Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:administration [2018/05/27 14:56] flacco [Online Updates] |
invis_server_wiki:administration [2019/01/25 06:58] flacco [MAC-Adresse ermitteln] |
||
|---|---|---|---|
| Zeile 4: | Zeile 4: | ||
| //**Hinweis:** Nicht Aufgabe dieser Seite ist die Vermittlung von IT-Basiswissen. System- und Netzwerkadministratoren sollten darüber verfügen, oder in der Lage sein es sich anzueignen. Dies ist kein Vorwurf, an die Leser dieser Zeilen, sondern der Hinweis darauf, dass Server-Produkte wie ein invis-Server hoch komplexe Systeme sind, deren Administration Fachwissen verlangen. Wenn ich beispielsweise eine neue Wasserleitung im Haus benötige, wende ich mich auch an einen Sanitärbetrieb und versuche nicht selbst meine Wohnung unter Wasser zu setzen.// | //**Hinweis:** Nicht Aufgabe dieser Seite ist die Vermittlung von IT-Basiswissen. System- und Netzwerkadministratoren sollten darüber verfügen, oder in der Lage sein es sich anzueignen. Dies ist kein Vorwurf, an die Leser dieser Zeilen, sondern der Hinweis darauf, dass Server-Produkte wie ein invis-Server hoch komplexe Systeme sind, deren Administration Fachwissen verlangen. Wenn ich beispielsweise eine neue Wasserleitung im Haus benötige, wende ich mich auch an einen Sanitärbetrieb und versuche nicht selbst meine Wohnung unter Wasser zu setzen.// | ||
| + | |||
| + | Zur Administration des Servers gehören Störungsbeistand und natürlich wiederkehrende Aufgaben, wie das Einspielen von Updates, das Verwalten von Benutzern und Gruppen oder das Verwalten von Mailkonten. Einige dieser Aufgaben lassen sich bequem über das invis-Portal andere hingegen lediglich auf der Kommandozeile des Servers erledigen. Sowohl das invis-Portal, inklusive weiterer installierter Administrationswerkzeuge als auch die Kommandozeile des sind sowohl aus dem lokalen Netzwerk als auch via Internet erreichbar. Letzteres setzt allerdings einen korrekt konfigurierten Router und funktionierendes DDNS voraus. | ||
| + | |||
| + | Hinweise dazu, wie Sie Ihren Router konfigurieren finden Sie **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:installation:post-140#router|hier]]**. | ||
| + | |||
| + | //**Hinweis:** Die nachfolgenden Anleitungen werden immer wieder aktualisiert und erweitert, d.h. Sie beziehen sich primär auf die jeweils aktuellen Versionen des invis-Servers.// | ||
| ===== invis Portal ===== | ===== invis Portal ===== | ||
| - | Das{{ :invis_server_wiki:invisad-admin1.png?300|}} invis-Portal ist eine Schnittstelle für einfache administrative Tätigkeiten, weiterhin ermöglicht es den Zugriff auf komplexere Administrations-Software. Die nachfolgend genannten Funktionen stehen im invis-Portal nur nach erfolgreicher Anmeldung mit einem administrativen Konto sichtbar. Auf invis-Classic Systemen ist dies nach der Installation der Benutzer //**domadmin**//, auf invis-AD Systemen der Benutzer //**administrator**//. | + | Das{{ :invis_server_wiki:invisad-admin1.png?300|}} invis-Portal ist eine Schnittstelle für einfache administrative Tätigkeiten, weiterhin ermöglicht es den Zugriff auf komplexere Administrations-Software. Die nachfolgend genannten Funktionen stehen im invis-Portal nur nach erfolgreicher Anmeldung mit einem administrativen Konto sichtbar. Auf invis-AD Systemen der Benutzer //**administrator**//. (Auf invis-Classic Systemen war dies nach der Installation der Benutzer //**domadmin**//) |
| ==== Funktionen ==== | ==== Funktionen ==== | ||
| Zeile 16: | Zeile 22: | ||
| **Zusätzliche administrative Werkzeuge** | **Zusätzliche administrative Werkzeuge** | ||
| * **Mailinglisten:** Mailinglisten sind das eMail Pendant zum klassischen Serienbrief. Über diese Schaltfläche können Sie neue Mailinglisten einrichten. | * **Mailinglisten:** Mailinglisten sind das eMail Pendant zum klassischen Serienbrief. Über diese Schaltfläche können Sie neue Mailinglisten einrichten. | ||
| - | * **Verzeichnisdienst:** Das LDAP-Verzeichnis Ihres invis-Server ist der zentrale Speicherort einer vielzahl von Konfigurationsdaten des Servers. Sie finden hier Daten zu DHCP, DNS, Benutzerverwaltung usw. Achtung der Umgang mit einem LDAP-Verzeichnis setzt entsprechende Grundkenntnisse voraus. | + | * **Verzeichnisdienst:** Das LDAP-Verzeichnis Ihres invis-Server ist der zentrale Speicherort einer Vielzahl von Konfigurationsdaten des Servers. Sie finden hier Daten zu DHCP, DNS, Benutzerverwaltung usw. Achtung der Umgang mit einem LDAP-Verzeichnis setzt entsprechende Grundkenntnisse voraus. Um phpLDAPAdmin administrativ nutzen zu können, melden Sie sich mit dem Konto des Domänen-Administrators daran an. Sie müssen Ihre lokale Domain an den Benutzernamen anhängen (administrator@invis-net.loc) damit die Anmeldung funktioniert. Die Anmeldung funktioniert natürlich auch mit allen anderen Benutzerkonten des ActiveDirectories, allerdings verfügen normale Benutzer über zu wenig Rechte um Veränderungen am LDAP-Datenbestandes vornehmen zu können. |
| - | * **MySQL Administration:** Administration der Datenbank-Engine MySQL. MySQL wird beispielsweise vom Groupware-System Ihres invis-Server genutzt. Sie können hiermit neue Datenbanken anlegen, sollten aber keine vorhandenen Löschen. Sie können phpMyAdmin auch zur Erstellung von Datensicherungen der Datenbanken nutzen. | + | * **MySQL Administration:** Administration der Datenbank-Engine MySQL. MySQL wird beispielsweise vom Groupware-System Ihres invis-Server genutzt. Sie können hiermit neue Datenbanken anlegen, sollten aber keine vorhandenen Löschen. Sie können phpMyAdmin auch zur Erstellung von Datensicherungen der Datenbanken nutzen. Das Passwort des MYSQL-Benutzers "root" können Sie mit dem Kommando //**sine2 showpws**// auf der Kommandozeile erfragen. |
| * **PostgreSQL Administration:** Administration der Datenbank-Engine PostgreSQL. PostgreSQL wird beispielsweise vom Warenwirtschaftssystem Ihres invis-Server genutzt. Sie können hiermit neue Datenbanken anlegen, sollten aber keine vorhandenen Löschen. Sie können phpPGAdmin auch zur Erstellung von Datensicherungen der Datenbanken nutzen. | * **PostgreSQL Administration:** Administration der Datenbank-Engine PostgreSQL. PostgreSQL wird beispielsweise vom Warenwirtschaftssystem Ihres invis-Server genutzt. Sie können hiermit neue Datenbanken anlegen, sollten aber keine vorhandenen Löschen. Sie können phpPGAdmin auch zur Erstellung von Datensicherungen der Datenbanken nutzen. | ||
| - | * **Server Administration:** Hinter diesem Link steht das Programm Shell-in-a-box, mit dem Sie aus dem Browser heraus auf die Kommandozeile Ihres Servers zugreifen können. Dabei ist zu beachten, dass Shell-in-a-box keine direkten Zugriffe als Benutzer "root" zulässt (//**su -**// verwenden) und, dass es ein denkbar schlechte Idee ist in einer solchen Shell-Sitzung den Apache-Webserver zu stoppen. | + | * **Server Administration:** Hinter diesem Link steht das Programm Shell-in-a-box, mit dem Sie aus dem Browser heraus auf die Kommandozeile Ihres Servers zugreifen können. Dabei ist zu beachten, dass Shell-in-a-box keine direkten Zugriffe als Benutzer "root" zulässt (//**su -**// verwenden) und, dass es ein denkbar schlechte Idee ist in einer solchen Shell-Sitzung den Apache-Webserver zu stoppen. Angenehmer ist jedoch dass Arbeiten mit einer direkten SSH-Verbindung, als Notlösung taugt Shell-in-a-box aber allemal. |
