8 steps to configure MTLS SSL Certificate for Communicator Web Access CWA 2007 R2

Posted in OCS on July 27th, 2010 by webern – Be the first to comment
  1. create a csr by running lcscmd from the setup disk

    lcscmd /cert /action:request /ou:IT /org:Fabrikam /sn:ocscomweb01.fabrikam.com /san:ocscomweb01 /country:US /state:MI /city:City /online:false /filename:c:\ocscomweb01.csr.txt

    Depending on your setup you might have to switch places for the hostnames, some want the fqdn as subject name(sn), some want it as subject alternate name(san)

  2. go to the CA webpage, e.g. http://ad1/certsrv or wherever your CA is located
  3. ‘Request a certificate’
  4. Choose ‘submit advanced certificate request’
  5. Choose ‘Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.’
  6. Paste the CSR (read it from the file in 1) into the ‘Saved Request’ field, choose ‘Web Server’ from the ‘Certificate Template’ drop down. Submit
  7. Mark the base64 tab and download, then save the file
  8. Import the response:
    lcscmd /cert /action:importresponse /filename:<path to file saved in 6>

nginx as reverse proxy for OCS 2007 R2 Web Components

Posted in Linux, OCS, nginx on July 26th, 2010 by webern – 1 Comment

I’ve been working on this case to deploy OCS 2007 R2 in a Hosted (multi-tenant) environment to our customers and an important part of that is security.

Because of that we decided to use a reverse proxy in front of the web components server, and at first the software we chose was squid. After messing around and not getting it to work I gave up and went to give nginx a try.

With no previous nginx experience I sure as hell was excited about it, “would this actually work? how long would it take to get the configuration right? Squid took forever with scrolling through (old) configuration examples”.

To my enjoyment it was exremely easy to get up and running. Here’s a walkthrough:

  • Reverse proxy DNS name (should be available in the external DNS): ocsedgeweb.fabrikam.com
  • Web components server (with a single server in my case the pool server): ocspool01.fabrikam.com
  • Now, make sure that the reverse proxy server is able to connect to ocspool01.fabrikam.com (needs the DNS lookup and open ports — 443 presumably). You can test this by typing the following in the console on the reverse proxy:
    telnet ocspool01.fabrikam.com 443
  • Next up is to install nginx, I won’t go into the details here since it differs from distribution to distribution, but it should be fairly easy.
  • Get some certificates, yours should have the subject name ocsedgeweb.fabrikam.com. Save the certificate and private key in /etc/nginx
  • Edit /etc/nginx/nginx.conf as follows
user nobody;
worker_processes 4;
events {
	worker_connections 1024;
}

http {
	include mime.types;
	default_type application/octet-stream;

	sendfile on;
	keepalive_timeout 65;
	server {
		listen 443;
		ssl on;
		ssl_certificate /etc/nginx/certificate.crt;
		ssl_certificate_key /etc/nginx/private.key;
		ssl_session_timeout 5m;
		ssl_protocols SSLv2 SSLv3 TLSv1;
		ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
		ssl_prefer_server_ciphers on;
		server_name ocsedgeweb.fabrikam.com;
		location / {
			proxy_pass https://ocspool01.fabrikam.com:443;
			proxy_set_header Host ocsedgeweb.fabrikam.com;
			proxy_set_header X-Real-IP $remote_addr;
			proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
			proxy_max_temp_file_size 0;
			proxy_connect_timeout 30;
			proxy_read_timeout 120;
		}
	}
}

Now start nginx and try uploading a file in Live Meeting for example.

As a note: we’ve set authentication on /Abs/Ext/, /etc/place and /GroupExpansion/Ext to ‘Basic’ instead of the default ‘Windows Integrated’

OCS 2007 R2 Live Meeting A/V failure

Posted in OCS on July 26th, 2010 by webern – Be the first to comment

Been working on a case to install OCS 2007 R2 with Live Meeting capabilities and stumbled upon this weird problem.

