Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
invis_server_wiki:administration [2019/08/13 16:46] flacco [Status-Informationen] |
invis_server_wiki:administration [2020/05/19 07:19] flacco [interne Zertifikatsverwaltung] |
||
---|---|---|---|
Zeile 19: | Zeile 19: | ||
* **Netzwerkorganisation:** Hinzufügen und Entfernen von Netzwerkgeräten zur DHCP- und DNS-Konfiguration. Das Portal unterscheidet zwischen vier verschiedenen Geräteklassen (Server, Drucker, Client-PC und IP-Gerät). In Abhängigkeit der Klassen werden IP-Adressen aus dafür reservierten Bereichen vergeben. | * **Netzwerkorganisation:** Hinzufügen und Entfernen von Netzwerkgeräten zur DHCP- und DNS-Konfiguration. Das Portal unterscheidet zwischen vier verschiedenen Geräteklassen (Server, Drucker, Client-PC und IP-Gerät). In Abhängigkeit der Klassen werden IP-Adressen aus dafür reservierten Bereichen vergeben. | ||
* **Dienste:** Ab invisAD 10.1 können über das Portal auch Dienste gestartet und gestoppt werden. | * **Dienste:** Ab invisAD 10.1 können über das Portal auch Dienste gestartet und gestoppt werden. | ||
- | * **Funktionen:** Ab inviAD-Version 14.1 können hier ausgewählte administrative Scripte des Servers ausgeführt werden. Beispielsweise können hier mit einem Klick die Zugriffsberechtigungen der Gruppenverzeichnisse zurück gesetzt werden. | + | * **Funktionen:** Ab invisAD-Version 14.1 können hier ausgewählte administrative Scripte des Servers ausgeführt werden. Beispielsweise können hier mit einem Klick die Zugriffsberechtigungen der Gruppenverzeichnisse zurück gesetzt werden. |
**Zusätzliche administrative Werkzeuge** | **Zusätzliche administrative Werkzeuge** | ||
Zeile 396: | Zeile 396: | ||
- Sie handeln hier auf eigene Gefahr, dessen sollten Sie sich bewusst sein! | - Sie handeln hier auf eigene Gefahr, dessen sollten Sie sich bewusst sein! | ||
+ | ===== Sonderfunktionen im invis-Portal (Ab invis-Server Version 14.1) ===== | ||
+ | Die administrative-Seite "Funktionen" im invis-Portal bildet eine Schnittstelle zur Ausführung administrativer Shell-Scripts auf am Server auszuführen, ohne sich an dessen Konsole anzumelden. | ||
+ | Derzeit vorhandene Funktionen: | ||
+ | * **Maschinenkonten erweitern** - Gedacht um Maschinen-Konten mit UNIX-Attributen zu erweitern. Notwendig ist das um beispielsweise Maschinen-Konten Zugriff auf Fileserver-Freigaben zu gewähren, etwa wenn Software via GPOs ausgerollt wird. | ||
+ | * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse, die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird. | ||
+ | * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus. | ||
+ | |||
+ | Die Integration weiterer Scripts ist in Planung. | ||
===== Konsolenzugriff ===== | ===== Konsolenzugriff ===== | ||
Zeile 785: | Zeile 793: | ||
* Erzeugen und Verlängern des LDAP-Server Zertifikats. | * Erzeugen und Verlängern des LDAP-Server Zertifikats. | ||
- | * Erzeugen und Verlängern des Zertifikats für externen Zugriff. Es wird sowohl vom Apache-Webserver für Portal-Zugriff, z-Push und ownCloud, sowie dem openCPN-Server genutzt. | + | * Erzeugen und Verlängern des Zertifikats für externen Zugriff. Für den Fall, dass für externe Zugriffe nicht mit Let's Encrypt Zertifikaten gearbeitet wird, wird das so erzeugte "Extern-Zertifikat" sowohl vom Apache-Webserver für Portal-Zugriff, z-Push und ownCloud, sowie dem openCPN-Server genutzt. |
* Erzeugen und Verlängern des Mailserver-Zertifikates. | * Erzeugen und Verlängern des Mailserver-Zertifikates. | ||
* Erzeugen, Sperren und Verlängern von VPN-Client-Zertifikaten. | * Erzeugen, Sperren und Verlängern von VPN-Client-Zertifikaten. | ||
Zeile 823: | Zeile 831: | ||
Weitere Informationen zum Umgang mit easyRSA sind im deutschsprachigen Wiki von OpenVPN zu finden: [[http://wiki.openvpn.eu/index.php/Erzeugen_einer_PKI_mit_EasyRSA|OpenVPN Wiki]] | Weitere Informationen zum Umgang mit easyRSA sind im deutschsprachigen Wiki von OpenVPN zu finden: [[http://wiki.openvpn.eu/index.php/Erzeugen_einer_PKI_mit_EasyRSA|OpenVPN Wiki]] | ||
