Tag Archives: ma-sa

double failures

In anii astia de acum (adica 2014/2015) eu nu pricep de ce vreun producator de echipamente ar face doar echipamente cu o interfata “IN” si una “OUT” si desi face clustering, nu poti face agregare in nici un fel astfel incat sa ai protectie in caz de pica switch-ul A si echipamentul B (incrucisat adica). Complicat nu este, mai ai un nivel de abstractizare cu impact minim ca toti linucsii astora de fac “appliance”-uri stiu de bonding si alte crapuri.

Srsly, nu pricep de ce toti zic, eh, lasa ca te descurci tu cum faci asta, noi nu vrem sa te ajutam in nici un fel, noi punem cat mai putine interfete pe chipamente si aia e.

Scapi de nenumarate griji cu un setup din asta, se pot strica chestii si poti sa-ti vezi de ale tale pana ai timp sa le repari tot asa… dar nu, s-au gandit unii ca de ce sa fie simplu cand poate sa fie complicat.

Asta e un rant de voiam sa-l zic de mai demult, de prin mai, da a trebuit sa fixez ce era muit si am uitat de el. Priorities, priorities.

217/2015

Ce poate suna mai bine a democratie si libera exprimare decat o lege care sa-ti spuna ce trebuie sa gandesti cu privire la anumite chestii?

Mai nou (sau mai vechi) nu mai ai voie sa ai propriile pareri despre ce chestii “istorice” in afara celor oficiale: Hitler rau, Antonescu rau (ala din ’40, nu imbecilul de azi), Ceausescu rau, Holocaust rau, miscarea legionara rea, si alte asemenea.

Daca ai alte pareri, noua lege zice ca de la 3 luni sau ani pana la vreo 7 ani de parnaie sau amenda, sau cat cacat scrie acolo.

Pe vremea lui Ceausescu, iti luai bulau daca erai de alta parere decat partidul: capitalism rau, americanii rai, blugii rai, muzica vestica rea. A, oops, acum o sa vina sa ma caute militienii gandirii ca am vorbit de Ceausescu. A, wait, de fapt nu, ca n-am zis nimic bun de el.

Acum iti iei bulau daca zici ca a fost bun comunismul. Nu ca atunci, acum e democractic, s-a votat treaba asta, nu s-a dictat. Deci e bine.

Sa mai bagam o fisa: “N-o sa puteti voi varui cat a construit tata”. Sa mai zica lumea ca la ‘jde de ani de la revolutie ca n-a facut Ceausescu lucruri bune. Asa, acu cre’ca am pus-o, sa vina strajerii dreptatii sa ma amendeze sau sa ma arunce in temnita la re-educare ca nu sunt de acord cu ei ca Ceausescu a fost un din ala de a facut genocid sau ce alte crapuri se mai zic astia c’a facut.

Abia astept si o lege prin care 1+1=2.5 sau 3 sau 1 in functie de judetul unde pui intrebarea.

irony

disk cleanup on windows server

Pe Windows Server 2008 R2, daca instalezi patch-uri sau service pack-uri, toate fisierele inlocuite sunt copiate intr-un backup pentru fiecare patch in parte. Lucru OK de altfel, sa poti sa faci rollback in caz de buba cu patch-ul sau service pack-ul. Doar ca in timp crapurile astea se aduna si incep sa consume spatiu pe discul de boot, care de obicei nu e cel mai mare disc din lume :)

Daca vrei sa faci curat, exista doua variante:

  • Stergi de mana chestii de prin directoarele lui Windows si speri ca nu strici nimic
  • rulezi Disk Cleanup de la MS si face ala curat cum trebuie si unde trebuie

Eh, Disk Cleanup asta vine in kit-ul de Windows Server, numai ca in inteligenta lor prea-marita s-au gandit ca de ce sa fie simplu cand poate sa fie complicat si au bagat Disk Cleanup intr-un feature numit Desktop Experience (probabil doar aia cu laptop-uri si desktop-uri cu Windows Server pe ele mai au nevoie sa curete mizerii din sistem) si trebuie sa-l instalezi. Care cacat de feature vine si cu plugin-uri de “Ink and Handwriting Service”, ca sigur o sa infig un asemenea dispozitiv intr-un server… Si ca sa fie cacatul si cu cireasa pe deasupra, dupa ce pui toate astea, trebuie sa dai restart la masina sa se instaleze ce mortii lui are nevoie sa instaleze.

