Ricerca in FOLBlog

Mag 092009
 
closeQuesto articolo è stato pubblicato 8 anni 4 mesi 17 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

image
Qualche tempo addietro, durante le meritate vacanze del mio collega, DaBoss ha avuto la fantastica idea (notare il velato sarcasmo eh) di vendere a $noiricicliamoilvostrotoner una bella soluzione di Proxy-Firewall basata su $notoproxyfirewall. Il prodotto in questione era stato specificamente richiesto dal loro IT. Il che non sarebbe troppo male se non che noi quel coso non lo abbiamo mai visto prima.

E indovinate un po’ chi e’ il fortunello (sic) che ha dovuto installarsi il coso in questione?

Quindi dopo aver penato sul download del coso, aver scoperto che il marchingegno richiede una connessione internet per “attivarsi”, aver scoperto che per “attivarlo” c’e’ bisogno della password del foxxuto “portale” di supporto che solo DaBoss conosce (e lui non c’era). Ed aver poi scoperto che per procedere con l’attivazione c’e’ anche bisogno di un fantomatico “codice di acquisto” che, aridinuovo, solo DaBoss conosce, sono riuscito finalmente nel semi-impossibile compito di installare l’arnese.

Dopo di che si e’ trattato di configurarlo. E li’ sono arrivati altri dolori perche’ i due UL che dovrebbero costituire l’IT di quella gabbia di disperati non hanno la piu’ pallida idea di come dovrebbe essere configurato (indirizzo IP? Gateway? DNS? Siccale’?) e come risposta si sono limitati a ripetere che “DaBoss dovrebbe avere tutte le informazioni”. DaBoss per altro persisteva nel rimandarmi ai due UL di cui sopra.

Alla fine io ho deciso che l’indirizzo IP e’ quello della DMZ e che se non va bene cosi’ ci arrangeremo dopo a cambiarlo. Dopo una rapida configurazione di default, dato che nessuno ha potuto/saputo darmi informazioni piu’ precise su cosa dovrebbe fare e come, io ho mollato l’arnese nelle capaci manine di Bart che si e’ scapicollato i 2 Km scarsi tra il nostro ufficio e la sede centrale di $noiricicliamo ed ha installato l’arnese. Dopo di che c’e’ stato un po’ di panico sul come ca$$o si collega al firewall.

La configurazione del firewall e’ stata arzigogolata dal mio collega T che nel frattempo era ritornato dalle ferie. Poi sono cominciati ad arrivare i problemi. Si perche i due gatti (che sarebbe “il gatto e la volpe”, ma temo che di volpi li non ce ne sia nessuna) si sono dimenticati di dirci che loro volevano quel coso attaccato al loro server AD.

Ok, buca il firewall per far passare la connessione verso il server AD. La configurazione come dovrebbe essere? Ce lo avete un account che possa fare ricerche? Si, no.. bho, non lo so. Dopo un bel po’ di arzigogolamenti i due riescono a fare una configurazione che pare funzionare. E dopo un po’ ripigliano a lamentarsi perche’ nei vari “reports” che questo coso mette a disposizione compare un solo utente alla volta.

Ora, fare il debugging di proxy a distanza e’ abbastanza complesso, soprattutto quando tale proxy e’ raggiungibile solo tramite una fetecchia di web-interfaccia, il firewall non e’ gestibile (non da me almeno), non ci sono strumenti usabili sulla macchina stessa (tcpdump? ma meglio! ldapsearch? si come no…) ed i due pisquani sono piu’ assenti che presenti.

Percui, un piovoso mercoledi’, decido che l’unico modo e’ andare la a vedere che accidenti succede, armato di machete e mappa tento la fortuna tra i lavori in corso che hanno letteralmente bloccato tutta la foxxuta citta’. Evito una orda di Olandesi rintronati che gia’ non capiscono un cappero di loro figuriamoci poi con la pioggia e le strade scassate e mi presento negli uffici di $noiricicliamo. Li’ vengo accolto da UL1 ed UL2.

