- Tidspunkt: Monday 19. August 2013 14:00 - 15:00
- Tilstades: jsama, baardj, espegro, iv, jokim
1 Agenda
jsama introduserer espegro for Exchange-opplegget, for å sikkerhetsvurdere avgjerslene.
2 Møte
jsama viser fram det oversiktelege bildet, tegner bildet over cerebrum, springbrettet og exchange-miljøet ligger, og korleis vi kobler oss opp mot Exchange.
Metasploit, har implementert WinRM og også noko powershell, men ikkje ruby. Kan ha kome noko i det siste, så kan vere relevant.
Espen spurde om det var mulig å køyre ssh mot Windows. UiO har allereie ein windows-ssh-server, som støtter sertifikat og anna - koster litt - men er ein mulighet. Kunne då køyrd ssh-kommandoar rett mot Exchange-serveren. Ved oppkobling starter ein då cmd.exe eller kan endre det til powershell.exe.
Ingen rundt bordet ser på å beholde sessions er eit problem, fordi springbrettmaskina skal beskyttast så mykje som mulig. Skal berre vere mulig å komme til den via nokre adminmaskiner, og skal berre vere på den når det er feil.
Espen spurde om avgjersla om strukturen til AD-miljøet. Skal ha ressursdomene fordi vi er komen for langt, vart ikkje diskutert så mykje heller. Vi er difor nødt til å ha to forskjellige domener. Exchange-domenet skal vere ein eigen forest - dette er blitt dokumentert av NIKE-prosjektet i det siste. Har då tre separate forest, for utvikling, test og produksjon. Exchange må gjere schema-endringar ved endringar.
Alt er Windows Server 2012. Usikker om det er R2.
Mailboxane linker til ekte brukarobjekt i root-AD (uio.no), så det vert ingen skyggebrukarar. TODO: Har det blitt vurdert kva som skjer når ein brukar vert avvikla i uio.no?
SSO kan kanskje bli eit problem med eige ressursdomene.
Utfordringar i domenenamn i eige domene - DNS. Må då passe på å alltid oppgje full path i skript. Må eigne innstillingar leggast i DNS for Exchange? Har til no berre lagt inn manuelt, tener ikkje så mykje på det.
Konkluderer at espegro har ack'a det jsama viste fram, men at vi bør bruke litt fleire kaloriar på å sjå på ssh-serveren. Kosta $500 for lisensen, som er ingenting. Den er også godt kjend blant cert, og ønskeleg av postmaster. Har ein del smarte features. Må ha tunga rett i munnen dersom ein skal ha vidareautentisering - er slått av, men kan slå det av for å unngå autentisering.
Heiter: VShell-server, van dyke software (vandyke.com). Er satt opp som win-sftp.uio.no, er tilgjengelig for alle i usit-gruppa.
Dersom ssh er på, er det greit å autentisere seg med nøklar inn, og la ssh-serveren delegere vidare tilgangar inn i Exchange-miljøet. Med WinRM gjeld det framleis å separere brukarane.