Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:administration [2018/12/13 15:34] flacco [invis Portal] |
invis_server_wiki:administration [2018/12/15 12:42] flacco [System allgemein] |
||
|---|---|---|---|
| Zeile 4: | Zeile 4: | ||
| //**Hinweis:** Nicht Aufgabe dieser Seite ist die Vermittlung von IT-Basiswissen. System- und Netzwerkadministratoren sollten darüber verfügen, oder in der Lage sein es sich anzueignen. Dies ist kein Vorwurf, an die Leser dieser Zeilen, sondern der Hinweis darauf, dass Server-Produkte wie ein invis-Server hoch komplexe Systeme sind, deren Administration Fachwissen verlangen. Wenn ich beispielsweise eine neue Wasserleitung im Haus benötige, wende ich mich auch an einen Sanitärbetrieb und versuche nicht selbst meine Wohnung unter Wasser zu setzen.// | //**Hinweis:** Nicht Aufgabe dieser Seite ist die Vermittlung von IT-Basiswissen. System- und Netzwerkadministratoren sollten darüber verfügen, oder in der Lage sein es sich anzueignen. Dies ist kein Vorwurf, an die Leser dieser Zeilen, sondern der Hinweis darauf, dass Server-Produkte wie ein invis-Server hoch komplexe Systeme sind, deren Administration Fachwissen verlangen. Wenn ich beispielsweise eine neue Wasserleitung im Haus benötige, wende ich mich auch an einen Sanitärbetrieb und versuche nicht selbst meine Wohnung unter Wasser zu setzen.// | ||
| + | |||
| + | Zur Administration des Servers gehören Störungsbeistand und natürlich wiederkehrende Aufgaben, wie das Einspielen von Updates, das Verwalten von Benutzern und Gruppen oder das Verwalten von Mailkonten. Einige dieser Aufgaben lassen sich bequem über das invis-Portal andere hingegen lediglich auf der Kommandozeile des Servers erledigen. Sowohl das invis-Portal, inklusive weiterer installierter Administrationswerkzeuge als auch die Kommandozeile des sind sowohl aus dem lokalen Netzwerk als auch via Internet erreichbar. Letzteres setzt allerdings einen korrekt konfigurierten Router und funktionierendes DDNS voraus. | ||
| + | |||
| + | Hinweise dazu, wie Sie Ihren Router konfigurieren finden Sie **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:installation:post-140#router|hier]]**. | ||
| + | |||
| + | //**Hinweis:** Die nachfolgenden Anleitungen werden immer wieder aktualisiert und erweitert, d.h. Sie beziehen sich primär auf die jeweils aktuellen Versionen des invis-Servers.// | ||
| ===== invis Portal ===== | ===== invis Portal ===== | ||
| Zeile 16: | Zeile 22: | ||
| **Zusätzliche administrative Werkzeuge** | **Zusätzliche administrative Werkzeuge** | ||
| * **Mailinglisten:** Mailinglisten sind das eMail Pendant zum klassischen Serienbrief. Über diese Schaltfläche können Sie neue Mailinglisten einrichten. | * **Mailinglisten:** Mailinglisten sind das eMail Pendant zum klassischen Serienbrief. Über diese Schaltfläche können Sie neue Mailinglisten einrichten. | ||
| - | * **Verzeichnisdienst:** Das LDAP-Verzeichnis Ihres invis-Server ist der zentrale Speicherort einer vielzahl von Konfigurationsdaten des Servers. Sie finden hier Daten zu DHCP, DNS, Benutzerverwaltung usw. Achtung der Umgang mit einem LDAP-Verzeichnis setzt entsprechende Grundkenntnisse voraus. | + | * **Verzeichnisdienst:** Das LDAP-Verzeichnis Ihres invis-Server ist der zentrale Speicherort einer Vielzahl von Konfigurationsdaten des Servers. Sie finden hier Daten zu DHCP, DNS, Benutzerverwaltung usw. Achtung der Umgang mit einem LDAP-Verzeichnis setzt entsprechende Grundkenntnisse voraus. Um phpLDAPAdmin administrativ nutzen zu können, melden Sie sich mit dem Konto des Domänen-Administrators daran an. Sie müssen Ihre lokale Domain an den Benutzernamen anhängen (administrator@invis-net.loc) damit die Anmeldung funktioniert. Die Anmeldung funktioniert natürlich auch mit allen anderen Benutzerkonten des ActiveDirectories, allerdings verfügen normale Benutzer über zu wenig Rechte um Veränderungen am LDAP-Datenbestandes vornehmen zu können. |
