Khác nhau giữa LDAP vs Active Directory (AD)

Difference Between LDAP and Active Directory

LDAP vs Active Directory

LDAP (Lightweight Directory Access Protocol) là một giao thức (protocol) cho phép hỗ trợ truy cập directory services để lấy dữ liệutrong khi Active Directory là một dịch vụ thư mục của Microsoft. LDAP và Active Directory không loại trừ lẫn nhau vì chúng đều có những chức năng khác nhau mà ta có thể sử dụng. Nhiều dịch vụ tồn tại bên cạnh Active Directory, trong đó có sản phẩm miễn phí như OpenLDAP. Microsoft cũng phát triển Active Directory và đã vượt trội so với LDAP và sử dụng các giao thức khác như Kerberus.

Active Directory là một sản phẩm từ Microsoft mà đã được phát triển dựa phần lớn vào LDAP để đảm bảo rằng nó phù hợp và hoạt động tích hợp hoàn hảo với LDAP. Ban đầu Active Directory dùng để cung cấp dữ liệu thông qua LDAP nhưng đã phát triển mạnh mẽ để bao gồm cả các dịch vụ khác LDAP/kerberus.

Bởi vì LDAP không gắn với một công ty duy nhất, nên nó có thể chạy trên bất cứ hệ điều hành nào có dịch vụ thư mục (directory). Ngược lại, Microsoft là chủ Active directory, nên AD chỉ được sử dụng trên hệ thống máy tính Windows.

Kết luận, AD chỉ là một sản phẩm cung cấp dịch vụ sử dụng LDAP. Mặt khác, LDAP là một giao thức và do đó nó rộng hơn so với Active Directory (Một sản phẩm trên LDAP). Bất kể đang sử dụng sản phẩm AD hay OpenLDAP hoặc bất kì một dịch vụ directory của một công ty nào khác, thì bạn vẫn đang sử dụng LDAP.

Summary:
1.LDAP là một giao thức retrieving information from a directory service like Active Directory
2.LDAP ra đời rất lâu trước Active Directory  và một phần lớn Active directory được lấy từ LDAP.
3.Active Directory là sản phẩm của Microsoft trong khi LDAP là sản phẩm mã nguồn mở.
4.Active Directory ít khi được tì thấy ứng dụng bên ngoài sản phâm của hệ điều hành Windows.
5.Active Directory provides additional services aside from LDAP like functionality

Nguồn: http://www.ubrid.net/lesson/ad-so-sanh-active-directory-va-ldap/

(Thấy hay nên lượm lặt)

Đọc tiếp

openldap sizelimit. Can't receive more than 500 entries

I can't receive more than 500 entries, when I query my openldap-server.

Although I made the following changes:

slapd.conf

    # This is the main slapd configuration file. See slapd.conf(5) for more
    # info on the configuration options.

    #######################################################################
    # Global Directives:       
    .....

     # The maximum number of entries that is returned for a search operation
    sizelimit 10000

ldap.conf

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

SIZELIMIT       10000
#TIMELIMIT      15
#DEREF          never

# TLS certificates (needed for GnuTLS)
TLS_CACERT      /etc/ssl/certs/ca-certificates.crt

After restartin my machine, and query the following command:

ldapsearch -x -h localhost -b "dc=XXX,dc=XXX,dc=XXX"

I receive:

# search result
search: 2
result: 4 Size limit exceeded

# numResponses: 501
# numEntries: 500

Đọc tiếp

Create Inbound and Outbound one-to-one Static NAT rules in FortiGate

I'm new to the FortiGate routers (I've always been a Cisco guy), and had a hard time figuring out how to properly configure inbound and outbound static one-to-one NAT rules in the router.  After doing a fair amount of searching in the FortiGate documentation and Googling, I found the information available online about this topic was either incomplete or out of date.  So I thought I’d pass this along in case it is helpful to anyone who finds this tread in the future.  I successfully did the below steps today on a FortiGate 60D running Firmware 5.2.7 build 718, but I’m pretty sure it will work the same on other similar models too.


