Enrico Ruggeri - La Ruota Tour 2010

E’ cominciato venerdì 18 giugno scorso a Cologna Veneta il tour estivo di Enrico Ruggeri. Ero presente anch’io. E’da tanti anni che non assistevo ad un suo concerto, dal lontano ‘92: quello fù un concerto del “Peter Pan Tour” tenuto al Supercinema di Padova.  Oggi come allora ho goduto di un concerto perfetto ed a misura d’uomo, ovvero dall’atmosfera coinvolgente, con acustica perfetta (non scadente come negli stadi o negli infernali palasport), e senza l’affollamento caratteristico dei mega-concertoni, dovuto sicuramente anche al carattere elitario della sua musica e quindi ad un pubblico relativamente selettivo…

Ed è proprio a questo tipo di eventi che puoi portare anche la famiglia; oltre a Romy c’era anche Sebastiano: il suo primo concerto. Ho potuto trasmetteregli un po’ di passione per Enrico, per il Rock melodico e per la musica suonata in generale… Sicuramente un’esperienza forte, che rimmarrà impressa nei ricordi.

Un concerto incredibile, grandioso, straordinario… lo show veramente emozionante. E’ musica da ascoltare e da cantare nel migliore dei modi, quindi comodi e da seduti, ma non è mancata l’occasione per poter saltare e scatenarsi davanti al palco nel finale, alle parole di Enrico “..ed ora scatenate l’inferno!”; insomma un modo per accontentare un po’ tutti, anche quel popolo “punk” che lo segue dagli esordi….

Enrico Ruggeri e Luigi Schiavone

Il “La Ruota Tour 2010″ oltre a proporre i nuovi brani dell’ultimo album, ripercorre gran parte dei brani storici, alcuni dei quali scelti direttamente dal pubblico invitato sul palco con il meccanismo di una ruota virtuale dove sono riportati moltissimi titoli delle sue canzoni: il concerto è iniziato con Vivi e seguendo un po’ la sceletta e lasciando un po’ di spazio all’improvvisazione e al caso si è giunti al termine con La notte delle fate e la celeberrima Contessa.  Enrico si è dato un gran da fare ed ha cantato per più di due ore ininterrotamente e con lui la sua band. Gli amici musicisti con cui suona Enrico sono sempre rimasti gli stessi fin dai tempi dei Decibel, tra i quali il mitico Luigi Schiavone alla chitarra ed il grande Fabrizio Palermo al basso.

Ho beccato Rrouge nel backstage appena prima del concerto: indossavo la gloriosa maglietta del Peter Pan Tour del '92

Ultimamente mi sono scontrato con la problematica di eseguire una stored procedure da una funzione SQL UDF (google: How to execute Stored procedures into a UDF function).
L’esecuzione di codice INSERT/UPDATE/DELETE/STORED PROCEDURE che alterano il contesto esterno alla funzione non è possibile by design; è possibile solo apportare modifiche a variabili locali definite nella funzione. Infatti appena tentiamo di alterare il contesto del database otteniamo uno dei seguenti messaggi di errore, rispettivamente se stiamo utilizzando comandi TSQL INSERT/UPDATE/DELETE, chiamando STORED PROCEDURE o cercando di eseguire SQL dinamico:

Invalid use of side-effecting or time-dependent operator in ‘INSERT’ within a function.

Only functions and extended stored procedures can be executed from within a function.

Invalid use of side-effecting or time-dependent operator in ‘EXECUTE STRING’ within a function.

L’utilizzo delle funzioni SQL è utilizzato per leggere e applicare una certa logica ai dati letti, ma non a trasformarli o modificarli. E’difficile pensare che leggendo dei dati da una tabella con una SELECT questi vengano modificati sotto il naso.
Se ci dovessero essere logiche più complesse, come l’utilizzo di tabelle di appoggio temporanee, certo è preferibile e doveroso racchiudere il codice in una stored procedure.

Questo in linea di principio e come best practice.
Un caso che ho dovuto affrontare era quello dell’ottimizzazione delle performance di una serie di applicazioni. Queste, accedendo al DB, ed utilizzando gli strumenti offerti TSQL, utilizzavano tutte, in più punti e ripetutamente una certa funzione, che, accedendo a dati esterni al DB con protocollo TCP/IP, risultava particolarmente lenta a rispondere.

Da qui l’idea di implementare un meccanismo di caching nella funzione stessa; non era assolutamente pensabile cambiare la logica
applicativa modificando il codice e le modalità di interfacciamento al DB. L’operazione doveva essere completamente trasparente per le applicazioni!

L’algoritmo di caching può essere banalmente il seguente:

IF (prima volta)
 BEGIN
  recupera i dati online
  memorizzali nella cache
 ELSE
  recupera i dati dalla cache
 END

Includere tale logica in una funzione SQL è semplice…
Peccato che il significato di memorizzare i dati è quello di utilizzare un’istruzione del tipo INSERT/UPDATE/ST.PROCEDURE e che quindi modifica il contesto esterno alla funzione.

Nel seguito espongo la soluzione di come eseguire una stored procedure in una funzione, descrivendo i passi utili a creare una logica di caching sopra descritta.

Immaginiamo di avere una funzionalità di basso livello (my_very_slow_function) che, dopo essersi connessa con un tal sistema autorizzativo, restituisca i ruoli associati ad un utente.
Vogliamo utilizzare questa funzionalità in una funzione di più alto livello (my_function) che incapsuli la logica (quindi una funzione wrapper)

CREATE FUNCTION [dbo].my_very_slow_function(@login nvarchar(50))
RETURNS TABLE
AS
RETURN
(  
 SELECT 'Administrator' as Role,0 as Type UNION
 SELECT 'Contributor', 0 UNION   
 SELECT 'Public role', 0 UNION   
 SELECT @login, 1
)

SELECT type,role FROM [dbo].my_very_slow_function('DOMAIN\testuser') ORDER BY type,role
type role
0    Administrator
0    Contributor
0    Public role
1    DOMAIN\testuser

CREATE FUNCTION [dbo].[my_function](@login nvarchar(50))
RETURNS
@roles TABLE (role varchar(400), type int)
AS
BEGIN
 INSERT INTO @roles (role,type)
  SELECT role,type FROM my_very_slow_function(@login)
  RETURN
END

SELECT type,role FROM [dbo].my_function('DOMAIN\testuser') ORDER BY type,role

Vogliamo quindi inserire nella funzione wrapper my_function la logica di caching. Creiamo la tabella per la cache e modifichiamo opportunamente la funzione.

CREATE TABLE dbo.MYCACHE (
login VARCHAR(50) NOT NULL,
role VARCHAR(400) NOT NULL,
type INT NOT NULL,
ts datetime DEFAULT getdate(),
PRIMARY KEY (login,role)
)

GO

ALTER FUNCTION [dbo].[my_function](@login nvarchar(50))
RETURNS
@roles TABLE (role varchar(400), type int)
AS
BEGIN
 INSERT INTO @roles (role,type)
  SELECT role,type FROM dbo.MYCACHE
  WHERE login = @login
 IF @@ROWCOUNT = 0
 BEGIN  
  INSERT INTO [dbo].MYCACHE (login,role,type)
   SELECT @login,role,type FROM my_very_slow_function(@login)
  INSERT INTO @roles (role,type)
   SELECT role,type FROM dbo.MYCACHE
   WHERE login = @login
 END  
  RETURN
END

Se tentiamo di modificare la funzione in tal senso otteniamo il seguente errore:

Msg 443, Level 16, State 15, Procedure my_function, Line 11
Invalid use of side-effecting or time-dependent operator in 'INSERT' within a function.

