Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- invis_server_wiki:administration [2019/01/25 06:59]
flacco [Gerät registrieren]
+++ invis_server_wiki:administration [2021/08/22 11:11]
flacco [Mailkonten "zuordnen"]
@@ Zeile 9: / Zeile 9: @@
 Hinweise dazu, wie Sie Ihren Router konfigurieren finden Sie **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:installation:post-140#router|hier]]**.
-//**Hinweis:** Die nachfolgenden Anleitungen werden immer wieder aktualisiert und erweitert, d.h. Sie beziehen sich primär auf die jeweils aktuellen Versionen des invis-Servers.//
+//**Hinweis:** Die nachfolgenden Anleitungen werden immer wieder aktualisiert und erweitert, d.h. Sie beziehen sich primär auf die jeweils aktuellen Versionen des
+invis-Servers.//
 ===== invis Portal =====
@@ Zeile 15: / Zeile 17: @@
 ==== Funktionen ====
-  * **Benutzerverwaltung:** Anlegen und Löschen von Benutzern. Das Portal unterscheidet zwischen fünf verschiedenen Benutzertypen (Mailkonto, Benutzerkonto, Benutzerkonto mit Groupware-Zugang, Administratorenkonto und Gastkonto). Die Benutzertypen auf Active Directory Versionen des invis-Servers unterscheiden sich von denen des Classic Servers.{{ :invis_server_wiki:invisad-admin2.png?200|}}
+  * **Benutzerverwaltung:** Anlegen und Löschen von Benutzern. Das Portal unterscheidet zwischen fünf verschiedenen Benutzertypen (Mailkonto, Benutzerkonto, Benutzerkonto mit Groupware-Zugang, Administratorenkonto und Gastkonto). Die Benutzertypen auf Active Directory Versionen des invis-Servers unterscheiden sich von denen des Classic Servers.{{ :invis_server_wiki:invisad-admin2-2019.png?200|}}
   * **Gruppenverwaltung:** Hinzufügen und Entfernen von Benutzergruppen und Zuordnen von Benutzern zu Gruppen. Werden hierüber Gruppen angelegt, wird automatisch ein Gruppenverzeichnis auf dem Fileserver angelegt.
   * **Netzwerkorganisation:** Hinzufügen und Entfernen von Netzwerkgeräten zur DHCP- und DNS-Konfiguration. Das Portal unterscheidet zwischen vier verschiedenen Geräteklassen (Server, Drucker, Client-PC und IP-Gerät). In Abhängigkeit der Klassen werden IP-Adressen aus dafür reservierten Bereichen vergeben.
   * **Dienste:** Ab invisAD 10.1 können über das Portal auch Dienste gestartet und gestoppt werden.
+  * **Funktionen:** Ab invisAD-Version 14.1 können hier ausgewählte administrative Scripte des Servers ausgeführt werden. Beispielsweise können hier mit einem Klick die Zugriffsberechtigungen der Gruppenverzeichnisse zurück gesetzt werden.
 **Zusätzliche administrative Werkzeuge**
-  * **Mailinglisten:** Mailinglisten sind das eMail Pendant zum klassischen Serienbrief. Über diese Schaltfläche können Sie neue Mailinglisten einrichten.
   * **Verzeichnisdienst:** Das LDAP-Verzeichnis Ihres invis-Server ist der zentrale Speicherort einer Vielzahl von Konfigurationsdaten des Servers. Sie finden hier Daten zu DHCP, DNS, Benutzerverwaltung usw. Achtung der Umgang mit einem LDAP-Verzeichnis setzt entsprechende Grundkenntnisse voraus. Um phpLDAPAdmin administrativ nutzen zu können, melden Sie sich mit dem Konto des Domänen-Administrators daran an. Sie müssen Ihre lokale Domain an den Benutzernamen anhängen (administrator@invis-net.loc) damit die Anmeldung funktioniert. Die Anmeldung funktioniert natürlich auch mit allen anderen Benutzerkonten des ActiveDirectories, allerdings verfügen normale Benutzer über zu wenig Rechte um Veränderungen am LDAP-Datenbestandes vornehmen zu können.
   * **MySQL Administration:** Administration der Datenbank-Engine MySQL. MySQL wird beispielsweise vom Groupware-System Ihres invis-Server genutzt. Sie können hiermit neue Datenbanken anlegen, sollten aber keine vorhandenen Löschen. Sie können phpMyAdmin auch zur Erstellung von Datensicherungen der Datenbanken nutzen. Das Passwort des MYSQL-Benutzers "root" können Sie mit dem Kommando //**sine2 showpws**// auf der Kommandozeile erfragen.
@@ Zeile 29: / Zeile 31: @@
   * **Netzwerkanalyse:** Das Programm ntop dient der Analyse des Datenverkehrs in Ihrem Netzwerk, nützlich etwa bei der Suche nach Fehlern. ntop ist im Normalbetrieb Ihres invis-Servers deaktiviert, da es diesen ansonsten unnötig belastet.
   * **Firewall-Test:** Dieser Link führt Sie auf die Internetseite von hackerswatch.org. Sie haben von dort umfangreiche Möglichkeiten die Firewall Ihres invis-Servers von außen zu testen.
-  * **Virtualbox:** Dahinter verbirgt sich die Software phpVirtualBox, ein Webfrontend zur Verwaltung virtueller Maschinen, die der klassischen VirtualBox-Management GUI zum verwechseln ähnlich sieht.
+  * **Virtualbox:** Dahinter verbirgt sich die Software phpVirtualBox, ein Webfrontend zur Verwaltung virtueller Maschinen, die der klassischen VirtualBox-Management GUI zum verwechseln ähnlich sieht und über nahezu den gleichen Funktionsumfang verfügt. (Nur sichtbar, wenn VirtualBox installiert ist.)
 Eine weitere Funktion des Portals ist die Verwaltung externer Mailkonten von denen der invis-Server die Emails der Benutzer abruft. Diese Funktion verlangt allerdings keine administrativen Rechte, sondern kann von jedem Benutzer selbst genutzt werden. Sie wird weiter unten auf dieser Seite gesondert beschrieben.
+==== Status-Informationen ====
+Nicht dem Administrator vorbehalten, sondern öffentlich für alle Benutzer einsehbar, ist die Status-Seite des invis-Servers. Sie enthält wichtige Informationen über den aktuellen Zustand des Server.
+//**Hinweis:** Um die Status-Seite via Internet sehen zu können ist eine Anmeldung am Portal erforderlich.//
+{{ :invis_server_wiki:i13_status_seite.png |}}
+**Erläuterungen:**
+  - **Systemdaten:** Servername, Uhrzeit des Servers und die Uptime. Diese Informationen können keine kritischen Werte annehmen. Sollte aber die Uhrzeit des Servers um mehr als 5 Minuten von der Uhrzeit Ihres Computers abweichen führt dies zu Problemen. Bitten Informieren Sie darüber Ihren Administrator.
+  - **Versionsinformationen:** Hier wird die Aktualität Ihrer invis-Server Installation und des darunter liegenden Linux Betriebssystems angezeigt. Solange die angezeigten Versionsnummern in grün oder orange angezeigt werden, müssen Sie sich keine Sorgen machen. Handlungsbedarf besteht wenn sich die Zahlen rot färben. Rechnen Sie alle 1 bis2 Jahre mit einem umfangreicheren Upgrade um Ihren Server wieder auf Stand zu bringen.
+  - **Festplatten und RAID-Verbünde:** Festplatten sind die Speicherorte für Ihre Daten, sie sind nicht für die Ewigkeit gebaut, sondern müssen als Verschleißteile angesehen werden. Damit es möglichst nicht zu überraschenden Ausfällen kommt, überwachen Festplatten sich selbst. Diese Überwachungsdaten werden von Ihrem Server abgerufen und hier angezeigt. Fehler werden hier in „rot“ angezeigt und sind sofort Ihrem Administrator zu melden. RAID-Verbünde sind der doppelte Boden, sie schützen vor Datenverlust bei einem Festplatten-Ausfall. Dies geschieht, in dem alle gespeicherten Daten mehrfach vorgehalten werden. Fällt eine Festplatte aus, gilt ein RAID-Verbund als beschädigt. Auch dies muss Ihr Administrator unmittelbar erfahren. Ab invis-Server 14.1 wird auch die bisherige Gesamtlaufzeit der Festplatten angezeigt und mit der durch den Hersteller garantierten Laufzeit ins Verhältnis gesetzt. Hilfreich, um rechtzeitige Erneuerung der Festplatten zu planen.
+  - **Plattenplatz-Reserve:** In aller Regel wird bei der Installation eines invis-Servers nicht der gesamte zur Verfügung Festplattenplatz verwendet. Statt dessen kann eine Reserve dazu genutzt werden, sie je nach Bedarf auf genutzte Laufwerke zu verteilen.
+  - **Festplattenauslastung:** Der zur Verfügung stehende Festplattenplatz wird während der Serverinstallation bedarfsorientiert auf sogenannte „Volumes“ verteilt. In diesen Volumes speichern Sie Ihre Nutzdaten. Wichtig sind dabei die Volumes „home“ (persönliche Benutzerverzeichnisse), „var“ (Datenbanken und Emails) sowie „srv“ (Arbeitsverzeichnisse). Für diese Volumes zeigt hier jeweils ein farbiger Balken den jeweiligen Füllstand. Die Balken verfärben sich je nach Belegung von grün nach rot. Sind alle Volumes im „roten Bereich“ und es steht keine Plattenplatz-Reserve mehr zur Verfügung muss der Server mit größeren oder weiteren Festplatten ausgerüstet werden. Versteht sich, dass Sie auch das Ihrem Administrator mitteilen müssen.
+  - **Serverzertifikate:** Serverzertifikate werden zur Verschlüsselung von Datenübertragungen genutzt. Beispielsweise werden Emails verschlüsselt übertragen, auch die Anmeldung am System läuft verschlüsselt ab. Serverzertifikate werden üblicherweise auf Zeit ausgestellt und werden nach Ablauf dieser Lebenszeit ungültig. Ungültige Serverzertifikate beeinträchtigen die Funktion eines invis-Servers massiv. Es kommt zu vielen Fehlern, deren Ursachen nicht unmittelbar erkennbar sind. Verfärbt sich die Schriftfarbe hier nach „orange“ bedeutet dies, dass ein Zertifikat in Kürze abläuft, rot hingegen, dass es bereits abgelaufen ist. Informieren Sie Ihren Administrator bitte rechtzeitig darüber. Die voreingestellt Lebensdauer von Serverzertifikaten eines invis-Servers beträgt 2 Jahre, die des Stammzertifikats 10 Jahre.
