Netexpertise

Ayant de nombreux sites, il est très difficile de suivre la localisation du matériel, et même en faisant de son mieux, on n’est pas toujours au courant lorsque des personnes déplacent des ordinateurs ou des imprimantes sur un autre site sans le dire; Il peut aussi être utile de savoir la dernière fois qu’un matériel a été connecté.
Plus intéressant encore, avez-vous une idée de ce qui est sur votre réseau? Vérifiez quel matériel est inconnu et non enregistré sur GLPI.

Pré-requis:

– Ajouter les switches réseau dans GLPI en s’assurant que les champs nom (DNS), marque, lieu et type soient bien remplis

– Générer une paire de clés SSH et l’installer sur le serveur depuis lequel s’exécutera le script, installer la clé publique sur les switches pour pouvoir s’y connecter automatiquement sans mot de passe
La liste des switches supportés comprend les Cisco Catalyst, les HP Procurve* et les 3com mais pourrait être étendue facilement à d’autres constructeurs.
Consultez la documentation officielle de Cisco, HP et 3com pour installer la clé publique sur chaque switch.

– Configurer les variables GLPI (dans le script) et lancer le script bash
 

Fonctionnalités

– Récupère la liste des switches sur GLPI (enregistrés sous le nom « switch » dans matériel réseau)

– Se connecte aux switches et récupère la liste des adresses mac

– Si la mac est trouvée dans GLPI (dans ordinateurs, imprimantes ou matériel réseau), la date de dernière modification et le lieu sont mis à jour

– Dans le cas contraire, le fabricant associé à la mac est récupéré sur Internet. Un cache accélère la récupération si les 6 chiffres ont déjà été rencontrés

– Retourne le percentage d’adresses mac connues

– Informe si des doublons sont trouvés dans la base GLPI (une mac trouvée sur le réseau est enregistrée pour plusieurs matériels dans GLPI)

– Fonctionne sur les switches Cisco, HP* et 3com et pourrait être adapté à d’autres marques. Du matériel comme Cisco Small Business ne supporte pas l’authentification par clé SSH.

Le % s’améliore en renseignant le plus de macs possible dans GLPI
Vous n’avez pas idée du nombre de matériels qui se connectent à votre réseau!

* avec rancid

Téléchargement gratuit

 

Tags: GLPI

Le mot clé « QUOTE » est utile pour permettre à un utilisateur de lancer une commande système spécifique sur un serveur FTP (SITE ou ALLO par exemple). Ces commandes ne sont pas forcément reconnues du client.
 
La plupart des clients FTP envoient un NOOP – un paquet qui ne fait rien en réalité – pour garder la session ouverte

ftp> quote noop
200 NOOP ok.

 
QUOTE SYST retourne le système d’exploitation sur lequel tourne le serveur FTP, ou du moins donne un indice.
 
Regardez ces 2 exemples sur Linux Redhat et IBM i, le second donnant des détails très précis et notamment la version exacte de l’OS.

ftp> quote syst
215 UNIX Type: L8

ftp> quote syst
215  OS/400 is the remote operating system. The TCP/IP version is "V7R1M0".

 

Tags: FTP, sécurité

Les services Windows peuvent être lancés par des comptes de service (Microsoft Managed Account ou MSA) pour une sécurité accrue et une gestion simplifiée.
 
Cela fonctionne parfaitement jusqu’à ce que je reboote le serveur: impossible de démarrer le service. Ouvrir le service et remettre le mot de passe à blanc permet de le relancer, mais le problème revient au prochain reboot.
 
Qu’est-ce qui peut causer cela?
Revenons au message qui s’affiche après validation du compte de service: Le compte a reçu le privilège Ouvrir une session en tant que service.
Ce paramètre peut être écrasé par une stratégie de groupe (GPO) qui s’applique globalement au domaine.
 
Un moyen simple de vérifier quels comptes ont le privilège d’ouvrir une session en tant que service est via rsop.msc.

