invis_server_wiki:client

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
Nächste Überarbeitung Beide Seiten der Revision
invis_server_wiki:client [2018/03/09 08:01]
flacco [Linux Clients mit SSSD integrieren] 		invis_server_wiki:client [2018/03/09 08:25]
flacco [VPN Zugang herstellen]
Zeile 108: Zeile 108:
  
  
-==== Manuelle Anbindung ====+==== Manuelle Anbindung ​- online Clients ​====
 === 1. Freigaben einbinden === === 1. Freigaben einbinden ===
 Zur Anbindung eines Linux-Clients an den Server müssen zunächst die Server-Freigaben **home** und **shares** per NFSv4 ins lokale Verzeichnissystem eingehängt werden. Dazu sind in der Datei <​file>/​etc/​fstab</​file>​ folgende Einträge vorzunehmen:​ Zur Anbindung eines Linux-Clients an den Server müssen zunächst die Server-Freigaben **home** und **shares** per NFSv4 ins lokale Verzeichnissystem eingehängt werden. Dazu sind in der Datei <​file>/​etc/​fstab</​file>​ folgende Einträge vorzunehmen:​
Zeile 465: Zeile 465:
 </​code>​ </​code>​
  
-==== offline ​Linux Clients ​integrieren ​mit SSSD und OpenVPN ====+==== Manuelle Anbindung - offline Clients mit OpenVPN ====
  
 Allem voran, sollte klar sein, dass ein solches Setup nur dann wirklich Sinn macht, wenn der invis-Server mit einer akzeptablen DSL-Anbindung (>= 16000kBit/​s) ausgestattet ist. Zu bedenken ist hier, dass der Upload der begrenzende Faktor ist und der liegt bezogen auf eine 16000er ADSL Leitung bei nur 1000kBit/s. Alles darunter wird sehr zäh! Bei einer 6000er DSL Leitung schrumpft der Upload beispielsweise schon auf magere 256kBit/s. Allem voran, sollte klar sein, dass ein solches Setup nur dann wirklich Sinn macht, wenn der invis-Server mit einer akzeptablen DSL-Anbindung (>= 16000kBit/​s) ausgestattet ist. Zu bedenken ist hier, dass der Upload der begrenzende Faktor ist und der liegt bezogen auf eine 16000er ADSL Leitung bei nur 1000kBit/s. Alles darunter wird sehr zäh! Bei einer 6000er DSL Leitung schrumpft der Upload beispielsweise schon auf magere 256kBit/s.
Zeile 471: Zeile 471:
 Die nachfolgende beschriebene Vorgehensweise ist derzeit noch vollständig manuell durchzuführen und birgt durchaus Potential für Fehler. Problematisch ist vor allem die Reihenfolge der einzelnen Schritte. Die nachfolgende beschriebene Vorgehensweise ist derzeit noch vollständig manuell durchzuführen und birgt durchaus Potential für Fehler. Problematisch ist vor allem die Reihenfolge der einzelnen Schritte.
  
-=== 1. Hintergründe ===+=== Hintergründe ===
  
 Geeignet ist das folgende Setup für Notebooks die unterwegs genutzt werden sollen oder den PC im Home-Office. Geeignet ist das folgende Setup für Notebooks die unterwegs genutzt werden sollen oder den PC im Home-Office.
Zeile 485: Zeile 485:
 Damit sind die Schwierigkeiten grob umrissen. Damit sind die Schwierigkeiten grob umrissen.
  
-=== 2Vorgehensweise ===+//​**Hinweis:​** Wir gehen davon aus, dass die Einrichtung an einem PC erfolgt, der vollständig vom invis-Server Netzwerk getrennt ist, da dies alle Schwierigkeiten berücksichtigt.//
  
-Wir gehen davon aus, dass die Einrichtung an einem PC erfolgt, der vollständig vom invis-Server Netzwerk getrennt ist, da dies alle Schwierigkeiten berücksichtigt.+=== 1VPN Zugang vorbereiten ===
  
-=== VPN Zugang vorbereiten === +Auf dem invis-Server muss zunächst ein Schlüssel für die VPN-Verbindung des Clients erzeugt werden. Dazu benötigen Sie lediglich den Hostnamen des Clients, den Sie mit
- +
-Auf dem invis-Server muss zunächst ein Schlüssel für die VPN-Verbindung des Clients erzeugt werden, dazu benötigen Sie lediglich den Hostnamen des Clients, den Sie mit+
  
 <​code>​ <​code>​
Zeile 499: Zeile 497:
 auf dem Client ermitteln können. auf dem Client ermitteln können.
  
-Auf dem invis-Server ​wechseln Sie als Benutzer "​root"​ ins Verzeichnis <​file>​/etc/openvpn/ihre-domain.loc<​/file> +Die Erzeugung des Schlüssels erfolgt auf dem invis-Server ​unter Verwendung des Scripts ​//**inviscerts**//. Sie benötigen neben dem Hostnamen ​des Clients auch das Passwort Ihrer CA.
- +
-Das erzeugen ​des Schlüsseldatei läuft wie folgt ab:+
  
 <​code>​ <​code>​
-linux:/​etc/​openvpn/​ihr-domain.loc ​source ./vars +invis:inviscerts vpn
-linux:/​etc/​openvpn/​ihr-domain.loc # ./​build-key-pkcs12 clienthostname+
 </​code>​ </​code>​
  
-Im Verlauf des Schlüsselbaus werden die üblichen Fragen ​für das zugehörige Zertifikat gestellt, Sie können die Vorgabewerte jeweils mit "​Enter"​ übernehmen. Einzig die //​OraginzationalUnit//​ ist nicht mit einem Vorgabewert belegt. Sie können hier nach Belieben einen Beschreibungstext zum Client eingeben. +Das Script fragt nach einem "​Export Passwort" ​für das zu erzeugende Schlüsselpaar. Schlüssel und Zertifikat werden in einer PKCS12 Datei zusammengefasst und diese mit einem Passwort verschlüsselt. Sie sollten hier ein möglichst sicheres Passwort verwenden und dieses nur dem Inhaber des Clients nennen.
- +
-Nach Erzeugung von Schlüssel und Zertifikat werden ​beide Dateien ​in einer PKCS12 Datei zusammengefasst und mit einem Passwort verschlüsselt. Sie sollten hier ein möglichst sicheres Passwort verwenden und dieses nur dem Inhaber des Clients nennen.+
  
-Die fertige Datei finden Sie im Unterverzeichnis <​file>​keys</​file>​ unter dem Namen: <​file>​clienthostname.p12</​file>​+Die fertige Datei finden Sie im Unterverzeichnis <​file>​/​srv/​shares/​service/​VPN-Clients/​Zertifikate</​file>​ unter dem Namen: <​file>​clienthostname.p12</​file>​
  
 Diese Datei ist auf sicherem Weg (z.B. SCP) auf den Client zu übertragen. Diese Datei ist auf sicherem Weg (z.B. SCP) auf den Client zu übertragen.
  
-=== VPN Zugang herstellen ===+=== 2. VPN Zugang herstellen ===
  
 Melden Sie sich mit Ihrem lokalen Systemverwalter-Konto an und installieren Sie OpenVPN: Melden Sie sich mit Ihrem lokalen Systemverwalter-Konto an und installieren Sie OpenVPN:
  • invis_server_wiki/client.txt
  • Zuletzt geändert: 2020/08/14 13:48
  • von ingo