Cerchiamo di seguire un’altra strada: eseguire nella funzione una stored procedure contenente la logica del caching.

CREATE PROCEDURE [dbo].MYCACHEINSERT 
 @login VARCHAR(50) 
AS
BEGIN
 INSERT INTO [dbo].MYCACHE (login,role,type)
  select @login,role,type
  FROM dbo.my_very_slow_function(@login) 
END
GO

ALTER FUNCTION [dbo].[my_function](@login nvarchar(50))
RETURNS
@roles TABLE (role varchar(400), type int)
AS
BEGIN
 DECLARE @sql NVARCHAR(400)

 INSERT INTO @roles (role,type)
  SELECT role,type FROM dbo.MYCACHE
  WHERE login = @login
 IF @@ROWCOUNT = 0
 BEGIN  
  exec dbo.MYCACHEINSERT @login
  
  INSERT INTO @roles (role,type)
   SELECT role,type FROM dbo.MYCACHE
   WHERE login = @login
 END  
  RETURN
END
GO

Questa volta la creazione/aggiornamento non hanno problemi ma si presenta un errore in fase di esecuzione

SELECT type,role FROM [dbo].my_function('DOMAIN\testuser') ORDER BY type,role

Msg 557, Level 16, State 2, Line 1
Only functions and extended stored procedures can be executed from within a function.

Possiamo anche provare a modificare la funzione per farle eseguire codice SQL dinamico, e questa volta otteniamo un errore in fase di modifica.

ALTER FUNCTION [dbo].[my_function](@login nvarchar(50))
RETURNS
@roles TABLE (role varchar(400), type int)
AS
BEGIN
 DECLARE @sql NVARCHAR(400)

 INSERT INTO @roles (role,type)
  SELECT role,type FROM dbo.MYCACHE
  WHERE login = @login
 IF @@ROWCOUNT = 0
 BEGIN  
  SELECT @sql = 'exec dbo.MYCACHEINSERT '''+@login+''''
  exec(@sql)
  
  INSERT INTO @roles (role,type)
   SELECT role,type FROM dbo.MYCACHE
   WHERE login = @login
 END  
  RETURN
END

Msg 443, Level 16, State 14, Procedure my_function, Line 14
Invalid use of side-effecting or time-dependent operator in 'EXECUTE STRING' within a function.

La spiegazione nella difformità di comportamento dal precedente tentativo sta nel fatto che si può usare EXEC giusto per chiamare Extended Stored Procedures, ovvero le stored procedures scritte in C e compilate. Per definizione non si può cambiare lo stato del Database da dentro la funzione UDF, e così non si può costruire SQL dinamico ed eseguirlo con la stored procedure estesa “sp_executesql” (EXEC).

Documentandomi in Internet ho trovato un modo per eseguire uno statement SQL di aggiornamento/inserimento usando la funzione OPENQUERY e un LINKED SERVER che si autoreferenzia:

SELECT count(*) FROM OPENQUERY(LINKED SERVER,'INSERT INTO ....')

Peccato che la stringa di testo deve essere una costante, e non è possibile sostituirla con variabili e/o espressioni.

L’unico modo by design per risolvere il problema è quello di scrivere un’extended stored procedure in C, correndo il rischio che questa non funzioni più nelle prossime versioni di SQL Server, visto che la scrittura di questo tipo di procedures è deprecata. Scrivendo una external stored procedure in C# (.NET) non si risolve il problema, visto che non viene marcata come “extended” da SQL Server e che quindi non è possibile usarla dentro una funzione UDF.

Anche scrivendo una funzione external in C# ed eseguendo un’operazione INERT, ottenendo la connessione dal contesto con

SqlConnection conn = new SqlConnection("context connection= true");

otterremmo gli errori iniziali per i quali non è possibile modificare il contesto del DB. L’unico modo alla fine è quello di scrivere una funzione esterna C# ed istanziare una nuova connessione, ma sempre allo stesso database. In tal modo si inganna SQL Server, che non può più riconoscere l’eventuale modifica al contesto esterno.

Ora apriamo Visual Studio e creiamo un nuovo progetto SQL Server “MYUDF” in C#. Nelle proprietà del progetto ricodiamoci di impostare l’opzione “Sign the assembly”.

Poi aggiungiamo un nuovo file al progetto dti tipo Funzione UDF:

using System;
using System.Data;
using System.Data.SqlClient;
using System.Data.SqlTypes;
using Microsoft.SqlServer.Server;

public partial class UserDefinedFunctions
{
    [Microsoft.SqlServer.Server.SqlFunction(Name = "ExecuteSQL", 

     DataAccess = DataAccessKind.Read, IsDeterministic = false)]

    public static int ExecuteSQL(SqlString sql, SqlString connstr)
    {
        using (SqlConnection conn = new SqlConnection(connstr.Value))
        {
            int res=0;
            try
            {                            
                conn.Open();               
                SqlCommand cmd = conn.CreateCommand();
                cmd.CommandText = sql.Value;               
                res = (int)cmd.ExecuteNonQuery();               
            }
            catch (Exception ex)
            {               
                throw;
            }
            finally {                               
                conn.Close();               
            }
            return res;
        }
       
    }
}

La funzione riceve dall’input due parametri: la stringa contenente il codice SQL e quella per la connessione ad un DB. I controlli per la sicurezza e la gestione dell’errore è stata volutamente trascurata per semplificare la lettura. Al build del progetto verrà prodotto l’assembly MYUDF.dll, che dovrà essere copiato sul database server in una certa cartella, diciamo C:\TEMP. Creiamo e carichiamo l’assembly nel DB con il comando TSQL “CREATE ASSEMBLY”:

L’istruzione CREATE ASSEMBLY MYUDF può fallire e produrre i seguenti messaggi d’errore:

A) Msg 10327, Level 14, State 1, Line 1 

CREATE ASSEMBLY for assembly ‘MYUDF’ failed because assembly ‘MYUDF’ is not authorized for PERMISSION_SET = UNSAFE.  The assembly is authorized when either of the following is true: the database owner (DBO) has UNSAFE ASSEMBLY permission and the database has the TRUSTWORTHY database property on; or the assembly is signed with a certificate or an asymmetric key that has a corresponding login with UNSAFE ASSEMBLY permission.

ALTER DATABASE MYDB set trustworthy on;

B) Msg 0, Level 20, State 0, Line 0 

Errore grave durante l’esecuzione del comando corrente. Annullare i risultati eventuali.

Questo è un BUG noto (almeno per SQL2005), basta eseguire il seguente comando: exec sp_changedbowner ‘<username of the db attacher, ‘sa’, or any windows authenticated login>’

EXEC sp_changedbowner 'sa'

CREATE ASSEMBLY MYUDF
AUTHORIZATION [dbo] FROM 'C:\TEMP\MYUDF.dll' WITH PERMISSION_SET = UNSAFE;

CREATE FUNCTION [dbo].[ExecuteSQL](@sql [nvarchar](4000),@conn [nvarchar](200))
RETURNS int
AS EXTERNAL NAME MYUDF.[UserDefinedFunctions].ExecuteSQL

GRANT EXECUTE ON [dbo].[ExecuteSQL] TO [public]

Abbiamo appena creato la funzione UDF .NET, ed ora ci prepariamo a testarla:

select [dbo].[ExecuteSQL]('exec dbo.MYCACHEINSERT ''WORKGROUP\user1''','Data Source=MYSERVER;Initial Catalog=MYDB;Integrated Security=False;user id=dbu;password=dbu;')

Msg 6522, Level 16, State 1, Line 1
A .NET Framework error occurred during execution of user defined routine or aggregate 'ExecuteSQL':
System.Data.SqlClient.SqlException: EXECUTE permission denied on object 'MYCACHEINSERT', database 'MYDB', schema 'dbo'.

