Derzeit ist keine selbständige Registrierung möglich.

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
invis_server_wiki:whatis_invis_server [2019/01/12 08:16]
flacco [Ordnung im Netz]
invis_server_wiki:whatis_invis_server [2019/01/25 09:40] (aktuell)
flacco [Für wen ist das System gedacht?]
Zeile 3: Zeile 3:
  
 **Im Einzelnen:​** **Im Einzelnen:​**
-  * Router/​Gateway + Firewall. +  * Router/​Gateway + Firewall ​(bis invis-Version 13.5 SuSEfirewall2,​ ab invis-Version 14.0 firewalld)
-  * Netzwerkorganisation:​ ISC DHCP/DNS+  * Netzwerkorganisation:​ ISC DHCP/​DNS ​mit ActiveDirectory als Datenbackend
   * zentrale Benutzerverwaltung:​ Samba4 Active Directory mit RFC2307 Erweiterung (Unter Windows als SFU (Services for UNIX) bekannt)   * zentrale Benutzerverwaltung:​ Samba4 Active Directory mit RFC2307 Erweiterung (Unter Windows als SFU (Services for UNIX) bekannt)
   * Druckserver:​ Samba + CUPS   * Druckserver:​ Samba + CUPS
   * Dateiserver:​ Samba + NFS   * Dateiserver:​ Samba + NFS
-  * Mailserver: ​Postfix + dovecot IMAP oder Kopano + amavisd-new + fetchmail + CorNAz ​+ Mailman+  * Mailserver/Groupware: dovecot IMAP oder Kopano ​+ Postfix ​+ amavisd-new + fetchmail + CorNAz
   * Webserver: Apache2 + PHP usw.   * Webserver: Apache2 + PHP usw.
   * SQL-Server: MySQL + PostgreSQL. FirebirdSQL optional   * SQL-Server: MySQL + PostgreSQL. FirebirdSQL optional
Zeile 14: Zeile 14:
   * VPN: openVPN   * VPN: openVPN
   * Groupware: Kopano 8.x   * Groupware: Kopano 8.x
-  * ERP Kivitendo -- ab Version 8 auch waWision, ab Version 14 auch invoiceplane  +  * ERP Kivitendo -- ab invis-Server ​Version 8 auch waWision, ab invis-Server ​Version 14 auch invoiceplane  
-  * User-Interface:​ invis Portal+  * User/Admin-Interface: invis Portal
  
-Eine Diskussion darüber, ob die Konzentration dieser Fülle an Diensten auf nur einer einzigen Maschine sinnvoll ist, wird an dieser Stelle nicht geführt. Hier lade ich zur Nutzung unserer [[http://www.invis-server.org/index.php?​page=forum|Mailinglisten]] ein.+Eine Diskussion darüber, ob die Konzentration dieser Fülle an Diensten auf nur einer einzigen Maschine sinnvoll ist, wird an dieser Stelle nicht geführt. Hier lade ich zur Nutzung unserer ​Foren unter [[https://progress.opensuse.org/projects]] ein (kostenlose Registrierung ist erforderlich).
  
 invis Server erheben den Anspruch ihre Dienste weitestgehend unabhängig vom verwendeten Client-Betriebssystem anzubieten. Daher legen wir Wert darauf Nutzung und Administration im Browser zu ermöglichen. invis Server erheben den Anspruch ihre Dienste weitestgehend unabhängig vom verwendeten Client-Betriebssystem anzubieten. Daher legen wir Wert darauf Nutzung und Administration im Browser zu ermöglichen.
  
-====== ​Versionen und Versionsnummerierung ​======+====== ​Für wen ist das System gedacht? ​======
  
-invis-Server ​gibt es in den Versionen "invis Classic" ​und "invis ActiveDirectory"​. Davon wird die Classic Version nicht mehr gepflegt ​und ist auch allenfalls noch mit reichlich Mühe unter openSUSE 13.1 (die im November 2016 endgültig ausläuft) installieren. Wir raten davon ab.+Zielgruppe sind in erster Linie kleine Unternehmen ohne eigene IT-Abteilung,​ Unternehmen mit evtl. bis zu 35 PC Arbeitsplätzen,​ unabhängig von der Branche in der sie tätig sind. In der Praxis leisten ​invis-Server ​ihre Dienste ​in kleinen Handwerks- ​und Industriebetrieben,​ Arztpraxen, Anwaltskanzleien,​ Jugendhilfe-Organisationen,​ Ingenieur- ​und Makler-Büros.
  
