Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
invis_server_wiki:administration [2019/01/24 19:42] flacco [Benutzer- und Gruppenveraltung] |
invis_server_wiki:administration [2019/01/25 06:58] flacco [MAC-Adresse ermitteln] |
||
---|---|---|---|
Zeile 97: | Zeile 97: | ||
Achten Sie bei der Verwendung des Scripts auf die Korrekte Schreibweise der Eintragsnamen. | Achten Sie bei der Verwendung des Scripts auf die Korrekte Schreibweise der Eintragsnamen. | ||
+ | ===== Konsolenzugriff ===== | ||
+ | |||
+ | Für einige Administrative Tätigkeiten am invis-Server ist Zugriff auf dessen Kommandozeile mit root-Rechten unabdingbar. | ||
+ | |||
+ | //**Achtung:** Wenn Sie sich auf der Kommandozeile eines Linux-Servers bewegen, sollten Sie wissen, was Sie tun! "Ich bin **root** ich darf das." ist ein schöner und sehr zutreffender Spruch, der einem schnell auf die Füße fallen kann.// | ||
+ | |||
+ | Eine der wichtigsten Voraussetzungen für die Administration eines Linux-Servers ist Erfahrung im Umgang mit einem Konsolen-Editor. Selbstverständlich bringen invis-Server die üblichen Verdächtigen wie //**vi**// oder //**joe**// mit. Auch der Kommandozeilen-Dateimanager Midnight-Commander (//**mc**//) mit seinem Editor //**mcedit**// ist auf jedem invis-Server vorinstalliert. | ||
+ | |||
+ | Je nach Ausgangssituation oder Umgebung gibt es verschiedene Wege sich mit der Kommandozeile des invis-Servers zu verbinden. Verwendet wird in jedem Fall das SSH-Protokoll. | ||
+ | |||
+ | * **von einem Linux System:** Jedes Linux System verfügt von Haus aus über einen SSH-Client auf der Kommandozeile, aber das werden Sie als Linux Nutzer natürlich wissen. | ||
+ | * **von einem Windows System:** Hier empfiehlt sich die Verwendung des SSH-Clients //**[[https://www.putty.org/|putty]]**// | ||
+ | * **Mal eben von irgendwo:** Teil der administrativen Werkzeuge, die das invis-Portal im Gepäck hat, ist die Software "Shell-in-a-box", die Sie im Browser verwenden können. | ||
+ | |||
+ | Verbindungen aus dem lokalen Netz heraus können Sie unter Verwendung des SSH-Standard-Ports "22" vornehmen: | ||
+ | |||
+ | <code> | ||
+ | linux-pc:~ # ssh root@invis.invis-net.loc | ||
+ | </code> | ||
+ | |||
+ | Verbinden Sie sich via Internet benötigen Sie den "verschobenen" SSH-Port des Servers sowie des Namens unter dem der invis-Server im Internet erreichbar ist: | ||
+ | |||
+ | <code> | ||
+ | linux:-pc:~ ssh -p 53482 root@ddns.ihredomain.de | ||
+ | </code> | ||
+ | |||
+ | Das der im Beispiel genannte Port nicht allgemeingültig ist sollte klar sein. Jeder invis-Server erhält während des Setups seinen eigenen per Zufallsgenerator ausgewürfelten SSH-Port. Wenn Sie den Server nicht selbst aufgesetzt haben, erfragen Sie diesen Port bei Ihrem IT-Dienstleister. Gleiches gilt natürlich für den Hostnamen. | ||
+ | |||
+ | |||
+ | Gleiches gilt natürlich bei der Verwendung von //**putty**//. | ||
+ | |||
+ | Bei Verwendung von "Shell In A Box", zu finden im invis-Portal unter "administration" -> "Server Administration", müssen Sie wissen, dass ein direkter Login als Benutzer "root" aus Sicherheitsgründen nicht möglich ist. Sie müssen sich zunächst als "normaler Benutzer" anmelden und dann mit: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # su - | ||
+ | </code> | ||
+ | |||
+ | die Identität von "root" annehmen. | ||
+ | |||
===== Die Konfigurationsdateien ===== | ===== Die Konfigurationsdateien ===== | ||
+ | |||
+ | Das Bearbeiten der Konfigurationsdateien setzt einen Kommandozeilenzugriff auf den Server mit "root-Rechten" voraus. | ||
==== /etc/invis/invis.conf ==== | ==== /etc/invis/invis.conf ==== | ||