GRANT EXECUTE ON [dbo].MYCACHEINSERT TO [dbu]

Ora che abbiamo dato i permessi “rieseguiamo” la funzione, che “magicamente” ritorna i risultati attesi. Infatti nella tabella ci sono 4 righe. Bisogna far notare che è stato creata una login specifica “dbu” per inserire i dati nella tabella di cache e solo per quello scopo. Poi integriamo la chiamata ad ExecuteSQL in my_function.

SELECT * FROM dbo.MYCACHE
login           role            type ts
WORKGROUP\user1 Administrator   0    2010-04-25 12:08:13.513
WORKGROUP\user1 Contributor     0    2010-04-25 12:08:13.513
WORKGROUP\user1 Public role     0    2010-04-25 12:08:13.513
WORKGROUP\user1 WORKGROUP\user1 1    2010-04-25 12:08:13.513
SELECT count(*) FROM dbo.MYCACHE
4

ALTER FUNCTION [dbo].[my_function](@login nvarchar(50))
RETURNS
@roles TABLE (role varchar(400), type int)
AS
BEGIN
 DECLARE @sql NVARCHAR(400)
 DECLARE @conn NVARCHAR(200)
 DECLARE @count INT

 INSERT INTO @roles (role,type)
  SELECT role,type FROM dbo.MYCACHE
  WHERE login = @login
 IF @@ROWCOUNT = 0
 BEGIN  
  SELECT @sql = 'exec dbo.MYCACHEINSERT '''+@login+'''',
   @conn = 'Data Source=MYSERVER;Initial Catalog=MYDB;Integrated Security=False;user id=dbu;password=dbu;'
  SELECT @count = [dbo].[ExecuteSQL] (@sql,@conn)
  
  INSERT INTO @roles (role,type)
   SELECT role,type FROM dbo.MYCACHE
   WHERE login = @login
 END  
  RETURN
END

SELECT type,role FROM [dbo].my_function('DOMAIN\testuser') ORDER BY type,role
type role
0    Administrator
0    Contributor
0    Public role
1    DOMAIN\testuser

SELECT count(*) FROM dbo.MYCACHE
8

Verifica effettuata e possiamo affermare che… il gioco è fatto! A questo punto abbiamo terminato di implementare il caching che ci prefiggevamo. Infatti le chiamate successive alla prima sono molto più veloci nell’esecuzione. Ora la funzione wrapper my_function può essere utilizzata in altri contesti, in altre funzioni o stored procedures.

Per esempio:

CREATE FUNCTION [dbo].[my_function2](@login nvarchar(50),@param1 varchar(50))
RETURNS TABLE
AS
RETURN
( 
 SELECT count(*) as N, @param1 as M FROM [dbo].my_function(@login)  
)
SELECT * FROM [dbo].[my_function2]('DOMAIN\test2','param')
N M
4 param

Di seguito espongo una problematica che ho incontrato nell’utilizzare la tecnica sopra esposta in una stored procedure che utilizza un oggetto non locale quale una tabella temporanea (ricordo che è comunque una TABLE nel tempdb). Con simili oggetti si verrebbe a creare una transazione distribuita, ma SQL Server, capendo che la connessione istanziata dal codice .NET, individua un conflitto di sessioni. E da qui il messaggio di errore di cui sotto.

CREATE PROCEDURE [dbo].[my_procedure]  
 @login varchar(50),
 @param1 varchar(50)
AS
BEGIN 
 SET NOCOUNT ON;
 SELECT count(*) as N, @param1 as M FROM [dbo].my_function(@login)  
END
exec [dbo].[my_procedure] 'DOMAIN\test2','param'
--N M
--4 param
ALTER PROCEDURE [dbo].[my_procedure]  
 @login varchar(50),
 @param1 varchar(50)
AS
BEGIN 
 SET NOCOUNT ON;
 SELECT count(*) as N, @param1 as M INTO #temp FROM [dbo].my_function(@login)  
 SELECT * FROm #temp
END
GO
exec [dbo].[my_procedure] 'DOMAIN\test5','param'

Msg 6522, Level 16, State 1, Procedure my_procedure, Line 7
A .NET Framework error occurred during execution of user defined routine or aggregate 'ExecuteSQL':
System.Data.SqlClient.SqlException: Transaction context in use by another session.

La soluzione è più semplice del previsto: poichè SQL Server tenta implicitamente di costruire una transazione distribuita, il workaround è quello di inibire a priori tale possibilità attraverso il parametro opzionale Enlist nella connectionstring. E infatti, dopo la modifica della stringa di connessione, l’esecuzione funziona come ci si aspetta, ritornando i valori aspettati.

ALTER FUNCTION [dbo].[my_function](@login nvarchar(50))
RETURNS
@roles TABLE (role varchar(400), type int)
AS
BEGIN
 DECLARE @sql NVARCHAR(400)
 DECLARE @conn NVARCHAR(200)
 DECLARE @count INT

 INSERT INTO @roles (role,type)
  SELECT role,type FROM dbo.MYCACHE
  WHERE login = @login
 IF @@ROWCOUNT = 0
 BEGIN  
  SELECT @sql = 'exec dbo.MYCACHEINSERT '''+@login+'''',
   @conn = 'Data Source=MYSERVER;Initial Catalog=MYDB;Integrated Security=False;user id=dbu;password=dbu;Enlist=no'
  SELECT @count = [dbo].[ExecuteSQL] (@sql,@conn)
  
  INSERT INTO @roles (role,type)
   SELECT role,type FROM dbo.MYCACHE
   WHERE login = @login
 END  
  RETURN
END

exec [dbo].[my_procedure] 'DOMAIN\test7','param'
N M
4 param

Conclusioni

L’utilizzo di stored procedures in funzioni è inibito in SQL Server by design, ma creando una external UDF in C#.NET è possibile aggirare l’ostacolo. E’stato presentato il codice e un esempio di come implementare il caching per una funzione “lenta”.

A fine febbraio (Feb 27th 2010) sul sito ufficiale dei TOTO è comparso il tanto atteso annuncio della réunion del gruppo californiano per un breve tour europeo.
I membri storici del gruppo si stanno ritrovando per organizzare un breve tour estivo in Europa per onorare Mike Porcaro, che sta convivendo con una grave malattia neurologica, la sclerosi laterale amiotrofica o ALS, che in precedenza veniva denominata “Morbo di Lou Gehrig”.
La band includerà David Paich, Steve Lukather, Steve Porcaro, Simon Phillips, Joseph Williams e il bassista Nathan East come special guest.
Il tour partirà in luglio dalla Germania e toccherà Austria, Olanda, Svizzera, Danimarca e Finlandia, ma il programma è tutt’ora in fase di evoluzione e definizione.