-Die letzte Version des invis-Classic trug die Versionsnummer 9.2.+Allen gemein ist, dass sie auf externe IT-Dienstleister angewiesen sind, die sich um die komplexeren Aufgaben der IT und somit auch den invis-Server im Unternehmen kümmernEs ist nicht ausgeschlossen,​ dass ein Unternehmen einen solchen Server gänzlich in Eigenregie betreibt, Voraussetzung dafür sind allerdings Kenntnisse rund um Netzwerktechnik,​ Linux, Windows und Active-Directory.
  
-Ab Version 10.0 wurde der invis-Server dank Samba 4 auf ActiveDirectory anstelle ​von OpenLDAP umgestellt. Dies entspricht einer Aktualisierung der Windows Domänenstruktur von NTLM (Windows Server NT 4.0) auf ActiveDirectory mit Kerberos Authentifizierung (ab Windows Server 2000). Notwendig war diesda immer mehr Business-Applikationen das Vorhandensein eines ActiveDirectories voraussetzen ​und neuere Windows-Versionen nur noch mit zunehmend großem Aufwand zum Beitritt ​in eine NTLM-Domäne zu bewegen sind.+Aufgaben wie die Verwaltung ​von BenutzerkontenGruppen, Mail-Konten usw. können auch ohne Fachkenntnisse ​und externen IT-Dienstleister nach kurzer Anleitung ​in Eigenverantwortung erfolgen.
  
-Die Versionen 10.0 bis 10.3 basierten auf openSUSE 13.1. Seit dem Auslaufen ​der Evergreen Maintenance ​für openSUSE 13.im November 2016 werden nur noch Installationen basierend auf openSUSE Leap unterstütztNoch existierende alte Installationen sollten aktualisiert oder neu installiert werden. Erläuterungen zu den verschiedenen Upgrade-Pfaden sind hier im **[[https://​wiki.invis-server.org/​doku.php/​invis_server_wiki:​upgrade|Wiki]]** zu finden.+Bei der Entwicklung des Servers haben wir immer diese Zielgruppe im Fokus"​Aus ​der Zielgruppe, ​für die Zeilgruppe"​ lautet unser MottoViele Funktionen des invis-Servers wurden auf Basis unserer praktischen Erfahrungen ​im Umfeld kleiner Unternehmen implementiertEbenfalls im Fokus haben wir die IT-Kosten ​im Unternehmen,​ das System soll kosteneffizient nutzbar sein, also IT-Budgets kleiner Unternehmen nicht überfordern.
  
-Die Versionsnummer eines invis-Servers besteht ​aus 3 Teilen bzwStellen:+Nicht im Fokus sind Unternehmen die sehr hohe Anforderungen hinsichtlich IT-Sicherheit und Hochverfügbarkeit haben. (Verstehen Sie das nicht falsch, Sicherheit liegt uns natürlich sehr am Herzen.) Auch die Verwaltung von mehr als 50 Client-PCs ist zwar mit einem invis-Server machbar, allerdings wünschen sich Administratoren solcher und größerer Umgebungen andere Werkzeuge der Server-Verwaltung,​ als sie der invis-Server mitbringt. Einem "​Ein-Server-System"​ sind hier Grenzen gesetzt, die sich nicht überschreiten lassen oder bei ihrem Überschreiten die eigentlich anvisierte Zielgruppe ​aus dem Auge verliert.
  
-**"​Major_Number-Minor_Number-Build-Number"​**+Derartige Anforderungen erfordern einen weit höheren finanziellen und technologischen Einsatz, als die von uns mit dem invis-Server-Projekt anvisierte Zielgruppe, zu leisten oder zu verstehen bereit ist. Die Verhältnismäßigkeit der Mittel soll gewahrt bleiben. Um ein wenig Sand von A nach B zu befördern brauche ich eine Schaufel und keinen Bagger.
  