Dies ist die zentrale Konfigurationsdatei des invis-Servers. Sie hat derzeit noch einen recht überschaubaren Umfang. Aus Ihr beziehen die Tools der invis Toolbox ihre Vorgaben. | Dies ist die zentrale Konfigurationsdatei des invis-Servers. Sie hat derzeit noch einen recht überschaubaren Umfang. Aus Ihr beziehen die Tools der invis Toolbox ihre Vorgaben. | ||
Zeile 264: | Zeile 305: | ||
* IP Geräte | * IP Geräte | ||
- | Die Bereiche werden ebenfalls in der Konfiguration des Portals vorgenommen. Ein Beispiel: | + | Die Bereiche werden ebenfalls in der Konfiguration des Portals vorgenommen. Ein Beispiel für ein privates Klasse A Netz: |
<code> | <code> | ||
Zeile 277: | Zeile 318: | ||
$DHCP_RANGE_CLIENT = array(120, 199); | $DHCP_RANGE_CLIENT = array(120, 199); | ||
</code> | </code> | ||
+ | |||
+ | Der DHCP-Server hält hier einen freien Adresspool im Bereich 192.168.42.200 bis 192.168.42.220 vor. | ||
Seit invis-Server 11.0 können invis-Server auch mit privaten Klasse B Netzen (172.16.0.0/16 bis 172.31.0.0/16) umgehen. In diesem Fall sieht die Aufteilung der Adressbereiche wie folgt aus: | Seit invis-Server 11.0 können invis-Server auch mit privaten Klasse B Netzen (172.16.0.0/16 bis 172.31.0.0/16) umgehen. In diesem Fall sieht die Aufteilung der Adressbereiche wie folgt aus: | ||
Zeile 292: | Zeile 335: | ||
</code> | </code> | ||
+ | Der DHCP-Server hält hier einen freien Adresspool im Bereich 172.19.200.0 bis 172.19.200.254 vor. | ||
=== Dienste === | === Dienste === | ||
Zeile 638: | Zeile 682: | ||
//**Hinweis:** Damit sich Benutzer via Internet am invis-Portal anmelden können um von dort aus auf installierte Applikationen wie etwa das Wiki oder die Zeiterfassung zugreifen zu können, müssen Sie Mitglied in der Gruppe **mobilusers** sein. Davon ausgenommen sind Zugriffe auf ActiveSync (Smartphone-Synchronisation), die Kopano-Webapp und ownCloud. Zugriffe auf diese Applikationen ist ohne "Umweg" über das invis-Portal möglich, d.h. die Mitgliedschaft in **mobilusers** ist dafür nicht erforderlich.// | //**Hinweis:** Damit sich Benutzer via Internet am invis-Portal anmelden können um von dort aus auf installierte Applikationen wie etwa das Wiki oder die Zeiterfassung zugreifen zu können, müssen Sie Mitglied in der Gruppe **mobilusers** sein. Davon ausgenommen sind Zugriffe auf ActiveSync (Smartphone-Synchronisation), die Kopano-Webapp und ownCloud. Zugriffe auf diese Applikationen ist ohne "Umweg" über das invis-Portal möglich, d.h. die Mitgliedschaft in **mobilusers** ist dafür nicht erforderlich.// | ||
+ | |||
+ | Beim Anlegen eines Benutzers sind nur wenige Pflichtangaben zu machen. Dazu gehören der Anmeldename (Login), Vor- und Zuname, Passwort und der Benutzertyp zu wählen. Dabei gelten für Login-Name und Passwort ein paar Spielregeln: | ||
+ | |||
+ | - **Login:** Der Login-Name darf weder Leer- noch Sonderzeichen enthalten, ausgenommen Binde- und Unterstrich. Sie sollten beim Loginnamen ausschließlich Kleinbuchstaben verwenden. | ||
+ | - **Passwort:** Es gelten hier die Passwortregeln des ActiveDirectory. Diese können mit Hilfe des Tools //**pwsettings**// auf der Kommandozeile des invis-Servers definiert werden. Werden Veränderungen hinsichtlich der Passwortregeln vorgenommen müssen diese in der Konfigurationsdatei des invis-Portals ([[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#passwortsicherheit|siehe oben]]) übernommen werden. | ||
+ | |||
+ | |||
===== Mailkonten verwalten ===== | ===== Mailkonten verwalten ===== | ||
Zeile 702: | Zeile 753: | ||
+ | ===== Geräte und Computer ins Netzwerk integrieren ===== | ||
+ | |||
+ | Bei der Integration eines neuen Gerätes, wie beispielsweise einen PC oder einen Netzwerkdrucker, in Ihr Netzwerk sorgen Sie dafür, dass dieses Gerät immer unter der gleichen IP-Adresse mit dem Netzwerk verbunden ist und es über einen von Ihnen festzulegenden Namen ansprechbar ist. Dahinter stehen die Dienste DNS (Namensauflösung) und DHCP (IP-Adressvergabe). | ||
+ | |||