 
How to create an INBOUND static NAT rule:

1. Navigate to:  Policy & Objects > Objects > Virtual IPs
   1. Click the “Create New” button
   2. Name = Anything you want, something descriptive.  Remember this, you need it in Step #3.
   3. Comments = Optional. Anything you want.
   4. Interface = Select the correct external WAN interface that the public IP is connected to
   5. Source Address Filter = Defaults to unchecked, which is fine.
   6. External IP Address/Range = Just enter one *public* IP address.  Put the same IP address in both fields (this means you’re only defining ONE IP address, instead of a RANGE or block of IPs)
   7. Mapped IP Address/Range = Just enter one *private* IP address.  Put the same IP address in both fields (this means you’re only defining ONE IP address, instead of a RANGE or block of IPs)
   8. Port Forwarding = Optional.
      1. If you want to just have a 1-to-1 inbound static NAT map, leave this unchecked.  Restrict and control access through IPv4 firewall policies.
      2. If you want to control or redirect specific ports, check this and then add custom rules as necessary.

 
Just because you create an Inbound NAT rule, it doesn’t mean that all outgoing traffic from that internal IP will be NAT’ed to that external Public IP.  By default, the FortiGate will do outbound NAT to the external IP address only for *replies* sent by the internal server in response to requests that originated from *outside* the firewall.  If you want to ensure that *all* traffic originating from the internal server is always NAT’ed to a specific external public IP address, then you must create a custom Outbound Static NAT IPv4 policy.  If no custom outbound policy is created, then the outbound traffic that originates from the internal server will be NAT’ed to the router’s default overload one-to-many NAT public IP address.
 
How to create an Outbound Static NAT rule:

1. Create a new address for the INTERNAL (private) device IP Address
   1. Navigate to:  Policy & Objects > Objects > Addresses
   2. Click the “Create New” button
   3. Name = Anything you want, something descriptive.  Remember this, you need it in Step #3.
   4. Type = IP/Netmask
   5. Subnet / IP Range = Just enter the single IP address
   6. Interface = Defaults to “any”, which is fine
   7. Show in Address List = Defaults to “checked”, which is fine
   8. Comments = Optional. Anything you want.
2. Create a new address for the EXTERNAL (public) device IP Pool
   1. Navigate to:  Policy & Objects > Objects > IP Pools
   2. Click the “Create New” button
   3. Name = Anything you want, something descriptive.  Remember this, you need it in Step #3.
   4. Comments = Optional. Anything you want.
   5. Type = Select “One-to-One”
   6. External IP Range = Just enter one public IP address.  Put the same IP address in both fields (this means you’re only defining ONE IP address, instead of a RANGE or block of IPs)
   7. ARP Reply = Uncheck this  (defaults to checked)
3. Create an outbound policy to connect the two IP addresses
   1. Navigate to:  Policy & Objects > Policy > IPv4
   2. Click the “Create New” button
   3. Incoming Interface = internal (or whatever internal VLAN, interface, etc. you need to apply this to)
   4. Source Address = Select the name that you specified in Step #1
   5. Source User(s) = Normally you’ll want to just leave it blank/default
   6. Source Device Type = Normally you’ll want to just leave it blank/default
   7. Outgoing Interface = Select the correct external WAN interface that the public IP is connected to
   8. Destination Address = all
   9. Schedule = always
   10. Service = ALL
   11. Action = ACCEPT
   12. Firewall / Network Options
       1. Make sure NAT is turned “ON”
       2. Use Dynamic IP Pool = Select the name that you specified in Step #2
   13. Make sure that “Enable this policy” is turned “ON”
   14. In the IPv4 Policy summary page, drag your new rule up to the top, above the generic “all – all – always – all” outbound allow rule.  FortiGate applies policies from top to bottom.

 
NOTE:  The FortiGate ARP tables last for quite a while, so if you are testing your outbound IP NAT to an external website (like www.whatismyip.com) then you need to completely close and restart your browser sessions, or reboot your test computer, or reboot the router, or wait for the router’s ARP tables to expire.  I just found that visiting multiple different “show your IP” websites was easiest.

Đọc tiếp

Dịch vụ DNS mới Quad9 giúp chặn domain độc

GCA - Global Cyber Alliance - tổ chức kết hợp giữa chính phủ và các tổ chức nghiên cứu nhằm giúp giảm tội phạm mạng - cùng với IBM và Packet Clearing House vừa cho ra đời một hệ thống Domain Name Service mới miễn phí, giúp chặn các tên miền có botnet, tấn công lừa đảo và các kiểu mã độc khác, chủ yếu hướng tới những tổ chức không chạy dịch vụ danh sách đen/danh sách trắng DNS.

Có tên Quad9 (lấy theo địa chỉ Internet Protocol 9.9.9.9), dịch vụ này giống bất kì máy chủ DNS công cộng nào khác (như của Google chẳng hạn) ngoại trừ việc nó sẽ không trả lại nếu địa chỉ bị phát hiện có hiểm họa mà nó biết được (qua 19 feed). Rất đơn giản, chỉ cần đổi DNS sang 9.9.9.9, malware và lừa đảo sẽ không thể chui vào máy bạn được.

