Настраивал авторизацию в OWA 2013-го Exchange через ADFS на 2019 сервере, словил забавный баг. Переход на страницу SSO отрабатывает корректно, авторизация проходит успешно, но после нее - видим вот такое:
Причем баг воспроизводится только в Chrome, в других браузерах все работает. Ошибка может быть разной - HTTP 440, HTTP 401, и так далее. Но суть всегда одна - отлуп после авторизации.
Локальное решение - сходить в настройки браузера по адресу chrome://flags/#reduced-referrer-granularity и выставить этот параметр в Disable. Но если это не тестовая среда и мы не хотим менять настройки каждой клиентской машине, придется подкрутить заголовки на самом сервере ADFS:
Был такой сервис мониторинга - Monitis. Удобнейшая штука, мы им пользовались как независимым клоном внутреннего мониторинга для критичных вещей, плюс с него тянулись данные по отклику наших сайтов из разных стран.
В этом году его купили мудаки из TeamViewer. И сразу заявили - мы закрываем старый Monitis и запускаем новый TeamViewer Web Monitor, миграция в один клик, переходите!
По факту: - Миграция в один клик потеряла половину настроек. - POST запросы с кастомными данными не поддерживаются. - Запросы к сайтам с авторизацией не поддерживаются. - API другая, то есть переделывать все скрипты, настроенные на вытягивание статистики из Monitis. - Части функций, которые были в Monitis, там просто нет. - Удобного мобильного приложения, которое было в Monitis, у этого поделия тоже нет.
Ну и так далее. Посмотрев на этот пиздец, наш отдел со словами "нахуй, нахуй" стал искать альтернативы, куда улучшайзеры еще не добрались.
На работе прилетела банальнейшая задача: заменить софтовый VPN сервер, державший один S2S туннель, маршрутизатором Cisco. С другой стороны туннеля - Juniper SRX. Плевое дело, казалось бы. Потушил racoon на сервере, перекинул белый IP на циску, создал интерфейс, импортировал ключи, прописал tunnel protection ipsec. Всё? А вот хер там! Туннель не поднялся.
Со стороны SRX - в логах вечный таймаут. Со стороны циски вообще нечто маловразумительное: show crypto isakmp sa - пусто, включаем дебаг - а там "failed to send SA request", "failed to assign socket" и тому подобные крайне "информативные" ошибки. Перекинул белый адрес обратно на сервер, запустил racoon - работает. Кидаем на циску - не работает... Следующие 3 часа я методично проверял все что только можно, попутно начиная верить в чертей. Отключил все ACL, перепроверил маршруты и адреса, убедился что циска и SRX могут пинговать друг друга и слушают 500 порт, проверил через nmap с обеих сторон что эти порты доступны, дцать раз перезагрузил циску - ноль эффекта.
Уже от отчаяния возникла одна бредовая вроде бы идея. Не, ну не может же быть. Или может? Звоню провайдеру, через которого тот туннель ходил. Так и так, у нас тут вот такая хуйня творится, перезагрузите вашу железку. Какую железку? Да ту самую, которая стоит в нашей стойке, в которую ваша опта приходит и к которой наше оборудование подключено. Перезагрузили. Туннель взлетел. Ну вашу ж мать...
Стоит у нас в ЦОД мелкий Sophos, через который бегает трафик пары изолированных подсетей и на котором поднята прокси для нужд разработки. Мы на нем только ACL иногда добавляем/меняем, а общим обслуживанием занимаются аутсорсеры интегратора (все того же, что и в предыдущем посте).
И вот начала там происходить неведомая ебанина - то маршруты упадут, то CPU нагружен на 70% при отсутствии трафика, то VPN туннель без видимых причин отвалится. Соответственно, я написал аутсорсерам "разбирайтесь" и занялся другими делами.
Спустя пару часов, уже глубоким вечером, мне ВНЕЗАПНО звонит тимлид разработчиков с наездом, что прокси недоступна и у них встало колом что-то там. Захожу на Sophos - а служба прокси тупо выключена, причем по логам судя это сделал сетевик аутсорсеров. На мой резонный вопрос "какого хера" он на голубом глазу ответил "ну вы же просили разобраться почему такая высокая нагрузка на проц, вот я и стал все службы по одной отключать..."
То есть еще раз. Эти ребята, получив письмо с описанием проблемы, полезли на боевой маршрутизатор клиента и без предупреждения стали от балды гасить на нем службы. А получив от меня письменных пиздюлей, побежали жаловаться моему начальству, какой я грубый и плохой. Правда, понимания не встретили и отхватили дополнительных пиздюлей...
У кого-нибудь еще есть вопросы, почему в Германии острая нехватка квалифицированных айтишников? 🙂
Ездили мы вчера в ЦОД снимать старое железо корпоративной телефонии. Оно было нам в свое время поставлено, настроено и вроде как поддерживалось самым крупным немецким интегратором - Дойче Телеком. Доступ у нас был только к вебморде CUCM, все остальное вроде бы как управлялось Телекомом.
Ну сняли, привезли в офис. В числе прочего там был маршрутизатор Cisco 2911. Мне стало интересно, что за конфиг там внутри, поэтому я его включил у себя на столе и ткнулся консолью. После загрузки консоль радостно пустила меня внутрь без запроса пароля. Команда enable - то же самое... При детальном рассмотрении конфига выяснилось, что управление там шло через telnet, а защиты вообще никакой не было, если не считать таковой ACL по разрешенным подсетям. Кроме того, из этой железки (имевшей доступ в корпоративную сеть) торчал VDSL канал хрен знает куда, о котором у нас никто вообще не знал.
Есть у меня на работе ЦОД. А в том ЦОД - дисковая полка. SAN сеть, все по фен-шую.
У той конторы, где мы стойки арендуем, есть еще один ЦОД в другом городе. И еще одна такая же полка. Согласно контракту, контора обеспечивает репликацию данных между этими полками. Чтобы если что - быстренько развернуть инфраструктуру в резервном ЦОД. У нас, согласно тому же контракту, доступа к управлению полками нет, они полностью на аутсорсе у помянутой конторы.
Сегодня выяснилось, что последняя успешная репликация имела место быть... 9 месяцев назад. В феврале. И никто ничего не заметил.
Среди коллег идут активные дебаты на тему "а что было бы, если бы нам понадобилось развернуть резерв". Начальство истерически хихикает. "Все танцуют и поют" (с).
Есть у нас подрядчик на аутсорсе - контора из одной постсоветской страны, которая пилит для нас кое-какой второстепенный софт. Пришел от них запрос: "так и так, нам нужны данные из боевой базы %Database_Name%". Без уточнений, какие, зачем и за какой период.
Соответственно, пишу им - уточните, что конкретно требуется, пришлем дамп. В ответ прилетает... ссылка на исходники того софта. С припиской "а там из кода очевидно, что нам нужно".
Наш саппорт грустно собирает в коробочку разбитые корпоративные айфоны, чтобы отправить их в ремонт.
Я подал идею: повесить в коридоре доску с именами сотрудников и рисовать напротив них яблоки по количеству разбитых девайсов. Кто больше огрызков наберет, тот и победитель этой специальной олимпиады.
Подкравшийся начальника идею развил: победитель будет уволен :)