+  - **Internet:** Ihr invis-Server übernimmt in Ihrem Netzwerk die Funktion eines Routers und verbindet Ihr lokales Netzwerk mit dem Internet. Er überprüft die Verbindung zum Internet zyklisch alle 10 Minuten.  Das Ergebnis der Überprüfung kann 4 verschiedene Zustände, die natürlich farblich unterschiedlich dargestellt werden, annehmen: „online“ → Verbindung steht und funktioniert, „Verbindung schlecht“ → Die Verbindung steht zwar, es kommt aber zu Datenverlusten, in diesem Fall sollten Sie eine Störung beim Provider melden, „DNS Problem“ → Verbindung steht aber die Namensauflösung funktioniert nicht. Melden Sie dies Ihrem Administrator und „offline“ → keine Verbindung. In diesem Fall sollten Sie sich zuerst bei Ihrem Administrator und anschließend ggf. bei Ihrem Provider melden.
+  - **Datensicherung:** Diese Anzeige ist optional und nur dann sinnvoll, wenn das invis-Server eigene Datensicherungssystem genutzt wird. Es informiert über Erfolg bzw. Misserfolg der letzten Datensicherung und zeigt (wenn möglich) den Füllstand des Sicherungsmediums an. Wenn alles korrekt läuft, werden 4 einzelne Sicherungsaufgaben mit einem grünen „Erfolgreich“ gemeldet. Werden Informationen in rot angezeigt oder sind weniger bzw. keine Sicherungsergebnisse sichtbar, melden Sie dies umgehend Ihrem Administrator.
+  - **USV Status:** Auch diese Anzeige ist optional. Sie funktioniert nur, wenn Ihr Server über eine „Unterbrechungsfreie Stromversorgung“ (USV) des Herstellers APC gegen Stromausfälle abgesichert ist. Geräte anderer Hersteller können leider nicht unterstützt werden. Auch hier verändert sich die farbliche Darstellung der Anzeige. In orange oder gar rot dargestellte Werte sind umgehend Ihrem Administrator zu melden.
 ==== Anpassung des Portals ====
+//**Hinweis:** Um Anpassungen am invis-Portal vornehmen zu können ist Kommandozeilen-Zugriff auf den invis-Server erforderlich. Dazu finden Sie etwas weiter unten auf dieser Seite entsprechende Anleitungen.//
 Für die Konfiguration des invis-Portals sind zwei Dinge von Bedeutung:
@@ Zeile 97: / Zeile 122: @@
 Achten Sie bei der Verwendung des Scripts auf die Korrekte Schreibweise der Eintragsnamen.
+===== Benutzer- und Gruppenveraltung =====
+Die Verwaltung von Benutzern und Gruppen eines invis-Servers wird grundsätzlich über das invis-Portal vorgenommen. Eine weitere Möglichkeit stellen die Microsoft'schen Remote Server Administration Tools dar. Letztere sind allerdings nicht für den invis-Server optimiert. Die Verwaltung über das invis-Portal ist also vorzuziehen.
+Für das Verwalten von Benutzern und Gruppen via invis-Portal, müssen Sie sich als Administrator am Portal anmelden.
+Sie können mit dem Portal Benutzer und Gruppen anlegen, löschen und bearbeiten. Zum Bearbeiten von Benutzern gehört auch das Ändern von Kennwörtern.
+invis-Server verfügen über eine automatische Archivierungsfunktion. Wenn Sie Benutzer oder Gruppen löschen werden deren Verzeichnisse automatisch archiviert. Die Archivierung findet immer nachts statt. Die archivierten Verzeichnisse sind anschließend in der Freigabe "archiv" zu finden den Unterverzeichnissen "\user" und "\gruppen". Da speziell die Benutzer-Archive auch persönliche Daten enthalten können ist der Zugriff auf die Freigabe "archiv" recht restriktiv gehalten.
+//**Hinweis:** Achten Sie also auch aus rechtlichen Gründen darauf, wem Sie Zugriff auf die Freigabe "archiv" geben. Der Zugriff auf solche Daten sollte im Idealfall über eine entsprechende Betriebsvereinbarung rechtlich abgesichert sein.//
+//**Hinweis:** Wenn Sie viele Gruppen auf einmal anlegen möchten, sollten Sie sich das Toolbox-Script **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:toolbox#groupadd2ad_ab_invisad_105|groupadd2ad]]** anschauen.//
+==== Gruppen ====
+Die Möglichkeit Benutzer eines Computersystems zu Benutzergruppen zusammenzufassen ist beinahe so alt wie Computer überhaupt. Vor allem in Hinblick auf die Vergabe von Zugriffsrechten, beispielsweise auf Dateien oder Verzeichnisse hat das Vorteile, da es dies deutlich vereinfacht. Orientieren Sie sich bei der Rechtevergabe ausschließlich an Gruppen, müssen Sie einerseits bei der Rechtevergabe nicht alle Benutzer einzeln berücksichtigen. Es müssen also wesentlich weniger Regel vergeben werden.
+Scheidet ein Mitarbeiter aus dem Unternehmen aus, müssen Sie nicht alles irgendwie und irgendwo gesetzten Zugriffsrechte überarbeiten, sondern Sie nehmen den Mitarbeiter einfach aus den entsprechenden Gruppen heraus. In aller Regel klappt letzteres auch automatisch, wenn ein Benutzerkonto gelöscht wird. Auf irgendwie und irgendwo gesetzte Zugriffsregeln trifft das nicht zu.
+Auf invis-Servern entscheidet vielfach auch die Mitgliedschaft in bestimmten Gruppen darüber ob ein Benutzer eine auf dem Server installierte Software oder bestimmte Funktionen verwenden kann oder nicht. Für diese Zwecke existieren auf dem invis-Server folgende Gruppen:
+  - **owncloud:** Mitglieder dürfen ownCloud verwenden.
+  - **zeiterfassung:** Mitglieder dürfen die Zeiterfassungssoftware "Kimai" verwenden.
+  - **mobilusers:** Mitglieder dürfen sich via Internet am invis-Portal anmelden.
+  - **verwaltung:** Mitglieder dürfen auf die Netzwerkfreigabe "verwaltung" zugreifen.
+  - **archiv:** Mitglieder dürfen auf auf die Netzwerkfreigabe "archiv" zugreifen.
+  - **diradmins:** Mitglieder dürfen Gruppen-Verzeichnisvorlagen erstellen und bearbeiten.
+  - **wiki-nutzer:** Mitglieder haben Leserecht im Wiki.
+  - **wiki-redakteure:** Mitglieder dürfen im Wiki schreiben.
+  - **wiki-chefredakteure:** Dürfen im Wiki schreiben und auch Beiträge löschen.
+Die Gruppenverwaltung finden Sie im invis-Portal unter "administration"; erforderlich ist natürlich, dass sie am invis-Portal als Administrator angemeldet sind. Sie können dort neue Gruppen anlegen, sowie bestehende Gruppen bearbeiten. D.h. Benutzer hinzufügen oder entfernen.
+Wenn Sie eine neue Gruppe anlegen möchten, können Sie dabei von vorne herein ein paar Entscheidungen fällen. Sie können zunächst festlegen von welchem Typ die anzulegende Gruppe ist. Unterschieden wird zwischen drei Typen:
+  * **Team:** Ist eine einfache Benutzergruppe, um diese zur Vergabe von Zugriffsrechten zu verwenden.
+  * **Team+Gruppenmail:** Auch diese Gruppe kann zur Vergabe von Zugriffsrechten verwendet werden. Darüber hinaus ist sie auch für die Groupware Kopano zur Vergabe von Rechten innerhalb der Groupware verfügbar. Weiterhin können innerhalb der Groupware Mails an diese Gruppe gesendet werden. D.h. alle Mitglieder empfangen diese Mails.
+  * **Mail-Verteiler:** Dient nicht der Rechtevergabe, sondern kann mit Email-Adressen gefüllt werden um später als Email-Verteilerliste zu dienen.
+Neben dem Gruppentyp, können Sie ab invis-Server Version 14.0 entscheiden, ob der Gruppe eine Arbeitsverzeichnis zur Verfügung gestellt wird oder nicht. Wenn Sie ein Gruppenverzeichnis wünschen, können Sie überdies entscheiden ob ein leeres Verzeichnis oder ein Verzeichnis auf Basis einer Verzeichnisvorlage, also inklusive Unterverzeichnissen erstellt wird.
+{{ :invis_server_wiki:neue_gruppe.png?400 |}}
+Die Verzeichnisvorlagen werden in der Netzwerkfreigabe "media" im Unterverzeichnis <file>\portal\verzeichnisvorlagen</file> gepflegt. Mitglieder der Gruppe "diradmins" dürfen dort Verzeichnisstrukturen anlegen. Das invis-Portal schaut dort selbsttätig nach und zeigt diese dann zur Auswahl an.
+Es empfiehlt sich die Verzeichnisvorlagen nach dem Schema "01_Vorlagenname" durchnummeriert zu benennen. Das invis-Portal zeigt die Vorlagen genau in der nummerierten Reihenfolge an.
+==== Benutzer ====
+Das Anlegen von Benutzern über die Administrationsseite des invis-Portal ist weitestgehend selbsterklärend. Ungewöhnlich ist lediglich, dass es nicht möglich ist mit der Tabualtor-Taste zwischen den Eingabefeldern zu springen. (Gerade für Tastatur-Junkies wie mich ist das immer wieder ein Ärgernis, lässt sich aber leider nicht ohne weiteres beheben.)
+Wichtig für das Verständnis beim Anlegen von Benutzern ist allerdings die Unterschiede zwischen den verschiedenen Benutzertypen zu kennen:
+  - **Gast** -- Gäste sind einfache "Windows-Benutzer", die lediglich der Gruppe "Domain Guests" angehören. Das berechtigt Sie zum Zugriff auf die Transfer-Freigabe. Sie können sich nicht an Linux-Computern oder auch an der Kommandozeile des Servers anmelden. Auch steht für Sie kein Mailkonto zur Verfügung.
+  - **Mailkonto** -- Benutzer dieses Typs verfügen über Windows und Unix Attribute, können sich aber dennoch nicht an der Linux-Kommandozeile des Servers anmelden. Sie sind Mitglied der Gruppe "maildummies" und können das Mailsystem nutzen. Wird Kopano (ehemals Zarafa) als Groupware genutzt, werden Benutzer dieses Typs mit den Attributen "zarafaAccount" und  "zarafaSharedStoreOnly" versehen. Dadurch können Sie Emails empfangen, sich aber nicht an Kopano anmelden. Gedacht ist dies für Email-Funktionskonten wie z.B. "info@..." usw. Diese Konten können in Kopano freigegen werden. Um in deren Namen Mails zu versenden müssen zugelassene Absender als "SendAs Benutzer" im Benutzerkonto des Mailusers eingetragen werden. Dies ist entweder über phpLDAPAdmin oder die Microsoft Remote Server Administration Tools möglich.