-Eine Erhöhung der ersten Nummer kennzeichnet eine Veränderung des Paketes, die es inkompatibel ​mit dem Vorgänger machtDas bedeutetein Upgrade auf ein solches Paketerfordert immer händische Anpassungen am System. Wir werden ​uns Mühe gebendie notwendigen Anpassungen im Wiki zu dokumentieren. Es kann auch möglich sein, dass eine neue Major-Release eine Neuinstallation erfordert. Dies war beispielsweise beim Sprung von 9.x auf 10.x notwendig, da ein "​Upgrade"​ von Samba3 + openLDAP auf Samba4 ActiveDirectory die Struktur des invis-Servers grundlegend verändert hat.+Aus unserer Sicht ist es auch nicht zielführend invis-Server für Einzelfälle stark zu individualisieren. Der Aufwand dafür ist erheblich und bringt entsprechende Kosten ​mit sichDiessowohl für die Individualisierungals auch für die darauf folgende Systempflege. Wir konzentrieren ​uns bevorzugt auf die Entwicklung eines einheitlichengut zu pflegenden Systems.
  
-Eine Erhöhung der zweiten Stelle bedeutet neue Features, die die Kompatibilität nicht brechen. Dabei kann es seindass diese Features auf einer bestehenden Installation händisch nachinstalliert bzw. konfiguriert werden können. Den Betrieb eines bestehenden invis-Servers sollte dies nicht stören.+**Gute Ideen, die unser System verbessern nehmen wirgenauso wie Unterstützung zu deren Umsetzung, gerne an.**
  
-Änderungen in der dritten Stelle deuten lediglich auf Bugfixes hin. Auch hier kann es sein, dass nach einem Update händische Eingriffe notwendig ​sind. Die Funktion eines in Betrieb befindlichen Servers ​wird bei einem Update ​nicht gestört.+====== invis Server im Netz ====== 
 +Vor allem hinsichtlich ​der Integration eines invis-Servers in bestehenden Netzwerkstrukturen kommt es immer wieder zu Missverständnissen. Sie sind definitiv nicht dazu gedacht als einfacher Fileserver ihren Dienst zu verrichtenAuch eine Beschränkung auf die Nutzung als Groupware-Server, ​wird der in invis Servern steckenden Arbeit ​nicht gerecht. Solche Einzellösungen lassen sich ohnehin mit wenig Aufwand individuell installieren.
  
-Grundsätzlich werden wir (soweit ​es unsere Zeit erlaubt) versuchen alle erforderlichen Update bzw. Upgrade Schritte hier im Wiki zu dokumentieren. Sollte etwas fehlen, bedenken Sie bitte, dass wir alle neben der Pflege ​und Entwicklung des invis-Servers auch noch die Jobs zu erledigen habendie uns ernähren.+Intention des Systems ist es ein Netzwerk ​zu organisieren ​und zu verwaltensie mit bestehenden Verwaltungsstrukturen wie DHCP-Server,​ zentralen Benutzerverwaltungen usw. zu kombinieren ist nicht das Ziel des Systems und praktisch kaum umsetzbar.
  
-Mit Einführung von invis-Server ​11.0 wurde die Major-Versionsnummer in den Namen des invis-Setup Paketes aufgenommen. Also wird aus **"invisAD-setup"** dann **"​invisAD-Setup-11"​**Dies verhindert versehentliche Updates des Paketes ​bei dem ein bestehendes System beschädigt werden könnte. Um zur neuen Version zu kommen ist also immer ein Upgrade, entsprechend der Beschreibungen hier im [[invis_server_wiki:​upgrade|Wiki]],​ erforderlich+invis-Server ​sind tatsächlich als "rundum-sorglos Paket" ​für kleine Unternehmen gedachtDabei liegt der Fokus auf hoher Funktionalität ​bei überschaubaren Kosten
-====== ​invis Server im Netz ====== +===== Internetzugang ​=====
-Vor allem hinsichtlich der Integration eines invis-Servers in bestehenden Netzwerkstrukturen kommt es immer wieder zu Missverständnissen. Sie sind definitiv nicht dazu gedacht als einfacher Fileserver ihren Dienst zu verrichten. Auch eine Beschränkung auf die Nutzung als Groupware-Server,​ wird der in invis Servern steckenden Arbeit nicht gerecht. Solche Einzellösugungen lassen sich ohnehin mit wenig Aufwand individuell installieren. +
-==== Internetzugang ​====+
 invis Server arbeiten prinzipiell als Router/​Gateway deren Firewall so ausgelegt ist, dass sie ein dahinter liegendes Netzwerk vor Zugriffen aus dem Internet schützen. D.h. es ist der invis Server, der den Zugang des gesamten Netzwerkes zum Internet regelt. Ein vorgeschalteter Router ermöglicht die Einrichtung eines "​Gastnetzes"​ zwischen invis-Server und dem Router, wie die Abbildung "​Variante Router"​ zeigt. invis Server arbeiten prinzipiell als Router/​Gateway deren Firewall so ausgelegt ist, dass sie ein dahinter liegendes Netzwerk vor Zugriffen aus dem Internet schützen. D.h. es ist der invis Server, der den Zugang des gesamten Netzwerkes zum Internet regelt. Ein vorgeschalteter Router ermöglicht die Einrichtung eines "​Gastnetzes"​ zwischen invis-Server und dem Router, wie die Abbildung "​Variante Router"​ zeigt.
  
