Multi-Domain SSL-Zertifikate

Wer selbst Webserver betreibt, die verschlüsselte Bereiche anbieten sollen, kennt sicherlich das folgende Problem:
HTTPS benötigt pro virtuellem Webserver eine eigene IP-Adresse, weil die Verschlüsselung aktiv wird, bevor der Mechanismus greift, der die Unterscheidung von Name Based Virtual Hosts ermöglicht.

Dieses Problem führt dazu, dass man meistens die Wahl zwischen mehr oder weniger schönen Alternativen hat. Da ich in Projekten immer wieder damit konfrontiert bin – und auch privat des Öfteren danach gefragt werde – möchte ich beschreiben, welche Möglichkeiten man mittlerweile hat, um elegant und ohne irritierende Warnmeldungen damit umzugehen.

Multi-Domain SSL-Zertifikate weiterlesen

Technical Debt: Vortrag auf der SEACON 2014

Mein Vortrag zum Thema Technische Schulden – Reden wir drüber! wurde für die SEACON 2014 angenommen.

Technical Debt ist für Software-Entwickler die unangenehmste Form von Schulden. Trotzdem entstehen sie, jeden Tag, in jedem Projekt. Der Vortrag bietet Software-Entwicklern und Software-Architekten eine Anleitung, wie sie mit Projektleitern und Managern über dieses Thema sprechen können. Zu hohe Kopplung kann die Ursache eines zu niedrigend Incoming Cash Flows sein, ebenso wie die zyklomatische Komplexität mit der Total Cost of Ownership korrelliert. Auf amüsante Weise wird erklärt, wie sich für jede Ursache von Technical Debt ein Weg finden lässt, diese mit betriebswirtschaftlichen Begriffen so darzustellen, dass auch ein Manager das Problem begreifen kann. Denn wenn der Manager nicht zum Entwickler kommt, muss der Entwickler eben zum Manager gehen.

Ich freue mich schon sehr auf die Konferenz, auf der ich zum ersten Mal als Mitarbeiter der adesso AG sprechen werde.

Postfix und Dovecot mit StartSSL-Zertifikaten

StartSSL stellt eine günstige Möglichkeit bereit, wie man unkompliziert an SSL-Zertifikate kommt.

Allerdings haben die Zertifkate den Nachteil, dass sie ein Chain-Zertifikat benötigen. Sonst bekommen Nutzer trotz eines eigenlich gültigen Zertifikats Warnmeldungen angezeigt.

Weder Dovecot noch Postfix haben für die Chain-Zertifikate eine Konfigurationsoption. Es geht aber trotzdem sehr einfach, wie im Folgenden gezeigt wird.
Postfix und Dovecot mit StartSSL-Zertifikaten weiterlesen

cron mit LDAP-Nutzern unter Debian

Will man für Benutzer, die im LDAP verwaltet werden, eine crontab erstellen, wird diese unter Debian Wheezy eventuell nicht ausgeführt.

Stattdessen erhält man in /var/log/syslog die Meldung

/usr/sbin/cron[2656]: (lupinchen) ORPHAN (no passwd entry)

Das Problem ist schon uralt: cron erkennt offenbar keine LDAP-Benutzeraccounts.
Die Lösung ist trivial – wenn man sie kennt.
Die besteht darin, den nscd zu starten.

/etc/init.d/nscd start

Schon läuft der cron so, wie man es erwartet und führt auch crontabs für LDAP-Benutzer aus.

Quellen:

Sicheres Anwendungs-Monitoring mit SNMP – Vortrag auf den Chemnitzer Linux-Tagen 2014

Das Vortragsprogramm der Chemnitzer Linux-Tage 2014 ist online und mein Vortrag zum Thema Sicheres Anwendungs-Monitoring mit SNMP wurde ins Programm aufgenommen.

Der Vortrag gibt Unix-Nutzern einen Einblick, wie man Net-SNMP zum Monitoring und Steuern beliebiger Anwendungen nutzen kann.
Der Schwerpunkt liegt dabei auf dem Thema der Absicherung des SNMP-Dienstes mit Hilfe von SSL/TLS und Authentifizierung.
Als Beispiele dienen hierzu SNMP4J und Net-SNMP.