| * **Druckerverwaltung:** Ihr invis-Server ist in der Lage im Netzwerk vorhandene Drucker zentral zu verwalten und freizugeben. Hierüber erhalten Sie Zugriff auf die Administrationsseiten des zugehörigen Dienstes CUPS. | * **Druckerverwaltung:** Ihr invis-Server ist in der Lage im Netzwerk vorhandene Drucker zentral zu verwalten und freizugeben. Hierüber erhalten Sie Zugriff auf die Administrationsseiten des zugehörigen Dienstes CUPS. | ||
| * **Netzwerkanalyse:** Das Programm ntop dient der Analyse des Datenverkehrs in Ihrem Netzwerk, nützlich etwa bei der Suche nach Fehlern. ntop ist im Normalbetrieb Ihres invis-Servers deaktiviert, da es diesen ansonsten unnötig belastet. | * **Netzwerkanalyse:** Das Programm ntop dient der Analyse des Datenverkehrs in Ihrem Netzwerk, nützlich etwa bei der Suche nach Fehlern. ntop ist im Normalbetrieb Ihres invis-Servers deaktiviert, da es diesen ansonsten unnötig belastet. | ||
| * **Firewall-Test:** Dieser Link führt Sie auf die Internetseite von hackerswatch.org. Sie haben von dort umfangreiche Möglichkeiten die Firewall Ihres invis-Servers von außen zu testen. | * **Firewall-Test:** Dieser Link führt Sie auf die Internetseite von hackerswatch.org. Sie haben von dort umfangreiche Möglichkeiten die Firewall Ihres invis-Servers von außen zu testen. | ||
| + | * **Virtualbox:** Dahinter verbirgt sich die Software phpVirtualBox, ein Webfrontend zur Verwaltung virtueller Maschinen, die der klassischen VirtualBox-Management GUI zum verwechseln ähnlich sieht. | ||
| Eine weitere Funktion des Portals ist die Verwaltung externer Mailkonten von denen der invis-Server die Emails der Benutzer abruft. Diese Funktion verlangt allerdings keine administrativen Rechte, sondern kann von jedem Benutzer selbst genutzt werden. Sie wird weiter unten auf dieser Seite gesondert beschrieben. | Eine weitere Funktion des Portals ist die Verwaltung externer Mailkonten von denen der invis-Server die Emails der Benutzer abruft. Diese Funktion verlangt allerdings keine administrativen Rechte, sondern kann von jedem Benutzer selbst genutzt werden. Sie wird weiter unten auf dieser Seite gesondert beschrieben. | ||
| Zeile 35: | Zeile 42: | ||
| Die genannte Konfigurationsdatei dient der grundsätzlichen Anpassung des Portals an die lokale Umgebung. Hier muss im laufenden Betrieb in der Regel nichts geändert werden, außer evtl.: | Die genannte Konfigurationsdatei dient der grundsätzlichen Anpassung des Portals an die lokale Umgebung. Hier muss im laufenden Betrieb in der Regel nichts geändert werden, außer evtl.: | ||
| - | * Die Passwortlaufzeiten der Benutzer und | + | * Die Passworteinstellungen der Benutzer und |
| - | * ob eine an den invis server angepasste Datensicherungslösung (udevrdbu oder udevsync) überwacht werden soll. | + | * ob die invis-eigene Datensicherung mit invisrdbu oder USVs des Herstellers APC überwacht werden sollen. |
| - | Für letzteres kann auf der Zyklus der Datensicherungen vorgegeben werden. Das Portal warnt dann, wenn die Datensicherung überfällig ist. Die Konfigurationsdatei ist gut dokumentiert und weitestgehend selbsterklärend. | + | Das Portal warnt dann, wenn die Datensicherung überfällig ist. Die Konfigurationsdatei ist gut dokumentiert und weitestgehend selbsterklärend. |
| Interessant sind die Möglichkeiten das Portal via LDAP zu steuern. Für nahezu jeden Link (bzw. jede Schaltfläche) im Portal existiert ein eigener Knoten im LDAP. Über diese Knoten können die Links aktiviert bzw. deaktiviert werden: | Interessant sind die Möglichkeiten das Portal via LDAP zu steuern. Für nahezu jeden Link (bzw. jede Schaltfläche) im Portal existiert ein eigener Knoten im LDAP. Über diese Knoten können die Links aktiviert bzw. deaktiviert werden: | ||
| Zeile 90: | Zeile 97: | ||
| Achten Sie bei der Verwendung des Scripts auf die Korrekte Schreibweise der Eintragsnamen. | Achten Sie bei der Verwendung des Scripts auf die Korrekte Schreibweise der Eintragsnamen. | ||
| + | ===== Konsolenzugriff ===== | ||
| + | |||
| + | Für einige Administrative Tätigkeiten am invis-Server ist Zugriff auf dessen Kommandozeile mit root-Rechten unabdingbar. | ||
| + | |||
| + | //**Achtung:** Wenn Sie sich auf der Kommandozeile eines Linux-Servers bewegen, sollten Sie wissen, was Sie tun! "Ich bin **root** ich darf das." ist ein schöner und sehr zutreffender Spruch, der einem schnell auf die Füße fallen kann.// | ||
| + | |||
| + | Eine der wichtigsten Voraussetzungen für die Administration eines Linux-Servers ist Erfahrung im Umgang mit einem Konsolen-Editor. Selbstverständlich bringen invis-Server die üblichen Verdächtigen wie //**vi**// oder //**joe**// mit. Auch der Kommandozeilen-Dateimanager Midnight-Commander (//**mc**//) mit seinem Editor //**mcedit**// ist auf jedem invis-Server vorinstalliert. | ||
| + | |||
| + | Je nach Ausgangssituation oder Umgebung gibt es verschiedene Wege sich mit der Kommandozeile des invis-Servers zu verbinden. Verwendet wird in jedem Fall das SSH-Protokoll. | ||
| + | |||
| + | * **von einem Linux System:** Jedes Linux System verfügt von Haus aus über einen SSH-Client auf der Kommandozeile, aber das werden Sie als Linux Nutzer natürlich wissen. | ||
| + | * **von einem Windows System:** Hier empfiehlt sich die Verwendung des SSH-Clients //**[[https://www.putty.org/|putty]]**// | ||
| + | * **Mal eben von irgendwo:** Teil der administrativen Werkzeuge, die das invis-Portal im Gepäck hat, ist die Software "Shell-in-a-box", die Sie im Browser verwenden können. | ||
| + | |||
| + | Verbindungen aus dem lokalen Netz heraus können Sie unter Verwendung des SSH-Standard-Ports "22" vornehmen: | ||
| + | |||
| + | <code> | ||
| + | linux-pc:~ # ssh root@invis.invis-net.loc | ||
| + | </code> | ||
| + | |||
| + | Verbinden Sie sich via Internet benötigen Sie den "verschobenen" SSH-Port des Servers sowie des Namens unter dem der invis-Server im Internet erreichbar ist: | ||
| + | |||
| + | <code> | ||
| + | linux:-pc:~ ssh -p 53482 root@ddns.ihredomain.de | ||
| + | </code> | ||
| + | |||
| + | Das der im Beispiel genannte Port nicht allgemeingültig ist sollte klar sein. Jeder invis-Server erhält während des Setups seinen eigenen per Zufallsgenerator ausgewürfelten SSH-Port. Wenn Sie den Server nicht selbst aufgesetzt haben, erfragen Sie diesen Port bei Ihrem IT-Dienstleister. Gleiches gilt natürlich für den Hostnamen. | ||
| + | |||
| + | |||
| + | Gleiches gilt natürlich bei der Verwendung von //**putty**//. | ||
