Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:administration [2018/05/27 15:11] flacco [openVPN Starten/Stoppen/Neustarten] |
invis_server_wiki:administration [2018/11/13 10:14] flacco [interne Zertifikatsverwaltung] |
||
|---|---|---|---|
| Zeile 428: | Zeile 428: | ||
| <code> | <code> | ||
| - | linux:~ # inviscerts [ms|ldap|extern|vpn|crl] | + | linux:~ # inviscerts [ms|intern|extern|vpn|crl] |
| </code> | </code> | ||
| - | Sie benötigen in jedem Fall das Passwort der Zertifizierungsstelle. Werden mit //**inviscerts**// VPN-Client-Zertifikate erzeugt, so werden Zertifikat und privater Schlüssel in einer Passwort-geschützten PKCS-12 Datei verpackt. //**inviscerts**// fordert Sie zur Eingabe eines solchen Passwortes auf. Bedenken Sie dass eine solche Datei ungehinderten Zugang zu Ihrem Server ermöglicht, nutzen Sie also bitte sichere Passwörter. | + | Sie benötigen in jedem Fall das Passwort der Zertifizierungsstelle. |
| + | |||
| + | Die Optionen im Einzelnen: | ||
| + | * **ms** - Internes Mailserver-Zertifikat, wird ausgestellt auf den Namen mail.ihre-domain.tld | ||
| + | * **intern** - Zertifikat für den verschlüsselten Zugriff auf das invis-Portal und lokale Webapplikationen. Wird auf den lokalen Hostnamen des invis-Servers ausgestellt. | ||
| + | * **extern** | ||
| + | |||
| + | Werden mit //**inviscerts**// VPN-Client-Zertifikate erzeugt, so werden Zertifikat und privater Schlüssel in einer Passwort-geschützten PKCS-12 Datei verpackt. //**inviscerts**// fordert Sie zur Eingabe eines solchen Passwortes auf. Bedenken Sie dass eine solche Datei ungehinderten Zugang zu Ihrem Server ermöglicht, nutzen Sie also bitte sichere Passwörter. | ||
| Selbstsignierte Zertifikate, auch wenn die Signatur über eine eigene CA erfolgte, erzeugen auf Client-Seite (zunächst) immer eine Sicherheitswarnung. Diese Warnungen, etwa wenn sie in einem Browser auftauchen, verunsichern Anwender erfahrungsgemäß. Um Sie zu verhindern muss das Stammzertifikat der Zertifizierungsstelle in den Client integriert werden. Für diesen Zweck halten invis-Server das Zertifikat zum Download im invis-Portal (unten rechts) vor. | Selbstsignierte Zertifikate, auch wenn die Signatur über eine eigene CA erfolgte, erzeugen auf Client-Seite (zunächst) immer eine Sicherheitswarnung. Diese Warnungen, etwa wenn sie in einem Browser auftauchen, verunsichern Anwender erfahrungsgemäß. Um Sie zu verhindern muss das Stammzertifikat der Zertifizierungsstelle in den Client integriert werden. Für diesen Zweck halten invis-Server das Zertifikat zum Download im invis-Portal (unten rechts) vor. | ||
| Zeile 517: | Zeile 524: | ||
| <code> | <code> | ||
| ... | ... | ||
| - | forwarders { 9.9.9.9; 194.129.25.2; 8.8.4.4; }; | + | forwarders { 9.9.9.9; 1.1.1.1; 194.129.25.2; }; |
| ... | ... | ||
| </code> | </code> | ||
| - | Achten Sie darauf, dass hinter jeder IP-Adresse wie auch am Ende der Zeile ein Semikolon stehen muss. | + | Achten Sie darauf, dass hinter jeder IP-Adresse wie auch am Ende der Zeile ein Semikolon stehen muss. Es können bis zu 3 Adressen angegeben werden. |
| Danach, genügt es den Nameserver zum auffrischen seiner Konfiguration zu bringen: | Danach, genügt es den Nameserver zum auffrischen seiner Konfiguration zu bringen: | ||
| Zeile 537: | Zeile 544: | ||
| </code> | </code> | ||