Steve Luckather e Mike Porcaro nel 2005

E’ da due anni che attendo questa notizia, da quando appresi nell’estate del 2008 che Steve Lukather aveva annunciato lo scioglimento della band:

An official announcement from Toto

After a 31 year career, the current line up of Toto (Steve Lukather, David Paich, Mike Porcaro, Simon Phillips, Bobby Kimball and Greg Phillinganes) have decided to go their separate ways and begin new chapters in their lives.

The band’s final CD “Falling In Between” and subsequent tours around the world have been extremely successful and well received and we have probably been more active than ever in the band’s lifespan.

We managed to capture the last tour on a wonderful DVD (”Falling In Between Live”) of which we are tremendously proud, and we all feel the time is right to disband and finish on a high.

If it were not for our loyal fans who have stuck with us through all of the ups and downs we would not have been able to have continued for as long as we did. We would like to thank all our fans all over the world who have continued to support us and we will all be very busy with our own individual projects so we hope to see many of you in the future.

Toto, July 15th 2008

Steve Lukather in un articolo  sul suo sito spiega poi i motivi:

I would like to make a formal annoucement as I have been barraged by e-mails and speculations on various websites. The fact is yes I have left Toto. There is no more Toto. I told the guys before the last leg of our tour.

Me li ricordo bene quei momenti, quando appresi la notizia; per un attimo rimasi sconvolto, come paralizzato: si era sciolto il gruppo, che aveva creato e suonato la musica che mi accompagna nella vita fin dall’88 (infatti è da quando vidi ed ascoltai il video di “Pamela” che cominciai ad interessarmi della produzione musicale dei Toto).
La tristezza, che mi aveva pervaso, si dissolse pian piano (e scomparì del tutto solo lo scorso febbraio 2010) dopo che capii le ragioni che spinsero Steve Lukather a prendere questa decisione.

Le motivazioni furono molteplici e sinteticamente queste:
- i vincoli contrattuali con al casa discografica erano decaduti
- la voglia di cambiare, di affrontare nuovi progetti (Il titolo del suo singolo “Ever Changing Times” parla chiaro)
- la diversa visione del futuro e di come gestire il business, rispetto agli altri membri (es. Bobby Kimball)
- ma soprattutto il fatto che David Hungate, Jeff Porcaro (mancato nel 1992), David Paich, Mike Porcaro, ovvero tutti gli altri membri fondatori della band ad uno ad uno, avevano lasciato (per motivi diversi) il gruppo; per cui Steve risultava l’unico membro fondatore nella formazione del 2008… e che quindi non si riconosceva più nel gruppo, anche se composto da ottimi elementi.

I Toto negli anni '80

[Steve Luckather] This was NOT the high school band of brothers that we started in the 70’s. We had a magic thing and the same sense of humour and the same views on life. Somehow that was lost.

Mi ricorda molto quando ho iniziato a suonare alla fine degli anni ‘80 in una band di amici in parrocchia, nei garages, sui primi piccoli palchi … la magia della musica, le speranze e le emozioni di quei momenti… forse è anche per questo che tengo tanto ai Toto e alla loro musica. 
Ma questa è un’altra storia… e dei Local Heroes e dei Prae Testo scriverò in un altro momento.

Spero che questo breve tour estivo in qualche modo risaldi i rapporti tra i membri dei Toto e in qualche modo li faccia ritornare a quei momenti magici di un tempo… per un’unione più duratura…
La speranza è anche quella di rivederli qui in Italia; l’ultima volta è successo a Padova nell’estate del 2003, nel tour del 25^anniversario: è stato proprio uno spettacolo fantastico!

Toto, Padova 2003

Per chi non lo sà, il nome della band, “Toto” venne proposto da Jeff Porcaro negli anni ‘70, quasi per scherzo, ma poi, quando David Hungate, fece notare che in latino la parola toto significa “totale“, “che comprende tutto“, venne ritenuto il nome ideale per identificare il repertorio musicale della band che nella sua carriera avrebbe abbracciato a 360 gradi tutti i generi musicali.

Riferimenti

www.toto99.com  

http://www.toto99.com/tourdates/calendar/list.php

www.stevelukather.net

http://www.stevelukather.net/NewsView.aspx?id=758

http://www.stevelukather.net/Article.aspx?id=55

Attore atletico, aggressivo e allo stesso tempo simpatico, non ha avuto troppa fortuna nel cinema
(dove esordì interpretando lo stolido fidanzato di Jane Fonda in Una domenica a New York).
In tv invece ha lavorato moltissimo, passando dalle parti di intrepido eroe (Il ritorno delle spie accanto a Bill Cosby negli anni 60)  a quelle di co-eroe, appesantito dall’età e dalle frustrazioni (l’anziano agente Bill Maxwell in Ralph Supermaxieroe).
Anche in ruoli decisamente antipatici, s’è rivelato incisivo. Per ben due volte è stato un avversario del tenente Colombo (tracotante, ma destinato inevitabilmente alla sconfitta).
Nel 1994 ha interpretato il presidente degli Stati Uniti nel thriller “Il rapporto Pelican” con Denzel Washington e Julia Roberts.

La sua interpretazione in TGAH mi ha lasciato ed insegnato molto; mi ha colpito molto il carattere coriaceo, l’humor e la tenacia… per me è stato forse
lui più super-eroe del collega in calzamaglia…

Ciao Bob.

Alcuni riferimenti:

http://it.wikipedia.org/wiki/Robert_Culp

http://www.robertculponline.com/bio.html

Il simbolo di The Greatest American Hero

Come era facile intuire il remake del film The Greatest American Hero, l’inizio della cui produzione era stato pianificato per il luglio 2008, è stato “temporaneamente congelato” per motivi meramente finanziari. Il progetto doveva proprio essere a buon punto: dopo il copione ed il regista, sembra che l’attore protagonista fosse stato già individuato in Eric Christian Olsen…

Eric Christian Olsen e Nathan Fillion

Nell’aprile 2009 Clint Morris raccontò su MovieHole che, durante un’intervista con Eric Christian Olsen in merito al suo ruolo nel film “Fired Up” , l’attore gli rivelò di essere stato contattato per interpretare il ruolo cinematografico di Ralph Hinkley nel nuovo film GAH.
Sfortunatamente, i finanziamenti per il remake andarono a monte prima che l’attore potesse provare il leggendario costume rosso…

“Sono stato scritturato per il film”, raccontò Olsen, quando Morris suggerì che sarebbe stato perfetto per la parte.
“Vi partecipai giusto dopo Fired Up… ‘Questo è il nostro ragazzo’ dissero, ma non ebbero sufficenti finanziamenti. Si, fui scritturato, ma poichè il budget era così enorme, non poterono ottenere tutti i soldi…
“Era realmente una sceneggiatura divertente, su un eroe riluttante che entra in scena con le gambe all’aria, e c’erano davvero molte scene fantastiche…
“Ebbi una vampata quando seppi che dovevo lavorare con tutte queste persone. Poi ricevemmo una telefonata, proprio mentre ci stavamo accordando, per dirci che non c’erano i finanziamenti…
“…Ora non sono più impegnato nel cast.
“No, non ho mai ottenuto quella parte, ho potuto solo leggere il contratto, e non ho provato nessun costume!”

Olsen, che sta iniziando a girare il nuovo film di Jennifer Lopez ”Plan B” è sicuro che impersonerà prima o poi un supereroe, anche se non sarà Ralph Hinkley:
“Vedremo cosa accadrà; intanto ci sono un paio di cose che ho quasi terminato”.