Si uite asa pentru o chestie simpla, consumi timp si resurse aiurea because, fuck logic…

religia in scoala

La un moment dat in istoria noua a Romaniei, din motive de prostie crunta, Parlamentul a zis ca este OK daca in scoala se vor face ore de religie. Cu japca. Pentru ca neam ortodox si alte crapuri de genul asta.

Anul trecut, CCR a decis ca rahatul asta cu religia in scoala trebuie sa fie daca parintii vor si nu cu japca cum era pana acum.

Si cum carnatul ala de sef al BOR nu poate gandi ca in Romania n-o sa mai fie atat de multi indoctrinati religiosi care sa dea bani la biserica, a facut un calcul mic si a inceput sa plateasca tot felul de (semi-)vedete autohtone sa faca campanie pentru a convinge parintii ca este absolut OK ca in anul de gratie 2015, copiii lor sa invete despre religie si cum daca nu dai bani la biserica n-o sa ai noroc in viata si alte cacaturi din astea.

Pe langa asta, alti carnati complet indoctrinati au inceput sa faca presiuni directe sau indirecte asupra parintilor: ca daca nu-si inscriu copiii la orele de religie, n-o sa mai aiba popii ore si n-o sa mai primeasca salariu; ca o sa fie exclusi copiii din activitati, ca nu se cade sa nu inveti despre biserica (probabil cum sa dai bani mai abitir la popi si cum sa deosebesti lumanarile certificate de alea false din Obor).

Ma uit prin Bucuresti si mi se pare absolut infricosator sa existe atat de multe biserici. Pe unde ar fi loc de un parc sau de un loc de joaca, hop o biserica. Jur, sunt mai multe biserici in Bucuresti decat moschei in Dubai sau Abu Dhabi – si oamenii aia de acolo chiar sunt religiosi si se roaga in fiecare zi de vreo 5 ori asa.

Si presa, pentru ca informarea echilibrata a cititorilor se face pe baza “ce subiect vinde cel mai bine” baga articole dupa ureche: ba e OK cu religia, ba nu e OK cu religia in scoli.

In Romania, in 2015 avem olimpiada la Religie. LA RELIGIE, for fuck sake. Sa scrii compuneri despre cum sa sugi ultima ramasita de moaste cand te faci ca le pupi. Sa ai noroc in viata si sa castigi garantat la loterie de fiecare data, sa donezi tot castigul dupa aia la BOR sa se faca palatul popilor cat mai repede.

N-am nimic cu credinta oamenilor, sa creada in serpilieni, reptilieni, dumnezei si in ce-or vrea ei. Da sa si-o tina in pantaloni.

Se duce pulii de suflet totul, dar important este ca avem zeci de mii de biserici. Ca scoli, spitale, parcuri nu ne trebuie. Important e sa avem biserici cu boxe pe afara sa auzim din departare cum scherlaie popii povesti si cum cer bani. Ca nu le ajung aia alocati cu nemiluita de guvern. Din taxele tuturor, ca asa e frumos. De ce sa inveasteasca statul in ceva util cand poate investi in popi?

Cum zicea George Carlin: a facut Dumnezeu pamantul, luna, stelele, cerul, animalele, oamenii, dar i-a dat cu virgula la bani si atunci a inventat biserica pentru asta – sa stranga bani pentru el ca nu stie cum sa-i faca singur.

Asa ca la lupta tovarasi, ca altfel o sa mai avem multe generatii care’si fac casa in albia raului si cand vine inundatia anuala o sa declare senini ca “asa a vrut bunul dumnezeu”. Si o sa inceapa sa o reconstruiasca tot acolo, ca sigur urmatorul an n-o sa mai aibe atata ghinion, ca doar au donat la BOR si au pupat moastele.