+  - **Windows+UNIX** -- Reiner Windows-Benutzer und Linux-Benutzer, ohne Zugang zum Mailsystem. Sie sind Mitglied der Gruppe "Domain Users" haben also das Recht verschiedene Verzeichnisfreigaben des Servers zu nutzen.
+  - **Windows+UNIX+Groupware** -- Wie oben nur ergänzt um die Möglichkeit die Groupware und das Mailsystem zu nutzen.
+  - **WinAdmin+UNIX** -- Wie "Windows+UNIX", allerdings Mitglied der Gruppe "Domain Admins". Sie verfügen also auf allen Windows-PCs der Domäne über administrative Rechte.
+  - **WinAdmin+UNIX+Groupware** -- Wie "Windows+UNIX+Groupware" und Mitglied der Gruppe "Domain Admins". Zusätzlich werden Benutzer dieses Typs wenn Kopano als Groupware eingesetzt wird auch als kopano Admins geführt. Sie haben also das Recht jedes Postfach zu öffnen.
+//**Hinweis:** Damit sich Benutzer via Internet am invis-Portal anmelden können um von dort aus auf installierte Applikationen wie etwa das Wiki oder die Zeiterfassung zugreifen zu können, müssen Sie Mitglied in der Gruppe **mobilusers** sein. Davon ausgenommen sind Zugriffe auf ActiveSync (Smartphone-Synchronisation), die Kopano-Webapp und ownCloud. Zugriffe auf diese Applikationen ist ohne "Umweg" über das invis-Portal möglich, d.h. die Mitgliedschaft in **mobilusers** ist dafür nicht erforderlich.//
+Beim Anlegen eines Benutzers sind nur wenige Pflichtangaben zu machen. Dazu gehören der Anmeldename (Login), Vor- und Zuname, Passwort und der Benutzertyp zu wählen. Dabei gelten für Login-Name und Passwort ein paar Spielregeln:
+  - **Login:** Der Login-Name darf weder Leer- noch Sonderzeichen enthalten, ausgenommen Binde- und Unterstrich. Sie sollten beim Loginnamen ausschließlich Kleinbuchstaben verwenden.
+  - **Passwort:** Es gelten hier die Passwortregeln des ActiveDirectory. Diese können mit Hilfe des Tools //**pwsettings**// auf der Kommandozeile des invis-Servers definiert werden. Werden Veränderungen hinsichtlich der Passwortregeln vorgenommen müssen diese in der Konfigurationsdatei des invis-Portals ([[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#passwortsicherheit|siehe oben]]) übernommen werden.
+==== Exit Strategie ====
+Scheidet ein Mitarbeiter aus einem Unternehmen aus, ist das aus Sicht der IT-Verwaltung ein komplexer Vorgang. Je nach dem welche Berechtigungen und Möglichkeiten der Benutzer hatte, muss sichergestellt werden, dass er nach dem Ausscheiden nicht mehr auf den Datenbestand des Unternehmens zugreifen bzw. diesen verändern kann. Verfügt er über ein eigenes Mailkonto, muss auch hier festgelegt werden wie damit verfahren wird.
+Entscheidend für die Vorgehensweise sind überdies datenschutzrechtliche Bestimmungen, bzw. die Beachtung von Regelungen aus Betriebsvereinbarungen.
+Je nach Berechtigungen des ausscheidenden Mitarbeiters sind unterschiedliche Schritte nach seinem Ausscheiden erforderlich. Gehen wir davon aus, dass der Mitarbeiter neben lokalen Verzeichnisbereichtigungen über ein Mailkonto inklusive Groupwarezugang, das Recht von Ferne auf das invis-Portal zuzugreifen sowie einen VPN-Zugang hat.
+Folgende Schritte sind in diesem Fall durchzuführen:
+  - **Passwort ändern** - Die Änderung des Passworts eines ausgeschiedenen Mitarbeiters sollte unmittelbar nach dessen Ausscheiden erfolgen. Damit kann er sich weder lokal am System, noch am invis-Portal anmelden. Diesen Schritt kann der Administrator im invis-Portal vornehmen. (Administration -> Benutzer -> Löschen)
+  - **VPN-Schlüssel zurück ziehen** - Dieser Schritt verhindert, dass der Mitarbeiter weiterhin VPN-Verbindungen zum Unternehmensnetz aufbauen kann. Dieser Schritt erfordert eine Anmeldung an der Kommandozeile des Servers. Zurückgezogen wird der VPN-Schlüssel unter Verwendung des Scripts **''inviscerts''**.
+Um ein VPN-Client-Zertifikat zurückzuziehen geben Sie folgendes Kommando ein:
+<code>
+invis:~ # inviscerts vpn
+</code>
+Das Script fragt Sie nach dem Namen für den das Zertifikat ausgestellt wurde. Sie müssen diesen Namen hier exakt eingeben, da ansonsten davon ausgegangen wird, dass ein neues Zertifikat ausgestellt werden soll.
+Achten Sie bitte genau auf die Abfragen des Scripts. Sie benötigen in dessen Verlauf das Passwort der CA.
+Alle folgenden Schritte können dann in Ruhe geplant werden. Es geht jetzt vor allem darum, wie mit dem Datenbestand des ehemaligen Mitarbeiters verfahren wird. Dabei ist zu prüfen, ob dem Mitarbeiter das Recht auf private Email-Nutzung und die Ablage privater Daten auf dem Unternehmensserver gewährt wurde. Ist dies der Fall, darf auch nach dem Ausscheiden **niemand** auf das Postfach bzw. das persönliche Verzeichnis dieses Mitarbeiters zugreifen. Die Daten müssen entweder gelöscht oder sicher und vor Zugriffen geschützt archiviert werden. Löschen, ist dabei ein relativ schwieriges Unterfangen, da sich seine Daten auch in diversen Datensicherungen befinden dürften.
+Gehen wir für die nächsten Schritte davon aus, dass eine rechtsgültige Betriebsvereinbarung existiert, die den Umgang mit Mitarbeiterdaten regelt.
+"Private" Datenbestände eines Benutzers befinden sich in dessen:
+  * **persönlichem Verzeichnis auf dem Server**
+  * **ownCloud Konto**
+  * **Email-Konto**
+  * **ggf. auf seinem Arbeitsplatz-Computer**
+Besondere Überlegungen müssen bezüglich des Email-Kontos des Mitarbeiters angestellt werden. Dabei ist zunächst zu überlegen, ob der Mailbestand des Mitarbeiters für die weitere Arbeit des Unternehmens von Bedeutung sind. Ist das der Fall, muss der Mailbestand des Ausscheidenden einem anderen Mitarbeiter (seinem Nachfolger) oder seiner Abteilung zugänglich gemacht werden.
+Wird Kopano als Groupware eingesetzt, bietet sich die Möglichkeit das Konto des Benutzers in einen Kopano "Shared Store" umzuwandeln und daruf Zugriffsberechtigungen zu setzen, die andere zum Zugriff berechtigt. Wird diese Vorgehensweise gewählt, darf das Benutzerkonto des Mitarbeiters nicht gelöscht werden. Dies sollte maximal eine Maßnahme für begrentzte Zeit sein. Der Mailbestand sollte gesichtet und ggf. in ein anderes Konto oder in entsprechende öffentliche Ordner überführt werden.
+//**Hinweis:** Wird im Unternehmen (wie vom Gesetzgeber gefordert) ein revisionssicheres Email-Archiv betrieben, kann der Zugriff auf den Mailbestand des Mitarbeiters darüber erfolgen.//
+Ist der Umgang mit dem Mailbestand geregelt bzw. abgeschlossen, kann das Benutzerkonto des ausgeschiedenen Mitarbeiters gelöscht werden. Dieser Schritt wird im invis-Portal durchgeführt. Dabei wird das persönliche Verzeichnis des Benutzers automatisch archiviert. Zu finden sind die Daten anschließend in der Freigabe "Archiv" des invis-Servers. Zugriffsberechtigt sind lediglich Mitglieder der Gruppe "Archiv". Dies sollten maximal Mitglieder der Unternehmensleitung sein.
+Nach dem Löschen des Benutzerkontos bleibt der Mailbestand des Benutzers, im Falle von Kopano, als sogenannter "orphand Store" erhalten. Dieser aund andere "Datenleichen" können unter Verwendung des Scripts **''inhume''** endgültig beseitigt werden.
+<code>
+invis:~ # inhume username
+</code>
+Inspizieren Sie abschließend noch den PC des Mitarbeiters auf relvenanten Daten und sichern Sie diese soweit vorhanden auf den Server.
+Damit sind alle erforderlichen Schritte getan.
+===== Mailkonten verwalten =====
+Die Verwaltung von E-Mailkonten setzt sich aus mehreren Schritten zusammen und spielt sich entsprechend auf mehreren Ebenen ab.
+  - **Provider:** Zunächst muss ein Mailkonto bei einem Provider existieren oder eben angelegt werden. Für den weiteren Ablauf benötigen Sie dann die "reale" Email-Adresse, den Postausgangsserver des Providers und die zugehörigen Zugangsdaten zum Mailkonto. In vielen Fällen ist die Email-Adresse auch gleich der Benutzername zum Postfach.
+  - **Benutzerverwaltung des invis-Servers:** Hier muss, soweit nicht bereits geschehen, ein lokales Benutzerkonto angelegt werden, dem die externe Email-Adresse zugeordnet wird. invis-Server unterscheiden verschiedene Benutzerkonten-Typen die auch Email-berechtigt sind. Darunter ist der Typ "Mailkonto" nicht für reale Benutzer gedacht sondern zur Nutzung nicht personenbezogene Mail-Adressen, wie etwa "info@...."
+  - **Mailkontenverwaltung des invis-Servers:** Hier wird das externe Mailkonto dem lokalen Benutzer zugeordnet. Diese Zuordnung wird nachfolgend beschrieben.
+//**Hinweis:** Ab invis-Server Version 14.3 können Mailkonten auch vollständig administrativ auf der Kommandozeile verwaltet werden. Die Grund-Idee bei der Entwicklung des invis-Servers war eigentlich, dass wir die Kontenverwaltung, so einfach gestalten, dass Anwender sich selbst darum kümmern können. Leider wird dieses Angebot nicht angenommen. Meine persönliche Meinung ist, dass die meisten Anwender, trotz einfacher Gestaltung dazu nicht mehr in der Lage sind, da sie die Hintergründe nicht "mehr" verstehen.//
+==== Mailkontenverwaltung via invis-Portal ====
+=== Mailkonten "zuordnen" ===
+Noch aus den Anfangstagen des invis-Servers stammt das Programm "CorNAz" zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "local"{{ :invis_server_wiki:invisad-mailkonten1.png?250|}} des Portals hinter der Schaltfläche "Mailkonten". CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden.
+//**Hinweis:** Ab invis-Version 13.5 ist CorNAz voll ins invis-Portal integriert. Sie finden es unter dem Reiter "mail"//
+**Funktionen**
+  * externe Mailkonten einrichten oder löschen
+  * Benutzer auf an- oder abwesend setzen.