+ | Um ein neues Gerät ins Netzwerk zu integrieren müssen Sie es im invis-Portal Ihres Servers registrieren. Dabei wird eine sogenannte DHCP-Reservierung erzeugt, d.h. dafür Sorge getragen, dass das Gerät zuverlässig immer die selbe IP-Adresse vom DHCP-Dienst erhält. Weiterhin wird diese IP-Adresse im DNS-Dienst fest dem von Ihnen erdachten Namen verbunden. | ||
+ | |||
+ | Damit dies funktioniert benötigen Sie als Erkennungsmerkmal für den DHCP-Dienst die sogenannte Hardware- oder auch MAC-Adresse des Gerätes. In vielen Fällen ist diese irgendwo am Gerät aufgedruckt. Netzwerkdrucker sind meist in der Lage eine Statusseite auszudrucken, die diese Information enthält. | ||
+ | |||
+ | MAC-Adressen haben folgendes Format: **''28:d2:44:2d:21:a5''** \\ | ||
+ | Sie bestehen aus 6 Zeichenpaaren (Hexadezimalzahlen) bestehend aus den Ziffern **0-9** und den Buchstaben **a-f**. | ||
+ | |||
+ | Weiterhin muss das Gerät bzw. der Computer **zwingend** für den automatischen Adressbezug (DHCP-Client) konfiguriert sein! In vielen Fällen entspricht das der Vorkonfiguration, ist dies nicht der Fall entnehmen Sie bitte dem Handbuch des Gerätes wie Sie dessen Konfiguration entsprechend ändern können. | ||
+ | |||
+ | //**Achtung:** Von der Vergabe fester IP-Adressen am Gerät oder PC selbst, raten wir **dringend** ab. Derartiges Vorgehen birgt die Gefahr doppelter Adressvergabe im Netz und somit massiver Netzwerkprobleme.// | ||
+ | |||
+ | ==== MAC-Adresse ermitteln ==== | ||
+ | |||
+ | Es gibt eine Reihe von Möglichkeiten die MAC-Adresse eines Gerätes oder Computers zu ermitteln. Wir werden hier lediglich erläutern, wie Sie dies mit Hilfe des invis-Servers selbst tun können. Mit den Netzwerkverwaltungswerkzeugen gängiger Betriebsysteme wie Linux, Windows oder MAC OS können Sie sich die MAC-Adresse des Computers auch am Gerät selbst anzeigen lassen. | ||
+ | |||
+ | Melden Sie sich bevor Sie das neue Gerät mit dem Netzwerk verbinden als Benutzer "root" an der Konsole Ihres Servers an (siehe oben) und geben Sie folgendes Kommando ein: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # journalctl -fu dhcpd.service | ||
+ | ... | ||
+ | </code> | ||
+ | |||
+ | Verbinden sie jetzt das neue Gerät mit dem Netzwerk, schalten es ein und beobachten dabei die Konsole. Nach kurzer Zeit wird sich die Konsole mit Zeilen wie nachfolgend gezeigt füllen: | ||
+ | |||
+ | <code> | ||
+ | ... | ||
+ | Dez 19 08:56:51 invis dhcpd[5367]: DHCPREQUEST for 172.20.200.3 from 7c:2f:80:1e:4b:c9 (DX600A-ISDN) via intern | ||
+ | Dez 19 08:56:51 invis dhcpd[5367]: DHCPACK on 172.20.200.3 to 7c:2f:80:1e:4b:c9 (DX600A-ISDN) via intern | ||
+ | ... | ||
+ | </code> | ||
+ | |||
+ | Sie sehen dort die MAC Adresse des Gerätes, im Beispiel eines Netzwerk-fähigen ISDN-Telefons der Telekom. Es besteht bei dieser Methode die Gefahr, dass sich während Sie auf Ihr neues Gerät warten bereits im Netzwerk registrierte Geräte beim DHCP-Dienst melden. Um zu verhindern, dass Sie sich die falsche MAC-Adresse notieren, gehen Sie sicher, dass die dem Gerät zugewiesene Adresse aus dem freien Adress-Pool des DHCP-Servers stammt (Erläuterungen, siehe **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#ip-adressbereiche|hier]]**. | ||
+ | |||
+ | Im gezeigten Beispiel ist es eine Adresse aus dem freien Pool, zu erkennen an der Zahl "200" an der dritten Stelle der vergebenen IP-Adresse. | ||
+ | |||
+ | Um ganz sicher zu gehen, können Sie den Vorgang mehrfach wiederholen. | ||
+ | |||
+ | Haben Sie die MAC-Adresse identifiziert und notiert, stoppen Sie das gestartete Kommando mit der Tastenkombination **''Strg+C''** und schalten das Gerät wieder ab, bzw. trennen es vom Netzwerk. (Am besten beides.) | ||
+ | |||
+ | ==== Gerät registrieren ==== | ||
===== System allgemein ===== | ===== System allgemein ===== | ||