, работающий совместно со Squid, интегрированным в домен Active Directory (далее — домен) для обеспечения поддержки NTLM и basic аутентификации клиентов, помещает в поле USERID создаваемых отчетов login’ы пользователей вида iivanov, загружаемые из лога доступа Squid. Эта коротенькая заметка посвящена дополнительной настройке SARG, которая обеспечивает добавление в поле USERID создаваемых отчетов «человеческих» имен пользователей вида Иван И. Иванов, получаемых на LDAP-серверах, работающих на контроллерах домена. Продолжить чтение »