+  * Urlaubsbenachrichtigung einrichten oder abschalten
+  * Auswahl des Mailkontos über welches die Emails eines Benutzers versendet werden sollen.
+CorNAz verlangt eine gesonderte Anmeldung desjenigen lokalen Benutzers, dessen externe Mailkonten verwaltet werden sollen. Benötigt werden die Zugangsdaten des Benutzers die er auch zur Anmeldung am PC benötigt. {{ :invis_server_wiki:invisad-mailkonten2.png?200|}}
+Nach der Anmeldung stehen die verschiedenen Funktionen über entsprechende Schaltflächen zur Verfügung.{{ :invis_server_wiki:invisad-mailkonten3.png |}}
+=== Mailkonto anlegen ===
+Klicken Sie auf die Schaltfläche "Konto hinzufügen". Das Anlegen erfolgt in zwei Schritten. Im ersten Schritt können (müssen aber nicht) Sie einen Mailprovider aus einer Liste bekannter Provider auswählen und wenn gewünscht IMAP als Protokoll für den Mailabruf bevorzugen. Beides ist nicht notwendig, es kann im nächsten Schritt alles manuell angepasst werden.{{ :invis_server_wiki:invisad-mailkonten4.png |}}
+//**Hinweis:** Die Verwendung von IMAP macht hier weniger Sinn. IMAP belässt abgerufene Emails auf dem externen Server beim Provider. Da diese Konten meist in ihrer Größe begrenzt sind, besteht die Gefahr, dass ein solches Postfach irgendwann unbemerkt voll läuft. Nützlich ist dies lediglich um unabhängig vom invis-Server von "Überall" auf eingehende Emails zugreifen zu können. Da Ihr invis-Server aber ebenfalls von "Überall" erreichbar ist, spielt dies keine Rolle.//
+Klicken Sie auf Schaltfläche "Weiter zu Schritt 2". Hier können Sie die Zugangsdaten zu Ihrem externen Postfach eingeben. Die Zuordnung zum lokalen Benutzer erfolgt automatisch, da Sie ja mit dem gewünschten Benutzer an CorNAz angemeldet sind.{{ :invis_server_wiki:invisad-mailkonten5.png |}}
+Sie benötigen für diesen Schritt die Zugangsdaten zum externen Postfach. Als Protokoll für den Mail-Abruf ist die Auswahl "POP3s" zu bevorzugen. D.h. Alle Mails werden über eine verschlüsselte Verbindung vom Provider abgerufen und nach Erhalt beim Provider gelöscht. Nach Bestätigung der Zugangsdaten zeigt CorNAz alle eingegebenen Daten inklusive Passwort zur Überprüfung noch einmal an. Achten Sie also darauf, wer Ihnen über die Schulter schaut.
+Über die Verknüpfung "Hauptmenü" gelangen Sie wieder zurück zur Funktionsübersicht.
+Abschließend müssen Sie zumindest beim Erstanlegen eines externen Kontos den Benutzer als "Anwesend" führen. Dazu einfach auf die Schaltfläche Anwesend klicken.{{ :invis_server_wiki:invisad-mailkonten7.png |}}
+=== Mailkonto löschen ===
+Zum Löschen eines externen Kontos müssen Sie einfach auf die Schaltfläche "Konto löschen" klicken und dann aus der Liste der Konten des Benutzers das zu löschende Auswählen. Klicken Sie zum Löschen einfach auf die Schaltfläche "Löschen" links neben dem zu entfernenden Konto.{{ :invis_server_wiki:invisad-mailkonten8.png |}}
+Der im Screenshot gezeigte Warntext ist ernst gemeint. Es erfolgt beim Löschen keine Sicherheitsabfrage, es wird unmittelbar gelöscht.
+=== weitere Funktionen ===
+Grundsätzlich sind alle weiteren Funktionen von CorNAz in Ihrer Anwendung weitgehend selbsterklärend.
+**Hauptadresse auswählen**
+Verfügt ein invis-Benutzer über mehrere externe Email-Konten, muss dem invis-Server mitgeteilt werden, welche Adresse für den Versand von genutzt werden soll. Sie wählen die jeweilige Adresse einfach im Hauptmenü über die Schaltfläche "" links neben dem gewünschten Konto aus. Diese Auswahl kann jederzeit geändert werden. Sollen statt dessen mehrere Konten gleichberechtigt genutzt werden, sollten dafür jeweils eigene invis-Server Benutzer angelegt werden. Hierfür eignet sich der Benutzertyp "Maildummy" bzw. "Mailkonto".
+**Abwesend / Anwesend**
+Diese Funktion schaltet den Abruf von Emails aus externen Konten eines Benutzers je nach Wunsch ein oder aus. Nützlich ist dies bei längerer Abwesenheit, wenn der invis-Server nicht via Internet erreicht werden kann. In diesem Fall können während der Abwesenheit neue Emails direkt beim Provider, so dieser eine Webmail-Anbindung anbietet eingesehen werden. Im Normalfall sollte hier also immer **Anwesend** aktiviert sein.
+**Urlaubsbeginn / Urlaubsende**
+Diese Funktion generiert nach Wunsch Abwesenheitsbenachrichtigungen. Sie wurde von uns in letzter Zeit allerdings etwas stiefmütterlich behandelt, da Kopano, andere Groupwaresysteme und auch Roundcubemail eine solche Funktion selbst anbieten.
+==== Administrative Mailkontenverwaltung auf der Kommandozeile ====
+Insgesamt zählen (bisher / V. 14.3) 3 einzelne Scripts zur Mailkontenverwaltung:
+  * //**addmailaccount**// - Dient dem zuordnen externer Mailkonten zu einem lokalen Benutzerkonto. Es hinterlegt die Zugangsdaten dieses Mailkontos im ActiveDirectory.
+  * //**changemacstate**// - Damit läßt sich der Status eines Benutzers zwischen an- und abwesend ändern. D.h. Emails werden beim Provider abgerufen, oder eben nicht. Das hat nichts mit eine Abwesenheitsbenachrichtigung zu tun. Neue Mails verbleiben einfach beim Provider.
+  * //**refreshfrc**// - Wurden beispielsweise via phpLDAPAdmin Änderungen an den Zugangsdaten eines Email-Postfachs vorgenommen, müssen diese Daten in die aktive fetchmailrc-Datei übernommen werden um wirksam zu sein. Das Script generiert die fetchmailrc-Datei einfach neu auf Basis der bestehenden. D.h. ist ein Benutzer als "abwesend" geführt ändert das Script daran nichts.
+===== Geräte und Computer ins Netzwerk integrieren =====
+Bei der Integration eines neuen Gerätes, wie beispielsweise einen PC oder einen Netzwerkdrucker, in Ihr Netzwerk sorgen Sie dafür, dass dieses Gerät immer unter der gleichen IP-Adresse mit dem Netzwerk verbunden ist und es über einen von Ihnen festzulegenden Namen ansprechbar ist. Dahinter stehen die Dienste DNS (Namensauflösung) und DHCP (IP-Adressvergabe).
+Um ein neues Gerät ins Netzwerk zu integrieren müssen Sie es im invis-Portal Ihres Servers registrieren. Dabei wird eine sogenannte DHCP-Reservierung erzeugt, d.h. dafür Sorge getragen, dass das Gerät zuverlässig immer die selbe IP-Adresse vom DHCP-Dienst erhält. Weiterhin wird diese IP-Adresse im DNS-Dienst fest dem von Ihnen erdachten Namen verbunden.
+Damit dies funktioniert benötigen Sie als Erkennungsmerkmal für den DHCP-Dienst die sogenannte Hardware- oder auch MAC-Adresse des Gerätes. In vielen Fällen ist diese irgendwo am Gerät aufgedruckt. Netzwerkdrucker sind meist in der Lage eine Statusseite auszudrucken, die diese Information enthält.
+MAC-Adressen haben folgendes Format: **''28:d2:44:2d:21:a5''** \\
+Sie bestehen aus 6 Zeichenpaaren (Hexadezimalzahlen) bestehend aus den Ziffern **0-9** und den Buchstaben **a-f**.
+Weiterhin muss das Gerät bzw. der Computer **zwingend** für den automatischen Adressbezug (DHCP-Client) konfiguriert sein! In vielen Fällen entspricht das der Vorkonfiguration, ist dies nicht der Fall entnehmen Sie bitte dem Handbuch des Gerätes wie Sie dessen Konfiguration entsprechend ändern können.
+//**Achtung:** Von der Vergabe fester IP-Adressen am Gerät oder PC selbst, raten wir **dringend** ab. Derartiges Vorgehen birgt die Gefahr doppelter Adressvergabe im Netz und somit massiver Netzwerkprobleme.//
+//**Hinweis:** Wenn Sie viele neue Geräte auf einmal registrieren möchten, sollten Sie sich das Toolbox-Script **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:toolbox#hostadd2ad_ab_invisad_110|hostadd2ad]]** anschauen.//
+==== MAC-Adresse ermitteln ====
+Es gibt eine Reihe von Möglichkeiten die MAC-Adresse eines Gerätes oder Computers zu ermitteln. Wir werden hier lediglich erläutern, wie Sie dies mit Hilfe des invis-Servers selbst tun können. Mit den Netzwerkverwaltungswerkzeugen gängiger Betriebsysteme wie Linux, Windows oder MAC OS können Sie sich die MAC-Adresse des Computers auch am Gerät selbst anzeigen lassen.
+Melden Sie sich bevor Sie das neue Gerät mit dem Netzwerk verbinden als Benutzer "root" an der Konsole Ihres Servers an (siehe oben) und geben Sie folgendes Kommando ein:
+<code>
+invis:~ # journalctl -fu dhcpd.service
+...
+</code>
+Verbinden sie jetzt das neue Gerät mit dem Netzwerk, schalten es ein und beobachten dabei die Konsole. Nach kurzer Zeit wird sich die Konsole mit Zeilen wie nachfolgend gezeigt füllen:
+<code>
+...
+Dez 19 08:56:51 invis dhcpd[5367]: DHCPREQUEST for 172.20.200.3 from 7c:2f:80:1e:4b:c9 (DX600A-ISDN) via intern
+Dez 19 08:56:51 invis dhcpd[5367]: DHCPACK on 172.20.200.3 to 7c:2f:80:1e:4b:c9 (DX600A-ISDN) via intern
+...
+</code>
+Sie sehen dort die MAC Adresse des Gerätes, im Beispiel eines Netzwerk-fähigen ISDN-Telefons der Telekom. Es besteht bei dieser Methode die Gefahr, dass sich während Sie auf Ihr neues Gerät warten bereits im Netzwerk registrierte Geräte beim DHCP-Dienst melden. Um zu verhindern, dass Sie sich die falsche MAC-Adresse notieren, gehen Sie sicher, dass die dem Gerät zugewiesene Adresse aus dem freien Adress-Pool des DHCP-Servers stammt (Erläuterungen, siehe **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#ip-adressbereiche|hier]]**.
