Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:administration [2018/05/27 14:56] flacco [Online Updates] |
invis_server_wiki:administration [2018/12/13 15:30] flacco [Mailkonten verbinden] |
||
|---|---|---|---|
| Zeile 350: | Zeile 350: | ||
| ==== SMTP-Relay / SMTP-Auth für Postfix einrichten ==== | ==== SMTP-Relay / SMTP-Auth für Postfix einrichten ==== | ||
| - | invis Server sind meist via DSL mit dem Internet verbunden, verfügen also nicht über eine dauerhafte Internet-Anbindung. Das macht sie aus Sicht vieler Mailserver nicht vertrauenswürdig. Um aus dieser Situation heraus zuverlässig Emails versenden zu können, wird für den Mailversand eine Relais-Station (Relay-Server) benötigt, die uns vertraut. Dabei handelt es sich eigentlich um nichts anderes als die Konfiguration eines Postausgangsservers, so wie das auch in Mail-Clients gemacht wird. | + | invis Server sind meist via DSL mit dem Internet verbunden, verfügen also nicht über eine dauerhafte Internet-Anbindung. Das macht sie aus Sicht vieler Internet-Mailserver **zurecht** nicht vertrauenswürdig. Um aus dieser Situation heraus zuverlässig Emails versenden zu können, wird für den Mailversand eine Relais-Station (Relay-Server) benötigt, die uns vertraut. Dabei handelt es sich eigentlich um nichts anderes als die Konfiguration eines Postausgangsservers, so wie das auch in Mail-Clients gemacht wird. |
| Üblicherweise kann, von wenigen Ausnahmen abgesehen, der Postausgangsserver des eigenen Providers genutzt werden. Für die Postfix-Konfiguration werden dessen Name (FQDN), sowie Benutzernam und Passwort für die Anmeldung via SMTP-Auth benötigt. | Üblicherweise kann, von wenigen Ausnahmen abgesehen, der Postausgangsserver des eigenen Providers genutzt werden. Für die Postfix-Konfiguration werden dessen Name (FQDN), sowie Benutzernam und Passwort für die Anmeldung via SMTP-Auth benötigt. | ||
| - | //**Hinweis:** Wenn T-Online der Provider ist, kann auf keinen Fall "smtpmail.t-online.de" oder der alte "mailto.t-online.de" verwendet werden, wenn mit einer eigenen Domain gearbeitet wird. Die beiden genannten Mailserver haben die Angewohnheit beim relayen die Absender-Adressen umzuschreiben. Da wird aus "absender@eigenedomain.tld" dann einfach "T-Online-Nr@t-online.de". Das wäre in vielen Fällen mehr als peinlich. Mit "smtprelay.t-online.de" bietet T-Online einen weiteren Mailserver an, der diese miese Angewohnheit nicht hat. Wie nicht anders zu erwarten kostet dessen Nutzung allerdings Geld.// | + | //**Hinweis:** Wenn T-Online der Provider ist, kann auf keinen Fall "securesmtp.t-online.de", "smtpmail.t-online.de" oder der alte "mailto.t-online.de" verwendet werden, wenn mit einer eigenen Domain gearbeitet wird. Die beiden genannten Mailserver haben die Angewohnheit beim relayen die Absender-Adressen umzuschreiben. Da wird aus "absender@eigenedomain.tld" dann einfach "T-Online-Nr@t-online.de". Das wäre in vielen Fällen mehr als peinlich. Mit "smtprelay.t-online.de" bietet T-Online einen weiteren Mailserver an, der diese miese Angewohnheit nicht hat. Wie nicht anders zu erwarten kostet dessen Nutzung allerdings Geld.// |