Il fatto che le cose, anche se lentamente, si stiano muovendo dopo questo stop è dimostrata dal candidarsi spontaneo e pubblico di alcuni attori al ruolo chiave del remake di Ralph Supermaxieroe.

In un’intervista su MTV News del 28 ottobre 2009, ovvero proprio un mese fà, Nathan Fillion, protagionista della serie televisiva Firefly (film di fantascienza, del 2002) ed attore protagonista anche nella recente serie Castle (2009), si candida nel ruolo del The Greatest American Hero, parlando del desiderio di apparire nel remake della vecchia serie tv.

Fillon dice: “Penso che GAH sia maturo per un ritorno. Lo so che sono canadese, ma penso che quella potrebbe essere la mia parte”.

Non è la prima volta che Fillion cita il ruolo; in precedenza disse a IFC.com che il remake di GAH è sempre stato il suo sogno nel cassetto;
inoltre ha anche qualche idea su come le nuove tecnologie potrebbero arricchire una nuova versione:
“Utilizzando la tecnologia che abbiamo oggi a disposizione per gli effetti,
e pur mantenendo la stessa idea e la stessa storia,
il costume potrebbe dare il potere di cambiare e a trasformarsi in quello che è necessario: potrebbe diventare un armatura, una muta subaquea…

In realtà conobbi William Katt e Robert Culp sul set di Castle; sono amici del padre di un nostro produttore esecutivo. E abbiamo lo stesso stunt coordinator di The Greatest American Hero, così ogni volta che ho visto William Katt cadere volando, so che è stato il nostro buon ragazzo Dennis [Madalone]…

Ho appena terminato di guardare la collezione dei DVD di GAH e ho pensato che abbia avuto davvero una grande regia, e ripenso al tipo di incongruenze e piccole imprecisioni: per esempio il nome del personaggio principale cambiò un paio di volte.
Sembra che GHA abbia sofferto lo stesso tipo di bistrattamento che subì Firefly nei vari episodi (episodi mostrati fuori ordine, mai per più di 2 settimane consecutive, e la serie interrotta per vari motivi)

A Firefly fu garantita la possibilità di sfumare con una fine vaga e “ricomparire” con l’eccellente film Serenity. Ma per GAH non c’e’ stata questa fortuna…

♫ Flying away on a wing and a prayer, ♪ Who could it be? ♫ Believe it or not, it’s just…Nathan Fillion

Certo Fillon è fisionomicamente differente da William Katt e dalla bionditudine di Olsen, ma non è detto che nel remake si debbano conservare completamente tutti gli aspetti e le caratteristiche del personaggio Ralph, che tutti conosciamo; forse avrebbe più senso creare una certa rottura con la serie televisiva, reinventando parzialmente i personaggi o la trama, giusto per creare novità ed interesse, ma soprattutto per evitare l’effetto brutta copia, evitando così di rovinare il bel ricordo dei fan.

Il grande Bill Maxwell (Robert Culp)

Rimane comunque una domanda: chi interpretarà il Bill Maxwell del grande Robert Culp? Senza l’uomo giusto, il remake non otterrebbe sicuramente il successo…

TGAH Web series

Dopo una lunga attesa  (il clip di intro era effettivamente accattivante), ecco è venuta alla luce a fine luglio 2009  la Serie Web di The Greatest American Hero, e gli episodi (i cosiddetti Webisodes), finora 6 della durata di poco più di 5 minuti, sono visibili su StayTunedTV.net, un sito ideato per connettere autori, registi, sceneggiatori ed attori e a promuovere il loro lavoro. 

Questi episodi sono filmati semiseri, sicuramente irriverenti, nei quali gli alieni affiancano ai due nostri eroi (Allen Rueckert, Don Stark) una nuova eroina bionda (Brittany Ross) dal costume rosso… In realtà Ralph aveva dovuto cedere il costume già nel 1986 a Holly Hathaway la Greatest American Heroine  in uno spinoff della serie mai mandato in onda da NBC.

Possono piacere o no, ma sicuramente fanno sorridere….

I tre Comic books pubblicati

Sul fronte ComicBooks sono stati pubblicati quest’anno i 3 fumetti promessi, anche se con qualche ritardo rispetto alle date schedulate. Dopo qualche ricerca, sono riuscito a procurarmi delle copie su ebay direttamente da William Katt (alias catastrofic_comics2 ), debitamente dedicate e autografate da lui (Ralph) stesso!! E per una strana coincidenza me le sono incredibilmente viste recapitare proprio il giorno del mio compleanno: proprio un bellissimo regalo!

La storia  descritta in questi primi tre numeri è assolutamente ispirata alle prime due puntate della serie TV (ritroviam le teste rasate, il compagno di Bill morto e resuscitato dagli alieni, l’astronave, il costrume, il primo volo…) raccontata in chiave moderna nel presente (tecnologia cellulare, moderni pc portatili, il nuovo presidente USA Obama…).  Alcune eccezionali battute di Maxwell, in slang americano, sono proprio nel suo stile!

Bisogna leggere i fumetti ovviamente con spirito critico, e non credendo di ritrovare la copia cartacea della serie TV. Tutto sommato, alla fine è una cosa bella e simpatica…

Quindi possiamo dire che ci sono,  seppur tristi conferme dello stop del progetto, ma anche numerosi segnali che qualcosa si sta muovendo …

Bisogna crederci! Insomma… Believe It Or Not …

Alcuni riferimenti

http://www.moviehole.net/200918628-exclusive-olsen-was-greatest-american-hero

http://www.imdb.com/news/ni1136032/

http://www.comicbookmovie.com/fansites/rorschachsrants/news/?a=11366

http://www.reelzchannel.com/movie-news/4916/nathan-fillion-wants-to-be-the-greatest-american-hero

http://en.wikipedia.org/wiki/The_Greatest_American_Hero

http://www.superheroeslives.com/originals/the_greatest_american_heroine_(1986).htm

Sviluppare ed implementare un sito o un’applicazione web è un processo creativo che può essere più o meno interessante e quindi più o meno divertente…

E quando finisce il divertimento cominciano i grattacapi! Sicuramente qualcuno nel management o il cliente che ha commissionato il progetto o forse noi stessi vorremmo conoscere quantitativamente le sue prestazioni, in termini di tempi di risposta in funzione del numero di utenti.

Infine potremo arrivare a determinare la capacità del sito, ovvero il numero massimo di richieste/sec aventi tempi di risposta decenti (ovvero prima il numero di utenti appena prima del degrado/collasso del sistema)

Quindi dopo aver sviluppato e pubblicato un sito o una web application conviene affrontare l’annoso problema dei test di carico e della simulazione realistica delle navigazioni degli utenti per:

• vedere  come si comporta il sistema
•  se sussitono colli di bottiglia, aree o sottosistemi dove è possibile ottimizzare qualcosa 
• dove è meglio iniziare ad effettuare il cosiddetto tuning.

Allo scopo si possono trovare vari tools commerciali e opensource.
E’ possibile trovare una lista abbastanza esaustiva dei software all’url http://www.softwareqatest.com/qatweb1.html.