+Im gezeigten Beispiel ist es eine Adresse aus dem freien Pool, zu erkennen an der Zahl "200" an der dritten Stelle der vergebenen IP-Adresse.
+Um ganz sicher zu gehen, können Sie den Vorgang mehrfach wiederholen.
+Haben Sie die MAC-Adresse identifiziert und notiert, stoppen Sie das gestartete Kommando mit der Tastenkombination **''Strg+C''** und schalten das Gerät wieder ab, bzw. trennen es vom Netzwerk. (Am besten beides.)
+==== Gerät registrieren ====
+Zur Registrierung melden Sie sich als Administrator am invis-Portal Ihres Servers an und wechseln nach "administration" -> "Netzwerk". Klicken Sie im Hauptfenster jetzt auf "Gerät hinzufügen". Im sich öffnenden Eingabefenster wählen Sie zunächst den Gerätetyp aus, vergeben einen Namen, tragen den Standort und die MAC-Adresse ein.
+{{ :invis_server_wiki:geraet_hinzufuegen_1.png?400 |}}
+Dabei ist folgendes zu beachten:
+  - **Gerätetyp:** Diese Unterscheidung dient lediglich der Ordnung im Netz. Halten Sie sich daran, können Sie schon anhand der IP-Adresse zwischen PC und Drucker unterscheiden.
+  - **Name:** Hier muss ein gültiger DNS-Hostname (ohne Domäne) vergeben werden. D.h.: Keine Leer- und Sonderzeichen außer Bindestrichen, keine Umlaute und idealerweise nur Kleinbuchstaben. Neuere Versionen des invis-Portals verweigern Falscheingaben, ältere leider nicht.
+  - **Standort:** Freitext, der keine Umlaute enthalten darf.
+  - **MAC-Adresse:** MAC-Adressen sind weltweit einmalig und dienen als eindeutiges Erkennungsmerkmal, entsprechend dürfen Sie niemals zwei Einträge mit gleicher MAC-Adresse anlegen. Neuere Versionen des invis-Portals verhindern dies, ältere leider nicht.
+Bestätigen Sie Ihre Eingabe mit der Schaltfläche "Speichern".
+Verbinden Sie Ihr Gerät jetzt wieder mit dem Netzwerk bzw. starten es neu. Wenn Sie sich nicht bei der MAC-Adresse vertippt haben, sollte es jetzt eine fest reservierte IP-Adresse erhalten. Sie können dies auf die gleiche Weise überprüfen, wie Sie evtl. bei der oben beschriebenen Methode zur Ermittlung der MAC-Adresse vorgegangen sind.
+Handelt es sich bei Ihrem Gerät um Netzwerkhardware (Acce-Point, Switch usw.) oder einen Netzwerkdrucker, verfügt dieses/dieser garantiert über eine Webapplikation zur Konfiguration. Geben Sie einfach die IP-Adresse oder den vollen Namen des Gerätes mit vorangestelltem **''http''** in einem Browser ein. Wenn Sie auf dem Gerät landen, hat alles funktioniert.
+===== Dienste =====
+invis-Server verfügen über eine Reihe von Funktionen, viele dieser Funktionen werden durch auf dem Server permanent laufende Programme, Dienste oder auch Dämonen genannt, repräsentiert. Es kann jederzeit vorkommen, dass ein solcher Dienst aufgrund eines Fehlers seine Arbeit verweigert. Der Anwender bemerkt das natürlich daran, dass gewisse Dinge nicht mehr funktionieren, beispielsweise kann er keine Emails mehr versenden.
+Im einfachsten Fall genügt es einen gestörten Dienst neu zu starten um seine Funktion wieder herzustellen. Diese Möglichkeit bietet das invis-Portal.
+//**Achtung:** Die Verwaltung von Diensten ist kein Spaß. Einfach mal einen Dienst, den man nicht genau zuordnen kann zu stoppen, kann empfindliche Störungen der Betriebsabläufe Ihres Unternehmens nach sich ziehen. Wenn Sie sich hierbei nicht sicher sind kontaktieren Sie Ihren IT-Dienstleister.//
+Klicken Sie im invis-Portal auf "administration" -> "Dienste". Es kann jetzt eine ganze Weile dauern (30 Sekunden und mehr sind schon vorgekommen), bis sich im Hauptfenster des Portals eine mehrseitige Tabelle aufbaut. Jede Tabellenzeile entspricht dabei einem Dienst:
+{{ :invis_server_wiki:dienste.png? |}}
+Das Beispiel zeigt den Eintrag des Dienstes "amavis", der sich um das herausfiltern Viren-verseuchter, bzw. markieren Spam-verseuchter Mails Ihres Servers kümmert.
+Jede Spalte der Zeile hat natürlich eine eigene Bedeutung:
+  - Name des Dienstes
+  - Funktion des Dienstes
+  - Wird der Dienst beim Start Ihres Servers automatisch gestartet (enabled = ja)
+  - Läuft der Dienst im Moment (active = ja)
+  - In der letzten Spalte können Sie den Dienst steuern
+Sie haben die Optionen **Starten**, **Stoppen**, **Neu starten** und **Neu laden**. Dabei bedeutet "Neu laden" einen Dienst dazu zubringen eine veränderte Konfiguration neu einzulesen, ohne den Dienst zu stoppen. Diese Aufgabe wird allerdings in aller Regel direkt auf der Kommandozeile des Server erledigt, da auch dort Konfigurationsänderungen vorgenommen werden.
+Beherzigen Sie hier bitte folgende Tipps:
+  - Nur weil ein Dienst **nicht** läuft ist dies kein Grund ihn einfach so zu starten. Möglicherweise ist dessen Inaktivität ja beabsichtigt. Aufmerksam sollten Sie allerdings bei der Kombination aus "enabled" und "inactive" werden, dies ist in der Regel keine gewünschte Kombination.
+  - Nutzen Sie diese Funktionen nur aus gegebenem Anlass mit klarem Kontext. Also nur dann, wenn etwas nicht funktioniert.
+  - Sind Sie sich nicht sicher, halten Sie Rücksprache mit Ihrem IT-Dienstleister.
+  - Sie handeln hier auf eigene Gefahr, dessen sollten Sie sich bewusst sein!
+===== Sonderfunktionen im invis-Portal (Ab invis-Server Version 14.1) =====
+Die administrative-Seite "Funktionen" im invis-Portal bildet eine Schnittstelle zur Ausführung administrativer Shell-Scripts auf am Server auszuführen, ohne sich an dessen Konsole anzumelden.
+Derzeit vorhandene Funktionen:
+  * **Maschinenkonten erweitern** - Gedacht um Maschinen-Konten mit UNIX-Attributen zu erweitern. Notwendig ist das um beispielsweise Maschinen-Konten Zugriff auf Fileserver-Freigaben zu gewähren, etwa wenn Software via GPOs ausgerollt wird.
+  * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse, die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird.
+  * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus.
+  * **Benutzerdaten bereinigen** - (Ab Version 14.2) Wird ein Benutzerkonto gelöscht, verbleiben dessen Kopano- und ownCloud-Daten im jeweiligen System. Sie können über diese Funktion unter Angabe des Benutzernamens **endgültig** gelöscht werden.
+Die Integration weiterer Scripts ist in Planung.
 ===== Konsolenzugriff =====
@@ Zeile 396: / Zeile 718: @@
 Sorgen Sie dafür, dass Ihr invis Server über den Maintenance-Zeitraum der zugrunde liegenden openSUSE Version immer mit den aktuellen Sicherheits-Updates versorgt wird.
-invis-Server bringen seit Version invisAD 10.1 ein "Updater Script" mit. Gedacht ist es als "fire & forget" Updater für funktionsunkritische Sicherheitsaktualisierungen. Es werden dabei bestimmte Updates wie etwa solche installierter SQL-Dienste und auch Updates die einen Neustart erfordern ausgeklammert. Das Script kümmert sich selbsttätig um das Neustarten betroffener Dienste und die Anwendung des invis //**afterup**// Scripts. Rufen sie es einfach ohne weitere Optionen auf:
+Dabei ist zwischen dem Aktualisieren aller installierten Pakete und dem exklusiven Installieren von Sicherheitsupdates der Distribution. Ersteres ist nicht ganz frei von Gefahren. Beim Aktualisieren aller Pakete könnte beispielsweise auch das invis-Server Setup-Paket installiert werden. Das ist solange ungefährlich, wie dieses Paket keine strukturellen Änderungen am Server vornimmt. Ist dies doch der Fall kann die Funktionsweise des Servers erheblich gestört werden. Lesen Sie dafür hier im Wiki die Beschreibungen im Abschnitt Server Upgrade.
-<code>
+Wenn Sie wissen, was Sie tun läuft eine vollständige Aktualisierung wie folgt ab:
-invis:~ # invis-updater
-</code>
-Eine vollständige Aktualisierung können Sie mit //**zypper**// durchführen:
 <code>
@@ Zeile 410: / Zeile 728: @@
 </code>
-Es ist weder notwendig noch ratsam ein "Distribution Upgrade" mit **//zypper dup//** durchzuführen.
+//**Hinweis:** Es ist weder notwendig noch ratsam ein "Distribution Upgrade" mit **zypper dup** durchzuführen!//
 Möchten Sie lediglich die Sicherheitspatches der Distribution installieren können Sie dies mit "YaST Online Update" (kurz: you) erledigen:
@@ Zeile 418: / Zeile 736: @@
 </code>
+Dabei werden definitiv nur Patches installiert, die keine strukturellen Veränderungen am Setup mitbringen.
 ==== SMTP-Relay / SMTP-Auth  für Postfix einrichten ====
 invis Server sind meist via DSL mit dem Internet verbunden, verfügen also nicht über eine dauerhafte Internet-Anbindung. Das macht sie aus Sicht vieler Internet-Mailserver **zurecht** nicht vertrauenswürdig. Um aus dieser Situation heraus zuverlässig Emails versenden zu können, wird für den Mailversand eine Relais-Station (Relay-Server) benötigt, die uns vertraut. Dabei handelt es sich eigentlich um nichts anderes als die Konfiguration eines Postausgangsservers, so wie das auch in Mail-Clients gemacht wird.
@@ Zeile 483: / Zeile 802: @@
   * Erzeugen und Verlängern des LDAP-Server Zertifikats.
-  * Erzeugen und Verlängern des Zertifikats für externen Zugriff. Es wird sowohl vom Apache-Webserver für Portal-Zugriff, z-Push und ownCloud, sowie dem openCPN-Server genutzt.
