Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:administration [2019/01/24 19:28] flacco [Gruppenverwaltung] |
invis_server_wiki:administration [2019/01/25 06:50] flacco [MAC-Adresse ermitteln] |
||
|---|---|---|---|
| Zeile 97: | Zeile 97: | ||
| Achten Sie bei der Verwendung des Scripts auf die Korrekte Schreibweise der Eintragsnamen. | Achten Sie bei der Verwendung des Scripts auf die Korrekte Schreibweise der Eintragsnamen. | ||
| + | ===== Konsolenzugriff ===== | ||
| + | |||
| + | Für einige Administrative Tätigkeiten am invis-Server ist Zugriff auf dessen Kommandozeile mit root-Rechten unabdingbar. | ||
| + | |||
| + | //**Achtung:** Wenn Sie sich auf der Kommandozeile eines Linux-Servers bewegen, sollten Sie wissen, was Sie tun! "Ich bin **root** ich darf das." ist ein schöner und sehr zutreffender Spruch, der einem schnell auf die Füße fallen kann.// | ||
| + | |||
| + | Eine der wichtigsten Voraussetzungen für die Administration eines Linux-Servers ist Erfahrung im Umgang mit einem Konsolen-Editor. Selbstverständlich bringen invis-Server die üblichen Verdächtigen wie //**vi**// oder //**joe**// mit. Auch der Kommandozeilen-Dateimanager Midnight-Commander (//**mc**//) mit seinem Editor //**mcedit**// ist auf jedem invis-Server vorinstalliert. | ||
| + | |||
| + | Je nach Ausgangssituation oder Umgebung gibt es verschiedene Wege sich mit der Kommandozeile des invis-Servers zu verbinden. Verwendet wird in jedem Fall das SSH-Protokoll. | ||
| + | |||
| + | * **von einem Linux System:** Jedes Linux System verfügt von Haus aus über einen SSH-Client auf der Kommandozeile, aber das werden Sie als Linux Nutzer natürlich wissen. | ||
| + | * **von einem Windows System:** Hier empfiehlt sich die Verwendung des SSH-Clients //**[[https://www.putty.org/|putty]]**// | ||
| + | * **Mal eben von irgendwo:** Teil der administrativen Werkzeuge, die das invis-Portal im Gepäck hat, ist die Software "Shell-in-a-box", die Sie im Browser verwenden können. | ||
| + | |||
| + | Verbindungen aus dem lokalen Netz heraus können Sie unter Verwendung des SSH-Standard-Ports "22" vornehmen: | ||
| + | |||
| + | <code> | ||
| + | linux-pc:~ # ssh root@invis.invis-net.loc | ||
| + | </code> | ||
| + | |||
| + | Verbinden Sie sich via Internet benötigen Sie den "verschobenen" SSH-Port des Servers sowie des Namens unter dem der invis-Server im Internet erreichbar ist: | ||
| + | |||
| + | <code> | ||
| + | linux:-pc:~ ssh -p 53482 root@ddns.ihredomain.de | ||
| + | </code> | ||
| + | |||
| + | Das der im Beispiel genannte Port nicht allgemeingültig ist sollte klar sein. Jeder invis-Server erhält während des Setups seinen eigenen per Zufallsgenerator ausgewürfelten SSH-Port. Wenn Sie den Server nicht selbst aufgesetzt haben, erfragen Sie diesen Port bei Ihrem IT-Dienstleister. Gleiches gilt natürlich für den Hostnamen. | ||
| + | |||
| + | |||
| + | Gleiches gilt natürlich bei der Verwendung von //**putty**//. | ||
| + | |||
| + | Bei Verwendung von "Shell In A Box", zu finden im invis-Portal unter "administration" -> "Server Administration", müssen Sie wissen, dass ein direkter Login als Benutzer "root" aus Sicherheitsgründen nicht möglich ist. Sie müssen sich zunächst als "normaler Benutzer" anmelden und dann mit: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # su - | ||