-//​**Achtung:​** Ab openSUSE Leap ist es nicht mehr möglich mittels YaST eine direkte DSL-Verbindung via PPPoE und ein einfaches DSL-Modem einzurichten. Hier ist Handarbeit notwendig. ​Eine entsprechende Anleitung fehlt hier im Wiki noch!//+//​**Achtung:​** Ab openSUSE Leap ist es nicht mehr möglich mittels YaST eine direkte DSL-Verbindung via PPPoE und ein einfaches DSL-Modem einzurichten. Hier ist Handarbeit ​in Eigenregie ​notwendig. ​Von Seiten des invis-Projekts ist es nicht mehr angedacht, dies wieder zu unterstützen. Es ist ohnehin kaum noch möglich reine DSL Modems zu erwerben.//
  
 invis Server müssen mit mindestens zwei Netzwerkschnittstellen/​Netzwerkkarten ausgestattet sein, von denen eine "​extern"​ mit dem Router und die zweite "​intern"​ mit dem lokalen Netz verbunden ist. invis Server müssen mit mindestens zwei Netzwerkschnittstellen/​Netzwerkkarten ausgestattet sein, von denen eine "​extern"​ mit dem Router und die zweite "​intern"​ mit dem lokalen Netz verbunden ist.
Zeile 55: Zeile 54:
 Aus Sicht der Firewall des invis Servers ist "​extern"​ ihrem Namen entsprechend die externe und "​intern"​ die interne Zone. Die Einrichtung einer DMZ ist im Normalfall nicht notwendig, aber möglich. Aus Sicht der Firewall des invis Servers ist "​extern"​ ihrem Namen entsprechend die externe und "​intern"​ die interne Zone. Die Einrichtung einer DMZ ist im Normalfall nicht notwendig, aber möglich.
  
-Ist ein Router ​für den Internetzugang ​vorhanden, bilden ​Router und externe Zone ein eigenständiges Netz welches als Netz für "​Gäste"​ genutzt werden kann. Dies ermöglicht Gästen den Zugang zum Internet, ohne auf Ressourcen des lokalen Netzes zugreifen zu können. Eine etwaig vorhandene WLAN-Funktion des Routers kann für den gleichen Zweck genutzt werden.+Der für den Internetzugang ​vorgeschaltete ​Router und die externe Zone bilden ​ein eigenständiges Netz welches als Netz für "​Gäste"​ genutzt werden kann. Dies ermöglicht Gästen den Zugang zum Internet, ohne auf Ressourcen des lokalen Netzes zugreifen zu können. Eine etwaig vorhandene WLAN-Funktion des Routers kann für den gleichen Zweck genutzt werden.
  
 //​**Achtung:​** Es darf keine Verbindung zwischen Router und zentralem Netzwerk-Switch geben.// //​**Achtung:​** Es darf keine Verbindung zwischen Router und zentralem Netzwerk-Switch geben.//
Zeile 65: Zeile 64:
 Sollen Dienste des invis-Servers auch via Internet erreichbar sein, muss ein vorhandener Router so konfiguriert werden, dass der invis Server als [[http://​www.heise.de/​glossar/​entry/​Exposed-Host-396933.html|"​exposed Host"​]] geführt oder für jeden Dienst eine Port-Weiterleitung eingerichtet wird. Beachten Sie hierbei die auf invis Servern üblicherweise von den Standards abweichenden Ports für HTTPS und SSH. Sollen Dienste des invis-Servers auch via Internet erreichbar sein, muss ein vorhandener Router so konfiguriert werden, dass der invis Server als [[http://​www.heise.de/​glossar/​entry/​Exposed-Host-396933.html|"​exposed Host"​]] geführt oder für jeden Dienst eine Port-Weiterleitung eingerichtet wird. Beachten Sie hierbei die auf invis Servern üblicherweise von den Standards abweichenden Ports für HTTPS und SSH.
  