+  * Erzeugen und Verlängern des Zertifikats für externen Zugriff. Für den Fall, dass für externe Zugriffe nicht mit Let's Encrypt Zertifikaten gearbeitet wird, wird das so erzeugte "Extern-Zertifikat" sowohl vom Apache-Webserver für Portal-Zugriff, z-Push und ownCloud, sowie dem openCPN-Server genutzt.
   * Erzeugen und Verlängern des Mailserver-Zertifikates.
   * Erzeugen, Sperren und Verlängern von VPN-Client-Zertifikaten.
@@ Zeile 489: / Zeile 808: @@
 Nebenstehend erläutert ein Ablaufdiagramm die Funktionsweise des Scripts.
-Es ist dem Script, im Unterschied zu seinen Vorgängern, nicht mehr möglich noch gültige Zertifikate zu erneuern. Damit verstößt //**inviscerts**// nicht mehr gegen gängige Regeln der Zertifikatsverwaltung.
 Die voreingestellten Lebensdauern der Server- und Client-Zertifikate beträgt 730 Tage, also 2 Jahre. Die Lebensdauer der CA selbst liegt bei 10 Jahren. Ändern lässt sich dies in: <file>/etc/easy-rsa/vars</file> Notwendig ist das aber nicht.
@@ Zeile 507: / Zeile 824: @@
   * **extern** - Zertifikat für den Zugriff via Internet, gilt sowohl für das invis-Portal, ActiveSync, Kopano-Webapp, ownCloud und OpenVPN. Wird auf den im Internet gültigen DDNS Namen des invis-Servers ausgestellt.
   * **vpn** - Erstellt OpenVPN Client-Zertifikate. Hier wird als "Common Name" des Zertifikats der Hostname des Client-Computers erstellt. Alternativ ist auch "vorname.zuname" des Anwenders möglich.
-  * **crl** - Aktualisiert die "Certificate Revocation List". Dies ist wichtig, damit speziell OpenVPN keine Zurückgezogenen Zertifikate mehr akzeptiert.
+  * **crl** - Aktualisiert die "Certificate Revocation List". Dies ist wichtig, damit speziell OpenVPN keine zurückgezogenen Zertifikate mehr akzeptiert.
 Ohne Option aufgerufen gibt //**inviscerts**// einfach nur eine kurze Hilfe für dessen Verwendung aus.
@@ Zeile 521: / Zeile 838: @@
 Weitere Informationen zum Umgang mit easyRSA sind im deutschsprachigen Wiki von OpenVPN zu finden: [[http://wiki.openvpn.eu/index.php/Erzeugen_einer_PKI_mit_EasyRSA|OpenVPN Wiki]]
+**Individuelle Zertifikate**
+Werden weitere individuelle Server- oder Client-Zertifikate, so ist dies direkt mit dem Kommando ''easy-rsa'' möglich.
+//**Hinweis:** Dabei ist zu beachten, dass Googles Chrome-Browser inzwischen verlangt, dass Server-Zertifikate das Attribut SubjectAltNames enthalten. Ohne dieses Attribut erfolgt immer eine Zertifikatswarnung.//
+Ein Beispiel für ein Server-Zertifikat:
+<code>
+invis:~ # easyrsa --subject-alt-name="DNS:host.example.loc" build-server-full host.example.loc nopass
+</code>
+Die Option "nopass" am Ende des Kommandos sorgt dafür, dass der private Schlüssel seinerseits nicht mit einem Passwort verschlüsselt wird. Im Falle von Server-Zertifikaten erleichtert das den Umgang damit, da dem Server-Dienst ansonsten immer das Passwort mitgegeben werden müsste. Bei vielen Diensten ist dies gar nicht möglich.
+Beispiel für ein Client-Zertifikat:
+<code>
+invis:~ # easyrsa --subject-alt-name="DNS:host.pe.loc" build-client-full host.pe.loc nopass
+</code>
+Zum Erstellen von Zertifikaten wird immer das Passwort des privaten CA-Schlüssels benötigt.
+Neue Zertifikate werden in: <file>/etc/easy-rsa/example.loc/issued</file> und die zugehörigen privaten Schlüssel in: <file>/etc/easy-rsa/example.loc/private</file> abgelegt.
+**PKCS#12**
+Werden Schlüsselpaare in PKCS12-Containerformat benötigt, können diese nach Erstellung der Schlüsselpaare als solche exportiert werden:
+<code>
+invis:~ # easyrsa export-p12 host.example.loc
+</code>
+Dabei fragt das Kommando nach einem Export-Passwort. Soll die p12-Datei nicht Passwort-verschlüsselt werden, kann die Passworteingabe durch einfaches Drücken der Enter-Taste quittiert werden.
+Zu finden sind die erstellten p12-Dateien in:  <file>/etc/easy-rsa/example.loc/private</file>
+**Öffentlichen Schlüssel extrahieren**
+<code>
+server14:~ # openssl x509 -in hostname.crt -noout -pubkey > hostname-public.pem
+</code>
 === Zertifikate von Let's Encrypt (ab invis Version 12.1) ===
@@ Zeile 592: / Zeile 950: @@
 invis-Server arbeiten als DNS-Server für die eigene lokale Domäne und als Forward-Nameserver für die Namensauflösung im Internet. Für letzteren Zweck nutzt der auf einem invis-Serverlaufende DNS-Dienst //**bind**// seinerseits wieder Forward-Nameserver. Oft werden hierfür beispielsweise die DNS-Server des Internet-Providers oder der vorgeschaltete Router genutzt. Es kann vorkommen, beispielsweise bei einem Provider-Wechsel, dass auf andere DNS-Forwarders umgestellt werden muss.
+//**Hinweis:** Die genutzten DNS-Forwarder werden bereits beim Setup des invis-Servers abgefragt. Ändern müssen Sie daran lediglich etwas, wenn einer der ursprünglich gwählten Server seinen Dienst einstellt.//
 Die Einstellungen werden in der Datei <file>/etc/named.conf</file> vorgenommen. Hier können in der folgenden Zeile bis zu drei Nameserver eingetragen werden:
@@ Zeile 625: / Zeile 985: @@
 Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**//
-===== Benutzer- und Gruppenveraltung =====
-Die Verwaltung von Benutzern und Gruppen eines invis-Servers wird grundsätzlich über das invis-Portal vorgenommen. Eine weitere Möglichkeit stellen die Microsoft'schen Remote Server Administration Tools dar. Letztere sind allerdings nicht für den invis-Server optimiert. Die Verwaltung über das invis-Portal ist also vorzuziehen.
-Für das Verwalten von Benutzern und Gruppen via invis-Portal, müssen Sie sich als Administrator am Portal anmelden.
-Sie können mit dem Portal Benutzer und Gruppen anlegen, löschen und bearbeiten. Zum Bearbeiten von Benutzern gehört auch das Ändern von Kennwörtern.
-invis-Server verfügen über eine automatische Archivierungsfunktion. Wenn Sie Benutzer oder Gruppen löschen werden deren Verzeichnisse automatisch archiviert. Die Archivierung findet immer nachts statt. Die archivierten Verzeichnisse sind anschließend in der Freigabe "archiv" zu finden den Unterverzeichnissen "\user" und "\gruppen". Da speziell die Benutzer-Archive auch persönliche Daten enthalten können ist der Zugriff auf die Freigabe "archiv" recht restriktiv gehalten.
-//**Hinweis:** Achten Sie also auch aus rechtlichen Gründen darauf, wem Sie Zugriff auf die Freigabe "archiv" geben. Der Zugriff auf solche Daten sollte im Idealfall über eine entsprechende Betriebsvereinbarung rechtlich abgesichert sein.//
-==== Gruppen ====
-Die Möglichkeit Benutzer eines Computersystems zu Benutzergruppen zusammenzufassen ist beinahe so alt wie Computer überhaupt. Vor allem in Hinblick auf die Vergabe von Zugriffsrechten, beispielsweise auf Dateien oder Verzeichnisse hat das Vorteile, da es dies deutlich vereinfacht. Orientieren Sie sich bei der Rechtevergabe ausschließlich an Gruppen, müssen Sie einerseits bei der Rechtevergabe nicht alle Benutzer einzeln berücksichtigen. Es müssen also wesentlich weniger Regel vergeben werden.
-Scheidet ein Mitarbeiter aus dem Unternehmen aus, müssen Sie nicht alles irgendwie und irgendwo gesetzten Zugriffsrechte überarbeiten, sondern Sie nehmen den Mitarbeiter einfach aus den entsprechenden Gruppen heraus. In aller Regel klappt letzteres auch automatisch, wenn ein Benutzerkonto gelöscht wird. Auf irgendwie und irgendwo gesetzte Zugriffsregeln trifft das nicht zu.
-Auf invis-Servern entscheidet vielfach auch die Mitgliedschaft in bestimmten Gruppen darüber ob ein Benutzer eine auf dem Server installierte Software oder bestimmte Funktionen verwenden kann oder nicht. Für diese Zwecke existieren auf dem invis-Server folgende Gruppen:
-  - **owncloud:** Mitglieder dürfen ownCloud verwenden.
-  - **zeiterfassung:** Mitglieder dürfen die Zeiterfassungssoftware "Kimai" verwenden.
-  - **mobilusers:** Mitglieder dürfen sich via Internet am invis-Portal anmelden.
-  - **verwaltung:** Mitglieder dürfen auf die Netzwerkfreigabe "verwaltung" zugreifen.
-  - **archiv:** Mitglieder dürfen auf auf die Netzwerkfreigabe "archiv" zugreifen.
-  - **diradmins:** Mitglieder dürfen Gruppen-Verzeichnisvorlagen erstellen und bearbeiten.
-  - **wiki-nutzer:** Mitglieder haben Leserecht im Wiki.
-  - **wiki-redakteure:** Mitglieder dürfen im Wiki schreiben.
-  - **wiki-chefredakteure:** Dürfen im Wiki schreiben und auch Beiträge löschen.
-Die Gruppenverwaltung finden Sie im invis-Portal unter "administration"; erforderlich ist natürlich, dass sie am invis-Portal als Administrator angemeldet sind. Sie können dort neue Gruppen anlegen, sowie bestehende Gruppen bearbeiten. D.h. Benutzer hinzufügen oder entfernen.
-Wenn Sie eine neue Gruppe anlegen möchten, können Sie dabei von vorne herein ein paar Entscheidungen fällen. Sie können zunächst festlegen von welchem Typ die anzulegende Gruppe ist. Unterschieden wird zwischen drei Typen:
-  * **Team:** Ist eine einfache Benutzergruppe, um diese zur Vergabe von Zugriffsrechten zu verwenden.
-  * **Team+Gruppenmail:** Auch diese Gruppe kann zur Vergabe von Zugriffsrechten verwendet werden. Darüber hinaus ist sie auch für die Groupware Kopano zur Vergabe von Rechten innerhalb der Groupware verfügbar. Weiterhin können innerhalb der Groupware Mails an diese Gruppe gesendet werden. D.h. alle Mitglieder empfangen diese Mails.