| + | |||
| + | Bei Verwendung von "Shell In A Box", zu finden im invis-Portal unter "administration" -> "Server Administration", müssen Sie wissen, dass ein direkter Login als Benutzer "root" aus Sicherheitsgründen nicht möglich ist. Sie müssen sich zunächst als "normaler Benutzer" anmelden und dann mit: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # su - | ||
| + | </code> | ||
| + | |||
| + | die Identität von "root" annehmen. | ||
| + | |||
| ===== Die Konfigurationsdateien ===== | ===== Die Konfigurationsdateien ===== | ||
| + | |||
| + | Das Bearbeiten der Konfigurationsdateien setzt einen Kommandozeilenzugriff auf den Server mit "root-Rechten" voraus. | ||
| ==== /etc/invis/invis.conf ==== | ==== /etc/invis/invis.conf ==== | ||
| Dies ist die zentrale Konfigurationsdatei des invis-Servers. Sie hat derzeit noch einen recht überschaubaren Umfang. Aus Ihr beziehen die Tools der invis Toolbox ihre Vorgaben. | Dies ist die zentrale Konfigurationsdatei des invis-Servers. Sie hat derzeit noch einen recht überschaubaren Umfang. Aus Ihr beziehen die Tools der invis Toolbox ihre Vorgaben. | ||
| Zeile 174: | Zeile 222: | ||
| Um die DDNS-Client-Funktion zu nutzen müssen Sie Zugriff auf den Primary-DNS-Server verfügen, der für die Domain verantwortlich ist, in der Sie für Ihren invis-Server einen Namen eintragen möchten. | Um die DDNS-Client-Funktion zu nutzen müssen Sie Zugriff auf den Primary-DNS-Server verfügen, der für die Domain verantwortlich ist, in der Sie für Ihren invis-Server einen Namen eintragen möchten. | ||
| - | Die DDNS-Funktion des invis-Servers setzt voraus, dass die Ziel-Domain auf dem DNS-Server für DDNS vorbereitet ist und Sie über einen DNSsec Key zur Authorisation eines DNS-Updates verfügen. | + | Die DDNS-Funktion des invis-Servers setzt voraus, dass die Ziel-Domain auf dem DNS-Server für DDNS vorbereitet ist und Sie über einen DNSsec Key zur Authorisation eines DNS-Updates verfügen. Der DNSsec-Key besteht aus zwei Schlüsseldateien (public und private Key), die letztlich aber den gleichen Inhalt haben. DDNS arbeitet mit synchroner Verschlüsselung, daher beinhalten beide Dateien den gleichen Schlüssel. Diese Dateien müssen Ihnen vorliegen. Betreiben Sie selbst den DNS Server müssen Sie sie selbst generieren. |
| - | Kopieren Sie zunächst die Schlüsseldateien nach: <file>/etc/ssl/ddns</file> | + | Kopieren Sie auf dem invis-Server einfach beide Schlüsseldateien nach: <file>/etc/invis/ddns</file> |
| - | Jetzt können Sie die Funktion in der invis-Konfigurationsdatei aktivieren. Weiterhin müssen Sie den im Internet gültigen Namen des invis-Servers, den anzusprechenden DNS-Server und die 5-stellige Nummer des DNSsec Keys eintragen. | + | Jetzt können Sie die Funktion in der invis-Konfigurationsdatei aktivieren. Weiterhin müssen Sie den im Internet gültigen Namen des invis-Servers, den anzusprechenden DNS-Server und die 5-stellige Nummer des DNSsec Keys eintragen: |
| <code> | <code> | ||
| Zeile 198: | Zeile 246: | ||
| Der DDNS-Abgleich wird jetzt zyklisch vom Script //**inetcheck**// durchgeführt. | Der DDNS-Abgleich wird jetzt zyklisch vom Script //**inetcheck**// durchgeführt. | ||
| - | //**Hinweis:** Möchten Sie statt dessen die Dienste von dynDNS.org oder deren Mitbewerber nutzen empfehlen wir die Nutzung der entsprechenden Funktionen Ihres Routers oder die Installation des Programms "ddclient" auf Ihrem invis-Server.// | + | //**Hinweis:** Möchten Sie statt dessen die Dienste von dynDNS.org oder deren Mitbewerber nutzen, empfehlen wir die Nutzung der entsprechenden Funktionen Ihres Routers oder die Installation des Programms "ddclient" auf Ihrem invis-Server.// |
| ==== /etc/invis/invis-pws.conf ==== | ==== /etc/invis/invis-pws.conf ==== | ||
| Zeile 257: | Zeile 305: | ||
| * IP Geräte | * IP Geräte | ||
| - | Die Bereiche werden ebenfalls in der Konfiguration des Portals vorgenommen. Ein Beispiel: | + | Die Bereiche werden ebenfalls in der Konfiguration des Portals vorgenommen. Ein Beispiel für ein privates Klasse A Netz: |
| <code> | <code> | ||
| // DHCP | // DHCP | ||
| + | $IP_NETBASE_ADDRESS = '192.186.42.0'; | ||
| + | $DHCP_IP_MASK = '24'; | ||
| $DHCP_IP_BASE = '192.168.42'; | $DHCP_IP_BASE = '192.168.42'; | ||
| $DHCP_IP_REV = '42.168.192'; | $DHCP_IP_REV = '42.168.192'; | ||
| Zeile 269: | Zeile 319: | ||
| </code> | </code> | ||
| - | Seit invis-Server 11.0 können invis-Server auch mit privaten Klasse B Netzen (172.16.0.0/16 bis 172.31.0.0/16) umgehen. | + | Der DHCP-Server hält hier einen freien Adresspool im Bereich 192.168.42.200 bis 192.168.42.220 vor. |
| + | |||
| + | Seit invis-Server 11.0 können invis-Server auch mit privaten Klasse B Netzen (172.16.0.0/16 bis 172.31.0.0/16) umgehen. In diesem Fall sieht die Aufteilung der Adressbereiche wie folgt aus: | ||
| + | |||
| + | <code> | ||
| + | // DHCP | ||
| + | $IP_NETBASE_ADDRESS = '172.19.0.0'; | ||
| + | $DHCP_IP_MASK = '16'; | ||
| + | $DHCP_IP_BASE = '172.19'; | ||
| + | $DHCP_IP_REV = '19.172'; | ||
| + | $DHCP_RANGE_SERVER = array(0.11, 0.253); | ||
| + | $DHCP_RANGE_PRINTER = array(1.1, 1.254); | ||
| + | $DHCP_RANGE_IPDEV = array(2.1, 3.254); | ||
| + | $DHCP_RANGE_CLIENT = array(4.1, 4.254); | ||
| + | </code> | ||
| + | |||
| + | Der DHCP-Server hält hier einen freien Adresspool im Bereich 172.19.200.0 bis 172.19.200.254 vor. | ||
| === Dienste === | === Dienste === | ||
| Zeile 302: | Zeile 368: | ||
| Dabei muss in der ersten Spalte der genaue Name des Dienstes und in der zweiten Spalte ein "Menschen-verständlicher" Name eingetragen werden. | Dabei muss in der ersten Spalte der genaue Name des Dienstes und in der zweiten Spalte ein "Menschen-verständlicher" Name eingetragen werden. | ||
| + | //**Hinweis:** Es ist beabsichtigt, dass der Apache-Webserver-Dienst hier **nicht** aufgeführt ist. Ihn aus einer Webanwendung heraus neuzustarten oder gar zu beenden ist gewiss keine gute Idee.// | ||
| === Passwortsicherheit === | === Passwortsicherheit === | ||
| Zeile 323: | Zeile 390: | ||
| aufweisen muss. | aufweisen muss. | ||
| + | |||
| + | Die Vorgaben des ActiveDirectories können Sie auf der Kommandozeile des invis-Servers mit dem Tool //**pwsettings**// aus der invis-Toolbox vorgegeben werden. Das Tool wird einfach ohne Aufrufparameter gestartet und ist dann selbsterklärend. Die für das invis-Portal getroffenen Einstellungen müssen mit den Vorgaben des AD übereinstimmen. | ||
| ===== Wartungsarbeiten ===== | ===== Wartungsarbeiten ===== | ||
| ==== Online Updates ==== | ==== Online Updates ==== | ||
| Zeile 350: | Zeile 419: | ||
| ==== SMTP-Relay / SMTP-Auth für Postfix einrichten ==== | ==== SMTP-Relay / SMTP-Auth für Postfix einrichten ==== | ||
