Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:installation [2014/06/23 10:40] flacco [Netzwerkeinstellungen] |
invis_server_wiki:installation [2015/06/14 12:59] flacco [Modul: faxgate] |
||
|---|---|---|---|
| Zeile 11: | Zeile 11: | ||
| Da invis Server auf openSUSE-Linux aufsetzen, wird ein entprechendes Installationsmedium benötigt, es genügt (eine schnelle Internetanbindung vorausgesetzt) das kleine Net-Install-ISO-Image ([[http://software.opensuse.org|openSUSE Download-Seite]]). Die Internetverbindung ist während des gesamten Script-Laufs zwingend. | Da invis Server auf openSUSE-Linux aufsetzen, wird ein entprechendes Installationsmedium benötigt, es genügt (eine schnelle Internetanbindung vorausgesetzt) das kleine Net-Install-ISO-Image ([[http://software.opensuse.org|openSUSE Download-Seite]]). Die Internetverbindung ist während des gesamten Script-Laufs zwingend. | ||
| - | Die invis-Server Installation ist relativ eng an die jeweils aktuelle openSUSE Installation gekoppelt. Seit **openSUSE 13.1** hat sich das invis-Setup grundlegend gewandelt. Basis der Installation ist seit 13.1 (**invis-Server Version 9.2**) ein eigens dafür erstelltes RPM-Paket, welches in unserem openSUSE Build Service Repository vorgehalten wird. Es ist nicht mehr notwendig Teile des Setups manuell, etwa von unserer Projektseite herunterzuladen. | + | Die invis-Server Installation ist relativ eng an die jeweils aktuelle openSUSE Installation gekoppelt. Seit **openSUSE 13.1** hat sich das invis-Setup grundlegend gewandelt. Basis der Installation sind seit 13.1 (**invis-Server Versionen 9.2 / classic und 10.0 / Active Directory**) eigens dafür erstellte RPM-Pakete, welche in unseren openSUSE Build Service Repositories vorgehalten werden. Es ist nicht mehr notwendig Teile des Setups manuell, etwa von unserer Projektseite herunterzuladen. |
| Machen Sie sich vorab ein paar Gedanken zur verwendeten Hardware. Soll Ihr Server lediglich zum Ausprobieren und Spielen gedacht sein, können Sie durchaus auf recht betagte Hardware zurück greifen. Zum Testen empfehle ich allerdings eine virtuelle Maschine - meine favorisierte Virtualisierungslösung ist [[http://www.virtualbox.org|VirtualBox]]. | Machen Sie sich vorab ein paar Gedanken zur verwendeten Hardware. Soll Ihr Server lediglich zum Ausprobieren und Spielen gedacht sein, können Sie durchaus auf recht betagte Hardware zurück greifen. Zum Testen empfehle ich allerdings eine virtuelle Maschine - meine favorisierte Virtualisierungslösung ist [[http://www.virtualbox.org|VirtualBox]]. | ||
| Zeile 91: | Zeile 91: | ||
| Die erste Netzwerkkarte des Systems (extern) stellt die Verbindung des Servers mit dem Internet her - entspricht somit der externen Zone Ihrer Firewall. | Die erste Netzwerkkarte des Systems (extern) stellt die Verbindung des Servers mit dem Internet her - entspricht somit der externen Zone Ihrer Firewall. | ||
| - | Verwenden Sie vor dem Server einen Router, sollten Sie "extern" als DHCP-Client Konfigurieren. Wenn Sie ein Modem oder einen Router im Pass-Through Modus verwenden müssen Sie sie als PPPoE-Device einrichten und Ihren DSL-Zugang einrichten. Sorgen Sie dafür, dass bei der Internet-Einwahl nicht der verwendete DNS-Server geändert wird. | + | Verwenden Sie vor dem Server einen Router, sollten Sie "extern" als DHCP-Client Konfigurieren. Wenn Sie ein Modem oder einen Router im Pass-Through Modus verwenden müssen Sie sie als PPPoE-Device einrichten und Ihren DSL-Zugang einrichten. Sorgen Sie dafür, dass bei der Internet-Einwahl **nicht** der verwendete DNS-Server geändert wird. |