| - | * **MySQL Administration:** Administration der Datenbank-Engine MySQL. MySQL wird beispielsweise vom Groupware-System Ihres invis-Server genutzt. Sie können hiermit neue Datenbanken anlegen, sollten aber keine vorhandenen Löschen. Sie können phpMyAdmin auch zur Erstellung von Datensicherungen der Datenbanken nutzen. | + | * **MySQL Administration:** Administration der Datenbank-Engine MySQL. MySQL wird beispielsweise vom Groupware-System Ihres invis-Server genutzt. Sie können hiermit neue Datenbanken anlegen, sollten aber keine vorhandenen Löschen. Sie können phpMyAdmin auch zur Erstellung von Datensicherungen der Datenbanken nutzen. Das Passwort des MYSQL-Benutzers "root" können Sie mit dem Kommando //**sine2 showpws**// auf der Kommandozeile erfragen. |
| * **PostgreSQL Administration:** Administration der Datenbank-Engine PostgreSQL. PostgreSQL wird beispielsweise vom Warenwirtschaftssystem Ihres invis-Server genutzt. Sie können hiermit neue Datenbanken anlegen, sollten aber keine vorhandenen Löschen. Sie können phpPGAdmin auch zur Erstellung von Datensicherungen der Datenbanken nutzen. | * **PostgreSQL Administration:** Administration der Datenbank-Engine PostgreSQL. PostgreSQL wird beispielsweise vom Warenwirtschaftssystem Ihres invis-Server genutzt. Sie können hiermit neue Datenbanken anlegen, sollten aber keine vorhandenen Löschen. Sie können phpPGAdmin auch zur Erstellung von Datensicherungen der Datenbanken nutzen. | ||
| - | * **Server Administration:** Hinter diesem Link steht das Programm Shell-in-a-box, mit dem Sie aus dem Browser heraus auf die Kommandozeile Ihres Servers zugreifen können. Dabei ist zu beachten, dass Shell-in-a-box keine direkten Zugriffe als Benutzer "root" zulässt (//**su -**// verwenden) und, dass es ein denkbar schlechte Idee ist in einer solchen Shell-Sitzung den Apache-Webserver zu stoppen. | + | * **Server Administration:** Hinter diesem Link steht das Programm Shell-in-a-box, mit dem Sie aus dem Browser heraus auf die Kommandozeile Ihres Servers zugreifen können. Dabei ist zu beachten, dass Shell-in-a-box keine direkten Zugriffe als Benutzer "root" zulässt (//**su -**// verwenden) und, dass es ein denkbar schlechte Idee ist in einer solchen Shell-Sitzung den Apache-Webserver zu stoppen. Angenehmer ist jedoch dass Arbeiten mit einer direkten SSH-Verbindung, als Notlösung taugt Shell-in-a-box aber allemal. |
| * **Druckerverwaltung:** Ihr invis-Server ist in der Lage im Netzwerk vorhandene Drucker zentral zu verwalten und freizugeben. Hierüber erhalten Sie Zugriff auf die Administrationsseiten des zugehörigen Dienstes CUPS. | * **Druckerverwaltung:** Ihr invis-Server ist in der Lage im Netzwerk vorhandene Drucker zentral zu verwalten und freizugeben. Hierüber erhalten Sie Zugriff auf die Administrationsseiten des zugehörigen Dienstes CUPS. | ||