| - | invis Server sind meist via DSL mit dem Internet verbunden, verfügen also nicht über eine dauerhafte Internet-Anbindung. Das macht sie aus Sicht vieler Mailserver nicht vertrauenswürdig. Um aus dieser Situation heraus zuverlässig Emails versenden zu können, wird für den Mailversand eine Relais-Station (Relay-Server) benötigt, die uns vertraut. Dabei handelt es sich eigentlich um nichts anderes als die Konfiguration eines Postausgangsservers, so wie das auch in Mail-Clients gemacht wird. | + | invis Server sind meist via DSL mit dem Internet verbunden, verfügen also nicht über eine dauerhafte Internet-Anbindung. Das macht sie aus Sicht vieler Internet-Mailserver **zurecht** nicht vertrauenswürdig. Um aus dieser Situation heraus zuverlässig Emails versenden zu können, wird für den Mailversand eine Relais-Station (Relay-Server) benötigt, die uns vertraut. Dabei handelt es sich eigentlich um nichts anderes als die Konfiguration eines Postausgangsservers, so wie das auch in Mail-Clients gemacht wird. |
| Üblicherweise kann, von wenigen Ausnahmen abgesehen, der Postausgangsserver des eigenen Providers genutzt werden. Für die Postfix-Konfiguration werden dessen Name (FQDN), sowie Benutzernam und Passwort für die Anmeldung via SMTP-Auth benötigt. | Üblicherweise kann, von wenigen Ausnahmen abgesehen, der Postausgangsserver des eigenen Providers genutzt werden. Für die Postfix-Konfiguration werden dessen Name (FQDN), sowie Benutzernam und Passwort für die Anmeldung via SMTP-Auth benötigt. | ||
| - | //**Hinweis:** Wenn T-Online der Provider ist, kann auf keinen Fall "smtpmail.t-online.de" oder der alte "mailto.t-online.de" verwendet werden, wenn mit einer eigenen Domain gearbeitet wird. Die beiden genannten Mailserver haben die Angewohnheit beim relayen die Absender-Adressen umzuschreiben. Da wird aus "absender@eigenedomain.tld" dann einfach "T-Online-Nr@t-online.de". Das wäre in vielen Fällen mehr als peinlich. Mit "smtprelay.t-online.de" bietet T-Online einen weiteren Mailserver an, der diese miese Angewohnheit nicht hat. Wie nicht anders zu erwarten kostet dessen Nutzung allerdings Geld.// | + | //**Hinweis:** Wenn T-Online der Provider ist, kann auf keinen Fall "securesmtp.t-online.de", "smtpmail.t-online.de" oder der alte "mailto.t-online.de" verwendet werden, wenn mit einer eigenen Domain gearbeitet wird. Die beiden genannten Mailserver haben die Angewohnheit beim relayen die Absender-Adressen umzuschreiben. Da wird aus "absender@eigenedomain.tld" dann einfach "T-Online-Nr@t-online.de". Das wäre in vielen Fällen mehr als peinlich. Mit "smtprelay.t-online.de" bietet T-Online einen weiteren Mailserver an, der diese miese Angewohnheit nicht hat. Wie nicht anders zu erwarten kostet dessen Nutzung allerdings Geld.// |
| - | //**Achtung:** Die folgenden Konfigurationsschritte müssen nur dann vorgenommen werden, wenn Sie Ihrem invis-Server nicht bereits während der Installation mit den entsprechenden Daten versorgt haben. Das invis-Setup-Script **sine** fragt nach den entsprechenden Daten und nimmt die Konfiguration automatisch vor.// | + | //**Achtung:** Die folgenden Konfigurationsschritte müssen nur dann vorgenommen werden, wenn Sie Ihrem invis-Server nicht bereits während der Installation mit den entsprechenden Daten versorgt haben. Das invis-Setup-Script **sine2** fragt nach den entsprechenden Daten und nimmt die Konfiguration automatisch vor.// |
| Zunächst muss in der Datei "/etc/postfix/main.cf" der zu verwendende Relay-Server nebst zu verwendetem Protokoll (SMTP: Port 25 oder Submission: Port 587) eingetragen werden. Diese Einstellung ist bereits vorbereitet. Suchen Sie in der Datei einfach nach "//relayhost//": | Zunächst muss in der Datei "/etc/postfix/main.cf" der zu verwendende Relay-Server nebst zu verwendetem Protokoll (SMTP: Port 25 oder Submission: Port 587) eingetragen werden. Diese Einstellung ist bereits vorbereitet. Suchen Sie in der Datei einfach nach "//relayhost//": | ||
| Zeile 392: | Zeile 461: | ||
| ==== openVPN Starten/Stoppen/Neustarten ==== | ==== openVPN Starten/Stoppen/Neustarten ==== | ||
| - | Mit Einführung des Systemd lässt sich openVPN nicht mehr pauschal mittels "**//rcopenvpn//**" starten/stoppen/neustarten. Statt dessen müssen jetzt mittels **//systemctl//** alle vorhandenen openVPN Konfigurationen einzeln verwaltet werden. Für die mittels **//sine//** vorbereite openVPN Verbindung sieht dies wie folgt aus: | + | Mit Einführung des Systemd lässt sich openVPN nicht mehr pauschal mittels "**//rcopenvpn//**" starten/stoppen/neustarten. Statt dessen müssen jetzt mittels **//systemctl//** alle vorhandenen openVPN Konfigurationen einzeln verwaltet werden. Für die mittels **//sine2//** vorbereite openVPN Verbindung sieht dies wie folgt aus: |
| <code> | <code> | ||
| Zeile 428: | Zeile 497: | ||
| <code> | <code> | ||
| - | linux:~ # inviscerts [ms|ldap|extern|vpn|crl] | + | linux:~ # inviscerts [ms|intern|extern|vpn|crl] |
| </code> | </code> | ||
| - | Sie benötigen in jedem Fall das Passwort der Zertifizierungsstelle. Werden mit //**inviscerts**// VPN-Client-Zertifikate erzeugt, so werden Zertifikat und privater Schlüssel in einer Passwort-geschützten PKCS-12 Datei verpackt. //**inviscerts**// fordert Sie zur Eingabe eines solchen Passwortes auf. Bedenken Sie dass eine solche Datei ungehinderten Zugang zu Ihrem Server ermöglicht, nutzen Sie also bitte sichere Passwörter. | + | Sie benötigen in jedem Fall das Passwort der Zertifizierungsstelle. |
| + | |||
| + | Die Optionen im Einzelnen: | ||
| + | * **ms** - Internes Mailserver-Zertifikat, wird ausgestellt auf den Namen mail.ihre-domain.tld | ||
| + | * **intern** - Zertifikat für den verschlüsselten Zugriff auf das invis-Portal und lokale Webapplikationen. Wird auf den lokalen Hostnamen des invis-Servers ausgestellt. | ||
| + | * **extern** - Zertifikat für den Zugriff via Internet, gilt sowohl für das invis-Portal, ActiveSync, Kopano-Webapp, ownCloud und OpenVPN. Wird auf den im Internet gültigen DDNS Namen des invis-Servers ausgestellt. | ||
| + | * **vpn** - Erstellt OpenVPN Client-Zertifikate. Hier wird als "Common Name" des Zertifikats der Hostname des Client-Computers erstellt. Alternativ ist auch "vorname.zuname" des Anwenders möglich. | ||
| + | * **crl** - Aktualisiert die "Certificate Revocation List". Dies ist wichtig, damit speziell OpenVPN keine Zurückgezogenen Zertifikate mehr akzeptiert. | ||
| + | |||
| + | Ohne Option aufgerufen gibt //**inviscerts**// einfach nur eine kurze Hilfe für dessen Verwendung aus. | ||
| + | |||
| + | Werden mit //**inviscerts**// VPN-Client-Zertifikate erzeugt, so werden Zertifikat und privater Schlüssel in einer Passwort-geschützten PKCS-12 Datei verpackt. //**inviscerts**// fordert Sie zur Eingabe eines solchen Passwortes auf. Bedenken Sie dass eine solche Datei ungehinderten Zugang zu Ihrem Server ermöglicht, nutzen Sie also bitte sichere Passwörter. | ||