| Die zweite Netzwerkkarte (intern) muss mit einer festen IP-Adresse versehen werden. Selbst, wenn über den Internet-Service-Provider eine feste IP-Adresse zur Verfügung steht, ist für das interne Netz die Verwendung einer Adresse aus einem privaten Adressbereich zwingend. | Die zweite Netzwerkkarte (intern) muss mit einer festen IP-Adresse versehen werden. Selbst, wenn über den Internet-Service-Provider eine feste IP-Adresse zur Verfügung steht, ist für das interne Netz die Verwendung einer Adresse aus einem privaten Adressbereich zwingend. | ||
| - | Zur Benennung der Netzwerkschnittstellen steht nach der Installation des invis-Setup RPMs ein eigenes Script zur Verfügung. Der Reihen nach: | + | Zur Benennung der Netzwerkschnittstellen steht nach der Installation des invis-Setup RPMs ein eigenes Script zur Verfügung. Der Reihen nach. |
| - | Zur Installation ist es notwendig zunächst das invis-Repository auf einem minimalen openSUSE System zu installieren: | + | ==== Installation vorbereiten ==== |
| + | Zur Installation ist es notwendig zunächst das gewünschte invis-Repository auf einem minimalen openSUSE System zu installieren. Zur Verfügung stehen zwei Repositories: | ||
| + | |||
| + | - **spins:invis:stable** - Stabile Version der invis-Server Setup Pakete. Nutzen Sie dieses Repository für produktiv genutzte invis-Server | ||
| + | - **spins:invis:unstable** - In Entwicklung befindliche Versionen der invis-Server Setup Pakete. Nutzen Sie dieses Repository, wenn Sie uns mit Rat, Tat, Lob oder Kritik bei der Weiterentwicklung unterstützen möchten. | ||
| + | |||
| + | Zur Installation eines der Repositories können Sie //**zypper**// verwenden: | ||
| <code> | <code> | ||
| - | linux:~ # zypper ar http://download.opensuse.org/repositories/spins:/invis/openSUSE_13.1/spins:invis.repo | + | linux:~ # zypper ar -f http://download.opensuse.org/repositories/spins:/invis:/stable/openSUSE_13.1/spins:invis:stable.repo |
| </code> | </code> | ||
| - | //**Hinweis:** Wer bereits mit der Samba4 / Active Directory basierten Alpha-Version testen möchte muss sich statt dessen das "spins:invis:unstable" installieren.// | + | oder |
| <code> | <code> | ||
| - | linux:~ # zypper ar http://download.opensuse.org/repositories/spins:/invis:/unstable/openSUSE_13.1/spins:invis:unstable.repo | + | linux:~ # zypper ar -f http://download.opensuse.org/repositories/spins:/invis:/unstable/openSUSE_13.1/spins:invis:unstable.repo |
| </code> | </code> | ||
| Danach kann das Setup-Paket installiert werden: | Danach kann das Setup-Paket installiert werden: | ||
| + | |||
| + | **Classic:** | ||
| <code> | <code> | ||
| Zeile 116: | Zeile 124: | ||
| </code> | </code> | ||
| - | //**Hinweis:** Im Falle der Samba4 AD basierten Version trägt das Setup-RPM den Namen "**invisAD-setup**".// | + | **Active Directory:** |
| + | |||
| + | <code> | ||
| + | linux:~ # zypper ref | ||
| + | linux:~ # zypper in invisAD-setup | ||
| + | </code> | ||