-Um einen invis Server möglichst einfach via Internet erreichbar zu machenist die Einrichtung ​eines DynDNS-Accounts empfehlenswert+Um einen invis Server möglichst einfach via Internet erreichbar zu machen ist ein fester im Internet gültiger Name für den Server erforderlich. Es bietet sich die Nutzung ​eines DynDNS-Dienstes an. Gängige Router unterstützen solche Dienste direkt.
  
 Wer einen eigenen DNS-Server im Internet betreibt, kann sich alternativ eine Subdomain einrichten und diese direkt per DDNS bei der Internet-Einwahl aktualisieren. Das auf dem Server alle 10 Minuten ausgeführte Script //​**inetcheck**//​ kann die Adresse automatisch im zuständigen Nameserver per DDNS aktualisieren. Wer einen eigenen DNS-Server im Internet betreibt, kann sich alternativ eine Subdomain einrichten und diese direkt per DDNS bei der Internet-Einwahl aktualisieren. Das auf dem Server alle 10 Minuten ausgeführte Script //​**inetcheck**//​ kann die Adresse automatisch im zuständigen Nameserver per DDNS aktualisieren.
  
-//​**Achtung:​** Einige ältere Router des Herstellers AVM blockieren im Standard-Setup manche ausgehenden DNS-Abfragen,​ was etwa Schwierigkeiten mit DDNS machen kann. Nicht bei allen Geräten kann die Konfiguration so geändert werden, dass der Betrieb eines invis-Servers nicht beeinträchtigt wird. Dieses Verhalten ​habe ich allerdings in den letzten Jahren nicht mehr beobachtet.//​+//​**Achtung:​** Einige ältere Router des Herstellers AVM blockieren im Standard-Setup manche ausgehenden DNS-Abfragen,​ was etwa Schwierigkeiten mit DDNS machen kann. Nicht bei allen Geräten kann die Konfiguration so geändert werden, dass der Betrieb eines invis-Servers nicht beeinträchtigt wird. Dieses Verhalten ​haben wir allerdings in den letzten Jahren nicht mehr beobachtet.//​
  
 Wird im lokalen Netzwerk ein WLAN benötigt, muss dieses mit WLAN-Accesspoints realisiert werden. Wird im lokalen Netzwerk ein WLAN benötigt, muss dieses mit WLAN-Accesspoints realisiert werden.
  
-Die folgenden Grafiken verdeutlichen die beiden ​Szenarien. +Die folgenden Grafiken verdeutlichen die beide möglichen ​Szenarien. ​Offiziell unterstützt wird allerdings nur noch die Variante "Router".
----- +
-  * **Variante "Modem" ​- wird nicht mehr offiziell unterstützt** +
- +
-{{ :​invis_server_wiki:​invis_im_netz_1.png?600 |}}+
 ---- ----
  
Zeile 84: Zeile 79:
 {{ :​invis_server_wiki:​invis_im_netz_2.png?​600 |}} {{ :​invis_server_wiki:​invis_im_netz_2.png?​600 |}}
 ---- ----
 +  * **Variante "​Modem"​ - wird nicht mehr offiziell unterstützt**
  
-==== Zugang von "​Außen"​ ====+{{ :​invis_server_wiki:​invis_im_netz_1.png?​600 |}} 
 +---- 
 +//​**Achtung:​**Weitere Szenarien, in denen ein invis-Server nicht als Router/​Gateway fungiert ist nicht vorgesehen, wird vom Projekt nicht supportet und beraubt den Server auch eines Großteils seiner Funktionen.//​ 
 +===== Zugang von "​Außen" ​=====
 Eine Warnung vorweg: Eine Warnung vorweg:
  
Zeile 102: Zeile 101:
 Im Zusammenhang mit ownCloud sollte folgender Umstand klar sein:  Im Zusammenhang mit ownCloud sollte folgender Umstand klar sein: 
  
-**ownCloud muss sowohl ​von innen, wie auch von außen ​unter der gleichen URL erreichbar sein.**+**ownCloud muss sowohl ​aus dem lokalen Netz, wie auch aus dem Internet ​unter der gleichen URL erreichbar sein.**
  