| - | //**Achtung:** Die folgenden Konfigurationsschritte müssen nur dann vorgenommen werden, wenn Sie Ihrem invis-Server nicht bereits während der Installation mit den entsprechenden Daten versorgt haben. Das invis-Setup-Script **sine** fragt nach den entsprechenden Daten und nimmt die Konfiguration automatisch vor.// | + | //**Achtung:** Die folgenden Konfigurationsschritte müssen nur dann vorgenommen werden, wenn Sie Ihrem invis-Server nicht bereits während der Installation mit den entsprechenden Daten versorgt haben. Das invis-Setup-Script **sine2** fragt nach den entsprechenden Daten und nimmt die Konfiguration automatisch vor.// |
| Zunächst muss in der Datei "/etc/postfix/main.cf" der zu verwendende Relay-Server nebst zu verwendetem Protokoll (SMTP: Port 25 oder Submission: Port 587) eingetragen werden. Diese Einstellung ist bereits vorbereitet. Suchen Sie in der Datei einfach nach "//relayhost//": | Zunächst muss in der Datei "/etc/postfix/main.cf" der zu verwendende Relay-Server nebst zu verwendetem Protokoll (SMTP: Port 25 oder Submission: Port 587) eingetragen werden. Diese Einstellung ist bereits vorbereitet. Suchen Sie in der Datei einfach nach "//relayhost//": | ||
| Zeile 392: | Zeile 392: | ||
| ==== openVPN Starten/Stoppen/Neustarten ==== | ==== openVPN Starten/Stoppen/Neustarten ==== | ||
| - | Mit Einführung des Systemd lässt sich openVPN nicht mehr pauschal mittels "**//rcopenvpn//**" starten/stoppen/neustarten. Statt dessen müssen jetzt mittels **//systemctl//** alle vorhandenen openVPN Konfigurationen einzeln verwaltet werden. Für die mittels **//sine//** vorbereite openVPN Verbindung sieht dies wie folgt aus: | + | Mit Einführung des Systemd lässt sich openVPN nicht mehr pauschal mittels "**//rcopenvpn//**" starten/stoppen/neustarten. Statt dessen müssen jetzt mittels **//systemctl//** alle vorhandenen openVPN Konfigurationen einzeln verwaltet werden. Für die mittels **//sine2//** vorbereite openVPN Verbindung sieht dies wie folgt aus: |
| <code> | <code> | ||
| Zeile 428: | Zeile 428: | ||
| <code> | <code> | ||
| - | linux:~ # inviscerts [ms|ldap|extern|vpn|crl] | + | linux:~ # inviscerts [ms|intern|extern|vpn|crl] |
| </code> | </code> | ||
| - | Sie benötigen in jedem Fall das Passwort der Zertifizierungsstelle. Werden mit //**inviscerts**// VPN-Client-Zertifikate erzeugt, so werden Zertifikat und privater Schlüssel in einer Passwort-geschützten PKCS-12 Datei verpackt. //**inviscerts**// fordert Sie zur Eingabe eines solchen Passwortes auf. Bedenken Sie dass eine solche Datei ungehinderten Zugang zu Ihrem Server ermöglicht, nutzen Sie also bitte sichere Passwörter. | + | Sie benötigen in jedem Fall das Passwort der Zertifizierungsstelle. |
| + | |||
| + | Die Optionen im Einzelnen: | ||
| + | * **ms** - Internes Mailserver-Zertifikat, wird ausgestellt auf den Namen mail.ihre-domain.tld | ||
| + | * **intern** - Zertifikat für den verschlüsselten Zugriff auf das invis-Portal und lokale Webapplikationen. Wird auf den lokalen Hostnamen des invis-Servers ausgestellt. | ||
| + | * **extern** - Zertifikat für den Zugriff via Internet, gilt sowohl für das invis-Portal, ActiveSync, Kopano-Webapp, ownCloud und OpenVPN. Wird auf den im Internet gültigen DDNS Namen des invis-Servers ausgestellt. | ||
| + | * **vpn** - Erstellt OpenVPN Client-Zertifikate. Hier wird als "Common Name" des Zertifikats der Hostname des Client-Computers erstellt. Alternativ ist auch "vorname.zuname" des Anwenders möglich. | ||
| + | * **crl** - Aktualisiert die "Certificate Revocation List". Dies ist wichtig, damit speziell OpenVPN keine Zurückgezogenen Zertifikate mehr akzeptiert. | ||
| + | |||
| + | Ohne Option aufgerufen gibt //**inviscerts**// einfach nur eine kurze Hilfe für dessen Verwendung aus. | ||
| + | |||