Nell’ultima esperienza personale, non avendo (mai) molto tempo a disposizione mi sono concentrato su alcuni software grafici e interfacciabili con i sistemi Windows Server:
- l’ottimo ma assi costoso Neoload, che permette di controllare e verificare graficamente  tutte le fasi del processo dal design alla fase di test e l’analisi dei risultati
- gratuitamente in casa Microsoft si trovano WCAT (Web Capacity Analysis Tool), largamente programmabile ma solo tramite script,
e WAST (Web Application Stress Tool – Homer ), il ben noto ma vetusto tool grafico.

WAST (o WAS) è uno strumento di simulazione e di carico sviluppato e rilasciato molti anni or sono da Microsoft, ma è un piccolo gioiellino, poichè permette di controllare e verificare graficamente tutte le fasi del processodi test:

• la registrazione visuale della navigazione effettuata con il browser
• la creazione dei profili delle pagine di test
• la definizione degli utenti
• la distribuzione delle tipologie di test
• la definizione del pool di macchine che partecipano al test di carico
• la definizione dei contatori (performance counter) delle macchine oggetto di test
• la gestione del test vero e proprio, ovvero lo stress del sito o dell’applicazione web
• la collezione e l’elaborazione dei risultati, anche se in forma testuale.

Purtroppo WAST è supportato ufficialmente solo su Microsoft Windows NT 4.0 SP 4+ e Microsoft Windows 2000, sistemi operativi che ormai non esistono (quasi) più negli ambiti di produzione.

L’installazione su Windows XP và praticamente sempre a buon fine, ed eseguendo WAST si possono sperimentare da subito le varie funzionalità tranne due:

• non funzionano performance counter
• non funziona la comunicazione con i client del pool

Su Windows Vista invece si ottiene da subito un errore (Steve Schofield Weblog – WAST on Vista ), ma basta caricare il file msvcp50.DLL in c:\windows\system32 (poiché non è compreso di default nel SO).

Vista l’indubbia utilità dell’applicazione, mi sono intestardito nel far funzionare WAST anche sui SO più recenti…e alla fine, dopo un po’ di analisi e troubleshooting ci sono riuscito.

Performance counters

Per far funzionare la finestra di ricerca e di aggiunta dei performance counters delle macchine remote, nonchè il polling dei valori a runtime, basta copiare nella directory del programma il file pdh.dll, che si trova nella distribuzione di Windows 2000, e che è infatti la libreria che contiene le funzioni per i contatori.

Sicuramente WAS è stato compilato nel 2000 utilizzando quella versione di libreria (5.0.2174.1), mentre su XP c’e’ quella nuova (5.1.2600.3536)

Clients

Bisogna tenere presente che WAST è un tool client/server: l’interfaccia client (hclient.exe) colloquia localmente e/o remotamente (con tecnologia DCOM) con un windows service (webtool.exe); inoltre i dati sono resi persistenti su un database access.

Per far funzionare la comunicazione con i client definiti nel pool bisogna quindi  “giocare” con i pemessi DCOM (dcomcnfg.exe).

Si deve ricordare inoltre che, la comunicazione ed in generale i sistemi Microsoft prima del SP2 di Windows XP non erano securizzati di default, e quindi, per far funzionare il nostro WAST su XP, bisogna “rilassare” un pochino la sicurezza.

 Procedimento:

1. Eseguire dcomcnfg.exe
2. Visualizzare le Proprietà di Servizi Componenti – Computer – Risorse Computer
3. Nel Tab Proprietà predefinite selezionare la casella Abilita servizi Internet COM in questo computer (che di default è deselezionato)
4. Nel Tab Protezione COM: Modificare i Limiti delle autorizzazioni di accesso abilitare per l’ACCESSO ANONIMO l’accesso remoto;
   Modificare i Limiti delle autorizzazioni di esecuzione e attivazione  abilitare per Everyone l’avvio remoto e l’attivazione remota
5. Entrare nel dettaglio dei componenti DCOM e aprire le Proprietà di “WebTool”: personalizzare eventualmente le ACL in modo tale che Everyone possa avviare ed attivare remotamente il componente

E il gioco è fatto! Provare per credere…

Risorse

  DLL aggiuntive per WAST su XP

DCOM Settings for WAST on XP

Riferimenti

- How To Install and Use the Web Application Stress (WAS) Tool

http://support.microsoft.com/kb/313559/en-us

- Introducing Microsoft Web Application Stress Tool (BY Jigesh Shah)

http://www1bpt.bridgeport.edu/sed/projects/cs597/Fall_2002/jishah/web_application_stress.htm

- Load Testing Web Applications using Microsoft’s Web Application Stress Tool (By Rick Strahl)

http://www.code-magazine.com/article.aspx?quickid=0001091&page=1

- Download Microsoft Web Application Stress Tool – Homer:

http://www.iis.net/downloads/default.aspx?tabid=34&g=6&i=1298

- Steve Schofield Weblog – WAST on Vista

http://weblogs.asp.net/steveschofield/archive/2007/03/10/iis7-post-32-web-application-stress-tool-on-vista.aspx

- Recentemente c’e’ stato qualche problema a reperire WAST sul sito Microsoft download, per cui allego il setup, almeno finchè rimarrano tali problemi.

Un’immagine spesso genera nella nostra mente una miriade di pensieri e fà affiorare i ricordi assopiti… qui un pensiero ed un ricordo per mio cugino Cesare, recentemente scomparso…

Camminando per i boschi e nelle brevi escursioni estive per i sentieri di montangna la mia mente ritorna sempre a questo ritratto, donatomi da tuo padre, presente anche nella tua ultima pubblicazione Amico Albero…

Da questo scatto, effettuato a tua insaputa durante un’escursione, traspare la passione per la natura, le piante e gli animali e la passione che ci metti in tutto ciò che fai, sia nel tempo libero e nella corsa campestre, sia mentre lavori nei panni di guida naturalistica, di insegnante o organizzatore…

Negli ultimi anni non ci siamo incontrati spesso a causa dei reciproci impegni quotidiani e della distanza; forse abbiamo avuto più occasioni in passato da addolescenti, ma sono assai vividi in me i ricodi delle occasioni importanti che ci permettevano di ritrovarci…

L’ultima volta che ci siamo incontrati mi hai descritto e mostrato fieramente come stavi allevando il tuo asinello e la tua capretta,  e di come avevi recentemente seguito e curato la mostra sulla produzione tradizionale della calce; ed io sono rimasto stupito e ammirato della tua energia e della tua forza d’animo…

E’ da poco più di tre mesi che ci hai lasciato…. ma Cesare, cugino caro, tu sei e sarai sempre vivo nella mia mente e nel mio cuore.

Ho sperimentato ultimamente una salsa col pepe verde (una delle tante varianti che si possono facilmente trovare), ottima sulle carni e sui filetti di carne bovina. La preparazione avviene subito dopo la cottura della carne.

Bisogna pestare in modo grossolano un po’ di pepe verde e farlo aderire alle fette di carne, che verranno cotte sulla padella con del burro sciolto.

La carne cotta (circa  3 minuti per lato) e salata, deve essere temporaneamente tenuta in caldo mentre viene preparata la salsa:
nella stessa padella aggiungere del brandy e farlo fiammeggiare, fino a far evaporare tutto l’alcool; unire quindi altro pepe intero e/o schiacciato, un po’di panna da cucina e un cucchiaio di senape. Far addensare pochi secondi.

Rimettere i filetti  in padella e lasciar insaporire per qualche istante nella salsa. Servire quindi immediatamente.

Fatemi sapere, se la provate, cosa ne pensate e gli eventuali possibili miglioramenti e le variazioni sul tema!