| + | </code> | ||
| + | |||
| + | die Identität von "root" annehmen. | ||
| + | |||
| ===== Die Konfigurationsdateien ===== | ===== Die Konfigurationsdateien ===== | ||
| + | |||
| + | Das Bearbeiten der Konfigurationsdateien setzt einen Kommandozeilenzugriff auf den Server mit "root-Rechten" voraus. | ||
| ==== /etc/invis/invis.conf ==== | ==== /etc/invis/invis.conf ==== | ||
| Dies ist die zentrale Konfigurationsdatei des invis-Servers. Sie hat derzeit noch einen recht überschaubaren Umfang. Aus Ihr beziehen die Tools der invis Toolbox ihre Vorgaben. | Dies ist die zentrale Konfigurationsdatei des invis-Servers. Sie hat derzeit noch einen recht überschaubaren Umfang. Aus Ihr beziehen die Tools der invis Toolbox ihre Vorgaben. | ||
| Zeile 582: | Zeile 623: | ||
| ===== Benutzer- und Gruppenveraltung ===== | ===== Benutzer- und Gruppenveraltung ===== | ||
| + | |||
| + | Die Verwaltung von Benutzern und Gruppen eines invis-Servers wird grundsätzlich über das invis-Portal vorgenommen. Eine weitere Möglichkeit stellen die Microsoft'schen Remote Server Administration Tools dar. Letztere sind allerdings nicht für den invis-Server optimiert. Die Verwaltung über das invis-Portal ist also vorzuziehen. | ||
| + | |||
| + | Für das Verwalten von Benutzern und Gruppen via invis-Portal, müssen Sie sich als Administrator am Portal anmelden. | ||
| + | |||
| + | Sie können mit dem Portal Benutzer und Gruppen anlegen, löschen und bearbeiten. Zum Bearbeiten von Benutzern gehört auch das Ändern von Kennwörtern. | ||
| + | |||
| + | invis-Server verfügen über eine automatische Archivierungsfunktion. Wenn Sie Benutzer oder Gruppen löschen werden deren Verzeichnisse automatisch archiviert. Die Archivierung findet immer nachts statt. Die archivierten Verzeichnisse sind anschließend in der Freigabe "archiv" zu finden den Unterverzeichnissen "\user" und "\gruppen". Da speziell die Benutzer-Archive auch persönliche Daten enthalten können ist der Zugriff auf die Freigabe "archiv" recht restriktiv gehalten. | ||
| + | |||
| + | //**Hinweis:** Achten Sie also auch aus rechtlichen Gründen darauf, wem Sie Zugriff auf die Freigabe "archiv" geben. Der Zugriff auf solche Daten sollte im Idealfall über eine entsprechende Betriebsvereinbarung rechtlich abgesichert sein.// | ||
| ==== Gruppen ==== | ==== Gruppen ==== | ||
| Zeile 614: | Zeile 665: | ||
| Es empfiehlt sich die Verzeichnisvorlagen nach dem Schema "01_Vorlagenname" durchnummeriert zu benennen. Das invis-Portal zeigt die Vorlagen genau in der nummerierten Reihenfolge an. | Es empfiehlt sich die Verzeichnisvorlagen nach dem Schema "01_Vorlagenname" durchnummeriert zu benennen. Das invis-Portal zeigt die Vorlagen genau in der nummerierten Reihenfolge an. | ||
| - | ==== Benutzerverwaltung ==== | + | ==== Benutzer ==== |
| Das Anlegen von Benutzern über die Administrationsseite des invis-Portal ist weitestgehend selbsterklärend. Ungewöhnlich ist lediglich, dass es nicht möglich ist mit der Tabualtor-Taste zwischen den Eingabefeldern zu springen. (Gerade für Tastatur-Junkies wie mich ist das immer wieder ein Ärgernis, lässt sich aber leider nicht ohne weiteres beheben.) | Das Anlegen von Benutzern über die Administrationsseite des invis-Portal ist weitestgehend selbsterklärend. Ungewöhnlich ist lediglich, dass es nicht möglich ist mit der Tabualtor-Taste zwischen den Eingabefeldern zu springen. (Gerade für Tastatur-Junkies wie mich ist das immer wieder ein Ärgernis, lässt sich aber leider nicht ohne weiteres beheben.) | ||