-Als Hostname kommt entweder ein DDNS-Name oder eine feste IP-Adresse (muss vom Provider gestellt werden) in Frage. ​D.h. auch beim Zugriff aus dem internen Netz wird die extern gültige URL genutzt. Ansonsten wäre es nicht möglich konsistente URLs zu erzeugen über die Dritte auf freigegebene Dateien oder Ordner zugreifen können.+D.h. auch beim Zugriff aus dem internen Netz wird die extern gültige URL genutzt. Ansonsten wäre es nicht möglich konsistente URLs zu erzeugen über die Dritte auf freigegebene Dateien oder Ordner zugreifen können.
  
-Dies bedeutet auch, dass es keinen Sinn macht ownCloud zu installieren, wenn weder ein DDNS-Name oder eine feste IP zur Verfügung stehtüber die der Server via Internet erreichbar ist.+//​**Achtung:​** Dafür ist es erforderlich, dass der von Ihnen verwendete Router eingerichtete Portforwarding-Regeln auch dann anwendet, wenn der Zugriff aus dem lokalen Netz (interne Zone) erfolgt. Einige Router der Telekom (Digibox)Vodafone (Easybox), Telefonica (One Access) sind dazu leider nicht in der Lage! Verwenden Sie statt dessen Geräte der Hersteller AVM (FritzBox) oder LANCOM. Mit diesen Geräten treten keine Probleme auf.//
  
-//​**Achtung:​** Weiterhin ist hier zu beachten, dass der von Ihnen verwendete Router eingerichtete Portforwarding-Regeln auch dann anwendet, wenn der Zugriff aus dem lokalen Netz (interne ZoneerfolgtEinige Router der Telekom ​(Digibox), Vodafone (Easybox)Telefonica (One Access) sind dazu leider ​nicht in der Lage! Verwenden Sie statt dessen Geräte der Hersteller AVM (FritzBox) oder LANCOM. Mit diesen Geräten treten keine Probleme ​auf.// +Als Hostname kommt prinzipiell ein im Internet gültiger Hostname ​(DDNSin FrageDie Verwendung einer festen IP-Adresse ​(muss vom Provider gestellt werdenist zwar denkbarsorgt aber in Verbindung mit Verschlüsselung immer für Problemeda Sicherheitszertifikate nur auf Namen und nicht für IP-Adressen ausgestellt werden.  
-==== Ordnung im Netz ====+ 
 +Sind diese Voraussetzungen nicht gegeben, wird der externe Zugriff ​auf den Server im Allgemeinen schwierig und die Nutzung von ownCloud beinahe unmöglich. 
 + 
 +===== Ordnung im Netz =====
 Vor der Integration eines invis Servers in ein Netzwerk, sollten Sie dort für Ordnung sorgen. So ist es sinnvoll sich ein einheitliches Namensschema für alle im Netzwerk vorhandenen Geräte und Computer auszudenken und umzusetzen. Praktisch ist, wenn aus dem Namen eines Gerätes bzw. Computers Rückschlüsse auf dessen Funktion oder Standort möglich sind. Weniger sinnvoll ist es PCs nach ihren Benutzern zu benennen, PCs wechseln gelegentlich ihren Platz und Benutzer können ihr Unternehmen verlassen. Vor der Integration eines invis Servers in ein Netzwerk, sollten Sie dort für Ordnung sorgen. So ist es sinnvoll sich ein einheitliches Namensschema für alle im Netzwerk vorhandenen Geräte und Computer auszudenken und umzusetzen. Praktisch ist, wenn aus dem Namen eines Gerätes bzw. Computers Rückschlüsse auf dessen Funktion oder Standort möglich sind. Weniger sinnvoll ist es PCs nach ihren Benutzern zu benennen, PCs wechseln gelegentlich ihren Platz und Benutzer können ihr Unternehmen verlassen.
  
Zeile 116: Zeile 118:
 Alle im Netz vorhandenen Computer und Geräte sollten Ihre IP-Adressen **unbedingt** per DHCP vom invis Server erhalten, sind also für den automatischen Adressbezug zu konfigurieren. Sind die MAC-Adressen der Geräte bekannt, können Sie über das invis-Portal Adress-Reservierungen (Leases) und Einträge im DNS Server anlegen. Alle im Netz vorhandenen Computer und Geräte sollten Ihre IP-Adressen **unbedingt** per DHCP vom invis Server erhalten, sind also für den automatischen Adressbezug zu konfigurieren. Sind die MAC-Adressen der Geräte bekannt, können Sie über das invis-Portal Adress-Reservierungen (Leases) und Einträge im DNS Server anlegen.
  