-  * **Mail-Verteiler:** Dient nicht der Rechtevergabe, sondern kann mit Email-Adressen gefüllt werden um später als Email-Verteilerliste zu dienen.
-Neben dem Gruppentyp, können Sie ab invis-Server Version 14.0 entscheiden, ob der Gruppe eine Arbeitsverzeichnis zur Verfügung gestellt wird oder nicht. Wenn Sie ein Gruppenverzeichnis wünschen, können Sie überdies entscheiden ob ein leeres Verzeichnis oder ein Verzeichnis auf Basis einer Verzeichnisvorlage, also inklusive Unterverzeichnissen erstellt wird.
-Die Verzeichnisvorlagen werden in der Netzwerkfreigabe "media" im Unterverzeichnis <file>\portal\verzeichnisvorlagen</file> gepflegt. Mitglieder der Gruppe "diradmins" dürfen dort Verzeichnisstrukturen anlegen. Das invis-Portal schaut dort selbsttätig nach und zeigt diese dann zur Auswahl an.
-Es empfiehlt sich die Verzeichnisvorlagen nach dem Schema "01_Vorlagenname" durchnummeriert zu benennen. Das invis-Portal zeigt die Vorlagen genau in der nummerierten Reihenfolge an.
-==== Benutzer ====
-Das Anlegen von Benutzern über die Administrationsseite des invis-Portal ist weitestgehend selbsterklärend. Ungewöhnlich ist lediglich, dass es nicht möglich ist mit der Tabualtor-Taste zwischen den Eingabefeldern zu springen. (Gerade für Tastatur-Junkies wie mich ist das immer wieder ein Ärgernis, lässt sich aber leider nicht ohne weiteres beheben.)
-Wichtig für das Verständnis beim Anlegen von Benutzern ist allerdings die Unterschiede zwischen den verschiedenen Benutzertypen zu kennen:
-  - **Gast** -- Gäste sind einfache "Windows-Benutzer", die lediglich der Gruppe "Domain Guests" angehören. Das berechtigt Sie zum Zugriff auf die Transfer-Freigabe. Sie können sich nicht an Linux-Computern oder auch an der Kommandozeile des Servers anmelden. Auch steht für Sie kein Mailkonto zur Verfügung.
-  - **Mailkonto** -- Benutzer dieses Typs verfügen über Windows und Unix Attribute, können sich aber dennoch nicht an der Linux-Kommandozeile des Servers anmelden. Sie sind Mitglied der Gruppe "maildummies" und können das Mailsystem nutzen. Wird Kopano (ehemals Zarafa) als Groupware genutzt, werden Benutzer dieses Typs mit den Attributen "zarafaAccount" und  "zarafaSharedStoreOnly" versehen. Dadurch können Sie Emails empfangen, sich aber nicht an Kopano anmelden. Gedacht ist dies für Email-Funktionskonten wie z.B. "info@..." usw. Diese Konten können in Kopano freigegen werden. Um in deren Namen Mails zu versenden müssen zugelassene Absender als "SendAs Benutzer" im Benutzerkonto des Mailusers eingetragen werden. Dies ist entweder über phpLDAPAdmin oder die Microsoft Remote Server Administration Tools möglich.
-  - **Windows+UNIX** -- Reiner Windows-Benutzer und Linux-Benutzer, ohne Zugang zum Mailsystem. Sie sind Mitglied der Gruppe "Domain Users" haben also das Recht verschiedene Verzeichnisfreigaben des Servers zu nutzen.
-  - **Windows+UNIX+Groupware** -- Wie oben nur ergänzt um die Möglichkeit die Groupware und das Mailsystem zu nutzen.
-  - **WinAdmin+UNIX** -- Wie "Windows+UNIX", allerdings Mitglied der Gruppe "Domain Admins". Sie verfügen also auf allen Windows-PCs der Domäne über administrative Rechte.
-  - **WinAdmin+UNIX+Groupware** -- Wie "Windows+UNIX+Groupware" und Mitglied der Gruppe "Domain Admins". Zusätzlich werden Benutzer dieses Typs wenn Kopano als Groupware eingesetzt wird auch als kopano Admins geführt. Sie haben also das Recht jedes Postfach zu öffnen.
-//**Hinweis:** Damit sich Benutzer via Internet am invis-Portal anmelden können um von dort aus auf installierte Applikationen wie etwa das Wiki oder die Zeiterfassung zugreifen zu können, müssen Sie Mitglied in der Gruppe **mobilusers** sein. Davon ausgenommen sind Zugriffe auf ActiveSync (Smartphone-Synchronisation), die Kopano-Webapp und ownCloud. Zugriffe auf diese Applikationen ist ohne "Umweg" über das invis-Portal möglich, d.h. die Mitgliedschaft in **mobilusers** ist dafür nicht erforderlich.//
-Beim Anlegen eines Benutzers sind nur wenige Pflichtangaben zu machen. Dazu gehören der Anmeldename (Login), Vor- und Zuname, Passwort und der Benutzertyp zu wählen. Dabei gelten für Login-Name und Passwort ein paar Spielregeln:
-  - **Login:** Der Login-Name darf weder Leer- noch Sonderzeichen enthalten, ausgenommen Binde- und Unterstrich. Sie sollten beim Loginnamen ausschließlich Kleinbuchstaben verwenden.
-  - **Passwort:** Es gelten hier die Passwortregeln des ActiveDirectory. Diese können mit Hilfe des Tools //**pwsettings**// auf der Kommandozeile des invis-Servers definiert werden. Werden Veränderungen hinsichtlich der Passwortregeln vorgenommen müssen diese in der Konfigurationsdatei des invis-Portals ([[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#passwortsicherheit|siehe oben]]) übernommen werden.
-===== Mailkonten verwalten =====
-Die Verwaltung von E-Mailkonten setzt sich aus mehreren Schritten zusammen und spielt sich entsprechend auf mehreren Ebenen ab.
-  - **Provider:** Zunächst muss ein Mailkonto bei einem Provider existieren oder eben angelegt werden. Für den weiteren Ablauf benötigen Sie dann die "reale" Email-Adresse, den Postausgangsserver des Providers und die zugehörigen Zugangsdaten zum Mailkonto. In vielen Fällen ist die Email-Adresse auch gleich der Benutzername zum Postfach.
-  - **Benutzerverwaltung des invis-Servers:** Hier muss, soweit nicht bereits geschehen, ein lokales Benutzerkonto angelegt werden, dem die externe Email-Adresse zugeordnet wird. invis-Server unterscheiden verschiedene Benutzerkonten-Typen die auch Email-berechtigt sind. Darunter ist der Typ "Mailkonto" nicht für reale Benutzer gedacht sondern zur Nutzung nicht personenbezogene Mail-Adressen, wie etwa "info@...."
-  - **Mailkontenverwaltung des invis-Servers:** Hier wird das externe Mailkonto dem lokalen Benutzer zugeordnet. Diese Zuordnung wird nachfolgend beschrieben.
-==== Mailkonten "zuordnen" ====
-Noch aus den Anfangstagen des invis-Servers stammt das Programm "CorNAz" zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "local"{{ :invis_server_wiki:invisad-mailkonten1.png?250|}} des Portals hinter der Schaltfläche "Mailkonten". CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden.
-//**Hinweis:** Ab invis-Version 13.5 ist CorNAz voll ins invis-Portal integriert. Sie finden es unter dem Reiter "mail"//
-**Funktionen**
-  * externe Mailkonten einrichten oder löschen
-  * Benutzer auf an- oder abwesend setzen.
-  * Urlaubsbenachrichtigung einrichten oder abschalten
-  * Auswahl des Mailkontos über welches die Emails eines Benutzers versendet werden sollen.
-CorNAz verlangt eine gesonderte Anmeldung desjenigen lokalen Benutzers, dessen externe Mailkonten verwaltet werden sollen. Benötigt werden die Zugangsdaten des Benutzers die er auch zur Anmeldung am PC benötigt. {{ :invis_server_wiki:invisad-mailkonten2.png?200|}}
-//**Achtung:** Auf invis-Servern vor Version 14.0 erfolgte die Anmeldung an CorNAz gegen den auf dem invis-Server installierten IMAP-Dienst. Verfügt der Benutzer nicht über ein lokales Postfach (dies ist abhängig vom Benutzertyp) schlägt die Anmeldung fehl. Das war gewünschtes Verhalten, da es keinen Sinn macht Emails von einem externen Server abzuholen, wenn diese nicht in einem lokalen Konto abgelegt werden können. Aus technischen Gründen ist das auf neueren Systemen nicht mehr so. Passen Sie also auf, dass der lokale Benutzer beispielsweise auch die Berechtigung hat etwa die Groupware Kopano zu verwenden. Ohne diese Berechtigungen könnten eingehende Mails nicht lokal zugestellt werden.//
-Nach der Anmeldung stehen die verschiedenen Funktionen über entsprechende Schaltflächen zur Verfügung.{{ :invis_server_wiki:invisad-mailkonten3.png |}}
-==== Mailkonto anlegen ====
-Klicken Sie auf die Schaltfläche "Konto hinzufügen". Das Anlegen erfolgt in zwei Schritten. Im ersten Schritt können (müssen aber nicht) Sie einen Mailprovider aus einer Liste bekannter Provider auswählen und wenn gewünscht IMAP als Protokoll für den Mailabruf bevorzugen. Beides ist nicht notwendig, es kann im nächsten Schritt alles manuell angepasst werden.{{ :invis_server_wiki:invisad-mailkonten4.png |}}
-//**Hinweis:** Die Verwendung von IMAP macht hier weniger Sinn. IMAP belässt abgerufene Emails auf dem externen Server beim Provider. Da diese Konten meist in ihrer Größe begrenzt sind, besteht die Gefahr, dass ein solches Postfach irgendwann unbemerkt voll läuft. Nützlich ist dies lediglich um unabhängig vom invis-Server von "Überall" auf eingehende Emails zugreifen zu können. Da Ihr invis-Server aber ebenfalls von "Überall" erreichbar ist, spielt dies keine Rolle.//
-Klicken Sie auf Schaltfläche "Weiter zu Schritt 2". Hier können Sie die Zugangsdaten zu Ihrem externen Postfach eingeben. Die Zuordnung zum lokalen Benutzer erfolgt automatisch, da Sie ja mit dem gewünschten Benutzer an CorNAz angemeldet sind.{{ :invis_server_wiki:invisad-mailkonten5.png |}}
-Sie benötigen für diesen Schritt die Zugangsdaten zum externen Postfach. Als Protokoll für den Mail-Abruf ist die Auswahl "POP3s" zu bevorzugen. D.h. Alle Mails werden über eine verschlüsselte Verbindung vom Provider abgerufen und nach Erhalt beim Provider gelöscht. Nach Bestätigung der Zugangsdaten zeigt CorNAz alle eingegebenen Daten inklusive Passwort zur Überprüfung noch einmal an. Achten Sie also darauf, wer Ihnen über die Schulter schaut.