| Zeile 628: | Zeile 679: | ||
| //**Hinweis:** Damit sich Benutzer via Internet am invis-Portal anmelden können um von dort aus auf installierte Applikationen wie etwa das Wiki oder die Zeiterfassung zugreifen zu können, müssen Sie Mitglied in der Gruppe **mobilusers** sein. Davon ausgenommen sind Zugriffe auf ActiveSync (Smartphone-Synchronisation), die Kopano-Webapp und ownCloud. Zugriffe auf diese Applikationen ist ohne "Umweg" über das invis-Portal möglich, d.h. die Mitgliedschaft in **mobilusers** ist dafür nicht erforderlich.// | //**Hinweis:** Damit sich Benutzer via Internet am invis-Portal anmelden können um von dort aus auf installierte Applikationen wie etwa das Wiki oder die Zeiterfassung zugreifen zu können, müssen Sie Mitglied in der Gruppe **mobilusers** sein. Davon ausgenommen sind Zugriffe auf ActiveSync (Smartphone-Synchronisation), die Kopano-Webapp und ownCloud. Zugriffe auf diese Applikationen ist ohne "Umweg" über das invis-Portal möglich, d.h. die Mitgliedschaft in **mobilusers** ist dafür nicht erforderlich.// | ||
| + | |||
| + | Beim Anlegen eines Benutzers sind nur wenige Pflichtangaben zu machen. Dazu gehören der Anmeldename (Login), Vor- und Zuname, Passwort und der Benutzertyp zu wählen. Dabei gelten für Login-Name und Passwort ein paar Spielregeln: | ||
| + | |||
| + | - **Login:** Der Login-Name darf weder Leer- noch Sonderzeichen enthalten, ausgenommen Binde- und Unterstrich. Sie sollten beim Loginnamen ausschließlich Kleinbuchstaben verwenden. | ||
| + | - **Passwort:** Es gelten hier die Passwortregeln des ActiveDirectory. Diese können mit Hilfe des Tools //**pwsettings**// auf der Kommandozeile des invis-Servers definiert werden. Werden Veränderungen hinsichtlich der Passwortregeln vorgenommen müssen diese in der Konfigurationsdatei des invis-Portals ([[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#passwortsicherheit|siehe oben]]) übernommen werden. | ||
| + | |||
| + | |||
| ===== Mailkonten verwalten ===== | ===== Mailkonten verwalten ===== | ||
| Zeile 692: | Zeile 750: | ||
| + | ===== Geräte und Computer ins Netzwerk integrieren ===== | ||
| + | |||
| + | Bei der Integration eines neuen Gerätes, wie beispielsweise einen PC oder einen Netzwerkdrucker, in Ihr Netzwerk sorgen Sie dafür, dass dieses Gerät immer unter der gleichen IP-Adresse mit dem Netzwerk verbunden ist und es über einen von Ihnen festzulegenden Namen ansprechbar ist. Dahinter stehen die Dienste DNS (Namensauflösung) und DHCP (IP-Adressvergabe). | ||
| + | |||
| + | Um ein neues Gerät ins Netzwerk zu integrieren müssen Sie es im invis-Portal Ihres Servers registrieren. Dabei wird eine sogenannte DHCP-Reservierung erzeugt, d.h. dafür Sorge getragen, dass das Gerät zuverlässig immer die selbe IP-Adresse vom DHCP-Dienst erhält. Weiterhin wird diese IP-Adresse im DNS-Dienst fest dem von Ihnen erdachten Namen verbunden. | ||
| + | |||