- OCS would work
- Live meeting would work
- A/V wouldn’t work

The client gave the following error message:

—————————
Voice and Video Error Information
—————————
Your attempt to start audio or video did not succeed.
Action required: Please try again to start audio or video. Alternatively, you can try closing and reopening Live Meeting.
—————————————————————————
More details for technical support:
—————————————————————————
Message Category: 3 (kServerError)
Message Code: 24 (kAddUserRequestFailed)
Root Cause Error: 0×80004005
Root Cause Component: kAVMCU
Audio Input Device: Headset Microphone (Logitech USB Headset)
Audio Output Device: Speakers (High Definition Audio Device)
Video Input Device:
Audio Muted: No
Media State: (43,0,0,0,2,0,AddUserRequestSent)
AvMcu Uri:
Avmcu Reachable: Yes
Acp Reachable: No
Diagnostics Information:

—————————Voice and Video Error Information—————————Your attempt to start audio or video did not succeed.

Action required: Please try again to start audio or video. Alternatively, you can try closing and reopening Live Meeting.

—————————————————————————
More details for technical support:
—————————————————————————
Message Category: 3 (kServerError)
Message Code: 24 (kAddUserRequestFailed)
Root Cause Error: 0×80004005
Root Cause Component: kAVMCU
Audio Input Device: Headset Microphone (Logitech USB Headset)
Audio Output Device: Speakers (High Definition Audio Device)
Video Input Device:
Audio Muted: No
Media State: (43,0,0,0,2,0,AddUserRequestSent)
AvMcu Uri:
Avmcu Reachable: Yes
Acp Reachable: No
Diagnostics Information:

Now, after a HECK LOAD of troubleshooting — and even reinstalling the entire solution a couple of times I found this blog post, and I couldn’t believe that in 2010 something like regional settings would still cause problems.

Anyhow, I did as the blog says and to my happiness it worked. Aye karamba! Next up is getting Squid/Pound/nginx as reverse proxy for the web components/conferencing.

Totalt usaklig

Posted in Random stuff on May 25th, 2010 by webern – Be the first to comment

Kjeder meg, på tide å bruke bloggen igjen. Denne gangen i tråd med #rosablogging, dvs totalt useriøst og meningsløst.

Snart; lunsj!

Hvorfor jeg mener Xito ikke selger (enda)

Posted in Uncategorized on March 2nd, 2010 by webern – 1 Comment

De har misforstått/ikke startet med sosiale medier enda.

Misforstå meg rett, jeg unner Xito all suksess de kan få, men det irriterer meg rett og slett grenseløst at de gjør ‘så lite’.

Når du kaller deg ‘The social media mobile company’ ligger det en viss prestisje i det. Man er ikke ‘just another social media mobile company’, men ‘THE!’.

Skal du forsvare en slik tittel nytter det ikke ha følgende:

  • En persons twitter-feed hvor tema er private reiser, jul, tur i skogen, fine uker, snø, etc. Det er et par tweets som omhandler Xito, men svært få begrunnelser for hvorfor man skal velge Xito i stedet for f.eks. Ludo.
  • En facebook-gruppe hvor alt du gjør er å linke til sider på bloggen. Mer interaktivet med brukerne! Konkurranser er den beste ideen jeg kommer på, men en PR-rådgiver har sikkert flere.
  • En blogg som mer eller mindre bare inneholder pressemelding-lignende poster og tilbud. Slikt har man en webside til.