| - | //**Hinweis:** Sie sollten sich allerdings Gedanken über die Wahl Ihrer DNS-Forwarder machen. Nehmen wir beispielsweise die DNS-Server von Google (8.8.8.8 & 8.8.4.4), sicher sie sind schnell und mit Ihnen lassen sich DNS-basierte Websperren des eigenen Providers umgehen, allerdings bietet Google solche Dienste sicherlich nicht aus reiner Nächstenliebe an. Mehr zum Thema **[[http://www.linux-magazin.de/news/8-8-8-8-und-8-8-4-4-googles-neuer-dns-service/|hier]]**. | + | //**Hinweis:** Sie sollten sich allerdings Gedanken über die Wahl Ihrer DNS-Forwarder machen. Nehmen wir beispielsweise die DNS-Server von Google (8.8.8.8 & 8.8.4.4), sicher sie sind schnell und mit Ihnen lassen sich DNS-basierte Websperren des eigenen Providers umgehen, allerdings bietet Google solche Dienste sicherlich nicht aus reiner Nächstenliebe an. Mehr zum Thema **[[http://www.linux-magazin.de/news/8-8-8-8-und-8-8-4-4-googles-neuer-dns-service/|hier]]**.\\ |
| - | Es geht auch anders. Die Initiative "Quad9" (9.9.9.9) stellt ebenfalls schnelle DNS Server kostenfrei zur Verfügung, bei deren Nutzung bleibt die Privatsphäre auf jeden Fall gewahrt. Mehr zum Thema **[[https://heise.de/-3890741|hier]]** | + | Es geht auch anders. Die Initiative "Quad9" (9.9.9.9) stellt ebenfalls schnelle DNS Server kostenfrei zur Verfügung, bei deren Nutzung bleibt die Privatsphäre auf jeden Fall gewahrt. Mehr zum Thema **[[https://heise.de/-3890741|hier]]**\\ |
| + | |||
| + | Auch die Fa. Cloudflare bietet unter der Adresse "1.1.1.1" einen DNS-Resolver an bei dem der Datenschutz priorisiert wird.\\ | ||
| Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**// | Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**// | ||
| Zeile 555: | Zeile 564: | ||
| - **WinAdmin+UNIX** -- Wie "Windows+UNIX", allerdings Mitglied der Gruppe "Domain Admins". Sie verfügen also auf allen Windows-PCs der Domäne über administrative Rechte. | - **WinAdmin+UNIX** -- Wie "Windows+UNIX", allerdings Mitglied der Gruppe "Domain Admins". Sie verfügen also auf allen Windows-PCs der Domäne über administrative Rechte. | ||
| - **WinAdmin+UNIX+Groupware** -- Wie "Windows+UNIX+Groupware" und Mitglied der Gruppe "Domain Admins". Zusätzlich werden Benutzer dieses Typs wenn Kopano als Groupware eingesetzt wird auch als kopano Admins geführt. Sie haben also das Recht jedes Postfach zu öffnen. | - **WinAdmin+UNIX+Groupware** -- Wie "Windows+UNIX+Groupware" und Mitglied der Gruppe "Domain Admins". Zusätzlich werden Benutzer dieses Typs wenn Kopano als Groupware eingesetzt wird auch als kopano Admins geführt. Sie haben also das Recht jedes Postfach zu öffnen. | ||
| - | ==== Group-e aktualisieren ==== | ||
| - | |||
| - | //**Hinweis:** Die Weiterentwicklung von Group-e wurde im Frühjahr 2016 eingestellt. Es wird keine Aktualisierungen mehr geben.// | ||
| - | |||
| - | **Achtung:** Beginnen Sie das Update nicht, wenn ihnen das root-Passwort für MySQL unbekannt ist! | ||
| - | |||
| - | Die Aktualisierung einer Group-e Installation auf die jeweils neueste Version ist recht einfach. Laden Sie sich zunächst die neue Version von [[http://sourceforge.net/projects/group-e/files/]] herunter und entpacken Sie auf Ihrem Server. | ||
| - | |||
| - | <code>Kommandozeile: tar -xjvf group-e_v1.710.tar.bz2</code> | ||
| - | |||
| - | Im Paket sind die Unterverzeichnisse "doc", "dump", "dyn", "etc" und "www" enthalten. Mit diesen -- ausgenommen "dyn" müssen die entsprechenden Verzeichnisse unter "/srv/www/htdocs/group-e" ersetzt werden. Bevor Sie allerdings die neuen Verzeichnisse über die vorhandenen kopieren müssen noch ein paar Konfigurationsdateien gesichert werden. | ||
| - | |||