UL1 – …e quindi nel report appare solo il nome dell’utente CL.
IO – Si, questo lo vedo, solo che quello che noto io e’ che CL pare che stia vedendo una pagina web che ha una caterva di collegamenti allo stesso dominio, e questo foxxuto report mostra solo 50 linee alla volta, quindi noi vediamo tutti i collegamenti di quella pagina e basta.
UL2 – …ed inoltre non riusciamo a fare la filtratura sugli utenti ma solo sui gruppi.
IO – Io sto coso non l’ho mai usato in vita mia, ma mi pare strano che non vi sia un modo di avere un filtro sugli utenti.
UL1 – Ma noi vogliamo il filtro sui gruppi.
IO – Hummm… ma non avete appena detto che lo volete sugli utenti?
UL1 – Il filtro lo vogliamo sui gruppi.
UL2 – Il filtro lo vogliamo sugli utenti.

I due si guardano tra di loro.

UL1 – Il filtro lo vogliamo sugli utenti.
UL2 – Il filtro lo vogliamo sui gruppi.

Si ri-guardano tra di loro.

UL1 – Il filtro lo vogliamo sui gruppi.
UL2 – Il filtro lo vogliamo sugli utenti.
UL1 – Non voglio mettermi a ravanare su ogni utente ogni volta che cambiamo una virgola.
UL2 – Ed io non voglio dover spostare gente da un gruppo all’altro.
UL1 – I gruppi sono piu’ facili da gestire.
UL2 – E gli utenti forniscono un controllo piu’ fino.
IO – (sentendomi molto come l’arbitro di quel famoso incontro di pugilato che venne pestato da entrambi i pugili) Ok, ok. State calmi, che adesso vediamo come e’ meglio farlo.

Cosi’ mi rimetto a guardare questo obbrobrio di web-interfaccia, provo per prima cosa a fare un bel dump dell’intero log del coso e faccio un giro con sed ed awk, e trovo che, apparentemente, ci sono TUTTI gli utenti nel log, quindi potrebbe essere un problema di come il “report” funziona (o pretende di). Dopo aver fatto un po’ di prove pero’ non riesco a convincere i due sarchiaponi. Entrambi suggeriscono di togliere il proxy dalla DMZ e metterlo invece nella LAN. Ok, cambiare la configurazione del proxy e’ semplice, poi si tratta pero’ di cambiare la configurazione del firewall per non redirigere piu’ le connessioni HTTP uscenti sull’ip vecchio. Mi attacco al telefono ed il buon Bart esegue l’operazione sul firewall.

Dopo un po’ di ravanamenti con un paio di pc di test, i due sarchiaponi sono di nuovo li’ che discutono sui gruppi/utenti, io intanto ho fatto un rapido giro nella documentazione dove semplicemente dice che queste cose si fanno a livello di gruppo e non di utente. Presento le mie scoperte.

UL1 – Ma come solo a livello di gruppo?
mepensa: ma eri tu che lo volevi a livello di gruppo no?
UL2 – Dovrebbe essere possibile anche a livello di utente!
IO – Secondo la documentazione no. Io posso provare a mandare una mail a questa gente e domandare, ma secondo me la documentazione e’ chiara. O si fa a livello di gruppo o picche.
UL1 + UL2 – Ma perche’?
IO – Aho’, io sto’ coso non l’ho fatto ne’ l’ho proposto. Siete voi che lo avete specificamente richiesto. Adesso giocateci un po’ e vedete se i report escono meglio dato che si trova nella Lan ed io intanto vedro’ di riconfigurare il firewall (anzi, di dire al mio collega di riconfigurarlo) in modo da rifar funzionare questo coso come proxy trasparente.

E speriamo che nel frattempo si schiariscano le idee su cosa vogliono e come.

Davide

legenda personaggi

Technorati Tags: Storie dalla Sala Macchine,humor

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: