Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:administration [2019/01/26 10:57] flacco [Benutzer- und Gruppenveraltung] |
invis_server_wiki:administration [2019/08/13 16:56] flacco [Sonderfunktionen im invis-Portal (Ab invis-Server Version 14.1)] |
||
|---|---|---|---|
| Zeile 15: | Zeile 15: | ||
| ==== Funktionen ==== | ==== Funktionen ==== | ||
| - | * **Benutzerverwaltung:** Anlegen und Löschen von Benutzern. Das Portal unterscheidet zwischen fünf verschiedenen Benutzertypen (Mailkonto, Benutzerkonto, Benutzerkonto mit Groupware-Zugang, Administratorenkonto und Gastkonto). Die Benutzertypen auf Active Directory Versionen des invis-Servers unterscheiden sich von denen des Classic Servers.{{ :invis_server_wiki:invisad-admin2.png?200|}} | + | * **Benutzerverwaltung:** Anlegen und Löschen von Benutzern. Das Portal unterscheidet zwischen fünf verschiedenen Benutzertypen (Mailkonto, Benutzerkonto, Benutzerkonto mit Groupware-Zugang, Administratorenkonto und Gastkonto). Die Benutzertypen auf Active Directory Versionen des invis-Servers unterscheiden sich von denen des Classic Servers.{{ :invis_server_wiki:invisad-admin2-2019.png?200|}} |
| * **Gruppenverwaltung:** Hinzufügen und Entfernen von Benutzergruppen und Zuordnen von Benutzern zu Gruppen. Werden hierüber Gruppen angelegt, wird automatisch ein Gruppenverzeichnis auf dem Fileserver angelegt. | * **Gruppenverwaltung:** Hinzufügen und Entfernen von Benutzergruppen und Zuordnen von Benutzern zu Gruppen. Werden hierüber Gruppen angelegt, wird automatisch ein Gruppenverzeichnis auf dem Fileserver angelegt. | ||
| * **Netzwerkorganisation:** Hinzufügen und Entfernen von Netzwerkgeräten zur DHCP- und DNS-Konfiguration. Das Portal unterscheidet zwischen vier verschiedenen Geräteklassen (Server, Drucker, Client-PC und IP-Gerät). In Abhängigkeit der Klassen werden IP-Adressen aus dafür reservierten Bereichen vergeben. | * **Netzwerkorganisation:** Hinzufügen und Entfernen von Netzwerkgeräten zur DHCP- und DNS-Konfiguration. Das Portal unterscheidet zwischen vier verschiedenen Geräteklassen (Server, Drucker, Client-PC und IP-Gerät). In Abhängigkeit der Klassen werden IP-Adressen aus dafür reservierten Bereichen vergeben. | ||
| * **Dienste:** Ab invisAD 10.1 können über das Portal auch Dienste gestartet und gestoppt werden. | * **Dienste:** Ab invisAD 10.1 können über das Portal auch Dienste gestartet und gestoppt werden. | ||
| + | * **Funktionen:** Ab inviAD-Version 14.1 können hier ausgewählte administrative Scripte des Servers ausgeführt werden. Beispielsweise können hier mit einem Klick die Zugriffsberechtigungen der Gruppenverzeichnisse zurück gesetzt werden. | ||
| **Zusätzliche administrative Werkzeuge** | **Zusätzliche administrative Werkzeuge** | ||
| - | * **Mailinglisten:** Mailinglisten sind das eMail Pendant zum klassischen Serienbrief. Über diese Schaltfläche können Sie neue Mailinglisten einrichten. | ||
| * **Verzeichnisdienst:** Das LDAP-Verzeichnis Ihres invis-Server ist der zentrale Speicherort einer Vielzahl von Konfigurationsdaten des Servers. Sie finden hier Daten zu DHCP, DNS, Benutzerverwaltung usw. Achtung der Umgang mit einem LDAP-Verzeichnis setzt entsprechende Grundkenntnisse voraus. Um phpLDAPAdmin administrativ nutzen zu können, melden Sie sich mit dem Konto des Domänen-Administrators daran an. Sie müssen Ihre lokale Domain an den Benutzernamen anhängen (administrator@invis-net.loc) damit die Anmeldung funktioniert. Die Anmeldung funktioniert natürlich auch mit allen anderen Benutzerkonten des ActiveDirectories, allerdings verfügen normale Benutzer über zu wenig Rechte um Veränderungen am LDAP-Datenbestandes vornehmen zu können. | * **Verzeichnisdienst:** Das LDAP-Verzeichnis Ihres invis-Server ist der zentrale Speicherort einer Vielzahl von Konfigurationsdaten des Servers. Sie finden hier Daten zu DHCP, DNS, Benutzerverwaltung usw. Achtung der Umgang mit einem LDAP-Verzeichnis setzt entsprechende Grundkenntnisse voraus. Um phpLDAPAdmin administrativ nutzen zu können, melden Sie sich mit dem Konto des Domänen-Administrators daran an. Sie müssen Ihre lokale Domain an den Benutzernamen anhängen (administrator@invis-net.loc) damit die Anmeldung funktioniert. Die Anmeldung funktioniert natürlich auch mit allen anderen Benutzerkonten des ActiveDirectories, allerdings verfügen normale Benutzer über zu wenig Rechte um Veränderungen am LDAP-Datenbestandes vornehmen zu können. | ||
| * **MySQL Administration:** Administration der Datenbank-Engine MySQL. MySQL wird beispielsweise vom Groupware-System Ihres invis-Server genutzt. Sie können hiermit neue Datenbanken anlegen, sollten aber keine vorhandenen Löschen. Sie können phpMyAdmin auch zur Erstellung von Datensicherungen der Datenbanken nutzen. Das Passwort des MYSQL-Benutzers "root" können Sie mit dem Kommando //**sine2 showpws**// auf der Kommandozeile erfragen. | * **MySQL Administration:** Administration der Datenbank-Engine MySQL. MySQL wird beispielsweise vom Groupware-System Ihres invis-Server genutzt. Sie können hiermit neue Datenbanken anlegen, sollten aber keine vorhandenen Löschen. Sie können phpMyAdmin auch zur Erstellung von Datensicherungen der Datenbanken nutzen. Das Passwort des MYSQL-Benutzers "root" können Sie mit dem Kommando //**sine2 showpws**// auf der Kommandozeile erfragen. | ||
| Zeile 29: | Zeile 29: | ||
| * **Netzwerkanalyse:** Das Programm ntop dient der Analyse des Datenverkehrs in Ihrem Netzwerk, nützlich etwa bei der Suche nach Fehlern. ntop ist im Normalbetrieb Ihres invis-Servers deaktiviert, da es diesen ansonsten unnötig belastet. | * **Netzwerkanalyse:** Das Programm ntop dient der Analyse des Datenverkehrs in Ihrem Netzwerk, nützlich etwa bei der Suche nach Fehlern. ntop ist im Normalbetrieb Ihres invis-Servers deaktiviert, da es diesen ansonsten unnötig belastet. | ||
| * **Firewall-Test:** Dieser Link führt Sie auf die Internetseite von hackerswatch.org. Sie haben von dort umfangreiche Möglichkeiten die Firewall Ihres invis-Servers von außen zu testen. | * **Firewall-Test:** Dieser Link führt Sie auf die Internetseite von hackerswatch.org. Sie haben von dort umfangreiche Möglichkeiten die Firewall Ihres invis-Servers von außen zu testen. | ||
| - | * **Virtualbox:** Dahinter verbirgt sich die Software phpVirtualBox, ein Webfrontend zur Verwaltung virtueller Maschinen, die der klassischen VirtualBox-Management GUI zum verwechseln ähnlich sieht. | + | * **Virtualbox:** Dahinter verbirgt sich die Software phpVirtualBox, ein Webfrontend zur Verwaltung virtueller Maschinen, die der klassischen VirtualBox-Management GUI zum verwechseln ähnlich sieht und über nahezu den gleichen Funktionsumfang verfügt. (Nur sichtbar, wenn VirtualBox installiert ist.) |
| Eine weitere Funktion des Portals ist die Verwaltung externer Mailkonten von denen der invis-Server die Emails der Benutzer abruft. Diese Funktion verlangt allerdings keine administrativen Rechte, sondern kann von jedem Benutzer selbst genutzt werden. Sie wird weiter unten auf dieser Seite gesondert beschrieben. | Eine weitere Funktion des Portals ist die Verwaltung externer Mailkonten von denen der invis-Server die Emails der Benutzer abruft. Diese Funktion verlangt allerdings keine administrativen Rechte, sondern kann von jedem Benutzer selbst genutzt werden. Sie wird weiter unten auf dieser Seite gesondert beschrieben. | ||
| Zeile 45: | Zeile 45: | ||
| - **Systemdaten:** Servername, Uhrzeit des Servers und die Uptime. Diese Informationen können keine kritischen Werte annehmen. Sollte aber die Uhrzeit des Servers um mehr als 5 Minuten von der Uhrzeit Ihres Computers abweichen führt dies zu Problemen. Bitten Informieren Sie darüber Ihren Administrator. | - **Systemdaten:** Servername, Uhrzeit des Servers und die Uptime. Diese Informationen können keine kritischen Werte annehmen. Sollte aber die Uhrzeit des Servers um mehr als 5 Minuten von der Uhrzeit Ihres Computers abweichen führt dies zu Problemen. Bitten Informieren Sie darüber Ihren Administrator. | ||
| - **Versionsinformationen:** Hier wird die Aktualität Ihrer invis-Server Installation und des darunter liegenden Linux Betriebssystems angezeigt. Solange die angezeigten Versionsnummern in grün oder orange angezeigt werden, müssen Sie sich keine Sorgen machen. Handlungsbedarf besteht wenn sich die Zahlen rot färben. Rechnen Sie alle 1 bis2 Jahre mit einem umfangreicheren Upgrade um Ihren Server wieder auf Stand zu bringen. | - **Versionsinformationen:** Hier wird die Aktualität Ihrer invis-Server Installation und des darunter liegenden Linux Betriebssystems angezeigt. Solange die angezeigten Versionsnummern in grün oder orange angezeigt werden, müssen Sie sich keine Sorgen machen. Handlungsbedarf besteht wenn sich die Zahlen rot färben. Rechnen Sie alle 1 bis2 Jahre mit einem umfangreicheren Upgrade um Ihren Server wieder auf Stand zu bringen. | ||
| - | - **Festplatten und RAID-Verbünde:** Festplatten sind die Speicherorte für Ihre Daten, sie sind nicht für die Ewigkeit gebaut, sondern müssen als Verschleißteile angesehen werden. Damit es möglichst nicht zu überraschenden Ausfällen kommt, überwachen Festplatten sich selbst. Diese Überwachungsdaten werden von Ihrem Server abgerufen und hier angezeigt. Fehler werden hier in „rot“ angezeigt und sind sofort Ihrem Administrator zu melden. RAID-Verbünde sind der doppelte Boden, sie schützen vor Datenverlust bei einem Festplatten-Ausfall. Dies geschieht, in dem alle gespeicherten Daten mehrfach vorgehalten werden. Fällt eine Festplatte aus, gilt ein RAID-Verbund als beschädigt. Auch dies muss Ihr Administrator unmittelbar erfahren. | + | - **Festplatten und RAID-Verbünde:** Festplatten sind die Speicherorte für Ihre Daten, sie sind nicht für die Ewigkeit gebaut, sondern müssen als Verschleißteile angesehen werden. Damit es möglichst nicht zu überraschenden Ausfällen kommt, überwachen Festplatten sich selbst. Diese Überwachungsdaten werden von Ihrem Server abgerufen und hier angezeigt. Fehler werden hier in „rot“ angezeigt und sind sofort Ihrem Administrator zu melden. RAID-Verbünde sind der doppelte Boden, sie schützen vor Datenverlust bei einem Festplatten-Ausfall. Dies geschieht, in dem alle gespeicherten Daten mehrfach vorgehalten werden. Fällt eine Festplatte aus, gilt ein RAID-Verbund als beschädigt. Auch dies muss Ihr Administrator unmittelbar erfahren. Ab invis-Server 14.1 wird auch die bisherige Gesamtlaufzeit der Festplatten angezeigt und mit der durch den Hersteller garantierten Laufzeit ins Verhältnis gesetzt. Hilfreich, um rechtzeitige Erneuerung der Festplatten zu planen. |
| - **Plattenplatz-Reserve:** In aller Regel wird bei der Installation eines invis-Servers nicht der gesamte zur Verfügung Festplattenplatz verwendet. Statt dessen kann eine Reserve dazu genutzt werden, sie je nach Bedarf auf genutzte Laufwerke zu verteilen. | - **Plattenplatz-Reserve:** In aller Regel wird bei der Installation eines invis-Servers nicht der gesamte zur Verfügung Festplattenplatz verwendet. Statt dessen kann eine Reserve dazu genutzt werden, sie je nach Bedarf auf genutzte Laufwerke zu verteilen. | ||
| - **Festplattenauslastung:** Der zur Verfügung stehende Festplattenplatz wird während der Serverinstallation bedarfsorientiert auf sogenannte „Volumes“ verteilt. In diesen Volumes speichern Sie Ihre Nutzdaten. Wichtig sind dabei die Volumes „home“ (persönliche Benutzerverzeichnisse), „var“ (Datenbanken und Emails) sowie „srv“ (Arbeitsverzeichnisse). Für diese Volumes zeigt hier jeweils ein farbiger Balken den jeweiligen Füllstand. Die Balken verfärben sich je nach Belegung von grün nach rot. Sind alle Volumes im „roten Bereich“ und es steht keine Plattenplatz-Reserve mehr zur Verfügung muss der Server mit größeren oder weiteren Festplatten ausgerüstet werden. Versteht sich, dass Sie auch das Ihrem Administrator mitteilen müssen. | - **Festplattenauslastung:** Der zur Verfügung stehende Festplattenplatz wird während der Serverinstallation bedarfsorientiert auf sogenannte „Volumes“ verteilt. In diesen Volumes speichern Sie Ihre Nutzdaten. Wichtig sind dabei die Volumes „home“ (persönliche Benutzerverzeichnisse), „var“ (Datenbanken und Emails) sowie „srv“ (Arbeitsverzeichnisse). Für diese Volumes zeigt hier jeweils ein farbiger Balken den jeweiligen Füllstand. Die Balken verfärben sich je nach Belegung von grün nach rot. Sind alle Volumes im „roten Bereich“ und es steht keine Plattenplatz-Reserve mehr zur Verfügung muss der Server mit größeren oder weiteren Festplatten ausgerüstet werden. Versteht sich, dass Sie auch das Ihrem Administrator mitteilen müssen. | ||
| Zeile 188: | Zeile 188: | ||
| - **Passwort:** Es gelten hier die Passwortregeln des ActiveDirectory. Diese können mit Hilfe des Tools //**pwsettings**// auf der Kommandozeile des invis-Servers definiert werden. Werden Veränderungen hinsichtlich der Passwortregeln vorgenommen müssen diese in der Konfigurationsdatei des invis-Portals ([[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#passwortsicherheit|siehe oben]]) übernommen werden. | - **Passwort:** Es gelten hier die Passwortregeln des ActiveDirectory. Diese können mit Hilfe des Tools //**pwsettings**// auf der Kommandozeile des invis-Servers definiert werden. Werden Veränderungen hinsichtlich der Passwortregeln vorgenommen müssen diese in der Konfigurationsdatei des invis-Portals ([[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#passwortsicherheit|siehe oben]]) übernommen werden. | ||
| + | ==== Exit Strategie ==== | ||
| + | Scheidet ein Mitarbeiter aus einem Unternehmen aus, ist das aus Sicht der IT-Verwaltung ein komplexer Vorgang. Je nach dem welche Berechtigungen und Möglichkeiten der Benutzer hatte, muss sichergestellt werden, dass er nach dem Ausscheiden nicht mehr auf den Datenbestand des Unternehmens zugreifen bzw. diesen verändern kann. Verfügt er über ein eigenes Mailkonto, muss auch hier festgelegt werden wie damit verfahren wird. | ||
| + | |||
| + | Entscheidend für die Vorgehensweise sind überdies datenschutzrechtliche Bestimmungen, bzw. die Beachtung von Regelungen aus Betriebsvereinbarungen. | ||
| + | |||
| + | Je nach Berechtigungen des ausscheidenden Mitarbeiters sind unterschiedliche Schritte nach seinem Ausscheiden erforderlich. Gehen wir davon aus, dass der Mitarbeiter neben lokalen Verzeichnisbereichtigungen über ein Mailkonto inklusive Groupwarezugang, das Recht von Ferne auf das invis-Portal zuzugreifen sowie einen VPN-Zugang hat. | ||
| + | |||
| + | Folgende Schritte sind in diesem Fall durchzuführen: | ||
| + | |||
| + | - **Passwort ändern** - Die Änderung des Passworts eines ausgeschiedenen Mitarbeiters sollte unmittelbar nach dessen Ausscheiden erfolgen. Damit kann er sich weder lokal am System, noch am invis-Portal anmelden. Diesen Schritt kann der Administrator im invis-Portal vornehmen. (Administration -> Benutzer -> Löschen) | ||
| + | - **VPN-Schlüssel zurück ziehen** - Dieser Schritt verhindert, dass der Mitarbeiter weiterhin VPN-Verbindungen zum Unternehmensnetz aufbauen kann. Dieser Schritt erfordert eine Anmeldung an der Kommandozeile des Servers. Zurückgezogen wird der VPN-Schlüssel unter Verwendung des Scripts **''inviscerts''**. | ||
| + | |||
| + | Um ein VPN-Client-Zertifikat zurückzuziehen geben Sie folgendes Kommando ein: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # inviscerts vpn | ||
| + | </code> | ||
| + | |||
| + | Das Script fragt Sie nach dem Namen für den das Zertifikat ausgestellt wurde. Sie müssen diesen Namen hier exakt eingeben, da ansonsten davon ausgegangen wird, dass ein neues Zertifikat ausgestellt werden soll. | ||
| + | |||
| + | Achten Sie bitte genau auf die Abfragen des Scripts. Sie benötigen in dessen Verlauf das Passwort der CA. | ||
| + | |||
| + | Alle folgenden Schritte können dann in Ruhe geplant werden. Es geht jetzt vor allem darum, wie mit dem Datenbestand des ehemaligen Mitarbeiters verfahren wird. Dabei ist zu prüfen, ob dem Mitarbeiter das Recht auf private Email-Nutzung und die Ablage privater Daten auf dem Unternehmensserver gewährt wurde. Ist dies der Fall, darf auch nach dem Ausscheiden **niemand** auf das Postfach bzw. das persönliche Verzeichnis dieses Mitarbeiters zugreifen. Die Daten müssen entweder gelöscht oder sicher und vor Zugriffen geschützt archiviert werden. Löschen, ist dabei ein relativ schwieriges Unterfangen, da sich seine Daten auch in diversen Datensicherungen befinden dürften. | ||
| + | |||
| + | Gehen wir für die nächsten Schritte davon aus, dass eine rechtsgültige Betriebsvereinbarung existiert, die den Umgang mit Mitarbeiterdaten regelt. | ||
| + | |||
| + | "Private" Datenbestände eines Benutzers befinden sich in dessen: | ||
| + | |||
| + | * **persönlichem Verzeichnis auf dem Server** | ||
| + | * **ownCloud Konto** | ||
| + | * **Email-Konto** | ||
| + | * **ggf. auf seinem Arbeitsplatz-Computer** | ||
| + | |||
| + | Besondere Überlegungen müssen bezüglich des Email-Kontos des Mitarbeiters angestellt werden. Dabei ist zunächst zu überlegen, ob der Mailbestand des Mitarbeiters für die weitere Arbeit des Unternehmens von Bedeutung sind. Ist das der Fall, muss der Mailbestand des Ausscheidenden einem anderen Mitarbeiter (seinem Nachfolger) oder seiner Abteilung zugänglich gemacht werden. | ||
| + | |||
| + | Wird Kopano als Groupware eingesetzt, bietet sich die Möglichkeit das Konto des Benutzers in einen Kopano "Shared Store" umzuwandeln und daruf Zugriffsberechtigungen zu setzen, die andere zum Zugriff berechtigt. Wird diese Vorgehensweise gewählt, darf das Benutzerkonto des Mitarbeiters nicht gelöscht werden. Dies sollte maximal eine Maßnahme für begrentzte Zeit sein. Der Mailbestand sollte gesichtet und ggf. in ein anderes Konto oder in entsprechende öffentliche Ordner überführt werden. | ||
| + | |||
| + | //**Hinweis:** Wird im Unternehmen (wie vom Gesetzgeber gefordert) ein revisionssicheres Email-Archiv betrieben, kann der Zugriff auf den Mailbestand des Mitarbeiters darüber erfolgen.// | ||
| + | |||
| + | Ist der Umgang mit dem Mailbestand geregelt bzw. abgeschlossen, kann das Benutzerkonto des ausgeschiedenen Mitarbeiters gelöscht werden. Dieser Schritt wird im invis-Portal durchgeführt. Dabei wird das persönliche Verzeichnis des Benutzers automatisch archiviert. Zu finden sind die Daten anschließend in der Freigabe "Archiv" des invis-Servers. Zugriffsberechtigt sind lediglich Mitglieder der Gruppe "Archiv". Dies sollten maximal Mitglieder der Unternehmensleitung sein. | ||
| + | |||
| + | Nach dem Löschen des Benutzerkontos bleibt der Mailbestand des Benutzers, im Falle von Kopano, als sogenannter "orphand Store" erhalten. Dieser aund andere "Datenleichen" können unter Verwendung des Scripts **''inhume''** endgültig beseitigt werden. | ||
| + | |||
| + | <code> | ||
| + | invis:~ # inhume username | ||
| + | </code> | ||
| + | |||
| + | |||
| + | Inspizieren Sie abschließend noch den PC des Mitarbeiters auf relvenanten Daten und sichern Sie diese soweit vorhanden auf den Server. | ||
| + | |||
| + | Damit sind alle erforderlichen Schritte getan. | ||
| ===== Mailkonten verwalten ===== | ===== Mailkonten verwalten ===== | ||
| Zeile 345: | Zeile 396: | ||
| - Sie handeln hier auf eigene Gefahr, dessen sollten Sie sich bewusst sein! | - Sie handeln hier auf eigene Gefahr, dessen sollten Sie sich bewusst sein! | ||
| + | ===== Sonderfunktionen im invis-Portal (Ab invis-Server Version 14.1) ===== | ||
| + | Die administrative-Seite "Funktionen" im invis-Portal bildet eine Schnittstelle zur Ausführung administrativer Shell-Scripts auf am Server auszuführen, ohne sich an dessen Konsole anzumelden. | ||
| + | Derzeit vorhandene Funktionen: | ||
| + | * **Maschinenkonten erweitern** - Gedacht um Maschinen-Konten mit UNIX-Attributen zu erweitern. Notwendig ist das um beispielsweise Maschinen-Konten Zugriff auf Fileserver-Freigaben zu gewähren, etwa wenn Software via GPOs ausgerollt wird. | ||
| + | * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse, die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird. | ||
| + | * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus. | ||
| + | |||
| + | Die Integration weiterer Scripts ist in Planung. | ||
| ===== Konsolenzugriff ===== | ===== Konsolenzugriff ===== | ||
| Zeile 758: | Zeile 817: | ||
| * **extern** - Zertifikat für den Zugriff via Internet, gilt sowohl für das invis-Portal, ActiveSync, Kopano-Webapp, ownCloud und OpenVPN. Wird auf den im Internet gültigen DDNS Namen des invis-Servers ausgestellt. | * **extern** - Zertifikat für den Zugriff via Internet, gilt sowohl für das invis-Portal, ActiveSync, Kopano-Webapp, ownCloud und OpenVPN. Wird auf den im Internet gültigen DDNS Namen des invis-Servers ausgestellt. | ||
| * **vpn** - Erstellt OpenVPN Client-Zertifikate. Hier wird als "Common Name" des Zertifikats der Hostname des Client-Computers erstellt. Alternativ ist auch "vorname.zuname" des Anwenders möglich. | * **vpn** - Erstellt OpenVPN Client-Zertifikate. Hier wird als "Common Name" des Zertifikats der Hostname des Client-Computers erstellt. Alternativ ist auch "vorname.zuname" des Anwenders möglich. | ||
| - | * **crl** - Aktualisiert die "Certificate Revocation List". Dies ist wichtig, damit speziell OpenVPN keine Zurückgezogenen Zertifikate mehr akzeptiert. | + | * **crl** - Aktualisiert die "Certificate Revocation List". Dies ist wichtig, damit speziell OpenVPN keine zurückgezogenen Zertifikate mehr akzeptiert. |
| Ohne Option aufgerufen gibt //**inviscerts**// einfach nur eine kurze Hilfe für dessen Verwendung aus. | Ohne Option aufgerufen gibt //**inviscerts**// einfach nur eine kurze Hilfe für dessen Verwendung aus. | ||
| Zeile 918: | Zeile 977: | ||
| </code> | </code> | ||
| + | ==== VirtualBox ==== | ||
| + | |||
| + | VirtualBox wird auf invis-Servern automatisch mit einem Open-Source Erweiterungspack installiert. Teil der Funktionen dieses Erweiterungspacks ist der Zugriff auf virtuelle Maschinen via VNC. VNC läuft leider nicht immer frei von Problemen. Um statt dessen das offizielle Erweiterungspaket von Oracle nutzen möchte muss dieses zunächst installiert werden. | ||
| + | |||
| + | Laden Sie es zunächst passend zur installierten VirtualBox Version von [[http://download.virtualbox.org/virtualbox/]] herunter. Die Installation erfolgt auf der Kommandozeile des Servers: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # VBoxManage extpack install Oracle_VM_VirtualBox_Extension_Pack-5.2.22.vbox-extpack | ||
| + | </code> | ||
| + | |||
| + | Danach muss die Fernsteuerung der Maschinen auf das in diesem Erweiterungspack integrierten RDP-Server umgeschaltet werden: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # VBoxManage setproperty vrdeextpack "Oracle VM VirtualBox Extension Pack" | ||
| + | </code> | ||
| + | Jetzt können Sie in phpVirtualBox die Fernsteuerung der virtuellen Maschinen via RDP konfigurieren. | ||