-==== Benutzerverwaltung ====+====== Benutzerverwaltung ​======
  
 Eines der wesentlichen Merkmale der invis Server ist die zentrale Benutzerverwaltung. Der gesamte Datenbestand der Benutzerverwaltung (wie auch der von DNS, DHCP uvw.) liegt in einem LDAP-Verzeichnis. Eines der wesentlichen Merkmale der invis Server ist die zentrale Benutzerverwaltung. Der gesamte Datenbestand der Benutzerverwaltung (wie auch der von DNS, DHCP uvw.) liegt in einem LDAP-Verzeichnis.
Zeile 129: Zeile 131:
 Die sinnvolle Nutzung eines invis Servers setzt die Nutzung der zentralen Benutzerverwaltung voraus! Die sinnvolle Nutzung eines invis Servers setzt die Nutzung der zentralen Benutzerverwaltung voraus!
  
-==== email ====+====== ​Email & Groupware ​====== 
 + 
 +invis-Server können entweder mit einer Groupware (derzeit ausschließlich Kopano) oder einem einfachen IMAP-Server in Verbindung mit dem Webmailer Roundcubemail installiert werden. D.h. es steht entweder nur Email oder Email, Kontaktverwaltung,​ Terminverwaltung,​ Aufgabenverwaltung zur Verfügung. In beiden Fällen sind fest installierte Clients auf den angeschlossenen PC für die Nutzung der Funktionen nicht zwingend erforderlich. Der Zugang zu den Funktionen kann über vorinstallierte Web-Applikationen im Browser erfolgen. 
 + 
 +Unterstützt werden gängige Mail- und Groupware-Clients wie Mozilla Thunderbird oder Microsoft Outlook. Für die Nutzung der Groupware Kopano steht bevorzugt die Kopano-DeskApp als Desktop-Client zur Verfügung. Um Microsoft Outlook als weitgehend vollwertigen Kopano-Client zu nutzen, ist die Verwendung des Plugins "​Kopano Outlook Extension / KOE" erforderlich. Dies setzt eine kostenpflichtige Kopano-Subskription voraus. Gleiches gilt für die Kopano-DeskApp. Wir empfehlen grundsätzlich den Abschluss eines Subskriptionsvertrages. Dieser ist nicht teuer und bringt Support durch Kopano, sowie Maintenance mit. Mit der genannten Maintenance können sie jederzeit die dieweils aktuelle Kopano-Version nutzen. Mit den Kopano-Community-Paketen aus der openSUSE Distribution ist dies nicht möglich und es steht auch kein Support zur Verfügung. 
 Grundsätzlich wird bei invis Servern davon ausgegangen,​ dass keine Internetverbindung via Standleitung und fester IP-Adresse vorhanden ist. Für den Mailserver bedeutet dies, dass für den email Versand jeweils eine Internet-Einwahl angestossen werden muss und der email-Empfang indirekt geschieht. emails können nicht direkt beim invis Server eingeliefert werden, sondern verbleiben zunächst in den jeweiligen Postfächern eines Mail-Providers im Internet. Sie werden dort zyklisch per **//​fetchmail//​** abgeholt und dann in lokale Postfächer eingeliefert. Grundsätzlich wird bei invis Servern davon ausgegangen,​ dass keine Internetverbindung via Standleitung und fester IP-Adresse vorhanden ist. Für den Mailserver bedeutet dies, dass für den email Versand jeweils eine Internet-Einwahl angestossen werden muss und der email-Empfang indirekt geschieht. emails können nicht direkt beim invis Server eingeliefert werden, sondern verbleiben zunächst in den jeweiligen Postfächern eines Mail-Providers im Internet. Sie werden dort zyklisch per **//​fetchmail//​** abgeholt und dann in lokale Postfächer eingeliefert.
  