 
Naviguer vers
– Configuration ordinateur
-> Paramètres Windows
-> Paramètres de sécurité
-> Stratégies locales
-> Attribution des droits utilisateur

Vérifier que le compte de service fait partie de la liste sous l’onglet Paramètre de stratégie de sécurité. Si ce n’est pas le cas, mettre à jour la GPO et vérifier que la stratégie de groupe est bien en première position sous l’onglet Priorité.

Maintenant que vous avez vérifié les droits dans la GPO, le service devrait démarrer au prochain boot.

 

Tags: GPO, sécurité, Windows

Les comptes de service managés sont apparus avec Windows 2008 R2. Ils permettent d’avoir un compte dédié pour chaque service sans les contraintes de gestion comme l’affectation ou le changement de mot de passe. Moins de gestion, plus de sécurité.
Toutefois, un compte ne peut pas être utilisé sur plusieurs serveurs du domaine. Cela pourrait générer beaucoup de comptes de service mais ce n’est pas un réel problème.
 
La mise en place d’un compte de service managé Windows se fait en 2 étapes:
Sa création sur le contrôleur de domaine Active Directory puis son installation sur la machine où le service sera lancé.

Ajout d’un Compte de Service sur Active Directory

Sur le contrôleur de domaine, lancer les deux lignes suivantes en Powershell pour la création du compte. Cela ne peut se faire par une interface graphique utilisateur:

Import-Module ActiveDirectory
New-ADServiceAccount -Name Compte_de_Service -Enabled $true

Le compte apparaît sous « Managed Service Accounts » dans Utilisateurs et ordinateurs Active Directory. Cochez Fonctionnalités avancées sous l’onglet Affichage avant tout.

Puis affectez le compte à la machine où le service s’exécutera:

Add-ADComputerServiceAccount -Identity Serveur_Cible -ServiceAccount Compte_de_Service

Configurer le Service sur le Serveur Cible

Sur la machine cible, ajoutez la fonctionnalité module AD pour Powershell.

Naviguez dans:
Outils d’administration de serveur distant
   Outils d’administration de rôles
     Outils AD DS et AD LDS
       Module Active directory pour Windows PowerShell
 
Ensuite, installez le compte de service, toujours en Powershell:

Install-ADServiceAccount -identity Compte_de_Service

Finalement, vous pouvez configurer le démarrage du service avec le compte de service managé Windows, sous l’onglet Connexion.

Lancez le service par DOMAINE\Compte_de_Service$ en laissant le mot de passe à vide. N’oubliez pas le $ à la fin du nom du compte!

Consultez cet article si le service ne démarre pas suite au reboot du serveur. La politique de sécurité mise en place pourrait en être la cause.

 

Tags: Powershell, sécurité, Windows

Powershell fournit une méthode « count » qui paraît légitime pour compter des lignes, des fichiers ou des objets. J’ai été très surpris de constater que PowerShell ne retournait rien quand il devrait compter 0 ou 1.
 
Voici une capture d’écran où je retourne le nombre de comptes Active Directory, qui montre les résultats inattendus de count.
 

Utilisez plutôt la commande Measure-Object à la place et sélectionnez la valeur count:

C:\>(Get-ADUser -filter {SamAccountName -like "dron*"} |
     select SamAccountName | measure).count
1

 
En plus de la commande Measure-Object qui compte le nombre d’objets, vous pouvez utiliser la commande « tee » qui permet de stocker l’ensemble des résultats dans une variable et son nombre d’éléments dans une autre, en une seule ligne:
 

C:\>$nbComptes = (Get-ADUser -filter {SamAccountName -like "dr*"} |
                  select SamAccountName |
                  tee -Variable comptes | measure).count

C:\>$nbComptes
3

C:\>$comptes

SamAccountName
--------------
draguene
drondy
droze

 

Tags: Powershell