+ | **Individuelle Zertifikate** | ||
+ | |||
+ | Werden weitere individuelle Server- oder Client-Zertifikate, so ist dies direkt mit dem Kommando ''easy-rsa'' möglich. | ||
+ | |||
+ | //**Hinweis:** Dabei ist zu beachten, dass Googles Chrome-Browser inzwischen verlangt, dass Server-Zertifikate das Attribut SubjectAltNames enthalten. Ohne dieses Attribut erfolgt immer eine Zertifikatswarnung.// | ||
+ | |||
+ | Ein Beispiel für ein Server-Zertifikat: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # easyrsa --subject-alt-name="DNS:host.example.loc" build-server-full host.example.loc nopass | ||
+ | </code> | ||
+ | |||
+ | Die Option "nopass" am Ende des Kommandos sorgt dafür, dass der private Schlüssel seinerseits nicht mit einem Passwort verschlüsselt wird. Im Falle von Server-Zertifikaten erleichtert das den Umgang damit, da dem Server-Dienst ansonsten immer das Passwort mitgegeben werden müsste. Bei vielen Diensten ist dies gar nicht möglich. | ||
+ | |||
+ | Beispiel für ein Client-Zertifikat: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # easyrsa --subject-alt-name="DNS:host.pe.loc" build-client-full host.pe.loc nopass | ||
+ | </code> | ||
+ | |||
+ | Zum Erstellen von Zertifikaten wird immer das Passwort des privaten CA-Schlüssels benötigt. | ||
+ | |||
+ | Neue Zertifikate werden in: <file>/etc/easy-rsa/example.loc/issued</file> und die zugehörigen privaten Schlüssel in: <file>/etc/easy-rsa/example.loc/private</file> abgelegt. | ||
+ | |||
+ | **PKCS#12** | ||
+ | |||
+ | Werden Schlüsselpaare in PKCS12-Containerformat benötigt, können diese nach Erstellung der Schlüsselpaare als solche exportiert werden: | ||
+ | |||
+ | <code> | ||
+ | invis:~ # easyrsa export-p12 host.example.loc | ||
+ | </code> | ||
+ | |||
+ | Dabei fragt das Kommando nach einem Export-Passwort. Soll die p12-Datei nicht Passwort-verschlüsselt werden, kann die Passworteingabe durch einfaches Drücken der Enter-Taste quittiert werden. | ||
+ | |||
+ | Zu finden sind die erstellten p12-Dateien in: <file>/etc/easy-rsa/example.loc/private</file> | ||
+ | |||
+ | **Öffentlichen Schlüssel extrahieren** | ||
+ | |||
+ | <code> | ||
+ | server14:~ # openssl x509 -in hostname.crt -noout -pubkey > hostname-public.pem | ||
+ | </code> | ||
=== Zertifikate von Let's Encrypt (ab invis Version 12.1) === | === Zertifikate von Let's Encrypt (ab invis Version 12.1) === | ||
Zeile 894: | Zeile 943: | ||
invis-Server arbeiten als DNS-Server für die eigene lokale Domäne und als Forward-Nameserver für die Namensauflösung im Internet. Für letzteren Zweck nutzt der auf einem invis-Serverlaufende DNS-Dienst //**bind**// seinerseits wieder Forward-Nameserver. Oft werden hierfür beispielsweise die DNS-Server des Internet-Providers oder der vorgeschaltete Router genutzt. Es kann vorkommen, beispielsweise bei einem Provider-Wechsel, dass auf andere DNS-Forwarders umgestellt werden muss. | invis-Server arbeiten als DNS-Server für die eigene lokale Domäne und als Forward-Nameserver für die Namensauflösung im Internet. Für letzteren Zweck nutzt der auf einem invis-Serverlaufende DNS-Dienst //**bind**// seinerseits wieder Forward-Nameserver. Oft werden hierfür beispielsweise die DNS-Server des Internet-Providers oder der vorgeschaltete Router genutzt. Es kann vorkommen, beispielsweise bei einem Provider-Wechsel, dass auf andere DNS-Forwarders umgestellt werden muss. | ||
+ | |||
+ | //**Hinweis:** Die genutzten DNS-Forwarder werden bereits beim Setup des invis-Servers abgefragt. Ändern müssen Sie daran lediglich etwas, wenn einer der ursprünglich gwählten Server seinen Dienst einstellt.// | ||
Die Einstellungen werden in der Datei <file>/etc/named.conf</file> vorgenommen. Hier können in der folgenden Zeile bis zu drei Nameserver eingetragen werden: | Die Einstellungen werden in der Datei <file>/etc/named.conf</file> vorgenommen. Hier können in der folgenden Zeile bis zu drei Nameserver eingetragen werden: |