| + | Werden mit //**inviscerts**// VPN-Client-Zertifikate erzeugt, so werden Zertifikat und privater Schlüssel in einer Passwort-geschützten PKCS-12 Datei verpackt. //**inviscerts**// fordert Sie zur Eingabe eines solchen Passwortes auf. Bedenken Sie dass eine solche Datei ungehinderten Zugang zu Ihrem Server ermöglicht, nutzen Sie also bitte sichere Passwörter. | ||
| Selbstsignierte Zertifikate, auch wenn die Signatur über eine eigene CA erfolgte, erzeugen auf Client-Seite (zunächst) immer eine Sicherheitswarnung. Diese Warnungen, etwa wenn sie in einem Browser auftauchen, verunsichern Anwender erfahrungsgemäß. Um Sie zu verhindern muss das Stammzertifikat der Zertifizierungsstelle in den Client integriert werden. Für diesen Zweck halten invis-Server das Zertifikat zum Download im invis-Portal (unten rechts) vor. | Selbstsignierte Zertifikate, auch wenn die Signatur über eine eigene CA erfolgte, erzeugen auf Client-Seite (zunächst) immer eine Sicherheitswarnung. Diese Warnungen, etwa wenn sie in einem Browser auftauchen, verunsichern Anwender erfahrungsgemäß. Um Sie zu verhindern muss das Stammzertifikat der Zertifizierungsstelle in den Client integriert werden. Für diesen Zweck halten invis-Server das Zertifikat zum Download im invis-Portal (unten rechts) vor. | ||
| Zeile 517: | Zeile 528: | ||
| <code> | <code> | ||
| ... | ... | ||
| - | forwarders { 9.9.9.9; 194.129.25.2; 8.8.4.4; }; | + | forwarders { 9.9.9.9; 1.1.1.1; 194.129.25.2; }; |
| ... | ... | ||
| </code> | </code> | ||
| - | Achten Sie darauf, dass hinter jeder IP-Adresse wie auch am Ende der Zeile ein Semikolon stehen muss. | + | Achten Sie darauf, dass hinter jeder IP-Adresse wie auch am Ende der Zeile ein Semikolon stehen muss. Es können bis zu 3 Adressen angegeben werden. |
| Danach, genügt es den Nameserver zum auffrischen seiner Konfiguration zu bringen: | Danach, genügt es den Nameserver zum auffrischen seiner Konfiguration zu bringen: | ||
| Zeile 537: | Zeile 548: | ||
| </code> | </code> | ||
| - | //**Hinweis:** Sie sollten sich allerdings Gedanken über die Wahl Ihrer DNS-Forwarder machen. Nehmen wir beispielsweise die DNS-Server von Google (8.8.8.8 & 8.8.4.4), sicher sie sind schnell und mit Ihnen lassen sich DNS-basierte Websperren des eigenen Providers umgehen, allerdings bietet Google solche Dienste sicherlich nicht aus reiner Nächstenliebe an. Mehr zum Thema **[[http://www.linux-magazin.de/news/8-8-8-8-und-8-8-4-4-googles-neuer-dns-service/|hier]]**. | + | //**Hinweis:** Sie sollten sich allerdings Gedanken über die Wahl Ihrer DNS-Forwarder machen. Nehmen wir beispielsweise die DNS-Server von Google (8.8.8.8 & 8.8.4.4), sicher sie sind schnell und mit Ihnen lassen sich DNS-basierte Websperren des eigenen Providers umgehen, allerdings bietet Google solche Dienste sicherlich nicht aus reiner Nächstenliebe an. Mehr zum Thema **[[http://www.linux-magazin.de/news/8-8-8-8-und-8-8-4-4-googles-neuer-dns-service/|hier]]**.\\ |
| - | Es geht auch anders. Die Initiative "Quad9" (9.9.9.9) stellt ebenfalls schnelle DNS Server kostenfrei zur Verfügung, bei deren Nutzung bleibt die Privatsphäre auf jeden Fall gewahrt. Mehr zum Thema **[[https://heise.de/-3890741|hier]]** | + | Es geht auch anders. Die Initiative "Quad9" (9.9.9.9) stellt ebenfalls schnelle DNS Server kostenfrei zur Verfügung, bei deren Nutzung bleibt die Privatsphäre auf jeden Fall gewahrt. Mehr zum Thema **[[https://heise.de/-3890741|hier]]**\\ |
| + | |||