| Bei der Ausführung von //**zypper ref**// wird der "Signierungsschlüssel" des invis-Repositories empfangen. Diesem muss //dauerhaft// vertraut werden. Bestätigen Sie die gestellte Frage entsprechend. | Bei der Ausführung von //**zypper ref**// wird der "Signierungsschlüssel" des invis-Repositories empfangen. Diesem muss //dauerhaft// vertraut werden. Bestätigen Sie die gestellte Frage entsprechend. | ||
| //**Hinweis:** Dass bei der Installation des invis-setup RPMs über 400 weitere Software-Pakete installiert werden ist normal. ;-)// | //**Hinweis:** Dass bei der Installation des invis-setup RPMs über 400 weitere Software-Pakete installiert werden ist normal. ;-)// | ||
| + | |||
| + | //**Hinweis:** Da invis-Server (9.2 und 10.0) bereits den Nameserver bind in Version **9.10** verwenden kommt es bei der installation des invis-setup (u. invisAD-setup) Paketes zu einem Software-Abhängigkeitsproblem. Wählen Sie den von **zypper** unterbreiteten Lösungsvorschlag 1 (Lösung 1: bind-utils-9.10.1P1-179.1.x86_64 installieren (mit Anbieterwechsel)) aus.// | ||
| Nach der Installation sollte zunächst das Script "netsetup" ausgeführt werden. Es versorgt die vorhandenen Netzwerkschnittstellen mit den persistenten Namen "extern" und "intern". | Nach der Installation sollte zunächst das Script "netsetup" ausgeführt werden. Es versorgt die vorhandenen Netzwerkschnittstellen mit den persistenten Namen "extern" und "intern". | ||
| Zeile 139: | Zeile 155: | ||
| </code> | </code> | ||
| - | Das Ergebnis sollte in etwa so aussehen: | + | //**Hinweis:** Kontrollieren Sie beim Setup der Netzwerkkarten mit YaST, dass in den Karteneinstellungen unter Punkt "General" anstelle von "On Cable Connect", "At Boot Time" für das initialisieren der Netzwerkkarten eingetragen ist.// |
| + | |||
| + | Nach beenden von YaST, ist das Kommando: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # rcnetwork restart | ||
| + | </code> | ||
| + | |||
| + | auszuführen. Das Ergebnis sollte in etwa so aussehen: | ||
| <code> | <code> | ||
| Zeile 161: | Zeile 185: | ||
| RX bytes:0 (0.0 b) TX bytes:648 (648.0 b) | RX bytes:0 (0.0 b) TX bytes:648 (648.0 b) | ||
| </code> | </code> | ||
| - | Damit ist die Basisinstallation abgeschlossen. | + | |
| + | Damit sind Basisinstallation und Netzwerkkonfiguration abgeschlossen. | ||
| ===== Anwendug des Setup-Scripts ===== | ===== Anwendug des Setup-Scripts ===== | ||
| Zeile 188: | Zeile 213: | ||
| Bevor Sie jetzt das Script starten, sollten Sie sich fürs Verständnis dessen, was ein invis-Server ist, folgenden Beitrag durchlesen [[:invis_server_wiki:whatis_invis_server|Aufbau und Funktion]]. | Bevor Sie jetzt das Script starten, sollten Sie sich fürs Verständnis dessen, was ein invis-Server ist, folgenden Beitrag durchlesen [[:invis_server_wiki:whatis_invis_server|Aufbau und Funktion]]. | ||
| + | |||
| + | //**Hinweis:** Die Setups zwischen **invis-server Classic** und **invis-server AD** unterscheiden sich an einigen Stellen voneinander. In der folgenden Beschreibung wird jeweils auf die Unterschiede hingewiesen. Sie sollten die Anleitung allerdings ungeachtet der gewählten Variante komplett lesen!// | ||
| ==== Die Module im Einzelnen (Pflichtmodule) ==== | ==== Die Module im Einzelnen (Pflichtmodule) ==== | ||
| Zeile 241: | Zeile 268: | ||
| ---- | ---- | ||
| + | |||
| + | ** Nur invis-server Classic** | ||