| * **Netzwerkanalyse:** Das Programm ntop dient der Analyse des Datenverkehrs in Ihrem Netzwerk, nützlich etwa bei der Suche nach Fehlern. ntop ist im Normalbetrieb Ihres invis-Servers deaktiviert, da es diesen ansonsten unnötig belastet. | * **Netzwerkanalyse:** Das Programm ntop dient der Analyse des Datenverkehrs in Ihrem Netzwerk, nützlich etwa bei der Suche nach Fehlern. ntop ist im Normalbetrieb Ihres invis-Servers deaktiviert, da es diesen ansonsten unnötig belastet. | ||
| * **Firewall-Test:** Dieser Link führt Sie auf die Internetseite von hackerswatch.org. Sie haben von dort umfangreiche Möglichkeiten die Firewall Ihres invis-Servers von außen zu testen. | * **Firewall-Test:** Dieser Link führt Sie auf die Internetseite von hackerswatch.org. Sie haben von dort umfangreiche Möglichkeiten die Firewall Ihres invis-Servers von außen zu testen. | ||
| + | * **Virtualbox:** Dahinter verbirgt sich die Software phpVirtualBox, ein Webfrontend zur Verwaltung virtueller Maschinen, die der klassischen VirtualBox-Management GUI zum verwechseln ähnlich sieht. | ||
| Eine weitere Funktion des Portals ist die Verwaltung externer Mailkonten von denen der invis-Server die Emails der Benutzer abruft. Diese Funktion verlangt allerdings keine administrativen Rechte, sondern kann von jedem Benutzer selbst genutzt werden. Sie wird weiter unten auf dieser Seite gesondert beschrieben. | Eine weitere Funktion des Portals ist die Verwaltung externer Mailkonten von denen der invis-Server die Emails der Benutzer abruft. Diese Funktion verlangt allerdings keine administrativen Rechte, sondern kann von jedem Benutzer selbst genutzt werden. Sie wird weiter unten auf dieser Seite gesondert beschrieben. | ||
| Zeile 35: | Zeile 42: | ||
| Die genannte Konfigurationsdatei dient der grundsätzlichen Anpassung des Portals an die lokale Umgebung. Hier muss im laufenden Betrieb in der Regel nichts geändert werden, außer evtl.: | Die genannte Konfigurationsdatei dient der grundsätzlichen Anpassung des Portals an die lokale Umgebung. Hier muss im laufenden Betrieb in der Regel nichts geändert werden, außer evtl.: | ||
| - | * Die Passwortlaufzeiten der Benutzer und | + | * Die Passworteinstellungen der Benutzer und |
| - | * ob eine an den invis server angepasste Datensicherungslösung (udevrdbu oder udevsync) überwacht werden soll. | + | * ob die invis-eigene Datensicherung mit invisrdbu oder USVs des Herstellers APC überwacht werden sollen. |
| - | Für letzteres kann auf der Zyklus der Datensicherungen vorgegeben werden. Das Portal warnt dann, wenn die Datensicherung überfällig ist. Die Konfigurationsdatei ist gut dokumentiert und weitestgehend selbsterklärend. | + | Das Portal warnt dann, wenn die Datensicherung überfällig ist. Die Konfigurationsdatei ist gut dokumentiert und weitestgehend selbsterklärend. |
| Interessant sind die Möglichkeiten das Portal via LDAP zu steuern. Für nahezu jeden Link (bzw. jede Schaltfläche) im Portal existiert ein eigener Knoten im LDAP. Über diese Knoten können die Links aktiviert bzw. deaktiviert werden: | Interessant sind die Möglichkeiten das Portal via LDAP zu steuern. Für nahezu jeden Link (bzw. jede Schaltfläche) im Portal existiert ein eigener Knoten im LDAP. Über diese Knoten können die Links aktiviert bzw. deaktiviert werden: | ||
| Zeile 174: | Zeile 181: | ||
| Um die DDNS-Client-Funktion zu nutzen müssen Sie Zugriff auf den Primary-DNS-Server verfügen, der für die Domain verantwortlich ist, in der Sie für Ihren invis-Server einen Namen eintragen möchten. | Um die DDNS-Client-Funktion zu nutzen müssen Sie Zugriff auf den Primary-DNS-Server verfügen, der für die Domain verantwortlich ist, in der Sie für Ihren invis-Server einen Namen eintragen möchten. | ||