DNS mới có thể giúp chặn domain chứa malware

Dịch vụ này “không ghi lại địa chỉ yêu cầu DNS - chỉ giữ thông tin địa lý” để theo dõi tốc độ lan tràn các yêu cầu có liên quan tới domain nhiễm độc”, Phil Rettinger, chủ tịch và cũng là COO của GCA cho hay.

Bên cạnh domain bị chặn, trả về với thông tin NXDOMAIN (domain không tồn tại), Quad9 cũng tạo danh sách trắng các domain không bao giờ chặn, “danh sách vàng” gồm các domain không bao giờ chặn như những trang dịch vụ Internet nổi tiếng như Azure hay Google, Amazon Web Servies.

Quad9 cập nhật hiểm họa một hoặc hai lần một ngày trên toàn cầu nên cũng sẽ không có ảnh hưởng nhiều nếu malware sử dụng địa chỉ DNS thay đổi nhanh cho C&C. Nhưng về cơ bản nó cũng bảo vệ được trước các tấn công lừa đảo, domain giả… Rettinger cho biết GCA cũng đang nói chuyện với các nhà cung DNS phổ biến khác để mở rộng Quad9.

theo: quantrimang.com

Đọc tiếp

Cấu hình chống DDOS trên Server Linux

Thông thường hiện nay các Firewall mềm (phần mềm được cài đặt trên Server) chỉ có thể chống lại các cuộc tấn công quy mô nhỏ, đơn giản và cường độ thấp. Tuy nhiên nếu bạn chưa có Cấu hình chống DDOS trên Server Linux sẵn, khi gặp trường hợp máy chủ sẽ bị treo dẫn đến rất khó thao tác.

Để tránh triệt để tối đa giảm thiểu đến mức thiệt hại thấp nhất thì tôi khuyên các bạn nên áp dụng cà Firewall mềm lẫn Firewall cứng và các dịch vụ CDN như CloudFlare, Amazon…

Hôm nay tôi muốn giới thiệu đến các bạn một giải pháp khẩn cấp tạm thời, dựa vào Iptables để có thể ngăn chặn ngay các cuộc tấn công trên.

Trước tiên stop và tạo các rules mới cho Iptables:

1 2	service apf stop iptables -F

Sau đó tải về và chạy file script để cấu hình các rules chống lại tấn công DOS/DDOS:

1 2 3 4

wget http://anonyviet.com/wp-content/uploads/2016/01/antiDDoS.txt mv antiDDoS.txt antiDDoS.sh chmod u+x antiDDoS.sh ./antiDDoS.sh

Đây là đọan mã do tác giả Ruslan Abuzant ruslan@abuzant.com biên soạn, phiên bản 2.0 phát hành theo giấy phép GNU GPL. Điều đó có nghĩa là bạn hoàn toàn có thể soạn lại các nội dung rules trong script để cho phù hợp với thực tế máy chủ bạn gặp phải.

Ngoài ra, bạn có thể dùng các lệnh sau để thống kê các cuộc tấn công, rất hữu ích:

1 2 3

netstat -antp | grep ESTABLISHED netstat -antp | grep -i sync netstat --help

Hoặc xem một số lệnh kiểm tra khi Server bị DDOS tại bày này

Đọc tiếp

Cách mạng Công nghiệp 4.0

"Cách mạng Công nghiệp 4.0" đang diễn ra tại nhiều nước phát triển. Nó mang đến cho nhân loại cơ hội để thay đổi bộ mặt các nền kinh tế, nhưng tiềm ẩn nhiều rủi ro khôn lường. 

Định nghĩa về Cách mạng Công nghiệp 4.0

Theo Gartner, Cách mạng Công nghiệp 4.0 (hay Cách mạng Công nghiệp lần thứ Tư) xuất phát từ khái niệm "Industrie 4.0" trong một báo cáo của chính phủ Đức năm 2013. "Industrie 4.0" kết nối các hệ thống nhúng và cơ sở sản xuất thông minh để tạo ra sự hội tụ kỹ thuật số giữa Công nghiệp, Kinh doanh, chức năng và quy trình bên trong.