Applicare il paradigma della delega (delegation) a SQL Server significa permettere ad un client collegato ad un’istanza di SQL Server di connettersi implicitamente ad un’altra istanza di SQL Server inviandogli le credenziali kerberos dell’utente autenticato da Windows.  Questo paradigma, applicato a Server SQL, è chiamato double hop.

Sotto delegation è proprio l’istanza di SQL Server alla quale l’utente Windows si è connesso (usando l’autenticazione integrata), che impersona quell’utente stesso nelle comunicazioni con altre istanze.  La delegation è richiesta soprattutto nelle query distribuite che utilizzano linked servers.

Implementazione di un double hop

Consideriamo il caso seguente: un utente si logga una workstation e che si connette (per esempio con SQL Management Studio) ad un server all’istanza di SQL Server  SQLSERVER1. L’utente vuole eseguire query distribuite anche verso un database sul linked server SQLSERVER2.

Requisiti per il Client:

• la login dell’utente deve essere di tipo Windows
• tale login deve aver diritti di accesso su SQLSERVER1 e SQLSERVER2.
• in Active Directory,  bisogna verificare che la proprietà ”Account is sensitive and cannot be delegated” non deve essere selezionata.
• il computer client deve utilizzare per connettersi al DB il protocollo TCP/IP o named pipes.

Requisiti per il primo serverSQLSERVER1 (o in generale per i server intermedi):

• deve essere stato registrato l’SPN per il server.
• l’account col quale viene eseguito SQL deve essere “trusted for delegation”.
• il server deve utilizzare il protocollo TCP/IP o named pipes.
• il secondo server, SQLSERVER2,  deve essere aggiunto come linked server. Può essere fatto anche eseguendo la stored procedure sp_addlinkedserver:

EXEC sp_addlinkedserver 'SQLSERVER2', N'SQL Server'

• il linked server deve essere configurato per effettuare il self mapping sulle login interessate (cioè deve essere passato il contesto di sicurezza della login connessa). Si può usare la stored procedure sp_addlinkedsrvlogin:

EXEC sp_addlinkedsrvlogin 'SQLSERVER2', 'true'

La finestra delle proprietà di sicurezza del linked server dovrà essere simile alla seguente figura:

Sotto riporto un utile script da me creato ed utilizzato nella creazione e nella verifica dei linked server utilizzati negli hop.

Requisiti per il secondo server SQLSERVER2:

• Se viene utilizzato il protocollo TCP/IP, bisogna registrare un SPN  in AD.
• il server deve utilizzare il protocollo TCP/IP o named pipes.

DECLARE @sname as nvarchar(50)
SET @sname ='SERVER2' -- Il nome del linked server

-- Se il linkedsrv esiste ià, viene droppato
IF  EXISTS (SELECT srv.name FROM sys.servers srv
WHERE srv.server_id != 0 AND srv.name = @sname)
EXEC master.dbo.sp_dropserver @server=@sname, @droplogins='droplogins'
IF  EXISTS (SELECT srv.name FROM sys.servers srv
WHERE srv.server_id != 0 AND srv.name = @sname)
EXEC master.dbo.sp_dropserver @server=@sname, @droplogins='droplogins'

DECLARE @providerstr as varchar(255)
SET @providerstr= 'DRIVER={SQL Server};SERVER='+ @sname +
';Integrated Security=SSPI;'

-- Creazione del Linked server
EXEC sp_addlinkedserver  
  @server=@sname,   
  @srvproduct='',    
  @provider='SQLNCLI',   
  @datasrc=@sname, 
  @provstr= @providerstr 

EXEC sp_addlinkedsrvlogin @sname, 'true'

-- Verifica se viene utilizzato il self mapping
SELECT uses_self_credential as delegation , S.name
FROM sys.linked_logins as L, sys.servers as S
WHERE S.server_id=L.server_id and S.name=@sname

-- Esecuzione di una query distribuita
-- (bisogna avere i diritti sul secondo server)
EXECUTE('select * from '+@sname+'.master.dbo.sysdatabases')

-- La prossima query deve restituire:
-- net_transport=TCP e auth_scheme=KERBEROS
SELECT net_transport, auth_scheme
FROM sys.dm_exec_connections
WHERE session_id=@@spid

-- La prossima query deve elencare il linked server creato
SELECT * FROM sys.servers where name=@sname

Contesti di applicazione simili

Lo schema della delegation può facilmente essere implenmentato per gli altri servizi SQL come Analysis Services, Reporting Services ed Integration Services; bisogna solamente fare attenzione alla fase di registrazione dell’SPN e ai diritti da applicate agli user account ed ai computer account coinvolti.

Per esempio per quanto riguarda Analysis Services l’SPN che deve essere registrato è del tipo:

Setspn.exe -A MSOLAPSvc.3/Fqdn:InstanceName OLAP_Service_Account

Riferimenti

MSDN – Security for Linked Servers , Configuring Linked Servers for Delegation

Microsoft – How to configure SQL Server 2005 Analysis Services to use Kerberos authentication

MS Technet – Understanding Kerberos Double Hop

Sono già stati evidenziati i benefici e le caratteristiche dell’utilizzo dell’autenticazione integrata e del contesto utente anche fino all’ultimo livello applicativo (tier). E’ stata poi spiegata la configurazione da  utilizzare in un’archiettura a 3-tier (IE-IIS-SQL) tutta implementata in un unica macchina (single server).

Per capire come il security context di un utente possa essere veicolato esternamente ad un server da un servizio ad un altro,  bisogna comprendere i protocolli di autenticazione utilizzati.

NTLM e Kerberos a confronto

Il protocolli di autenticazione supportati da Windows sono NTLM (NT Lan Manager, fino dalla versione 4.0)  e Kerberos (da Win 2000 in poi).  Mentre NTLM si basa su un meccanismo di  challenge/response (ovvero lo scambio di un hash criptato tra client e server), Kerberos basa la sua architettura sull’esistenza di server autenticatori (KDC, Key distribuition center), che distribuiscono tikets (cifrati e firmati e quindi affidabili) ai client per utilizzare specifici servizi.

I pregi di Kerberos sono:

• lo standard aperto, basato sull’RFC 4120
• la maggiore velocità, poiché, diversamente da NTLM, il servizio non deve verificare la validità dell’utente/client presso un DC, ma gli basta semplicemente il ticket stesso
• la mutua autenticazione, poichè non solo il client si autentica al servizio (come NTLM),  ma il client stesso è certo dell’identità del servizio, poichè solo quello può leggere il ticket fornito
• supporto per il logon tramite smart card
• supporto per la delega dell’autenticazione (Authentication delegation o Authentication forwarding): grazie a questa caratteristica un servizio può accedere ad un risorsa remota per conto di un utente.

Quet’ultimo punto sta a significare che un utente A può dare diritti ad un’entità intermedia B per autenticarsi ad un terzo server C, come se
l’entità B fosse l’utente A stesso. Il server C baserà le sue decisioni autorizzative sull’identità di A invece che su quella di B.

E’ possibile iterare questo schema per più livelli applicativi distribuiti (multi-tier applications) solamente utilizzando Kerberos e non NTLM, semplicemente perchè NTLM non supporta la delegation! Quindi NTLM funziona su un’architettura a single server solo perchè il security context dell’utente viene creato alla sua connessione al primo livello sul server (dopo l’autenticazione) ed è disponibile poi per i livelli applicativi sucessivi.