| Es werden Passwörter für unterschiedlich berechtigte LDAP-Administratoren, den MySQL-root-Account, den ntop-Admin und ggf. den Cyrus-Administrationsaccount erfragt. | Es werden Passwörter für unterschiedlich berechtigte LDAP-Administratoren, den MySQL-root-Account, den ntop-Admin und ggf. den Cyrus-Administrationsaccount erfragt. | ||
| Zeile 251: | Zeile 280: | ||
| Die Sektions-Admins sind jeweils nur für einen Zweig im LDAP - etwa die DHCP Konfiguration - administrationsberechtigt. | Die Sektions-Admins sind jeweils nur für einen Zweig im LDAP - etwa die DHCP Konfiguration - administrationsberechtigt. | ||
| + | |||
| + | ** invis-Server AD ** | ||
| + | |||
| + | Hier übernimmt der Domänenadministrator zunächst die Rolle der AD-Verwaltung. Dessen Passwort wird derzeit im Laufe der Installation statisch auf den Wert: "p@ssw0rd" gesetzt und sollte später geändert werden. | ||
| + | |||
| + | Es folgt die Abfrage des Passwortes für den MySQL root-Account. | ||
| {{:invis_server_wiki:07_quest_mysqlpw.png?500|}} {{ :invis_server_wiki:08_quest_ntoppw.png?500|}} | {{:invis_server_wiki:07_quest_mysqlpw.png?500|}} {{ :invis_server_wiki:08_quest_ntoppw.png?500|}} | ||
| ---- | ---- | ||
| + | |||
| + | ** invis-server Classic ** | ||
| Die nächste Frage zielt auf die gewünschte Kombination aus Mailserverkomponenten und Groupware ab. | Die nächste Frage zielt auf die gewünschte Kombination aus Mailserverkomponenten und Groupware ab. | ||
| Zeile 274: | Zeile 311: | ||
| In Sachen Anbindung von mobilen Clients sind beide Systeme miteinander vergleichbar. Group-e bietet SyncML und ActiveSync, Zarafa ActiveSync und Blackberry als Synchronisationsmöglichkeiten für Smartphones an. | In Sachen Anbindung von mobilen Clients sind beide Systeme miteinander vergleichbar. Group-e bietet SyncML und ActiveSync, Zarafa ActiveSync und Blackberry als Synchronisationsmöglichkeiten für Smartphones an. | ||
| + | |||
| + | **invis-Server AD** | ||
| + | |||
| + | {{ :invis_server_wiki:auswahl_mailserver.png |}} | ||
| + | |||
| + | //**Achtung:** Wir haben die Abfrage für die unterschiedlichen Mailserver- bzw. Groupware-Setups in der Fragestunde gelassen. Derzeit funktioniert das Setup aber ausschließlich mit **Zarafa**. Eine Entscheidung, wie mit den anderen Optionen verfahren wird steht noch aus und ist unter anderem davon abhängig in wie weit die anderen Systeme eine AD-Integration erwägen.// | ||
| ---- | ---- | ||
| + | |||
| + | **invis-server Classic** | ||
| Zentrales Element einer invis-Server Installation ist der Fileserver Samba. Gewählt werden kann zwischen Samba-Paketen aus dem Distributionsumfang oder RPM-Paketen der Göttinger Firma Sernet. | Zentrales Element einer invis-Server Installation ist der Fileserver Samba. Gewählt werden kann zwischen Samba-Paketen aus dem Distributionsumfang oder RPM-Paketen der Göttinger Firma Sernet. | ||
| Zeile 286: | Zeile 331: | ||