Nếu định nghĩa từ Gartner còn khó hiểu, Klaus Schwab, người sáng lập và chủ tịch điều hành Diễn đàn Kinh tế Thế Giới mang đến cái nhìn đơn giản hơn về Cách mạng Công nghiệp 4.0 như sau:

"Cách mạng công nghiệp đầu tiên sử dụng năng lượng nước và hơi nước để cơ giới hóa sản xuất. Cuộc cách mạng lần 2 diễn ra nhờ ứng dụng điện năng để sản xuất hàng loạt. Cuộc cách mạng lần 3 sử dụng điện tử và công nghệ thông tin để tự động hóa sản xuất. Bây giờ, cuộc Cách mạng Công nghiệp Thứ tư đang nảy nở từ cuộc cách mạng lần ba, nó kết hợp các công nghệ lại với nhau, làm mờ ranh giới giữa vật lý, kỹ thuật số và sinh học".

Lịch sử 4 cuộc cách mạng công nghệ của nhân loại.

Theo ông Klaus Schwab, tốc độ đột phá của Cách mạng Công nghiệp 4.0 hiện "không có tiền lệ lịch sử". Khi so sánh với các cuộc cách mạng công nghiệp trước đây, 4.0 đang tiến triển theo một hàm số mũ chứ không phải là tốc độ tuyến tính. Hơn nữa, nó đang phá vỡ hầu hết ngành công nghiệp ở mọi quốc gia. Và chiều rộng và chiều sâu của những thay đổi này báo trước sự chuyển đổi của toàn bộ hệ thống sản xuất, quản lý và quản trị.

Cách mạng Công nghiệp 4.0 sẽ diễn ra như thế nào?

Nối tiếp từ định nghĩa của Klaus Schwab, Cách mạng Công nghiệp 4.0 sẽ diễn ra trên 3 lĩnh vực chính gồm Công nghệ sinh học, Kỹ thuật số và Vật lý.

Những yếu tố cốt lõi của Kỹ thuật số trong CMCN 4.0 sẽ là: Trí tuệ nhân tạo (AI), Vạn vật kết nối - Internet of Things (IoT) và dữ liệu lớn (Big Data).

Trên lĩnh vực công nghệ sinh học, Cách mạng Công nghiệp 4.0 tập trung vào nghiên cứu để tạo ra những bước nhảy vọt trong Nông nghiệp, Thủy sản, Y dược, chế biến thực phẩm, bảo vệ môi trường, năng lượng tái tạo, hóa học và vật liệu.

Cuối cùng là lĩnh vực Vật lý với robot thế hệ mới, máy in 3D, xe tự lái, các vật liệu mới (graphene, skyrmions…) và công nghệ nano.

Hiện Cách mạng Công nghiệp 4.0 đang diễn ra tại các nước phát triển như Mỹ, châu Âu, một phần châu Á. Bên cạnh những cơ hội mới, cách mạng công nghiệp 4.0 cũng đặt ra cho nhân loại nhiều thách thức phải đối mặt.

Cơ hội đi kèm thách thức và rủi ro toàn cầu

Mặt trái của Cách mạng Công nghiệp 4.0 là nó có thể gây ra sự bất bình đẳng. Đặc biệt là có thể phá vỡ thị trường lao động. Khi tự động hóa thay thế lao động chân tay trong nền kinh tế, khi robot thay thế con người trong nhiều lĩnh vực, hàng triệu lao động trên thế giới có thể rơi vào cảnh thất nghiệp, nhất là những người làm trong lĩnh vực bảo hiểm, môi giới bất động sản, tư vấn tài chính, vận tải.

Máy móc thay thế lao động chân tay sẽ đẩy hàng triệu công nhân vào tình trạng thất nghiệp. Ảnh: Siemens.

Báo cáo của Diễn đàn Kinh tế thế giới đã đặt ra vấn đề này theo các giai đoạn khác nhau. Giai đoạn đầu tiên sẽ là thách thức với những lao động văn phòng, trí thức, lao động kỹ thuật. Giai đoạn tiếp theo sẽ là lao động giá rẻ, có thể sẽ chậm hơn. Với sự chuyển động của cuộc cách mạng này, trong khoảng 15 năm tới thế giới sẽ có diện mạo mới, đòi hỏi các doanh nghiệp thay đổi. 

Sau đó, những bất ổn về kinh tế nảy sinh từ Cách mạng Công nghiệp 4.0 sẽ dẫn đến những bất ổn về đời sống. Hệ luỵ của nó sẽ là những bất ổn về chính trị. Nếu chính phủ các nước không hiểu rõ và chuẩn bị đầy đủ cho làm sóng công nghiệp 4.0, nguy cơ xảy ra bất ổn trên toàn cầu là hoàn toàn có thể.