Andre utfordringer

  • Den største målgruppen befinner seg i alderen 12 til noe-og-tjue. Foreldre prioriterer annerledes enn en teoretisk mulighet til å ringe gratis, de vil f.eks. gjerne ha ‘Fri Familie’ eller hva nå alle selskapene kaller sine versjoner.
  • De har ingen abonnement med bindingstid. Folk flest kjøper subsidierte mobiler, derfor er de bundet i ett år etter mobilkjøpet. Sannsynligheten for at man kjøper ny mobil når den bindingstiden er utløpt? Stor!Jeg vet, ikke alle kjøper ny mobil en gang i året, men målgruppen ville vært så utrolig mye større hvis de tilbød et abonnement med bindingstid elektrokjedene kan bruke til subsidiering.
  • ‘Best Friends’-abonnementet er helt awesome! for de som får tak i det.  Krav? Minst 3 venner du har rekruttert som bruker for mer enn 100 kroner hver måned. Dvs. hvis en av dine venner brukt 99 kroner en måned er du tilbake til å måtte betale en hel måned, dette sjekkes nemlig den 1. i hver måned.Ikke nødvendvis et voldsomt problem hvis du klarer å rekruttere en del mennesker under deg, men du må hele tiden følge med hvis ambisjonen din er 0 kroner i månedlige ringeutgifter.
  • Høy pris på pakkedata. Det er mer eller mindre normen på nye mobiler å ha utbedret støtte for internett, da er det kjipt å bestale (nesten) 4kr per MB. Det er ikke nødvendigvis det dyreste på markedet, langt i fra, men storbrukere velger abonnement der datatrafikk er fastpriset. Og de kommer det til å bli flere av! Storbrukere altså.

Målgrupper

  • Xitos målgruppe er de som bruker kontantkort. Hvem bruker kontantkort? Unge mennesker som ikke får lov av foreldrene til å bruke abonnenement, eldre mennesker som vil ha forutsigbarhet, mennesker som ikke består en kredittsjekk og sikkert flere jeg ikke kommer på.
  • Unge mennesker finner man i blogg-sfæren, de må gjerne ha samtykke av foreldrene sine for å få bytte mobilabonnement.
  • Eldre mennesker som ønsker forutsigbarhet, hvor man finner de? Aner ikke, men antageligvis ikke storforbrukere av blogger.
  • Twitter? Der finner du primært teknofriker, og omtrent alle av de har nok en twitter-app installert på mobilen sin og er utenfor målgruppen.
  • Facebook? Her finner du alle! Mitt tips blir derfor å satse hardest på facebook. Se på komplett, det er en bedrift som i mine øyne har noe på gang når det gjelder sosiale medier. Ukens tilbud integrert i siden sin, utvalgte kampanjer (‘Bad Company 2′ as we speak), konkurranser som fenger
Jeg skal unnskylde Xito for at de er nye på markedet, det er friskt satset og jeg tror faktisk de har en mulighet. Men det kommer ikke til å slå an uten innsats.
Å lykkes i sosiale medier er ikke bare å opprette en twitterkonto, FB-side, en blogg og så tro at alt ordner seg selv.
Det er minst like mye arbeid som tradisjonell markedsføring.

Oppsummert

Få orden på satsingen før det kommer en konkurrent som er flinkere, har man ikke tid til å fokusere på dette så ansett noen til å gjøre det.

NSB, JBV – hvem skal man skylde på

Posted in Uncategorized on January 14th, 2010 by webern – 10 Comments

Foto: Scanpix

(VG Nett): VG Nett-leser: Privatiser NSB så får vi et moderne NSB mye raskere.Diskuter togkaos her!

Hvis det er en ting som provoserer meg, så er det alle gjøkene som skylder på NSB hver gang det er signalfeil, eller en kjøreledning som har falt ned, eller problemer med en overgang, eller hva som helst annet som omfatter skinnegangen.

Problemet er at NSB står for togsettene, mens Jernbaneverket står for drift og utvikling av skinnenettet.

Hvilket parti stemte du på ved forrige (og det før der igjen, fikse skinner tar tid) stortingsvalg? Ett som har jernbane som satningsområde (privatisering telles ikke) ? Ikke det? Neivel, da har du ingen rett til å klage – du har fått akkurat det du har bedt om.

Mira Mira on the wall..