| - | Die DDNS-Funktion des invis-Servers setzt voraus, dass die Ziel-Domain auf dem DNS-Server für DDNS vorbereitet ist und Sie über einen DNSsec Key zur Authorisation eines DNS-Updates verfügen. | + | Die DDNS-Funktion des invis-Servers setzt voraus, dass die Ziel-Domain auf dem DNS-Server für DDNS vorbereitet ist und Sie über einen DNSsec Key zur Authorisation eines DNS-Updates verfügen. Der DNSsec-Key besteht aus zwei Schlüsseldateien (public und private Key), die letztlich aber den gleichen Inhalt haben. DDNS arbeitet mit synchroner Verschlüsselung, daher beinhalten beide Dateien den gleichen Schlüssel. Diese Dateien müssen Ihnen vorliegen. Betreiben Sie selbst den DNS Server müssen Sie sie selbst generieren. |
| - | Kopieren Sie zunächst die Schlüsseldateien nach: <file>/etc/ssl/ddns</file> | + | Kopieren Sie auf dem invis-Server einfach beide Schlüsseldateien nach: <file>/etc/invis/ddns</file> |
| - | Jetzt können Sie die Funktion in der invis-Konfigurationsdatei aktivieren. Weiterhin müssen Sie den im Internet gültigen Namen des invis-Servers, den anzusprechenden DNS-Server und die 5-stellige Nummer des DNSsec Keys eintragen. | + | Jetzt können Sie die Funktion in der invis-Konfigurationsdatei aktivieren. Weiterhin müssen Sie den im Internet gültigen Namen des invis-Servers, den anzusprechenden DNS-Server und die 5-stellige Nummer des DNSsec Keys eintragen: |
| <code> | <code> | ||
| Zeile 198: | Zeile 205: | ||
| Der DDNS-Abgleich wird jetzt zyklisch vom Script //**inetcheck**// durchgeführt. | Der DDNS-Abgleich wird jetzt zyklisch vom Script //**inetcheck**// durchgeführt. | ||
| - | //**Hinweis:** Möchten Sie statt dessen die Dienste von dynDNS.org oder deren Mitbewerber nutzen empfehlen wir die Nutzung der entsprechenden Funktionen Ihres Routers oder die Installation des Programms "ddclient" auf Ihrem invis-Server.// | + | //**Hinweis:** Möchten Sie statt dessen die Dienste von dynDNS.org oder deren Mitbewerber nutzen, empfehlen wir die Nutzung der entsprechenden Funktionen Ihres Routers oder die Installation des Programms "ddclient" auf Ihrem invis-Server.// |
| ==== /etc/invis/invis-pws.conf ==== | ==== /etc/invis/invis-pws.conf ==== | ||
| Zeile 261: | Zeile 268: | ||
| <code> | <code> | ||
| // DHCP | // DHCP | ||
| + | $IP_NETBASE_ADDRESS = '192.186.42.0'; | ||
| + | $DHCP_IP_MASK = '24'; | ||
| $DHCP_IP_BASE = '192.168.42'; | $DHCP_IP_BASE = '192.168.42'; | ||
| $DHCP_IP_REV = '42.168.192'; | $DHCP_IP_REV = '42.168.192'; | ||
| Zeile 269: | Zeile 278: | ||
| </code> | </code> | ||
| - | Seit invis-Server 11.0 können invis-Server auch mit privaten Klasse B Netzen (172.16.0.0/16 bis 172.31.0.0/16) umgehen. | + | Seit invis-Server 11.0 können invis-Server auch mit privaten Klasse B Netzen (172.16.0.0/16 bis 172.31.0.0/16) umgehen. In diesem Fall sieht die Aufteilung der Adressbereiche wie folgt aus: |
| + | |||
| + | <code> | ||
| + | // DHCP | ||
| + | $IP_NETBASE_ADDRESS = '172.19.0.0'; | ||
| + | $DHCP_IP_MASK = '16'; | ||
| + | $DHCP_IP_BASE = '172.19'; | ||
| + | $DHCP_IP_REV = '19.172'; | ||
| + | $DHCP_RANGE_SERVER = array(0.11, 0.253); | ||
| + | $DHCP_RANGE_PRINTER = array(1.1, 1.254); | ||
| + | $DHCP_RANGE_IPDEV = array(2.1, 3.254); | ||
| + | $DHCP_RANGE_CLIENT = array(4.1, 4.254); | ||
| + | </code> | ||
| === Dienste === | === Dienste === | ||
| Zeile 302: | Zeile 324: | ||