| Selbstsignierte Zertifikate, auch wenn die Signatur über eine eigene CA erfolgte, erzeugen auf Client-Seite (zunächst) immer eine Sicherheitswarnung. Diese Warnungen, etwa wenn sie in einem Browser auftauchen, verunsichern Anwender erfahrungsgemäß. Um Sie zu verhindern muss das Stammzertifikat der Zertifizierungsstelle in den Client integriert werden. Für diesen Zweck halten invis-Server das Zertifikat zum Download im invis-Portal (unten rechts) vor. | Selbstsignierte Zertifikate, auch wenn die Signatur über eine eigene CA erfolgte, erzeugen auf Client-Seite (zunächst) immer eine Sicherheitswarnung. Diese Warnungen, etwa wenn sie in einem Browser auftauchen, verunsichern Anwender erfahrungsgemäß. Um Sie zu verhindern muss das Stammzertifikat der Zertifizierungsstelle in den Client integriert werden. Für diesen Zweck halten invis-Server das Zertifikat zum Download im invis-Portal (unten rechts) vor. | ||
| Zeile 517: | Zeile 597: | ||
| <code> | <code> | ||
| ... | ... | ||
| - | forwarders { 9.9.9.9; 194.129.25.2; 8.8.4.4; }; | + | forwarders { 9.9.9.9; 1.1.1.1; 194.129.25.2; }; |
| ... | ... | ||
| </code> | </code> | ||
| - | Achten Sie darauf, dass hinter jeder IP-Adresse wie auch am Ende der Zeile ein Semikolon stehen muss. | + | Achten Sie darauf, dass hinter jeder IP-Adresse wie auch am Ende der Zeile ein Semikolon stehen muss. Es können bis zu 3 Adressen angegeben werden. |
| Danach, genügt es den Nameserver zum auffrischen seiner Konfiguration zu bringen: | Danach, genügt es den Nameserver zum auffrischen seiner Konfiguration zu bringen: | ||
| Zeile 537: | Zeile 617: | ||
| </code> | </code> | ||
| - | //**Hinweis:** Sie sollten sich allerdings Gedanken über die Wahl Ihrer DNS-Forwarder machen. Nehmen wir beispielsweise die DNS-Server von Google (8.8.8.8 & 8.8.4.4), sicher sie sind schnell und mit Ihnen lassen sich DNS-basierte Websperren des eigenen Providers umgehen, allerdings bietet Google solche Dienste sicherlich nicht aus reiner Nächstenliebe an. Mehr zum Thema **[[http://www.linux-magazin.de/news/8-8-8-8-und-8-8-4-4-googles-neuer-dns-service/|hier]]**. | + | //**Hinweis:** Sie sollten sich allerdings Gedanken über die Wahl Ihrer DNS-Forwarder machen. Nehmen wir beispielsweise die DNS-Server von Google (8.8.8.8 & 8.8.4.4), sicher sie sind schnell und mit Ihnen lassen sich DNS-basierte Websperren des eigenen Providers umgehen, allerdings bietet Google solche Dienste sicherlich nicht aus reiner Nächstenliebe an. Mehr zum Thema **[[http://www.linux-magazin.de/news/8-8-8-8-und-8-8-4-4-googles-neuer-dns-service/|hier]]**.\\ |
| - | Es geht auch anders. Die Initiative "Quad9" (9.9.9.9) stellt ebenfalls schnelle DNS Server kostenfrei zur Verfügung, bei deren Nutzung bleibt die Privatsphäre auf jeden Fall gewahrt. Mehr zum Thema **[[https://heise.de/-3890741|hier]]** | + | Es geht auch anders. Die Initiative "Quad9" (9.9.9.9) stellt ebenfalls schnelle DNS Server kostenfrei zur Verfügung, bei deren Nutzung bleibt die Privatsphäre auf jeden Fall gewahrt. Mehr zum Thema **[[https://heise.de/-3890741|hier]]**\\ |
| + | |||
| + | Auch die Fa. Cloudflare bietet unter der Adresse "1.1.1.1" einen DNS-Resolver an bei dem der Datenschutz priorisiert wird.\\ | ||
| Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**// | Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**// | ||
| - | ==== Benutzer anlegen ==== | + | ===== Benutzer- und Gruppenveraltung ===== |
| - | Das Anlegen von Benutzern über die Administrationsseite des invis-Portal ist weitestgehend selbsterklärend. Ungewöhnlich ist lediglich, dass es nicht möglich ist mit der Tabualtor-Taste zwischen den Eingabefeldern zu springen. (Gerade für Tastatur-Junkies wie mich ist das immer wieder ein Ärgernis, lässt sich aber leider nicht ohne weiteres beheben.) | + | Die Verwaltung von Benutzern und Gruppen eines invis-Servers wird grundsätzlich über das invis-Portal vorgenommen. Eine weitere Möglichkeit stellen die Microsoft'schen Remote Server Administration Tools dar. Letztere sind allerdings nicht für den invis-Server optimiert. Die Verwaltung über das invis-Portal ist also vorzuziehen. |
| - | Wichtig für das Verständnis beim Anlegen von Benutzern ist allerdings die Unterschiede zwischen den verschiedenen Benutzertypen zu kennen: | + | Für das Verwalten von Benutzern und Gruppen via invis-Portal, müssen Sie sich als Administrator am Portal anmelden. |
| - | - **Gast** -- Gäste sind einfache "Windows-Benutzer", die lediglich der Gruppe "Domain Guests" angehören. Das berechtigt Sie zum Zugriff auf die Transfer-Freigabe. Sie können sich nicht an Linux-Computern oder auch an der Kommandozeile des Servers anmelden. Auch steht für Sie kein Mailkonto zur Verfügung. | + | Sie können mit dem Portal Benutzer und Gruppen anlegen, löschen und bearbeiten. Zum Bearbeiten von Benutzern gehört auch das Ändern von Kennwörtern. |
| - | - **Mailkonto** -- Benutzer dieses Typs verfügen über Windows und Unix Attribute, können sich aber dennoch nicht an der Linux-Kommandozeile des Servers anmelden. Sie sind Mitglied der Gruppe "maildummies" und können das Mailsystem nutzen. Wird Kopano (ehemals Zarafa) als Groupware genutzt, werden Benutzer dieses Typs mit den Attributen "zarafaAccount" und "zarafaSharedStoreOnly" versehen. Dadurch können Sie Emails empfangen, sich aber nicht an Kopano anmelden. Gedacht ist dies für Email-Funktionskonten wie z.B. "info@..." usw. Diese Konten können in Kopano freigegen werden. Um in deren Namen Mails zu versenden müssen zugelassene Absender als "SendAs Benutzer" im Benutzerkonto des Mailusers eingetragen werden. Dies ist entweder über phpLDAPAdmin oder die Microsoft Remote Server Administration Tools möglich. | + | |
| - | - **Windows+UNIX** -- Reiner Windows-Benutzer und Linux-Benutzer, ohne Zugang zum Mailsystem. Sie sind Mitglied der Gruppe "Domain Users" haben also das Recht verschiedene Verzeichnisfreigaben des Servers zu nutzen. | + | |
| - | - **Windows+UNIX+Groupware** -- Wie oben nur ergänzt um die Möglichkeit die Groupware und das Mailsystem zu nutzen. | + | |
| - | - **WinAdmin+UNIX** -- Wie "Windows+UNIX", allerdings Mitglied der Gruppe "Domain Admins". Sie verfügen also auf allen Windows-PCs der Domäne über administrative Rechte. | + | |
| - | - **WinAdmin+UNIX+Groupware** -- Wie "Windows+UNIX+Groupware" und Mitglied der Gruppe "Domain Admins". Zusätzlich werden Benutzer dieses Typs wenn Kopano als Groupware eingesetzt wird auch als kopano Admins geführt. Sie haben also das Recht jedes Postfach zu öffnen. | + | |
| - | ==== Group-e aktualisieren ==== | + | |
| - | //**Hinweis:** Die Weiterentwicklung von Group-e wurde im Frühjahr 2016 eingestellt. Es wird keine Aktualisierungen mehr geben.// | + | invis-Server verfügen über eine automatische Archivierungsfunktion. Wenn Sie Benutzer oder Gruppen löschen werden deren Verzeichnisse automatisch archiviert. Die Archivierung findet immer nachts statt. Die archivierten Verzeichnisse sind anschließend in der Freigabe "archiv" zu finden den Unterverzeichnissen "\user" und "\gruppen". Da speziell die Benutzer-Archive auch persönliche Daten enthalten können ist der Zugriff auf die Freigabe "archiv" recht restriktiv gehalten. |
