2014. április 17., csütörtök

Sok szék között a pad alá - avagy jelszóváltoztatás MS módra

Itt van nekünk ez a csoda Heartbleed bug. Ugyan az MS dolgait nem érinti, de mint jó szatócsboltban van it nekünk mindenünk: Amazon, O365, Linux, amitakarsz.
Tehát fogalmunk sincs, hogy mi érintett.
Mint jókis felhő alapú, szétszórt csapat, nem mindenki van belső hálón, nem mindenki használ Windows-t, stb.
Ráadásul a szolgáltatásaink jelentős része (a linuxosak is) AD integrált, felmerült, hogy testületileg jelszócsere kéne.
A Windows beépített a fentiek miatt szóba se jöhet. Webes kéne. Nézzük meg mik a lehetőségek:

1. OWA
Na az nem játszik. Miért? Mert O365 + Hybrid + ADFS + Dirsync + nincs jelszó szinkron.

2. ... az IISben volt valami izé erre ...
Volt. 2003-ban.

3. ... mintha olvastam volna valahol, hogy az ADFS-en van jelszócsere portál ...
Van.
A Windows Server 2012 R2-ben.
Az Amazonban meg van Windows Server 2012
R2? Na az nincs.
Lesz?
Ja. Majd.
Majd, ha fagy és hó lesz nagy. A kérdésre se válaszolnak, hogy mikor

4. 3d party?

Ja $5/per user, meg nem ettem meszet, egy nyamvadt jelszócserélőért nem fizetek ennyit, ráadásul mind ad egy rakás plusz funkciót feleslegesen.

5. ...mi lenne ha FIM-et használnák...

Ja persze, tök egyszerű termék, tíz perc alatt összekattogtatom, elvégre még sosem láttam.
Ja, hogy kell még neki egy SharePoint farm a jelszócsere portálhoz? :-D

Akkor valami kényszermegoldás?
Kettő maradt fenn a rostán:
  • Heggesszük be az IISADMPWD-t (2.-es pont) az IIS 8 alá
  • InPlace upgrade Windows Server 2012R2-re az Amazonban

Mindkettőre találtam megoldásokat. Az elsőt választottam, mert
  • Nem kell mindent szétrugni hozzá
  • Vélhetően kevesebb szívással, gyorsabban megvan

Az elsővel igazam volt. A másodikkal nem.
Felraktam
Megjelent a form
Beírtam az adatokat:
403.

Kipróbáltam minden tippet amit a neten találtam. Minden változott. Kivéve a...
403.

Tanácstalanságomban arra lettem figyelmes, hogy a 403-at egy http és nem egy https oldalra adja, sőtt a port sincs ott, amire az IIS site-ot raktam.
Hopp.
Lehülyítettem az egészet HTTP/80-ra.
És működik.
SSL bekapcsol
Még mindíg működik.
SSL enforce:
403

Belenéztem a kódba és csodát láttam. Félfix URL hivatkozások.
összevissza http és https linkek, server nevet nézünk, de mást (pl. portot) nem. A bázis virtuális könyvtár meg bedrótozva.
Kivágtam az összes forrásból ezt a katyvaszt, mindenhova relatív URL-eket raktam.

És láss csodát, működik.
Mindenhol, minden porton, SSL-el vagy anélkül, bármilyen virtuális könyvtárból.

Ez a kód utoljára 2005-ben került termékbe. Remélem azóta jobban megy a programozás.

Nincsenek megjegyzések:

Megjegyzés küldése