| + | Auch die Fa. Cloudflare bietet unter der Adresse "1.1.1.1" einen DNS-Resolver an bei dem der Datenschutz priorisiert wird.\\ | ||
| Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**// | Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**// | ||
| Zeile 555: | Zeile 568: | ||
| - **WinAdmin+UNIX** -- Wie "Windows+UNIX", allerdings Mitglied der Gruppe "Domain Admins". Sie verfügen also auf allen Windows-PCs der Domäne über administrative Rechte. | - **WinAdmin+UNIX** -- Wie "Windows+UNIX", allerdings Mitglied der Gruppe "Domain Admins". Sie verfügen also auf allen Windows-PCs der Domäne über administrative Rechte. | ||
| - **WinAdmin+UNIX+Groupware** -- Wie "Windows+UNIX+Groupware" und Mitglied der Gruppe "Domain Admins". Zusätzlich werden Benutzer dieses Typs wenn Kopano als Groupware eingesetzt wird auch als kopano Admins geführt. Sie haben also das Recht jedes Postfach zu öffnen. | - **WinAdmin+UNIX+Groupware** -- Wie "Windows+UNIX+Groupware" und Mitglied der Gruppe "Domain Admins". Zusätzlich werden Benutzer dieses Typs wenn Kopano als Groupware eingesetzt wird auch als kopano Admins geführt. Sie haben also das Recht jedes Postfach zu öffnen. | ||
| - | ==== Group-e aktualisieren ==== | ||
| - | //**Hinweis:** Die Weiterentwicklung von Group-e wurde im Frühjahr 2016 eingestellt. Es wird keine Aktualisierungen mehr geben.// | + | ===== Mailkonten verwalten ===== |
| - | **Achtung:** Beginnen Sie das Update nicht, wenn ihnen das root-Passwort für MySQL unbekannt ist! | + | Die Verwaltung von E-Mailkonten setzt sich aus mehreren Schritten zusammen und spielt sich entsprechend auf mehreren Ebenen ab. |
| - | Die Aktualisierung einer Group-e Installation auf die jeweils neueste Version ist recht einfach. Laden Sie sich zunächst die neue Version von [[http://sourceforge.net/projects/group-e/files/]] herunter und entpacken Sie auf Ihrem Server. | + | - **Provider:** Zunächst muss ein Mailkonto bei einem Provider existieren oder eben angelegt werden. Für den weiteren Ablauf benötigen Sie dann die "reale" Email-Adresse, den Postausgangsserver des Providers und die zugehörigen Zugangsdaten zum Mailkonto. In vielen Fällen ist die Email-Adresse auch gleich der Benutzername zum Postfach. |
| + | - **Benutzerverwaltung des invis-Servers:** Hier muss, soweit nicht bereits geschehen, ein lokales Benutzerkonto angelegt werden, dem die externe Email-Adresse zugeordnet wird. invis-Server unterscheiden verschiedene Benutzerkonten-Typen die auch Email-berechtigt sind. Darunter ist der Typ "Mailkonto" nicht für reale Benutzer gedacht sondern zur Nutzung nicht personenbezogene Mail-Adressen, wie etwa "info@...." | ||
| + | - **Mailkontenverwaltung des invis-Servers:** Hier wird das externe Mailkonto dem lokalen Benutzer zugeordnet. Diese Zuordnung wird nachfolgend beschrieben. | ||
| - | <code>Kommandozeile: tar -xjvf group-e_v1.710.tar.bz2</code> | + | ==== Mailkonten "zuordnen" ==== |
| + | Noch aus den Anfangstagen des invis-Servers stammt das Programm "CorNAz" zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "local"{{ :invis_server_wiki:invisad-mailkonten1.png?250|}} des Portals hinter der Schaltfläche "Mailkonten". CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden. | ||