| - | **Achtung:** Beginnen Sie das Update nicht, wenn ihnen das root-Passwort für MySQL unbekannt ist! | + | //**Hinweis:** Achten Sie also auch aus rechtlichen Gründen darauf, wem Sie Zugriff auf die Freigabe "archiv" geben. Der Zugriff auf solche Daten sollte im Idealfall über eine entsprechende Betriebsvereinbarung rechtlich abgesichert sein.// |
| - | Die Aktualisierung einer Group-e Installation auf die jeweils neueste Version ist recht einfach. Laden Sie sich zunächst die neue Version von [[http://sourceforge.net/projects/group-e/files/]] herunter und entpacken Sie auf Ihrem Server. | + | ==== Gruppen ==== |
| - | <code>Kommandozeile: tar -xjvf group-e_v1.710.tar.bz2</code> | + | Die Möglichkeit Benutzer eines Computersystems zu Benutzergruppen zusammenzufassen ist beinahe so alt wie Computer überhaupt. Vor allem in Hinblick auf die Vergabe von Zugriffsrechten, beispielsweise auf Dateien oder Verzeichnisse hat das Vorteile, da es dies deutlich vereinfacht. Orientieren Sie sich bei der Rechtevergabe ausschließlich an Gruppen, müssen Sie einerseits bei der Rechtevergabe nicht alle Benutzer einzeln berücksichtigen. Es müssen also wesentlich weniger Regel vergeben werden. |
| - | Im Paket sind die Unterverzeichnisse "doc", "dump", "dyn", "etc" und "www" enthalten. Mit diesen -- ausgenommen "dyn" müssen die entsprechenden Verzeichnisse unter "/srv/www/htdocs/group-e" ersetzt werden. Bevor Sie allerdings die neuen Verzeichnisse über die vorhandenen kopieren müssen noch ein paar Konfigurationsdateien gesichert werden. | + | Scheidet ein Mitarbeiter aus dem Unternehmen aus, müssen Sie nicht alles irgendwie und irgendwo gesetzten Zugriffsrechte überarbeiten, sondern Sie nehmen den Mitarbeiter einfach aus den entsprechenden Gruppen heraus. In aller Regel klappt letzteres auch automatisch, wenn ein Benutzerkonto gelöscht wird. Auf irgendwie und irgendwo gesetzte Zugriffsregeln trifft das nicht zu. |
| - | Sichern Sie aus der bestehenden Installation die Dateien: | + | Auf invis-Servern entscheidet vielfach auch die Mitgliedschaft in bestimmten Gruppen darüber ob ein Benutzer eine auf dem Server installierte Software oder bestimmte Funktionen verwenden kann oder nicht. Für diese Zwecke existieren auf dem invis-Server folgende Gruppen: |
| - | * /srv/www/htdocs/group-e/etc/phplib/lib/local.inc | + | - **owncloud:** Mitglieder dürfen ownCloud verwenden. |
| - | * /srv/www/htdocs/group-e/www/cfg/global.inc.php | + | - **zeiterfassung:** Mitglieder dürfen die Zeiterfassungssoftware "Kimai" verwenden. |
| - | * /srv/www/htdocs/group-e/www/cfg/ge/config.inc.php | + | - **mobilusers:** Mitglieder dürfen sich via Internet am invis-Portal anmelden. |
| + | - **verwaltung:** Mitglieder dürfen auf die Netzwerkfreigabe "verwaltung" zugreifen. | ||
| + | - **archiv:** Mitglieder dürfen auf auf die Netzwerkfreigabe "archiv" zugreifen. | ||
| + | - **diradmins:** Mitglieder dürfen Gruppen-Verzeichnisvorlagen erstellen und bearbeiten. | ||
| + | - **wiki-nutzer:** Mitglieder haben Leserecht im Wiki. | ||
| + | - **wiki-redakteure:** Mitglieder dürfen im Wiki schreiben. | ||
| + | - **wiki-chefredakteure:** Dürfen im Wiki schreiben und auch Beiträge löschen. | ||
| - | Überschreiben Sie jetzt mit den jeweils neuen Versionen die Verzeichnisse "doc", "dump", "etc" und "www" der bestehenden Installation. | + | Die Gruppenverwaltung finden Sie im invis-Portal unter "administration"; erforderlich ist natürlich, dass sie am invis-Portal als Administrator angemeldet sind. Sie können dort neue Gruppen anlegen, sowie bestehende Gruppen bearbeiten. D.h. Benutzer hinzufügen oder entfernen. |
| - | Kopieren Sie jetzt die gesicherte Datei local.inc wieder nach /srv/www/htdocs/group-e/etc/phplib/lib/local.inc. Die beiden gesicherten Konfigurationsdateien schreibe ich in der Regel nicht zurück, da auch diese bei Group-e Aktualisierungen schon erneuert wurden. Hier gilt es lediglich die an invis-Server angepassten Einträge aus den gesicherten Dateien zu übernehmen. | + | Wenn Sie eine neue Gruppe anlegen möchten, können Sie dabei von vorne herein ein paar Entscheidungen fällen. Sie können zunächst festlegen von welchem Typ die anzulegende Gruppe ist. Unterschieden wird zwischen drei Typen: |
| - | Aus der Datei "global.inc.php" ist dies zunächst der Pfad zur Datei "prepend.php". Im nachfolgenden Code-Beispiel ist der korrekte Pfad (ca. Zeile 28) eingetragen. | + | * **Team:** Ist eine einfache Benutzergruppe, um diese zur Vergabe von Zugriffsrechten zu verwenden. |
| + | * **Team+Gruppenmail:** Auch diese Gruppe kann zur Vergabe von Zugriffsrechten verwendet werden. Darüber hinaus ist sie auch für die Groupware Kopano zur Vergabe von Rechten innerhalb der Groupware verfügbar. Weiterhin können innerhalb der Groupware Mails an diese Gruppe gesendet werden. D.h. alle Mitglieder empfangen diese Mails. | ||
| + | * **Mail-Verteiler:** Dient nicht der Rechtevergabe, sondern kann mit Email-Adressen gefüllt werden um später als Email-Verteilerliste zu dienen. | ||
| - | <code> | + | Neben dem Gruppentyp, können Sie ab invis-Server Version 14.0 entscheiden, ob der Gruppe eine Arbeitsverzeichnis zur Verfügung gestellt wird oder nicht. Wenn Sie ein Gruppenverzeichnis wünschen, können Sie überdies entscheiden ob ein leeres Verzeichnis oder ein Verzeichnis auf Basis einer Verzeichnisvorlage, also inklusive Unterverzeichnissen erstellt wird. |
| - | define('PREPEND_FILE','/srv/www/htdocs/group-e/etc/phplib/prepend.php'); | + | |
| - | $THEME='ge'; | + | |
| - | $USE_DOMAIN=false; | + | |
| - | $CFG['SUPERADMIN']=3000; | + | |
| - | $CFG['GROUP_ALL']=3000; | + | |
| - | $CFG['LDAP_MIN_UID']=3000; | + | |
| - | $CFG['LDAP_MIN_GID']=3000; | + | |
| - | </code> | + | |
| - | Vergleichen Sie die Einträge für "LDAP_MIN_UID" und "LDAP_MIN_GID" mit den entsprechenden Einträgen in der zuvor gesicherten Datei und passen Sie die neue Datei gegebenenfalls an. | + | Die Verzeichnisvorlagen werden in der Netzwerkfreigabe "media" im Unterverzeichnis <file>\portal\verzeichnisvorlagen</file> gepflegt. Mitglieder der Gruppe "diradmins" dürfen dort Verzeichnisstrukturen anlegen. Das invis-Portal schaut dort selbsttätig nach und zeigt diese dann zur Auswahl an. |
| - | Das gleiche Spiel ist für die Datei "config.inc.php" durchzuführen. Auch hier sind die Werte für "LDAP_MIN_UID" und "LDAP_MIN_GID" (ab Zeile 46) mit denen der gesicherten Datei zu vergleichen und gegebenenfalls anzupassen. | + | Es empfiehlt sich die Verzeichnisvorlagen nach dem Schema "01_Vorlagenname" durchnummeriert zu benennen. Das invis-Portal zeigt die Vorlagen genau in der nummerierten Reihenfolge an. |
| + | ==== Benutzer ==== | ||