| - | Sichern Sie aus der bestehenden Installation die Dateien: | ||
| - | |||
| - | * /srv/www/htdocs/group-e/etc/phplib/lib/local.inc | ||
| - | * /srv/www/htdocs/group-e/www/cfg/global.inc.php | ||
| - | * /srv/www/htdocs/group-e/www/cfg/ge/config.inc.php | ||
| - | |||
| - | Überschreiben Sie jetzt mit den jeweils neuen Versionen die Verzeichnisse "doc", "dump", "etc" und "www" der bestehenden Installation. | ||
| - | |||
| - | Kopieren Sie jetzt die gesicherte Datei local.inc wieder nach /srv/www/htdocs/group-e/etc/phplib/lib/local.inc. Die beiden gesicherten Konfigurationsdateien schreibe ich in der Regel nicht zurück, da auch diese bei Group-e Aktualisierungen schon erneuert wurden. Hier gilt es lediglich die an invis-Server angepassten Einträge aus den gesicherten Dateien zu übernehmen. | ||
| - | |||
| - | Aus der Datei "global.inc.php" ist dies zunächst der Pfad zur Datei "prepend.php". Im nachfolgenden Code-Beispiel ist der korrekte Pfad (ca. Zeile 28) eingetragen. | ||
| - | |||
| - | <code> | ||
| - | define('PREPEND_FILE','/srv/www/htdocs/group-e/etc/phplib/prepend.php'); | ||
| - | $THEME='ge'; | ||
| - | $USE_DOMAIN=false; | ||
| - | $CFG['SUPERADMIN']=3000; | ||
| - | $CFG['GROUP_ALL']=3000; | ||
| - | $CFG['LDAP_MIN_UID']=3000; | ||
| - | $CFG['LDAP_MIN_GID']=3000; | ||
| - | </code> | ||
| - | |||
| - | Vergleichen Sie die Einträge für "LDAP_MIN_UID" und "LDAP_MIN_GID" mit den entsprechenden Einträgen in der zuvor gesicherten Datei und passen Sie die neue Datei gegebenenfalls an. | ||
| - | |||
| - | Das gleiche Spiel ist für die Datei "config.inc.php" durchzuführen. Auch hier sind die Werte für "LDAP_MIN_UID" und "LDAP_MIN_GID" (ab Zeile 46) mit denen der gesicherten Datei zu vergleichen und gegebenenfalls anzupassen. | ||
| - | |||
| - | <code> | ||
| - | if (!isset($CFG['SUPERADMIN'])) $CFG['SUPERADMIN']=3000; | ||
| - | if (!isset($CFG['GROUP_ALL'])) $CFG['GROUP_ALL']=3000; | ||
| - | if (!isset($CFG['LDAP_MIN_UID'])) $CFG['LDAP_MIN_UID']=3000; | ||
| - | if (!isset($CFG['LDAP_MIN_GID'])) $CFG['LDAP_MIN_GID']=3000; | ||
| - | </code> | ||
| - | |||
| - | Melden Sie sich jetzt mit dem Benutzer "config" an Group-e an. Sie werden jezt dazu aufgefordert die MySQL-Datenbank von Group-e an die neue Version anzupassen. Sie benötigen dafür den Root-Zugang zu Ihrer MySQL-Installation. Geben Sie einfach den Benutzernamen root und das zugehörige Passwort (**Achtung:** nicht das root-Passwort des Systems!) in die entsprechenden Felder ein und klicken sie auf die zugehörige Schaltfläche. | ||
| - | |||
| - | Damit ist die Aktualisierung komplett und Sie können sich wieder normal an Group-e anmelden. | ||
| ===== Mailkonten verwalten ===== | ===== Mailkonten verwalten ===== | ||
| Noch aus den Anfangstagen des invis-Servers stammt das Programm "CorNAz" zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "local"{{ :invis_server_wiki:invisad-mailkonten1.png?250|}} des Portals hinter der Schaltfläche "Mailkonten". CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden. | Noch aus den Anfangstagen des invis-Servers stammt das Programm "CorNAz" zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "local"{{ :invis_server_wiki:invisad-mailkonten1.png?250|}} des Portals hinter der Schaltfläche "Mailkonten". CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden. | ||
| + | |||
| + | //**Hinweis:** Ab invis-Version 14 wird CorNAz voll ins invis-Portal integriert sein. Sie finden es unter dem Reiter "mail"// | ||
| **Funktionen** | **Funktionen** | ||