Bên cạnh đó, những thay đổi về cách thức giao tiếp trên Internet cũng đặt con người vào nhiều nguy hiểm về tài chính, sức khoẻ. Thông tin cá nhân nếu không được bảo vệ một cách an toàn sẽ dẫn đến những hệ luỵ khôn lường. 

Cách mạng công nghiệp lần 4 mang đến cơ hội, và cũng đầy thách thức với nhân loại. 

Theo zing.vn

Đọc tiếp

Cách sử dụng lệnh Netstat

Thực hiện lệnh netstat trên môi trường DOS
* netstat -a: Hiển thị tất cả các kết nối và các cổng nghe
Cú pháp
netstat -a

* netstat -b: Hiển thị thực thi liên quan đến việc tạo ra mỗi kết nối hay lắng nghe cổng
Cú pháp
netstat -b

* netstat -e: Hiển thị Ethernet thống kê. Điều này có thể được kết hợp với các tùy chọn-s
Cú pháp
netstat -e

* netstat -f: Hiển thị Fully Qualified Tên miền (FQDN) cho các địa chỉ nước ngoài
Cú pháp
netstat -f

* netstat -n: Hiển thị các địa chỉ và số cổng trong số từ
Cú pháp
netstat -n

* netstat -o: Hiển thị quá trình ID sở hữu liên kết với mỗi kết nối.( Tham số này có thể được kết hợp với các tham số -a,-n,-p)
Cú pháp
netstat -o

* netstat -p: Hiển thị các kết nối cho giao thức theo quy định của proto proto có thể là bất kỳ: TCP, UDP, TCP v6 hoặc UDPv6. (Nếu tham số này được sử dụng với-s để hiển thị các số liệu thống kê bởi giao thức, Nghị định thư có thể được tcp, udp, icmp, ip, tcpv6, udpv6, ICMPv6, hoặc ipv6)

Cú pháp
netstat -proto

* netstat -r: Hiển thị bảng định tuyến
Cú pháp
netstat -proto

* netstat -s: Hiển thị số liệu thống kê cho mỗi giao thức. Theo mặc định, các số liệu thống kê được hiển thị cho TCP, UDP và IP, tuỳ chọn-p có thể được sử dụng để chỉ định một tập hợp con của mặc định.

* netstat – interval: Hiển thị lại lựa chọn số liệu thống kê, ngừng lại giây khoảng thời gian giữa mỗi màn hình. Nhấn phím Ctrl + C để ngăn chặn thống kê redisplaying. Nếu bỏ qua, netstat sẽ in thông tin cấu hình hiện tại một lần.

Một số ví dụ khi kết hợp lệnh:

– Để hiển thị cả số liệu thống kê Ethernet và các số liệu thống kê cho tất cả các giao thức, gõ lệnh sau:
netstat -e -s
– Để hiển thị các số liệu thống kê cho các giao thức TCP và UDP, gõ lệnh sau:
netstat -s -p tcp udp
– Để hiển thị các hoạt động kết nối TCP và quá trình ID mỗi 5 giây, gõ lệnh sau:
netstat -o 5
– Để hiển thị các hoạt động kết nối TCP và ID quá trình này bằng cách sử dụng hình thức số, gõ lệnh sau:
netstat -n -o
Giải thích tham số
Proto: Cho biết kế nối là TCP hay UDP
Local address: Địa chỉ IP của máy tính địa phương và số cổng được sử dụng. Tên của máy tính địa phương tương ứng với địa chỉ IP và tên của cảng được hiển thị trừ khi tham số -n được quy định cụ thể. Nếu cổng chưa được thành lập, số cổng phải được thể hiện như là một dấu sao (*).
Foreign address: Địa chỉ IP và số cổng của máy tính từ xa mà ổ cắm được kết nối. Các tên tương ứng với địa chỉ IP và cổng được hiển thị trừ khi tham số -n được quy định cụ thể. Nếu cổng chưa được thành lập, số cổng phải được thể hiện như là một dấu sao (*)
State: Cho biết trang thái cổng: Cho biết trạng thái của một kết nối TCP. Các trạng thái có thể là như sau:
• CLOSE_WAIT
• CLOSED
• ESTABLISHED
• FIN_WAIT_1
• FIN_WAIT_2
• LAST_ACK
• LISTEN
• SYN_RECEIVED
• SYN_SEND
• TIMED_WAIT

Trong lúc thực hiện lệnh, nếu muốn dừng tiến trình: nhấn tổ hợp phím: Ctrl + C

Đọc tiếp