Citat dintr-un ziar: “„Conform „Raţiunii”, pe anul financiar 1911-1912, bugetul în România fusese de 9.195.744 lei pentru Casa Bisericilor şi doar 5.180.705 lei pentru „Casa Şcoalelor”. În consecinţă se aprecia faptul că: «Statul întreţinea 780 de paraziţi călugări în 38 de mănăstiri şi schituri şi 1.752 de călugări în 30 de case de prostituţie care se numesc mănăstiri de maici. Ce folos trage societatea de pe urma acestor trântori ? Desigur că nimeni nu poate răspunde»“.” — Acum oare cate mii de paraziti sunt intretinuti de stat?

Alt citat: “„Oameni buni! Avem nevoie de şcoli, de lumină, de cultură, nu de popi, de întuneric şi de ignoranţă, de exploatarea prostii omeneşti de către om. Dacă încercaţi vreodată sentimentul larg al expansiunii omeneşti, daţi atunci pentru şcoli, căci şcoala va fi evanghelia viitorului!“” — Aici se aplica treaba aia cu: cine nu invata istoria, este sortit sa o repete.

paharul naravas

Aseara stateam in fata unui pahar. Mai sorbeam un pic din el, ma mai uitam la el. Ne imprieteniseram un pic asa. Pana cand m-a atacat din senin, sarind direct pe degetul mare de la picior.

Si degetul s-a suparat ca n-am ripostat ca nu l-am tras pe pahar la raspundere si s-a umflat sangele in el. Dar ghinion, ca s-a umflat unde nu trebuia, sub unghie.

Asa ca de dimineata in loc sa ma trezesc cand trebuia sa sune ceasul, m-a trezit degetul, ca bai avem o problema.

Am schioptat incet-incet pana la Floreasca la urgente la Ortopedie sa vad care mai e treaba pe acolo. Mi-am facut si vreo 2-3 radiografii la deget, din toate pozitiile de ziceam ca-s la sedinta foto: acum drept, acum aplecat intr-o parte, acum si de deasupra…

Acolo radiografia functioneaza pe principiul urgentele primele, aia din spital pe locul doi si daca nu mori, stai la coada. Si am stat, am schiopatat pe acolo, intr-un final am ajuns sa ma iradiez un pic de control.

Noroc ca nu s-a rupt nimic, dar aveam un hematom de toata frumusetea. Cum statea el sub unghie ca manechinul in vitrina si se uita la mine. Si la doctor, care doctor s-a suparat pe el si a zis ca-l rezolva sa nu se mai uite asa.

Si acum, partea interesanta – cum se repara una din asta:

  1. Imbibi niste vata in spirt si ii dai foc.
  2. Iei un ac mai gros asa si il inrosesti in focul creat la pasul 1.
  3. Cu acul rosu dai o gaura in unghie pana iese sangele. Dupa aia mai impingi un pic de control, sa fii sigur.
  4. Repeti pasul trei de vreo 3-4 ori in zone diferite pana obtii o fantana arteziana de toata frumuseata
  5. Strangi din dinti cat faci pasii 3-4, ca e live fara nici un fel de anestezic
  6. Bandajezi piciorul, incerci sa-l pui la loc in bocanc si te duci acasa.

Daca ai sange rece, poti face asta si acasa fara nici un fel de problema :)

A venit un asistent si mi-a explicat cele de mai sus pe scurt: “O sa-ti dam niste gauri cu un ac inrosit in foc. Esti de acord?”. M-am uitat la el, m-am uitat la deget si am zis: “Ce poate sa fie rau in asta?”.

Discutiile intre doctor si asistenti erau misto, “hai sa ii dam foc” – cand vorbeau despre mine in spatele cortinei. Asta e momentul ala incepi sa te gandesti ca de obicei expresiile de genul “ce poate fi rau in asta?” sunt de obicei “famous last words” :))

Acum degetul meu arata de parca a fost impuscat cu alice. Si toata saptamana trebuie sa stau cu el in sus sa nu i se mai urce sangele la unghie, sa iau niste pastile, sa mai schimb bandajul si sa astept sa scada tensiunea in unghie. Si sa merg pe calcaie.

there be dragons

Una din chestiile de le-am avut de facut in ultima vreme a fost sa opresc vreo 4 masini. Cate doua in cate un DC, easy peasy – bag repede doua tichete si aia e, am zis io.