| - | <code> | + | Das Anlegen von Benutzern über die Administrationsseite des invis-Portal ist weitestgehend selbsterklärend. Ungewöhnlich ist lediglich, dass es nicht möglich ist mit der Tabualtor-Taste zwischen den Eingabefeldern zu springen. (Gerade für Tastatur-Junkies wie mich ist das immer wieder ein Ärgernis, lässt sich aber leider nicht ohne weiteres beheben.) |
| - | if (!isset($CFG['SUPERADMIN'])) $CFG['SUPERADMIN']=3000; | + | |
| - | if (!isset($CFG['GROUP_ALL'])) $CFG['GROUP_ALL']=3000; | + | |
| - | if (!isset($CFG['LDAP_MIN_UID'])) $CFG['LDAP_MIN_UID']=3000; | + | |
| - | if (!isset($CFG['LDAP_MIN_GID'])) $CFG['LDAP_MIN_GID']=3000; | + | |
| - | </code> | + | |
| - | Melden Sie sich jetzt mit dem Benutzer "config" an Group-e an. Sie werden jezt dazu aufgefordert die MySQL-Datenbank von Group-e an die neue Version anzupassen. Sie benötigen dafür den Root-Zugang zu Ihrer MySQL-Installation. Geben Sie einfach den Benutzernamen root und das zugehörige Passwort (**Achtung:** nicht das root-Passwort des Systems!) in die entsprechenden Felder ein und klicken sie auf die zugehörige Schaltfläche. | + | Wichtig für das Verständnis beim Anlegen von Benutzern ist allerdings die Unterschiede zwischen den verschiedenen Benutzertypen zu kennen: |
| + | |||
| + | - **Gast** -- Gäste sind einfache "Windows-Benutzer", die lediglich der Gruppe "Domain Guests" angehören. Das berechtigt Sie zum Zugriff auf die Transfer-Freigabe. Sie können sich nicht an Linux-Computern oder auch an der Kommandozeile des Servers anmelden. Auch steht für Sie kein Mailkonto zur Verfügung. | ||
| + | - **Mailkonto** -- Benutzer dieses Typs verfügen über Windows und Unix Attribute, können sich aber dennoch nicht an der Linux-Kommandozeile des Servers anmelden. Sie sind Mitglied der Gruppe "maildummies" und können das Mailsystem nutzen. Wird Kopano (ehemals Zarafa) als Groupware genutzt, werden Benutzer dieses Typs mit den Attributen "zarafaAccount" und "zarafaSharedStoreOnly" versehen. Dadurch können Sie Emails empfangen, sich aber nicht an Kopano anmelden. Gedacht ist dies für Email-Funktionskonten wie z.B. "info@..." usw. Diese Konten können in Kopano freigegen werden. Um in deren Namen Mails zu versenden müssen zugelassene Absender als "SendAs Benutzer" im Benutzerkonto des Mailusers eingetragen werden. Dies ist entweder über phpLDAPAdmin oder die Microsoft Remote Server Administration Tools möglich. | ||
| + | - **Windows+UNIX** -- Reiner Windows-Benutzer und Linux-Benutzer, ohne Zugang zum Mailsystem. Sie sind Mitglied der Gruppe "Domain Users" haben also das Recht verschiedene Verzeichnisfreigaben des Servers zu nutzen. | ||
| + | - **Windows+UNIX+Groupware** -- Wie oben nur ergänzt um die Möglichkeit die Groupware und das Mailsystem zu nutzen. | ||
| + | - **WinAdmin+UNIX** -- Wie "Windows+UNIX", allerdings Mitglied der Gruppe "Domain Admins". Sie verfügen also auf allen Windows-PCs der Domäne über administrative Rechte. | ||
| + | - **WinAdmin+UNIX+Groupware** -- Wie "Windows+UNIX+Groupware" und Mitglied der Gruppe "Domain Admins". Zusätzlich werden Benutzer dieses Typs wenn Kopano als Groupware eingesetzt wird auch als kopano Admins geführt. Sie haben also das Recht jedes Postfach zu öffnen. | ||
| + | |||
| + | //**Hinweis:** Damit sich Benutzer via Internet am invis-Portal anmelden können um von dort aus auf installierte Applikationen wie etwa das Wiki oder die Zeiterfassung zugreifen zu können, müssen Sie Mitglied in der Gruppe **mobilusers** sein. Davon ausgenommen sind Zugriffe auf ActiveSync (Smartphone-Synchronisation), die Kopano-Webapp und ownCloud. Zugriffe auf diese Applikationen ist ohne "Umweg" über das invis-Portal möglich, d.h. die Mitgliedschaft in **mobilusers** ist dafür nicht erforderlich.// | ||
| + | |||
| + | Beim Anlegen eines Benutzers sind nur wenige Pflichtangaben zu machen. Dazu gehören der Anmeldename (Login), Vor- und Zuname, Passwort und der Benutzertyp zu wählen. Dabei gelten für Login-Name und Passwort ein paar Spielregeln: | ||
| + | |||
| + | - **Login:** Der Login-Name darf weder Leer- noch Sonderzeichen enthalten, ausgenommen Binde- und Unterstrich. Sie sollten beim Loginnamen ausschließlich Kleinbuchstaben verwenden. | ||
| + | - **Passwort:** Es gelten hier die Passwortregeln des ActiveDirectory. Diese können mit Hilfe des Tools //**pwsettings**// auf der Kommandozeile des invis-Servers definiert werden. Werden Veränderungen hinsichtlich der Passwortregeln vorgenommen müssen diese in der Konfigurationsdatei des invis-Portals ([[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#passwortsicherheit|siehe oben]]) übernommen werden. | ||
| - | Damit ist die Aktualisierung komplett und Sie können sich wieder normal an Group-e anmelden. | ||
| ===== Mailkonten verwalten ===== | ===== Mailkonten verwalten ===== | ||
| + | Die Verwaltung von E-Mailkonten setzt sich aus mehreren Schritten zusammen und spielt sich entsprechend auf mehreren Ebenen ab. | ||
| + | |||
| + | - **Provider:** Zunächst muss ein Mailkonto bei einem Provider existieren oder eben angelegt werden. Für den weiteren Ablauf benötigen Sie dann die "reale" Email-Adresse, den Postausgangsserver des Providers und die zugehörigen Zugangsdaten zum Mailkonto. In vielen Fällen ist die Email-Adresse auch gleich der Benutzername zum Postfach. | ||
| + | - **Benutzerverwaltung des invis-Servers:** Hier muss, soweit nicht bereits geschehen, ein lokales Benutzerkonto angelegt werden, dem die externe Email-Adresse zugeordnet wird. invis-Server unterscheiden verschiedene Benutzerkonten-Typen die auch Email-berechtigt sind. Darunter ist der Typ "Mailkonto" nicht für reale Benutzer gedacht sondern zur Nutzung nicht personenbezogene Mail-Adressen, wie etwa "info@...." | ||
| + | - **Mailkontenverwaltung des invis-Servers:** Hier wird das externe Mailkonto dem lokalen Benutzer zugeordnet. Diese Zuordnung wird nachfolgend beschrieben. | ||
| + | |||
| + | ==== Mailkonten "zuordnen" ==== | ||
| Noch aus den Anfangstagen des invis-Servers stammt das Programm "CorNAz" zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "local"{{ :invis_server_wiki:invisad-mailkonten1.png?250|}} des Portals hinter der Schaltfläche "Mailkonten". CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden. | Noch aus den Anfangstagen des invis-Servers stammt das Programm "CorNAz" zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "local"{{ :invis_server_wiki:invisad-mailkonten1.png?250|}} des Portals hinter der Schaltfläche "Mailkonten". CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden. | ||
| + | |||
| + | //**Hinweis:** Ab invis-Version 13.5 ist CorNAz voll ins invis-Portal integriert. Sie finden es unter dem Reiter "mail"// | ||
| **Funktionen** | **Funktionen** | ||
| Zeile 617: | Zeile 711: | ||
| CorNAz verlangt eine gesonderte Anmeldung desjenigen lokalen Benutzers, dessen externe Mailkonten verwaltet werden sollen. Benötigt werden die Zugangsdaten des Benutzers die er auch zur Anmeldung am PC benötigt. {{ :invis_server_wiki:invisad-mailkonten2.png?200|}} | CorNAz verlangt eine gesonderte Anmeldung desjenigen lokalen Benutzers, dessen externe Mailkonten verwaltet werden sollen. Benötigt werden die Zugangsdaten des Benutzers die er auch zur Anmeldung am PC benötigt. {{ :invis_server_wiki:invisad-mailkonten2.png?200|}} | ||