| Installiert wird bereits Samba 4, auch wenn Samba nach wie vor klassisch, also ohne ActiveDirectory betrieben wird. Mit den openSUSE Paketen wäre dies auch derzeit noch nicht möglich. Um die Samba4 Pakete von Sernet installieren zu können ist eine persönliche Registrierung auf [[https://portal.enterprisesamba.com/]] erforderlich. Dort erhalten Sie Zugangsdaten, die von //**sine**// abgefragt und in die entsprechende Repository-Datei eingetragen werden müssen. Ohne diesen Schritt kann keine Software aus dem Repository installiert werden. | Installiert wird bereits Samba 4, auch wenn Samba nach wie vor klassisch, also ohne ActiveDirectory betrieben wird. Mit den openSUSE Paketen wäre dies auch derzeit noch nicht möglich. Um die Samba4 Pakete von Sernet installieren zu können ist eine persönliche Registrierung auf [[https://portal.enterprisesamba.com/]] erforderlich. Dort erhalten Sie Zugangsdaten, die von //**sine**// abgefragt und in die entsprechende Repository-Datei eingetragen werden müssen. Ohne diesen Schritt kann keine Software aus dem Repository installiert werden. | ||
| + | |||
| + | **invis-Server AD** | ||
| + | |||
| + | Um ein Active Directory zu ermöglichen müssen die Sernet-Samba Pakete gewählt werden. In diesem Fall wird das Paket **sernet-samba-ad** installiert. Die openSUSE Pakete beinhalten diese Komponente derzeit noch nicht. | ||
| ---- | ---- | ||
| Zeile 363: | Zeile 412: | ||
| Das Modul installiert die ausgewählten Samba-Pakete, konfiguriert und startet den NTP-Dienst, richtet das Netzwerküberwachungstool "ntop" ein und erledigt grundlegende Systemeinstellungen. | Das Modul installiert die ausgewählten Samba-Pakete, konfiguriert und startet den NTP-Dienst, richtet das Netzwerküberwachungstool "ntop" ein und erledigt grundlegende Systemeinstellungen. | ||
| - | === Modul: ldap === | + | === Modul: ldap (invis-server classic) bzw. ad (invis-server AD)=== |
| + | |||
| + | **Classic** | ||
| Dieses Modul richtet die LDAP-Umgebung für den invis-Server ein. Dazu gehört das Aufsetzen des Servers selbst, das einbinden der benötigten Schema-Dateien, das Anlegen des LDAP-Verzeichnisses sowie die Installation der smbldap-tools und phpLDAPAdmin, wichtigen Werkzeugen beim Verwalten des Verzeichnisses. | Dieses Modul richtet die LDAP-Umgebung für den invis-Server ein. Dazu gehört das Aufsetzen des Servers selbst, das einbinden der benötigten Schema-Dateien, das Anlegen des LDAP-Verzeichnisses sowie die Installation der smbldap-tools und phpLDAPAdmin, wichtigen Werkzeugen beim Verwalten des Verzeichnisses. | ||
| + | |||
| + | **AD** | ||
| + | |||
| + | Bezogen auf die AD-Variante des invis-Servers wird an dieser Stelle bereits die Active-Directory Domäne vollständig aufgebaut. D.h. das "Domain Provisioning" wird bezogen auf die Classic-Variante vorgezogen. Die oben erwähnten smbldap-tools werden für die AD-Variante nicht benötigt. | ||
| {{ :invis_server_wiki:23_ldap_cert.png |}} | {{ :invis_server_wiki:23_ldap_cert.png |}} | ||
| Zeile 399: | Zeile 454: | ||
| Dies Modul richtet, wie zu vermuten ist, den Druckserver CUPS ein. Auch dieses Modul ist ein Selbstläufer. | Dies Modul richtet, wie zu vermuten ist, den Druckserver CUPS ein. Auch dieses Modul ist ein Selbstläufer. | ||
| - | === Modul: samba === | + | === Modul: fileserver (samba & nfs) === |