Nell’implementazione Microsoft di Kerberos, il servizio stesso è altamente integrato con Active Directory (AD) e tutti i dati e le credenziali sono memorizzati in essa

Negotiate

Quando è attivata l’autenticazione Kerberos, tra Internet Explorer (MSIE) e Internet Information Server (IIS) vengono scambiati alcuni pacchetti per negoziare il protocollo più sicuro (RFC 4559): viene utilizzato l’algoritmo HTTP/SPNEGO che tenta dapprima di utilizzare Kerberos (Negotiate) e in caso negativo (fallback) poi i protocolli meno sicuri come NTLM, Digest e BASIC.

Per capire bene il meccanismo rimando all’interesante articolo Two easy ways to determine kerberos from NTLM in a HTTP capture di Ken Schaefer.

Service Principal Names (SPN)

Un service principal name (SPN) è il nome col quale un servizio si registra in Kerberos e anche col quale un client identifica univocamente un’istanza di un servizio. Quando un client vuole connettersi ad un servizio, ne localizza un’istanza, ne ricava un SPN, si connette al servizio e presenta l’SPN del servizio per autenticarsi.

Un SPN è definito nel formato serviceclass/host:port/servicename . Se nome e porta non sono standard devono essere specificate. Ad esempio:

Se il servizio si chiama  MyService ed è eseguito sul computer DCA  e usa le porte TCP o UDP  8088 ed è localizzato in AD con il nome MyS nella UO denominata CS,  nel dominio cpandl.com, allora l’SPN sarà

MyService/DCA.cpandl.com:8088/CN=MyS,OU=CS,DC=cpandl,DC=com

Se il server WS2003A sta erogando un servizio di desktop remoto (RDP) sulla porta standard (TCP 3389). Allora i 2 SNP associati in AD saranno semplicemente:

TERMSRV/WS2003A

TERMSRV/WS2003A.cpandl.com

Per registrare un SPN è possibile utilizzare l’utility setspn.exe disponibile in Windows Server 2003, Windows Server 2008 o su XP/Vista con i Windows Server 2003 Support Tools.

Ad esempio per aggiungere un SPN per il servizio web-IIS di Machine (il cui pool gira con l’account di dominio “domain\user”) usare:

 Setspn.exe -A HTTP/Machine domain\user

 Setspn.exe -A HTTP/Machine.domain.com domain\user 

Notare che deve essere registrato due volte sia per il nome NetBios cheper il FQDN. Nel caso in cui il servizio giri con il Local System Account/Network Service usare invece:

 Setspn.exe -A HTTP/Machine Machine

 Setspn.exe -A HTTP/Machine.domain.com Machine 

L’utility setspn può essere utilizzata per conoscere quali SPN siano registrati in AD:

setspn -l Machine

setspn -l domain\user

Rimando comunque a  Technet per ulteriori esempi, opzioni ed utilizzi di setspn.

Abilitare la delegation

Per abilitare la delegation tra i livelli applicativi è necessario abilitarla:

• per l’utente che usufruisce del servizio (non deve essere sensitive)
• sull’utente con cui viene eseguito il servizio
• per il conmputer account del server

Bisogna verificare che gli user accounts non siano disabilitati per la delegation:

Poi  bisogna abilitare il computer account e l’user account del servizio (dopo che è stato registrato l’SPN compare il Tab sul profilo).

La delegation può essere abilitata per tutti i servizi o per alcuni specifici; nella figura sopra all’ utente-servizio IIS è stata abilitata la delega limitatamente per le connessioni al servizio SQL Server.

Bisogna inoltre verificare che siano impostati i giusti rights agli utenti interessati (ovvero a quelli con cui vengono eseguiti i servizi):

• Act as part of the operating system per poter impersonare l’utente
• Impersonate a client after authentication per ogni account che dovrà delegare le credenziali (ovvero su tutti i middle tier intermedi), come l’account IIS

Tali right possono essere impostati nelle local security policy dei singoli server o in qualche GPO di AD a seconda delle policy implementate e del contesto.

 Un comune scenario: IE – IIS (ASP.NET) – SQL

La seguente figura riassume tutte le attività che devono essere fatte o verificate per abilitare la delegation in questo tipico scenario.

A) A livello di dominio:

• Gli user account non devono essere sentive (Tab Account)
• Registrare gli SPN per i servizi IIS e SQL, specificatamente agli account con cui vengono eseguiti, usando comandi simili a:

Setspn.exe -A HTTP/MachineIIS domain\userIIS

Setspn.exe -A HTTP/MachineIIS.domain.com  domain\userIIS

Setspn.exe -A MSSQLSvc/MachineSQL:1433 domain\userSQL

Setspn.exe -A MSSQLSvc/MachineSQL.domain.com:1433 domain\userSQL

• L’account IIS e quello del pool Asp.net deve essere Trusted for delegation (Tab Delegation)

 B) Sui client Internet Explorer

• Enable Window Authentication
• In Strumenti-Opzioni Internet-Protezione verificare che il server IIS (o il dominio legato al virtualhost) sia censito nell’Intranet Zone

C) Web Server; nella console di IIS sul Web Server

• impostare a livello di Site e Virtual directory unicamente l’opzione di Autenticazione integrata. Per evitare problematiche di instabilità o di malfunzionamenti impredicibili, bisogna assicurarsi che tutte le applicazioni web (virtual directory) che si appoggiano al Pool ASP.NET (per il quale è stato registrato l’SPN) abbiano abilitata solo questa impostazione.
•  Nel web.config della web application impostare: 

<authentication mode="Windows"/>
<identity impersonate="true"/>

• Nel web.config della web application impostare la connection string opportunamente in modo similare:

connectionString="Server=MachineSQL;Database=MYDB;Integrated Security=True"

 D) Database; con SQL Server Management studio

• Devono essere dati i diritti opportuni agli utenti  sul database 

Utility e debugging

Una preziosa utility che permette di visualizzare i ticket kerberos attualmente presenti sul client è kerbtray disponibile sul sito Microsoft. da citare anche l’utility testuale klist che oltre a listare permette anche di cancellare i ticket presenti.

Per abilitare invece i logging del client kerberos nel system log e per poterli visualizzare con Event Viewer bisogna valorizzare la seguente chiave di registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

Registry Value: LogLevel
Value Type: REG_DWORD
Value Data: 0x1

Una volta risolti i problemi conviene eliminare tale chiave di registro, poichè il logging  influenza le performance.

Riferimenti

IETF – The Kerberos Network Authentication Service (V5)

IETF – SPNEGO-based Kerberos and NTLM HTTP Authentication in Microsoft Windows

Microsoft Download - Troubleshooting Kerberos Delegation in Windows 2000 and Windows Server 2003

Microsoft – How to use SPNs when you configure Web applications that are hosted on IIS 6.0

MSDN – How To: Use Impersonation and Delegation in ASP.NET 2.0

MSDN – How To: Use Protocol Transition and Constrained Delegation in ASP.NET 2.0

MS Technet – Setspn Overview

Ken Shaefer – Two easy (easier?) ways to determine Kerberos from NTLM in a HTTP capture

 Microsoft – How to configure IIS to support both the Kerberos protocol and the NTLM protocol for network authentication

Microsoft – Kerberos authentication and troubleshooting delegation issues

MS Technet – Troubleshooting Kerberos Problems

Microsoft Download – Windows 2000 Resource Kit Tool: Kerbtray.exe