Zeile 143: Zeile 150:
  
 //​**Hinweis:​** Die sinnvolle Nutzung der Groupware-Funktionen des Servers ist nur unter Verwendung der lokalen Mailserver-Funktion möglich!// //​**Hinweis:​** Die sinnvolle Nutzung der Groupware-Funktionen des Servers ist nur unter Verwendung der lokalen Mailserver-Funktion möglich!//
 +====== Versionen und Versionsnummerierung ======
  
 +invis-Server gibt es in den Versionen "invis Classic"​ und "invis ActiveDirectory"​. Davon wird die Classic Version nicht mehr gepflegt und ist auch allenfalls noch mit reichlich Mühe unter openSUSE 13.1 (die im November 2016 endgültig ausläuft) installieren. Wir raten davon ab.
 +
 +Die letzte Version des invis-Classic trug die Versionsnummer 9.3.
 +
 +Ab Version 10.0 wurde der invis-Server dank Samba 4 auf ActiveDirectory anstelle von OpenLDAP umgestellt. Dies entspricht einer Aktualisierung der Windows Domänenstruktur von NTLM (Windows Server NT 4.0) auf ActiveDirectory mit Kerberos Authentifizierung (ab Windows Server 2000). Notwendig war dies, da immer mehr Business-Applikationen das Vorhandensein eines ActiveDirectories voraussetzen und neuere Windows-Versionen nur noch mit zunehmend großem Aufwand zum Beitritt in eine NTLM-Domäne zu bewegen sind.
 +
 +Die Versionen 10.0 bis 10.3 basierten auf openSUSE 13.1. Seit dem Auslaufen der Evergreen Maintenance für openSUSE 13.1 im November 2016 werden nur noch Installationen basierend auf openSUSE Leap unterstützt. Noch existierende alte Installationen sollten aktualisiert oder neu installiert werden. Erläuterungen zu den verschiedenen Upgrade-Pfaden sind hier im **[[https://​wiki.invis-server.org/​doku.php/​invis_server_wiki:​upgrade|Wiki]]** zu finden.
 +
 +Die Versionsnummer eines invis-Servers besteht aus 3 Teilen bzw. Stellen:
 +
 +**"​Major_Number-Minor_Number-Build-Number"​**
 +
 +Eine Erhöhung der ersten Nummer kennzeichnet eine Veränderung des Paketes, die es inkompatibel mit dem Vorgänger macht. Das bedeutet, ein Upgrade auf ein solches Paket, erfordert immer händische Anpassungen am System. Wir werden uns Mühe geben, die notwendigen Anpassungen im Wiki zu dokumentieren. Es kann auch möglich sein, dass eine neue Major-Release eine Neuinstallation erfordert. Dies war beispielsweise beim Sprung von 9.x auf 10.x notwendig, da ein "​Upgrade"​ von Samba3 + openLDAP auf Samba4 ActiveDirectory die Struktur des invis-Servers grundlegend verändert hat.
 +
 +Eine Erhöhung der zweiten Stelle bedeutet neue Features, die die Kompatibilität nicht brechen. Dabei kann es sein, dass diese Features auf einer bestehenden Installation händisch nachinstalliert bzw. konfiguriert werden können. Den Betrieb eines bestehenden invis-Servers sollte dies nicht stören.
 +
 +Änderungen in der dritten Stelle deuten lediglich auf Bugfixes hin. Auch hier kann es sein, dass nach einem Update händische Eingriffe notwendig sind. Die Funktion eines in Betrieb befindlichen Servers wird bei einem Update nicht gestört.
 +
 +Grundsätzlich werden wir (soweit es unsere Zeit erlaubt) versuchen alle erforderlichen Update bzw. Upgrade Schritte hier im Wiki zu dokumentieren. Sollte etwas fehlen, bedenken Sie bitte, dass wir alle neben der Pflege und Entwicklung des invis-Servers auch noch die Jobs zu erledigen haben, die uns ernähren.
 +
 +Mit Einführung von invis-Server 11.0 wurde die Major-Versionsnummer in den Namen des invis-Setup Paketes aufgenommen. Also wird aus **"​invisAD-setup"​** dann **"​invisAD-Setup-11"​**. Dies verhindert versehentliche Updates des Paketes bei dem ein bestehendes System beschädigt werden könnte. Um zur neuen Version zu kommen ist also immer ein Upgrade, entsprechend der Beschreibungen hier im [[invis_server_wiki:​upgrade|Wiki]],​ erforderlich.

QR-Code
QR-Code invis_server_wiki:whatis_invis_server (erstellt für aktuelle Seite)