| Die Einrichtung eines LDAP/Samba-Domaincontrollers erledigt das Modul so gut wie selbsttätig. Dabei legt es die komplette Benutzer- und Gruppen-Struktur, wie in einer "Windows NT Domänenstruktur" üblich an. Machen Sie sich später mittels phpLDAPAdmin (zu erreichen über den Administrationsbereich im invis Portal) mit der Struktur vertraut. Dabei entsprechen auch die Gruppen-IDs den entsprechenden RIDs aus der Windows-Welt. | Die Einrichtung eines LDAP/Samba-Domaincontrollers erledigt das Modul so gut wie selbsttätig. Dabei legt es die komplette Benutzer- und Gruppen-Struktur, wie in einer "Windows NT Domänenstruktur" üblich an. Machen Sie sich später mittels phpLDAPAdmin (zu erreichen über den Administrationsbereich im invis Portal) mit der Struktur vertraut. Dabei entsprechen auch die Gruppen-IDs den entsprechenden RIDs aus der Windows-Welt. | ||
| - | Weiterhin legt das Script unter /srv/shares einige Freigaben (Verwaltung, Aktuell, Archiv, Gruppen, Media, Transfer) an. Diese sind in Abhängigkeit des gedachten Verwendungszwecks mit unterschiedlichen Zugriffsrechten versehen. Allen gemeinsam ist das gesetzte SGID-Bit, welches dafür sorgt, dass Dateien und Verzeichnisse die in einer Freigabe angelegt werden von dieser die besitzende Gruppe erben. Dies erleichtert das gruppenweise Zusamenarbeiten auf dem Fileserver. Schauen Sie sich auch dies fürs Verständnis einmal genauer an. | + | Weiterhin legt das Script unter /srv/shares einige Freigaben (Verwaltung, Aktuell, Archiv, Gruppen, Media, Transfer) an. Diese sind in Abhängigkeit des gedachten Verwendungszwecks mit unterschiedlichen Zugriffsrechten versehen. Allen gemeinsam ist das gesetzte SGID-Bit, welches dafür sorgt, dass Dateien und Verzeichnisse die in einer Freigabe angelegt werden von dieser die besitzende Gruppe erben. Dies erleichtert das gruppenweise Zusammenarbeiten auf dem Fileserver. Schauen Sie sich auch dies fürs Verständnis einmal genauer an. |
| Alle Freigaben sind mit einem "Netzwerk-Papierkorb" ausgestattet. D.H. alle von Anwendern in einer Freigabe gelöschten Dateien und Ordner werden unter Beibehaltung der Verzeichnisstruktur in den Ordner ".recycle" innerhalb der jeweiligen Freigabe verschoben. Um ein Überlaufen der Festplatten zu verhindern werden ältere Dateien automatisch vom Tool //**clean_recycle**// in regelmäßigen Abständen automatisch aus dem Papierkorb entfernt. | Alle Freigaben sind mit einem "Netzwerk-Papierkorb" ausgestattet. D.H. alle von Anwendern in einer Freigabe gelöschten Dateien und Ordner werden unter Beibehaltung der Verzeichnisstruktur in den Ordner ".recycle" innerhalb der jeweiligen Freigabe verschoben. Um ein Überlaufen der Festplatten zu verhindern werden ältere Dateien automatisch vom Tool //**clean_recycle**// in regelmäßigen Abständen automatisch aus dem Papierkorb entfernt. | ||
| Zeile 423: | Zeile 478: | ||
| //**Achtung:** SSSD ist ein "caching" Daemon. D.h. er speichert Benutzerinformationen aus dem LDAP zwischen. Leider funktioniert (in meinen Augen) das frisch halten des Caches nicht optimal. D.h. Es kann sein, dass sie für frisch angelegte Benutzer oder Gruppen erst nach einigen Minuten Wartezeit Zugriffsrechte im Dateisystem setzen können.// | //**Achtung:** SSSD ist ein "caching" Daemon. D.h. er speichert Benutzerinformationen aus dem LDAP zwischen. Leider funktioniert (in meinen Augen) das frisch halten des Caches nicht optimal. D.h. Es kann sein, dass sie für frisch angelegte Benutzer oder Gruppen erst nach einigen Minuten Wartezeit Zugriffsrechte im Dateisystem setzen können.// | ||
| + | |||
| + | //**Achtung**: Die Funktion Freigaben auch via NFS verfügbar zu machen ist in diesem Modul enthalten, wird aber nicht automatisch aktiviert. Dazu ist etwas manuelle Nacharbeit notwendig. (Siehe unten)// | ||