| - | Im Paket sind die Unterverzeichnisse "doc", "dump", "dyn", "etc" und "www" enthalten. Mit diesen -- ausgenommen "dyn" müssen die entsprechenden Verzeichnisse unter "/srv/www/htdocs/group-e" ersetzt werden. Bevor Sie allerdings die neuen Verzeichnisse über die vorhandenen kopieren müssen noch ein paar Konfigurationsdateien gesichert werden. | + | //**Hinweis:** Ab invis-Version 13.5 ist CorNAz voll ins invis-Portal integriert. Sie finden es unter dem Reiter "mail"// |
| - | + | ||
| - | Sichern Sie aus der bestehenden Installation die Dateien: | + | |
| - | + | ||
| - | * /srv/www/htdocs/group-e/etc/phplib/lib/local.inc | + | |
| - | * /srv/www/htdocs/group-e/www/cfg/global.inc.php | + | |
| - | * /srv/www/htdocs/group-e/www/cfg/ge/config.inc.php | + | |
| - | + | ||
| - | Überschreiben Sie jetzt mit den jeweils neuen Versionen die Verzeichnisse "doc", "dump", "etc" und "www" der bestehenden Installation. | + | |
| - | + | ||
| - | Kopieren Sie jetzt die gesicherte Datei local.inc wieder nach /srv/www/htdocs/group-e/etc/phplib/lib/local.inc. Die beiden gesicherten Konfigurationsdateien schreibe ich in der Regel nicht zurück, da auch diese bei Group-e Aktualisierungen schon erneuert wurden. Hier gilt es lediglich die an invis-Server angepassten Einträge aus den gesicherten Dateien zu übernehmen. | + | |
| - | + | ||
| - | Aus der Datei "global.inc.php" ist dies zunächst der Pfad zur Datei "prepend.php". Im nachfolgenden Code-Beispiel ist der korrekte Pfad (ca. Zeile 28) eingetragen. | + | |
| - | + | ||
| - | <code> | + | |
| - | define('PREPEND_FILE','/srv/www/htdocs/group-e/etc/phplib/prepend.php'); | + | |
| - | $THEME='ge'; | + | |
| - | $USE_DOMAIN=false; | + | |
| - | $CFG['SUPERADMIN']=3000; | + | |
| - | $CFG['GROUP_ALL']=3000; | + | |
| - | $CFG['LDAP_MIN_UID']=3000; | + | |
| - | $CFG['LDAP_MIN_GID']=3000; | + | |
| - | </code> | + | |
| - | + | ||
| - | Vergleichen Sie die Einträge für "LDAP_MIN_UID" und "LDAP_MIN_GID" mit den entsprechenden Einträgen in der zuvor gesicherten Datei und passen Sie die neue Datei gegebenenfalls an. | + | |
| - | + | ||
| - | Das gleiche Spiel ist für die Datei "config.inc.php" durchzuführen. Auch hier sind die Werte für "LDAP_MIN_UID" und "LDAP_MIN_GID" (ab Zeile 46) mit denen der gesicherten Datei zu vergleichen und gegebenenfalls anzupassen. | + | |
| - | + | ||
| - | <code> | + | |
| - | if (!isset($CFG['SUPERADMIN'])) $CFG['SUPERADMIN']=3000; | + | |
| - | if (!isset($CFG['GROUP_ALL'])) $CFG['GROUP_ALL']=3000; | + | |
| - | if (!isset($CFG['LDAP_MIN_UID'])) $CFG['LDAP_MIN_UID']=3000; | + | |
| - | if (!isset($CFG['LDAP_MIN_GID'])) $CFG['LDAP_MIN_GID']=3000; | + | |
| - | </code> | + | |
| - | + | ||
| - | Melden Sie sich jetzt mit dem Benutzer "config" an Group-e an. Sie werden jezt dazu aufgefordert die MySQL-Datenbank von Group-e an die neue Version anzupassen. Sie benötigen dafür den Root-Zugang zu Ihrer MySQL-Installation. Geben Sie einfach den Benutzernamen root und das zugehörige Passwort (**Achtung:** nicht das root-Passwort des Systems!) in die entsprechenden Felder ein und klicken sie auf die zugehörige Schaltfläche. | + | |
| - | + | ||
| - | Damit ist die Aktualisierung komplett und Sie können sich wieder normal an Group-e anmelden. | + | |
| - | + | ||
| - | ===== Mailkonten verwalten ===== | + | |
| - | + | ||
| - | Noch aus den Anfangstagen des invis-Servers stammt das Programm "CorNAz" zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "local"{{ :invis_server_wiki:invisad-mailkonten1.png?250|}} des Portals hinter der Schaltfläche "Mailkonten". CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden. | + | |
| **Funktionen** | **Funktionen** | ||