Unul a mers OK, altul s-a intors cu “si unde zici ca sunt masinile alea de trebuie oprite?”. Asta se intampla undeva saptamana trecuta. Am intrebat si io prin birou daca stie careva cam in ce rack ar fi alea sau daca exista vreo documentatie pe undeva, ca tot e corporatia procedurizata pana la sfantu’ asteapta. Se pare ca nu, asta dupa ce a fost ucis fileserverul cu o cautare dupa numele masinilor prin toate fisierele de pe acolo.

Azi intr-un final, oarecum convins ca am gasit cel putin una din ele cele doua masini care se ascundeau am incercat sa descopar unde e. Pare’se ca e asa veche masina aia ca SSH-ul stie doar DES. Da, DES, nici macar 3DES. Si desi e AAA centralizat, sunt permisiunile asa bine facute ca pot sa ma loghez si sa-mi bat un cui in talpa, ca show nu se poate de nici o culoare. In schimb pe switch-urile de pe langa masina ma logheaza direct ca enable 15, ca e OK daca pun reteaua in cur, masinile sunt sigure in continuare.

Anyway, din switch in switch am ajuns la switch-ul care trebuie, dupa care facut un alt tichet in care sa cer “cable tracing” sa aflu unde duce cablul. Si minune, chiar duce intr-un rack. Si minune, ce scrie pe masina e diferit de scrie in configuratie si e si diferit de ce mai stiau oamenii din DC, ca am primit un raspuns la tichet cu “A, se cheama XXX da inainte s-a chemat YYY”.

Schema de numire a rack-urilor cred ca e facuta de oameni care au master in “de ce sa fie simplu cand poate sa fie complicat” ca altfel nu mi-o explic: XQ/J2W. De ce ai numi un rack asa? N-ar fi mai simplu sa-i zici Row XX Rack YY sau cat de cat similar sa stii sa-l cauti? Ca am asa o vaga impresie ca nu e nimic crescator in schema aia de denumire.

Si uite asa am ajuns sa pot sa actualizez primul tichet sa le zic la oamenii de acolo ce sa scoata din priza. In mare parte aceeasi oameni care au cautat cablurile.

In alta ordine de idei, azi m-am simtit un pic cam pe la muzeu plimbandu-ma pe diverse echipamente, asa ca n-a fost chiar o zi pierduta.

PC LOAD LETTER

ticketland strikes back (2)

Pe principiul “de ce sa fie simplu cand poate sa fie complicat”, azi am avut o intrevedere foarte interesanta cu o tanti de la departamentul de Change Management. Care departament se ocupa cu validarea Work Orderelor sa fie conforme cu standardul de firma si nu cumva sa lipseasca vreo virgula sau ceva de undeva.

Ocazie cu care am aflat ca:

  • Regresiile (asa numesc ei operatiunile de rollback) se fac in timpul implementarii si nu dupa implementare in caz de bubu.
  • In caz de regresie, trebuie date instructiuni clare la OPS: verificati ca, casuta cu checkbox-ul trebuie sa nu fie Checked asa cum v-am zis.
  • Exista un task special de verificare, in care a trebuit sa scriu ca “facem logout si login din nou si verificam ca checkbox-ul este checked asa cum trebuie”
  • Ca lista cu echipele de aprobare nu se genereaza automat in functie de actiuni si/sau impact, ci este adaugata manual dintr-un Excel care are in mare 2 coloane: produs si ce echipe trebuie sa zica DA sau NU. Ca aprobarile sunt la misto: in cazul de fata, trebuia aprobat de echipa mea si de aia de implementare. Ca sa citez pe un coleg: adica ti-ai aprobat singur tema de casa?
  • Ca o sa primesc mail de la system sa ma anunte sa-mi aprob stuff si sa alerg pe restul de echipe (norocul meu ca acu era doar una) sa-mi aprobe WO, ca altfel se amana  automat si stau s-o frec la rece inca 7 zile pana imi vine randul.
  • Daca nu exista impact operational, nu e voie sa scriu NONE la impact, trebuie sa dau o descriere de ce nu e impact.
  • Daca nu primesc mail de la sistem, trebuie sa vorbesc cu nenea anume care se ocupa cu asta.