| === Modul: web === | === Modul: web === | ||
| Wie der Name vermuten lässt geht es hier um die Einrichtung des Webservers Apache, aber auch um die Installation des invis-Portals. Seit invis-Server Version 9.0 ist auch die Einrichtung des Dienstes "shellinabox" Teil dieses Moduls. "shellinabox" ermöglicht den SSH-Login am Server aus dem Webportal des invis-Servers heraus. | Wie der Name vermuten lässt geht es hier um die Einrichtung des Webservers Apache, aber auch um die Installation des invis-Portals. Seit invis-Server Version 9.0 ist auch die Einrichtung des Dienstes "shellinabox" Teil dieses Moduls. "shellinabox" ermöglicht den SSH-Login am Server aus dem Webportal des invis-Servers heraus. | ||
| Zeile 434: | Zeile 491: | ||
| === Module: mysqlserver und postgresqlserver === | === Module: mysqlserver und postgresqlserver === | ||
| - | Das diese beiden Module genau das tun, was die Namen vermuten lassen dürfte selbstverständlich sein. Sie richten sowohl einen MySQL als auch einen PostgreSQL Server ein. | + | Das diese beiden Module genau das tun, was die Namen vermuten lassen dürfte selbstverständlich sein. Sie richten sowohl einen MySQL, bzw. ab Version 10.0 MariaDB als auch einen PostgreSQL Server ein. |
| - | Die Frage nache dem "Warum beide" beantworte ich lieber bevor sie gestellt wird. Die in invis Server integrierte Groupware "Group-e" setzt einen MySQL-Server voraus, während das Warenwirtschaftssystem Kivitendo und OpenERP schlicht PostgreSQL benötigen. Beide Systeme haben einfach unterschiedliche Stärken. So profitieren Group-e und Zarafa vermutlich von der Performance des Einen, während Kivitendo und OpenERP auf die Transaktionssicherheit des Anderen bauen. | + | Die Frage nache dem "Warum beide" beantworte ich lieber bevor sie gestellt wird. Die in invis Server integrierte Groupware "Group-e" setzt einen MySQL-Server voraus, während das Warenwirtschaftssystem Kivitendo schlicht PostgreSQL benötigt. Beide Systeme haben einfach unterschiedliche Stärken. So profitieren Group-e und Zarafa vermutlich von der Performance des Einen, während Kivitendo auf die Transaktionssicherheit des Anderen baut. |
| //**Hinweis:** Seit invis Version 7.0 wurde der Start des PostgreSQL Servers optional gestaltet. D.h. PostgreSQL wird installiert und konfiguriert, aber nur auf Wunsch gestartet. // | //**Hinweis:** Seit invis Version 7.0 wurde der Start des PostgreSQL Servers optional gestaltet. D.h. PostgreSQL wird installiert und konfiguriert, aber nur auf Wunsch gestartet. // | ||
| + | |||
| + | //**Hinweis:** Ab invis Server 10.0 (Active Directory) werden die Speicherreservicerungen für die InnoDB-Engine von MariaDB bzw. MySQL dynamisch berechnet und eingerichtet. Dabei kann es vorkommen, dass wenn viel RAM zur Verfügung steht beim ersten Start von MariaDB bzw. MySQL sehr große Dateien auf der Festplatte angelegt werden. Dies kann unter Umständen sehr lange dauern. Wenn es also so aussieht, als würde **sine** still stehen, haben Sie einfach noch ein wenig Geduld. Auch eine etwaige Fehlermeldung des Systemd bez. eines fehlgeschlagenen Start des Dienstes kann getrost ignoriert werden. Systemd fehlt es scheinbar an der notwendigen Geduld.// | ||