Posted in Uncategorized on January 11th, 2010 by webern – Be the first to comment

Fotograf: Berit Roald Copyright: TV2

(VG Nett): Artisten er av den oppfatning at mange sykdommer starter med mentale blokkeringer, som kan komme av å tenke negativt.

- Det sies jo at for eksempel kreft i veldig mange tilfeller forårsakes av skyldfølelse, sier Craig.

Og benbrudd oppstår pga negative tanker. Eller negativ mengde folk til å ta i mot en stagedive. Same same but different.

Happy Fjernvarme :-)

Posted in Uncategorized on January 9th, 2010 by webern – 1 Comment
PowerPlant - Springfield, MO by elite fotoart@flickr

PowerPlant - Springfield, MO by elite fotoart@flickr

(VG Nett): Neste uke kan det bli like dyrt i sør. På mandag får nemlig Norge en ny prissone for strøm: Østlandet og Nordvestlandet. Ekspertene er samstemte på at det betyr at Østlandet, spesielt ved tørt og kaldt vær som nå, vil nærme seg Nord- og Midt-Norge i pris.

Sørvestlandet kan derimot se frem til lavere strømpriser.

Glad jeg bruker fjernvarme i disse dager :-D

Pedobear, go here

Posted in Internett, Sex, VG on January 8th, 2010 by webern – 13 Comments

(VG Nett): Følger man Googles oppfordringer, går man forbi Kripos sitt barneporno-filter. Nå ber politiet norske nettleverandører skjerpe seg.

Før jul lanserte Google sin egen DNS-tjeneste. Dette viser seg å ikke være uproblematisk.

Google oppfordrer nå brukere til å bytte bort nettleverandøren sin DNS-server, til Google sin. Slik skal man kunne surfe raskere.

Google sier på sine infosider at de ikke blokkerer “unwanted sites” i sin DNS-tjeneste.

De er en ren DNS-server, skriver Google, og vil ikke blokkere eller filtrere noe som helst.

Interessant problemstilling, og jeg er spent på hva utfallet blir av Kripos sitt møte med nettleverandørene. Implementasjon av filteret i DNS er jo relativt enkelt, skal man derimot tvinge nettleverandørene til å ta i bruk mer avansert teknologi som DNS-cloaking etc. kan det fort bli dyrt. Regning? den får du som forbruker i form av høyere bredbånd (i verste fall).

Andre forslag ?

Gi meg et skudd

Posted in Politikk, VG on January 8th, 2010 by webern – Be the first to comment
bloody needle by Dirty Bunny@flick

bloody needle by Dirty Bunny@flick

(VG Nett): Kristoffer Joner, som nå er aktuell i premiereklare «Tomme Tønner», der han spiller en nevrotisk junkie, er ikke i tvil om at de tyngste narkomane i landet bør få opiatet gratis – slik han hevdet overfor Bergensavisen.

Kristoffer Joner hevder imidlertid at statistikkene i dag taler for seg:

- Med tanke på dagens tall, og behandlingen som gis per i dag, er det på tide å tenke nytt, sier Joner til VG Nett.

Det rette vil selvfølgelig være at alle får behandling slik at de kommer seg tilbake til samfunnet, men inntil vi har kapasitet nok til det mener jeg Joner har et poeng.

Heroin skal være et veldig billig stoff å produsere, så jeg mener det kunne vært fordelsaktig hvis tunge (merk tunge) rusmisbrukere fikk assistert gratis tilgang.

Stoffet blir selvfølgelig ikke bare delt ut på måfå, men settes med hjelp av sykepleiere i bestemte lokaler. På den måten får også rusmisbrukere en lettere hverdag.

1) De slipper å måtte gå til ulovligheter/tigge for å skaffe penger.
2) Stoffet kvalitetssikres og blandes ikke ut i farlige kombinasjoner, tryggere stoff
3) Det er helsepersonell tilstede i tilfelle overdose etc.

« Older Entries
Newer Entries »