Dupa ce am ajuns la birou, am mai stat un pic si am avut privilegiul sa-mi aprob singur primul WO si sa dau mail la ailalata echipa sa-si aprobe munca :)

ticketland strikes back

Ma bucuram acu cateva luni c-am scapat din TicketLand.

Eh, unele bucurii dureaza putin. Acu am nimerit in tata ticketlandului. Orice se face numai cu tichete, pentru ca altfel nu e bine. Si ca sa fie treaba complicata, unele cerinte se rezolva cu tichete, altele cu work ordere.

TIchetul e simplu: scriu acolo ce vreau, caut juma de ora ca prostu pana ma prind cine de ce e raspunzator, ca nu-s deloc intuitive chestiile si au sens doar pentru aia care au cel putin 1-2 ani vechime pe plantatie, si stau dupa el pana e rezolvat. Pentru ca nimeni nu stie nimic, fac tichet sa aflu in ce switch e infipt un echipament. Dupa aia unul prin care trebuie trase cabluri daca e nevoie, dupa aia unul prin care verific ca au fost trase. Si nu, nu pot face unul mare de tot cu tot ce vreau. Si mereu e o echipa undeva care face stuff, un comitet :))

Work Orderul e mai complicat si dureaza cam 45-60min pana ajung sa completez toate campurile din el, cu task-uri si mortii lor:

  • Cum arata stuff-ul inainte de lucrare
  • Cum o sa arate stuff-ul dupa lucrare
  • Ce trebuie facut la lucrare (si aici scriu cu liniuta ca la prosti si sa dea dracii sa am un typo sau ceva gresit ca am supt-o, rollback si trebuie sa facut alt WO)
  • Se programeaza cu 7 zile inainte, trece prin CAB
  • Trebuie justificat, mangaiat si batut pe spate sa ragaie
  • Scuipat sa nu fie deocheat intre timp pana la aplicare si in timpul operatiunii

Pe langa asteea de mai sus care sa zic sunt mai importante, trebuie completate jdemii de alte campuri care dureaza o vesnicie ca au dependinte peste dependinte.

Ieri am facut unul sa se dea click pe un checkbox, sa fie trecuta din Disabled in Enabled o setare. Ce a trebuit sa scriu, and I am shitting you not, in WO:

  • Cum arata stuff-ul inainte de lucrare: Checkbox-ul nu este checked.
  • Cum arata stuff-ul dupa lucrare: Checkbox-ul este checked.
  • Ce trebuie facut (in mare asta inseamna task-urile din WO): ne ducem pana la checkbox, care se cheama XXX si da click pe el sa fie checked.
  • Cum verificam: Ne uitam ca este checked checkbox-ul respectiv.

Acu ca ma gandesc mai bine, n-am scris in WO ca dupa aia trebuie apasat si butonul numit “Apply settings”… o sa vad daca o sa mi-l puna in aplicare aia e la OPS sau nu.

Si la oameni li se pare perfect normal.

cartele pre-platite si internet cu buletinul

Din categoria ce chestii se mai intampla in Romania, de ceva vreme s-au trezit aia de la SRI ca ce frumos ar fi daca toata lumea ar fi monitorizata la ce cartele de telefon isi cumpara, unde se conecteaza la internet, ce face pe internet si alte din astea.

Primul lucru e cumpararea de cartele pre-platite doar cu buletin sau alt act de identitate (cel mai probabil pasaport/permis de conducere pentru cei care nu’s romani). De ce? Pai cica sunt multi din astia care fura, pun la cale combinatii si tot felul de lucruri rele folosind telefoane cu cartele pre-platite si nu pot fi identificati. Si pe viitor nu se stie cand vine Ahmed teroristul si isi ia o cartela sa-si sune fratii teroristi sa vina si aia in Romania si sa puna o bombardea cine stie pe unde*.