| - | //**Hinweis:** Die Anmeldung an CorNAz erfolgt gegen den auf dem invis-Server installierten IMAP-Dienst. Verfügt der Benutzer nicht über ein lokales Postfach (dies ist abhängig vom Benutzertyp) schlägt die Anmeldung fehl. Das ist gewünschtes Verhalten, da es keinen Sinn macht Emails von einem externen Server abzuholen, wenn diese nicht in einem lokalen Konto abgelegt werden können.// | + | //**Achtung:** Auf invis-Servern vor Version 14.0 erfolgte die Anmeldung an CorNAz gegen den auf dem invis-Server installierten IMAP-Dienst. Verfügt der Benutzer nicht über ein lokales Postfach (dies ist abhängig vom Benutzertyp) schlägt die Anmeldung fehl. Das war gewünschtes Verhalten, da es keinen Sinn macht Emails von einem externen Server abzuholen, wenn diese nicht in einem lokalen Konto abgelegt werden können. Aus technischen Gründen ist das auf neueren Systemen nicht mehr so. Passen Sie also auf, dass der lokale Benutzer beispielsweise auch die Berechtigung hat etwa die Groupware Kopano zu verwenden. Ohne diese Berechtigungen könnten eingehende Mails nicht lokal zugestellt werden.// |
| Nach der Anmeldung stehen die verschiedenen Funktionen über entsprechende Schaltflächen zur Verfügung.{{ :invis_server_wiki:invisad-mailkonten3.png |}} | Nach der Anmeldung stehen die verschiedenen Funktionen über entsprechende Schaltflächen zur Verfügung.{{ :invis_server_wiki:invisad-mailkonten3.png |}} | ||
| Zeile 655: | Zeile 749: | ||
| **Urlaubsbeginn / Urlaubsende** | **Urlaubsbeginn / Urlaubsende** | ||
| - | Diese Funktion generiert nach Wunsch Abwesenheitsbenachrichtigungen. Sie wurde von uns in letzter Zeit allerdings etwas stiefmütterlich behandelt, da Zarafa, Group-e und auch Roundcubemail eine solche Funktion anbieten. | + | Diese Funktion generiert nach Wunsch Abwesenheitsbenachrichtigungen. Sie wurde von uns in letzter Zeit allerdings etwas stiefmütterlich behandelt, da Kopano, andere Groupwaresysteme und auch Roundcubemail eine solche Funktion selbst anbieten. |
| + | |||
| + | |||
| + | |||
| + | ===== Geräte und Computer ins Netzwerk integrieren ===== | ||
| + | |||
| + | Bei der Integration eines neuen Gerätes, wie beispielsweise einen PC oder einen Netzwerkdrucker, in Ihr Netzwerk sorgen Sie dafür, dass dieses Gerät immer unter der gleichen IP-Adresse mit dem Netzwerk verbunden ist und es über einen von Ihnen festzulegenden Namen ansprechbar ist. Dahinter stehen die Dienste DNS (Namensauflösung) und DHCP (IP-Adressvergabe). | ||
| + | |||
| + | Um ein neues Gerät ins Netzwerk zu integrieren müssen Sie es im invis-Portal Ihres Servers registrieren. Dabei wird eine sogenannte DHCP-Reservierung erzeugt, d.h. dafür Sorge getragen, dass das Gerät zuverlässig immer die selbe IP-Adresse vom DHCP-Dienst erhält. Weiterhin wird diese IP-Adresse im DNS-Dienst fest dem von Ihnen erdachten Namen verbunden. | ||
| + | |||
| + | Damit dies funktioniert benötigen Sie als Erkennungsmerkmal für den DHCP-Dienst die sogenannte Hardware- oder auch MAC-Adresse des Gerätes. In vielen Fällen ist diese irgendwo am Gerät aufgedruckt. Netzwerkdrucker sind meist in der Lage eine Statusseite auszudrucken, die diese Information enthält. | ||
| + | |||
| + | MAC-Adressen haben folgendes Format: **''28:d2:44:2d:21:a5''** \\ | ||
| + | Sie bestehen aus 6 Zeichenpaaren (Hexadezimalzahlen) bestehend aus den Ziffern **0-9** und den Buchstaben **a-f**. | ||
| + | |||
| + | Weiterhin muss das Gerät bzw. der Computer **zwingend** für den automatischen Adressbezug (DHCP-Client) konfiguriert sein! In vielen Fällen entspricht das der Vorkonfiguration, ist dies nicht der Fall entnehmen Sie bitte dem Handbuch des Gerätes wie Sie dessen Konfiguration entsprechend ändern können. | ||
| + | |||
| + | //**Achtung:** Von der Vergabe fester IP-Adressen am Gerät oder PC selbst, raten wir **dringend** ab. Derartiges Vorgehen birgt die Gefahr doppelter Adressvergabe im Netz und somit massiver Netzwerkprobleme.// | ||
| + | |||
| + | ==== MAC-Adresse ermitteln ==== | ||
| + | |||
| + | Es gibt eine Reihe von Möglichkeiten die MAC-Adresse eines Gerätes oder Computers zu ermitteln. Wir werden hier lediglich erläutern, wie Sie dies mit Hilfe des invis-Servers selbst tun können. Mit den Netzwerkverwaltungswerkzeugen gängiger Betriebsysteme wie Linux, Windows oder MAC OS können Sie sich die MAC-Adresse des Computers auch am Gerät selbst anzeigen lassen. | ||
| + | |||
| + | Melden Sie sich bevor Sie das neue Gerät mit dem Netzwerk verbinden als Benutzer "root" an der Konsole Ihres Servers an (siehe oben) und geben Sie folgendes Kommando ein: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # journalctl -fu dhcpd.service | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | Verbinden sie jetzt das neue Gerät mit dem Netzwerk, schalten es ein und beobachten dabei die Konsole. Nach kurzer Zeit wird sich die Konsole mit Zeilen wie nachfolgend gezeigt füllen: | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | Dez 19 08:56:51 invis dhcpd[5367]: DHCPREQUEST for 172.20.200.3 from 7c:2f:80:1e:4b:c9 (DX600A-ISDN) via intern | ||
| + | Dez 19 08:56:51 invis dhcpd[5367]: DHCPACK on 172.20.200.3 to 7c:2f:80:1e:4b:c9 (DX600A-ISDN) via intern | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | Sie sehen dort die MAC Adresse des Gerätes, im Beispiel eines Netzwerk-fähigen ISDN-Telefons der Telekom. Es besteht bei dieser Methode die Gefahr, dass sich während Sie auf Ihr neues Gerät warten bereits im Netzwerk registrierte Geräte beim DHCP-Dienst melden. Um zu verhindern, dass Sie sich die falsche MAC-Adresse notieren, gehen Sie sicher, dass die dem Gerät zugewiesene Adresse aus dem freien Adress-Pool des DHCP-Servers stammt (Erläuterungen, siehe **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#ip-adressbereiche|hier]]**. | ||
| + | |||
| + | Im gezeigten Beispiel ist es eine Adresse aus dem freien Pool, zu erkennen an der Zahl "200" an der dritten Stelle der vergebenen IP-Adresse. | ||
| - | **Filter** | + | Um ganz sicher zu gehen, können Sie den Vorgang mehrfach wiederholen. |
| - | Ältere invis-Server verfügen noch über die Möglichkeit Server-seitige Mailfilter per Sieve zu generieren. Diese Funktion wurde nie fertiggestellt und auf neueren invis-Versionen wieder entfernt, da auch dies die meisten Mailclients wie auch Groupware-Systeme besser beherrschen. | + | Haben Sie die MAC-Adresse identifiziert und notiert, stoppen Sie das gestartete Kommando mit der Tastenkombination **''Strg+C''** und schalten das Gerät wieder ab, bzw. trennen es vom Netzwerk. (Am besten beides.) |
| + | ==== Gerät registrieren ==== | ||
| ===== System allgemein ===== | ===== System allgemein ===== | ||