| + | Damit dies funktioniert benötigen Sie als Erkennungsmerkmal für den DHCP-Dienst die sogenannte Hardware- oder auch MAC-Adresse des Gerätes. In vielen Fällen ist diese irgendwo am Gerät aufgedruckt. Netzwerkdrucker sind meist in der Lage eine Statusseite auszudrucken, die diese Information enthält. | ||
| + | |||
| + | MAC-Adressen haben folgendes Format: **''28:d2:44:2d:21:a5''** \\ | ||
| + | Sie bestehen aus 6 Zeichenpaaren (Hexadezimalzahlen) bestehend aus den Ziffern **0-9** und den Buchstaben **a-f**. | ||
| + | |||
| + | Weiterhin muss das Gerät bzw. der Computer **zwingend** für den automatischen Adressbezug (DHCP-Client) konfiguriert sein! In vielen Fällen entspricht das der Vorkonfiguration, ist dies nicht der Fall entnehmen Sie bitte dem Handbuch des Gerätes wie Sie dessen Konfiguration entsprechend ändern können. | ||
| + | |||
| + | //**Achtung:** Von der Vergabe fester IP-Adressen am Gerät oder PC selbst, raten wir **dringend** ab. Derartiges Vorgehen birgt die Gefahr doppelter Adressvergabe im Netz und somit massiver Netzwerkprobleme.// | ||
| + | |||
| + | ==== MAC-Adresse ermitteln ==== | ||
| + | |||
| + | Es gibt eine Reihe von Möglichkeiten die MAC-Adresse eines Gerätes oder Computers zu ermitteln. Wir werden hier lediglich erläutern, wie Sie dies mit Hilfe des invis-Servers selbst tun können. Mit den Netzwerkverwaltungswerkzeugen gängiger Betriebsysteme wie Linux, Windows oder MAC OS können Sie sich die MAC-Adresse des Computers auch am Gerät selbst anzeigen lassen. | ||
| + | |||
| + | Melden Sie sich bevor Sie das neue Gerät mit dem Netzwerk verbinden als Benutzer "root" an der Konsole Ihres Servers an (siehe oben) und geben Sie folgendes Kommando ein: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # journalctl -fu dhcpd.service | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | Verbinden sie jetzt das neue Gerät mit dem Netzwerk, schalten es ein und beobachten dabei die Konsole. Nach kurzer Zeit wird sich die Konsole mit Zeilen wie nachfolgend gezeigt füllen: | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | Dez 19 08:56:51 invis dhcpd[5367]: DHCPREQUEST for 172.20.200.3 from 7c:2f:80:1e:4b:c9 (DX600A-ISDN) via intern | ||
| + | Dez 19 08:56:51 invis dhcpd[5367]: DHCPACK on 172.20.200.3 to 7c:2f:80:1e:4b:c9 (DX600A-ISDN) via intern | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | Sie sehen dort die MAC Adresse des Gerätes, im Beispiel eines Netzwerk-fähigen ISDN-Telefons der Telekom. Es besteht bei dieser Methode die Gefahr, dass sich während Sie auf Ihr neues Gerät warten bereits im Netzwerk registrierte Geräte beim DHCP-Dienst melden. Um zu verhindern, dass Sie sich die falsche MAC-Adresse notieren, gehen Sie sicher, dass die dem Gerät zugewiesene Adresse aus dem freien Adress-Pool des DHCP-Servers stammt (Erläuterungen, siehe **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#ip-adressbereiche|hier]]**. | ||
| + | |||
| + | Im gezeigten Beispiel ist es eine Adresse aus dem freien Pool, zu erkennen an der Zahl "200" an der dritten Stelle der vergebenen IP-Adresse. | ||
| + | |||
| + | Haben Sie die MAC-Adresse identifiziert, stoppen Sie das gestartete Kommando mit der Tastenkombination **''Strg+C''** und schalten das Gerät wieder ab, bzw. trennen es vom Netzwerk. (Am besten beides.) | ||
| + | |||
| + | ==== Gerät registrieren ==== | ||
| ===== System allgemein ===== | ===== System allgemein ===== | ||