Treaba asta e stupida din mai multe motive:

  • Din dosarele facute publice pana acum de DNA, se pare ca au fost oameni cu nustiucate cartele pre-platite pe care le roteau in functie de cine vorbeau si tot asa. A fost dat exemplu un gigel parca din Cluj care avea vreo 15 cartele. Si tot l-au prins. Asa ca pica si teoria asta cu prindem infractorii. Un echipament de tip Stingray (care se comporta ca o celula GSM si poate decripta un apel telefonic un timp real se poate face din componente care se gasesc pe piata undeva la vreo 2000 de dolari (cu TVA inclus pentru carcotasi). E, si plimbi un din asta pe langa suspect si ala habar nu are ca e interceptat, indiferent de telefon sau ce numar de telefon are – asa il si prinzi ca are ‘jde cartele.
  • Ca si ‘bad guy’ ma duc si dau niste bani la un om al strazii sa-mi cumpere niste cartele, le dau la complicii mei si aia e. O sa-i ia boii de la bicicleta la ala de si-a dat buletinul.
  • Este foarte irelavant ca daca am abonament trebuie sa dau datele personale de identificare. Abonamentul este un contract intre parti si este normal sa stie furnizorul de servicii cine sunt si unde stau, din simplu motiv ca fiind abonament, prima oara consuma si dupa aia platesc ce-am consumat cand vine factura. Ideea unei cartele pre-platite este tocmai plata in avans a unor servicii si folosirea dupa aceea cand vreau eu si cum vreau eu.

Al doilea lucru, mai spinos si aproape imposibil de implementat fara costuri majore este inregistrarea cu buletinul cand vreau sa folosesc o retea Wi-Fi la un hotel, restaurant, terasa etc. In primul rand, in Romania exista o lege care se aplica tuturor care proceseaza date cu caracter personal, 677/2001. E, si iti trebuie avize de la diversi pentru a procesa si stoca date cu caracter personal, nu e asa ca dai cu subsemnatul undeva si gata, poti tine CNP, adresa, serie de buletin pe un caietel. Daca se aproba asa cum este acum, toate barurile, restaurantele, terasele trebuie sa devina si operatori de date cu caracter personal, pentru ca altfel nu prea au voie sa iti inregistreze datele din buletin. In al doilea rand, sunt scumpe spre foarte scumpe echipamentele pentru managementul retelelor Wi-Fi care permit generarea de nume/utilizator parola pentru fiecare utilizator si apoi inregistrarea utilizatorului pentru fiecare conexiune efectuata.

De ce ideea asta e mai proasta ca aia cu cartelele pre-platite?

  • In primul rand pentru ca o sa ucida toate hotspot-urile gratuite. Romania este cunoscuta in lume ca tara in care poti gasi o conexiune gratuita la internet literlamente la orice colt de strada. Dupa ce ca sunt asa putine lucruri pentru care suntem bine-vazuti, o sa se duca si asta pe pula pentru ca…
  • Toata lumea e considerata vinovata din start. Prezumtia de nevinovatie nu mai exista din start pentru ca ‘daca n-ai nimic de ascuns, de ce sa te feresti’.
  • Abia ce a fost declarata directiva europeana pe baza careia s-a facut si legea big-brother (82/2012) invalida, si SRI-ul se face ca nu vede si insista cu stocarea datelor.
  • Ca metode tehnice, daca sunt raufacator si vreau sa stric ceva, nu ma impiedica nimeni sa folosesc un serviciu de VPN si de acolo mai departe sa fac ce e de facut si in Romania sa apara ca am vizitat un IP oarecare. Pentru ca si daca s-ar face cumva o corelare, in cel mai bun caz ar fi o dovada circumstantiala.