| Dabei muss in der ersten Spalte der genaue Name des Dienstes und in der zweiten Spalte ein "Menschen-verständlicher" Name eingetragen werden. | Dabei muss in der ersten Spalte der genaue Name des Dienstes und in der zweiten Spalte ein "Menschen-verständlicher" Name eingetragen werden. | ||
| + | //**Hinweis:** Es ist beabsichtigt, dass der Apache-Webserver-Dienst hier **nicht** aufgeführt ist. Ihn aus einer Webanwendung heraus neuzustarten oder gar zu beenden ist gewiss keine gute Idee.// | ||
| === Passwortsicherheit === | === Passwortsicherheit === | ||
| Zeile 591: | Zeile 614: | ||
| CorNAz verlangt eine gesonderte Anmeldung desjenigen lokalen Benutzers, dessen externe Mailkonten verwaltet werden sollen. Benötigt werden die Zugangsdaten des Benutzers die er auch zur Anmeldung am PC benötigt. {{ :invis_server_wiki:invisad-mailkonten2.png?200|}} | CorNAz verlangt eine gesonderte Anmeldung desjenigen lokalen Benutzers, dessen externe Mailkonten verwaltet werden sollen. Benötigt werden die Zugangsdaten des Benutzers die er auch zur Anmeldung am PC benötigt. {{ :invis_server_wiki:invisad-mailkonten2.png?200|}} | ||
| - | //**Hinweis:** Die Anmeldung an CorNAz erfolgt gegen den auf dem invis-Server installierten IMAP-Dienst. Verfügt der Benutzer nicht über ein lokales Postfach (dies ist abhängig vom Benutzertyp) schlägt die Anmeldung fehl. Das ist gewünschtes Verhalten, da es keinen Sinn macht Emails von einem externen Server abzuholen, wenn diese nicht in einem lokalen Konto abgelegt werden können.// | + | //**Achtung:** Auf invis-Servern vor Version 14.0 erfolgte die Anmeldung an CorNAz gegen den auf dem invis-Server installierten IMAP-Dienst. Verfügt der Benutzer nicht über ein lokales Postfach (dies ist abhängig vom Benutzertyp) schlägt die Anmeldung fehl. Das war gewünschtes Verhalten, da es keinen Sinn macht Emails von einem externen Server abzuholen, wenn diese nicht in einem lokalen Konto abgelegt werden können. Aus technischen Gründen ist das auf neueren Systemen nicht mehr so. Passen Sie also auf, dass der lokale Benutzer beispielsweise auch die Berechtigung hat etwa die Groupware Kopano zu verwenden. Ohne diese Berechtigungen könnten eingehende Mails nicht lokal zugestellt werden.// |
| Nach der Anmeldung stehen die verschiedenen Funktionen über entsprechende Schaltflächen zur Verfügung.{{ :invis_server_wiki:invisad-mailkonten3.png |}} | Nach der Anmeldung stehen die verschiedenen Funktionen über entsprechende Schaltflächen zur Verfügung.{{ :invis_server_wiki:invisad-mailkonten3.png |}} | ||
| Zeile 629: | Zeile 652: | ||
| **Urlaubsbeginn / Urlaubsende** | **Urlaubsbeginn / Urlaubsende** | ||
| - | Diese Funktion generiert nach Wunsch Abwesenheitsbenachrichtigungen. Sie wurde von uns in letzter Zeit allerdings etwas stiefmütterlich behandelt, da Zarafa, Group-e und auch Roundcubemail eine solche Funktion anbieten. | + | Diese Funktion generiert nach Wunsch Abwesenheitsbenachrichtigungen. Sie wurde von uns in letzter Zeit allerdings etwas stiefmütterlich behandelt, da Kopano, andere Groupwaresysteme und auch Roundcubemail eine solche Funktion selbst anbieten. |
| - | **Filter** | + | ===== Passwortsicherheit ===== |
| - | Ältere invis-Server verfügen noch über die Möglichkeit Server-seitige Mailfilter per Sieve zu generieren. Diese Funktion wurde nie fertiggestellt und auf neueren invis-Versionen wieder entfernt, da auch dies die meisten Mailclients wie auch Groupware-Systeme besser beherrschen. | ||
| ===== System allgemein ===== | ===== System allgemein ===== | ||