-Über die Verknüpfung "Hauptmenü" gelangen Sie wieder zurück zur Funktionsübersicht.
-Abschließend müssen Sie zumindest beim Erstanlegen eines externen Kontos den Benutzer als "Anwesend" führen. Dazu einfach auf die Schaltfläche Anwesend klicken.{{ :invis_server_wiki:invisad-mailkonten7.png |}}
-==== Mailkonto löschen ====
-Zum Löschen eines externen Kontos müssen Sie einfach auf die Schaltfläche "Konto löschen" klicken und dann aus der Liste der Konten des Benutzers das zu löschende Auswählen. Klicken Sie zum Löschen einfach auf die Schaltfläche "Löschen" links neben dem zu entfernenden Konto.{{ :invis_server_wiki:invisad-mailkonten8.png |}}
-Der im Screenshot gezeigte Warntext ist ernst gemeint. Es erfolgt beim Löschen keine Sicherheitsabfrage, es wird unmittelbar gelöscht.
-==== weitere Funktionen ====
-Grundsätzlich sind alle weiteren Funktionen von CorNAz in Ihrer Anwendung weitgehend selbsterklärend.
-**Hauptadresse auswählen**
-Verfügt ein invis-Benutzer über mehrere externe Email-Konten, muss dem invis-Server mitgeteilt werden, welche Adresse für den Versand von genutzt werden soll. Sie wählen die jeweilige Adresse einfach im Hauptmenü über die Schaltfläche "" links neben dem gewünschten Konto aus. Diese Auswahl kann jederzeit geändert werden. Sollen statt dessen mehrere Konten gleichberechtigt genutzt werden, sollten dafür jeweils eigene invis-Server Benutzer angelegt werden. Hierfür eignet sich der Benutzertyp "Maildummy" bzw. "Mailkonto".
-**Abwesend / Anwesend**
-Diese Funktion schaltet den Abruf von Emails aus externen Konten eines Benutzers je nach Wunsch ein oder aus. Nützlich ist dies bei längerer Abwesenheit, wenn der invis-Server nicht via Internet erreicht werden kann. In diesem Fall können während der Abwesenheit neue Emails direkt beim Provider, so dieser eine Webmail-Anbindung anbietet eingesehen werden. Im Normalfall sollte hier also immer **Anwesend** aktiviert sein.
-**Urlaubsbeginn / Urlaubsende**
-Diese Funktion generiert nach Wunsch Abwesenheitsbenachrichtigungen. Sie wurde von uns in letzter Zeit allerdings etwas stiefmütterlich behandelt, da Kopano, andere Groupwaresysteme und auch Roundcubemail eine solche Funktion selbst anbieten.
-===== Geräte und Computer ins Netzwerk integrieren =====
-Bei der Integration eines neuen Gerätes, wie beispielsweise einen PC oder einen Netzwerkdrucker, in Ihr Netzwerk sorgen Sie dafür, dass dieses Gerät immer unter der gleichen IP-Adresse mit dem Netzwerk verbunden ist und es über einen von Ihnen festzulegenden Namen ansprechbar ist. Dahinter stehen die Dienste DNS (Namensauflösung) und DHCP (IP-Adressvergabe).
-Um ein neues Gerät ins Netzwerk zu integrieren müssen Sie es im invis-Portal Ihres Servers registrieren. Dabei wird eine sogenannte DHCP-Reservierung erzeugt, d.h. dafür Sorge getragen, dass das Gerät zuverlässig immer die selbe IP-Adresse vom DHCP-Dienst erhält. Weiterhin wird diese IP-Adresse im DNS-Dienst fest dem von Ihnen erdachten Namen verbunden.
-Damit dies funktioniert benötigen Sie als Erkennungsmerkmal für den DHCP-Dienst die sogenannte Hardware- oder auch MAC-Adresse des Gerätes. In vielen Fällen ist diese irgendwo am Gerät aufgedruckt. Netzwerkdrucker sind meist in der Lage eine Statusseite auszudrucken, die diese Information enthält.
-MAC-Adressen haben folgendes Format: **''28:d2:44:2d:21:a5''** \\
-Sie bestehen aus 6 Zeichenpaaren (Hexadezimalzahlen) bestehend aus den Ziffern **0-9** und den Buchstaben **a-f**.
-Weiterhin muss das Gerät bzw. der Computer **zwingend** für den automatischen Adressbezug (DHCP-Client) konfiguriert sein! In vielen Fällen entspricht das der Vorkonfiguration, ist dies nicht der Fall entnehmen Sie bitte dem Handbuch des Gerätes wie Sie dessen Konfiguration entsprechend ändern können.
-//**Achtung:** Von der Vergabe fester IP-Adressen am Gerät oder PC selbst, raten wir **dringend** ab. Derartiges Vorgehen birgt die Gefahr doppelter Adressvergabe im Netz und somit massiver Netzwerkprobleme.//
-==== MAC-Adresse ermitteln ====
-Es gibt eine Reihe von Möglichkeiten die MAC-Adresse eines Gerätes oder Computers zu ermitteln. Wir werden hier lediglich erläutern, wie Sie dies mit Hilfe des invis-Servers selbst tun können. Mit den Netzwerkverwaltungswerkzeugen gängiger Betriebsysteme wie Linux, Windows oder MAC OS können Sie sich die MAC-Adresse des Computers auch am Gerät selbst anzeigen lassen.
-Melden Sie sich bevor Sie das neue Gerät mit dem Netzwerk verbinden als Benutzer "root" an der Konsole Ihres Servers an (siehe oben) und geben Sie folgendes Kommando ein:
-<code>
-invis:~ # journalctl -fu dhcpd.service
-...
-</code>
-Verbinden sie jetzt das neue Gerät mit dem Netzwerk, schalten es ein und beobachten dabei die Konsole. Nach kurzer Zeit wird sich die Konsole mit Zeilen wie nachfolgend gezeigt füllen:
-<code>
-...
-Dez 19 08:56:51 invis dhcpd[5367]: DHCPREQUEST for 172.20.200.3 from 7c:2f:80:1e:4b:c9 (DX600A-ISDN) via intern
-Dez 19 08:56:51 invis dhcpd[5367]: DHCPACK on 172.20.200.3 to 7c:2f:80:1e:4b:c9 (DX600A-ISDN) via intern
-...
-</code>
-Sie sehen dort die MAC Adresse des Gerätes, im Beispiel eines Netzwerk-fähigen ISDN-Telefons der Telekom. Es besteht bei dieser Methode die Gefahr, dass sich während Sie auf Ihr neues Gerät warten bereits im Netzwerk registrierte Geräte beim DHCP-Dienst melden. Um zu verhindern, dass Sie sich die falsche MAC-Adresse notieren, gehen Sie sicher, dass die dem Gerät zugewiesene Adresse aus dem freien Adress-Pool des DHCP-Servers stammt (Erläuterungen, siehe **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#ip-adressbereiche|hier]]**.
-Im gezeigten Beispiel ist es eine Adresse aus dem freien Pool, zu erkennen an der Zahl "200" an der dritten Stelle der vergebenen IP-Adresse.
-Um ganz sicher zu gehen, können Sie den Vorgang mehrfach wiederholen.
-Haben Sie die MAC-Adresse identifiziert und notiert, stoppen Sie das gestartete Kommando mit der Tastenkombination **''Strg+C''** und schalten das Gerät wieder ab, bzw. trennen es vom Netzwerk. (Am besten beides.)
-==== Gerät registrieren ====
-Zur Registrierung melden Sie sich als Administrator am invis-Portal Ihres Servers an und wechseln nach "administration" -> "Netzwerk". Klicken Sie im Hauptfenster jetzt auf "Gerät hinzufügen".
 ===== System allgemein =====
@@ Zeile 841: / Zeile 1027: @@
 </code>
+==== VirtualBox ====
+VirtualBox wird auf invis-Servern automatisch mit einem Open-Source Erweiterungspack installiert. Teil der Funktionen dieses Erweiterungspacks ist der Zugriff auf virtuelle Maschinen via VNC. VNC läuft leider nicht immer frei von Problemen. Um statt dessen das offizielle Erweiterungspaket von Oracle nutzen möchte muss dieses zunächst installiert werden.
+Laden Sie es zunächst passend zur installierten VirtualBox Version von [[http://download.virtualbox.org/virtualbox/]] herunter. Die Installation erfolgt  auf der Kommandozeile des Servers:
+<code>
+invis:~ # VBoxManage extpack install Oracle_VM_VirtualBox_Extension_Pack-5.2.22.vbox-extpack
+</code>
+Danach muss die Fernsteuerung der Maschinen auf das in diesem Erweiterungspack integrierten RDP-Server umgeschaltet werden:
+<code>
+invis:~ # VBoxManage setproperty vrdeextpack "Oracle VM VirtualBox Extension Pack"
+</code>
+Jetzt können Sie in phpVirtualBox die Fernsteuerung der virtuellen Maschinen via RDP konfigurieren.
+==== Router Tausch ====
+Wird der Router für den Internetzugangs getauscht, hat das auch Auswirkungen auf den invis-Server. Klar sollte sein, dass beim neuen Router wieder die für den invis-Server erforderlichen Portweiterleitungen eingerichtet werden (80/TCP, 443/TCP, 1194/UDP sowie die verschobenen Ports für HTTPs Zugriff aufs invis-Portal und den SSH-Zugriff (beides TCP)). Die beiden verschobenen Ports können Sie den Dateien <file>/etc/ssh/sshd_conf</file> und <file>/etc/apache2/listen.conf</file> entnehmen.
+So Ihr invis-Server seine externe IP-Adresse per DHCP vom Router erhält sorgen Sie dafür, dass er für seine IP-Adresse im Router eine feste Reservierung erhält.
+Für den nicht unwahrscheinlichen Fall, dass Ihr invis-Server nach dem Router-Tausch eine neue IP-Adresse erhält, müssen Sie diese in die Apache-Konfiguration für die Erneuerung der Let's Encrypt Zertifikate eintragen.
+Zu finden ist die anzupassende Stelle der Konfiguration in: <file>/etc/apache2/vhosts.d/vh-dehydrated.conf</file>
+Tragen Sie dort im VirtualHost-Tag die neue IP-Adresse ein und starten Sie den Webserver neu.
+<code>
+# Alias definition for dehytrated wellknown output directory for challenge-hooks
+# Stefan Schaefer - stefan@invis-server.org
+<Virtualhost 192.168.178.21:80>
+    ServerName dhxxx.example.de
+    DocumentRoot /srv/www/htdocs/dehydrated
+...
+</code>
+<code>
+invis:~ # systemctl restart apache2.service
+</code>