Ca si o concluzie:

  • Din ce am vazut pe internet si citit ziare (online, ca tembelizor n-am) toti aia prinsi de DNA au fost prinsi din motive simple: prosti, lacomi, gura-sparta. Asa ca treaba cu buletinul la cartele pre-platite nu are nici o justificare solida.
  • Internetul e un pic mai vast si te poti ascunde mai bine daca vrei sa faci ceva rau si iar nu prea te poate prinde nimeni daca ai putina grija. La fel, din tara cu internet bun, rapid si ieftin o sa ajungem ca in alelalte tari unde abia mai gasesti un hot-spot pe undeva intr-un hotel si cu costuri din alea prohibitive. Pentru ca de ce sa fie simplu cand poate fi complicat?
  • In lista de documente scoase de Edward Snowden, Romania apare intr-o prezentare ca si ‘trusted third-party for data collection’ cand vine vorba de ciripit lucruri la NSA. Si la cum e formularea facuta, inseamna fie ca SRI face copy-paste la tot ce prinde in cazul fericit, sau ii ajuta pe aia de la NSA cu TAP-uri unde e cazul si nici macar nu stiu ce colecteaza aia. Tind sa cred partea a doua ca pare mai fezabila.

Ma enerveaza teribil ultima placa cu ‘daca nu ai nimic de ascuns, n-are de ce sa-ti fie frica’. Si toti au inceput s-o repete prin ziare sau TV. Si treaba asta e atat de gresita ca nici nu stiu de unde sa incep sa explic de ce e gresita. Dar sa zicem ca din acelasi motiv pentru care eu nu ma duc sa ma plimb cu politia in masina cand sunt in patrulare – ca nu stii daca iau spaga sau nu, sau nu ma duc la SRI sa vad ce mai fac si ce teroristi/parlamentari au mai prins sau au sub supraveghere – chiar daca jur pe rosu ca nu spun la nimeni daca ei nu fac nimic gresit (pentru ce-ar putea insemna gresit in contextul respectiv), nici asa nimeni nu are treaba cu ce fac eu atata timp cat nu fac nimic rau sau nu exista o suspiciune intemeiata ca as face ceva rau. Unde ‘ceva rau’ poate include diverse lucruri scrise in codul penal.

Astea fiind zise, nu vad absolut nici un beneficiu in toata scremerea asta cu dat buletinul la cartele sau internet la o terasa oarecare. Cel putin la internet, o sa ajungem in ‘dark ages’, nici macar prin UAE unde se monitorizeaza si se cenzureaza diverse tot nu era asa strict. Free Wi-Fi era free Wi-Fi fara act de identitate si alte balarii din astea.

microsoft, certificatele si rdp-ul

Incepand cu Vista, Microsoft a inventat pentru conexiunile de tip Remote Desktop (RDP) o noua metoda de autentificare numita Network Level Authentication (NLA).

Daca ai servere Windows si un CA de la Microsoft in acelasi domeniu Active Directory, atunci se intampla o chestie misto: toate computerele primesc automat un certificat de la CA-ul din domeniu.

Eh, cand te conectezi folosind RDP de pe o statie din domeniu la un server din domeniu, intra NLA-ul in functiune care face autentificare folosind Kerberos.

Cand te conectezi folosind un computer din afara domeniului sau un alt client de RDP care nu stie de NLA, atunci se face fallback si se foloseste un certificat digital pentru autentificarea serverului.

Cum de curand am trecut la Mac, am importat Root CA certificate in Keychain. Cand m-am conectat la serverele din domeniu a trebuit sa dau accept la toate certificatele prezentate de server (ca MS Remote Desktop de Mac nu stie de NLA). Atunci am dat click-click repede pe accept ca am zis ca nu stiu io sa umblu cu Keychain-ul de la Mac si ca de aia nu se valideaza certificatele.

Acu vreo cateva saptamani m-am apucat sa ma conecteze la niste servere si am fost iar bazait sa dau Trust sau nu la certificate. Si am intrat la banuieli, ca poate s-a futut CA-ul. Numai ca nu stiam de ce, ca nu dadea erori, totul era OK.

Azi m-a dus capul ca inainte sa incerc sa repar CA-ul sa intreb si Internetul ce parere are de asta. Si m-am dumirit. Si am injurat.

Chiar daca serverul are un certificat emis de CA-ul din domeniu, pentru RDP foloseste un certificat self-signed cu validitate de 6 luni la care isi face renewal periodic.

Ca sa faci un server sa foloseasca un certificat semnat de CA pentru RDP, trebuie facut template dedicat in CA, creat un GPO care sa zica la servere sa foloseasca template-ul ala si tot asa.

Microsoft style: de ce sa fie simplu cand poate sa fie complicat.