| {{ :invis_server_wiki:32_postgresql.png |}} | {{ :invis_server_wiki:32_postgresql.png |}} | ||
| Zeile 525: | Zeile 584: | ||
| === Modul: faxgate === | === Modul: faxgate === | ||
| - | //**Achtung:** Unter openSUSE 12.2 (invis 8.0-R1 und R2) und neuer funktioniert das Modul derzeit nicht, da Foehr-IT keine fcpci-Kernelmodule für den Kernel fuer openSUSE ab 12.2 bereit hält. Das Ganze sollte sich aber auch manuell einrichten lassen in dem man die Schritte des sine-Scripts manuell nachvollzieht. Ein passendes Kernel-Modul ist **[[http://www.fkn-systems.de/index.php?&c=fcpci|hier]]** zu finden.// | + | //**Hinweis:** Wir werden die Pflege des Fax-Server-Moduls über kurz oder lang einstellen. Geschuldet ist dies der ISDN Deaktivierung durch die Telekom, der Tatsache, dass AVM die Fritzcard nie als PCIeX Karte heraus gebracht hat und, dass es die FCPCI-Treiber auch nicht bis in alle Ewigkeit geben wird.// |
| + | |||
| + | //**Achtung:** Seit invis 8.0-R1 funktioniert das Modul nicht mehr vollständig, da Foehr-IT keine fcpci-Kernelmodule für den Kernel für openSUSE ab 12.2 bereit hält. Die Treiber müssen manuell herunter geladen und installiert werden, alles andere kann das Faxgate-Modul erledigen. Die Kernel-Module sind **[[http://www.fkn-systems.de/index.php?&c=fcpci|hier]]** zu finden.// | ||
| Dieses Modul setzt einen CAPI-basierten Faxserver auf. Das setzt voraus, dass Ihr zukünftiger invis Server über eine FritzCard PCI verfügt (andere Modelle haben wir nie getestet). Alternativ funktioniert es auch mit einer FritzCard DSL einer Kombination aus ISDN-Karte und DSL-Modem, die allerdings im Handel nicht mehr erhältlich ist. | Dieses Modul setzt einen CAPI-basierten Faxserver auf. Das setzt voraus, dass Ihr zukünftiger invis Server über eine FritzCard PCI verfügt (andere Modelle haben wir nie getestet). Alternativ funktioniert es auch mit einer FritzCard DSL einer Kombination aus ISDN-Karte und DSL-Modem, die allerdings im Handel nicht mehr erhältlich ist. | ||
| Zeile 607: | Zeile 668: | ||
| Ich werde bei der Dokumentation der Ersteinrichtung der beiden Programme hier nur das Wesentliche erläutern, da beide Programme immer wieder kleineren und größeren Änderungen unterliegen. | Ich werde bei der Dokumentation der Ersteinrichtung der beiden Programme hier nur das Wesentliche erläutern, da beide Programme immer wieder kleineren und größeren Änderungen unterliegen. | ||
| + | ==== NFS Fileserver ==== | ||
| + | |||
| + | Der NFS Fileserver für Linux-Clients ist nach der Installation des invis-Servers zwar vorbereitet, wird aber nicht automatisch gestartet. Um dies Nachzuholen sind folgende Schritte durchzuführen: | ||
| + | |||
| + | Die Dienste "nfsserver" und "rpcbind" zum automatischen Start vorsehen und starten: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # systemctl enable nfsserver.service | ||
| + | linux:~ # systemctl start nfsserver.service | ||
| + | linux:~ # systemctl enable rpcbind.service | ||
| + | linux:~ # systemctl start rpcbind.service | ||
| + | </code> | ||
| + | |||
| + | Anschliessend ist noch der Zugriff auf die NFS-Freigaben in der Firewall, für die interne Netzwerk-Schnittstelle zu öffnen. | ||
| + | |||
| + | Dazu ist in Datei <file>/etc/sysconfig/SuSEfirewall2</file> ist in Zeile (ca.) 414 folgendes zu ergänzen: | ||
| + | |||
| + | Aus: | ||
| + | <code> | ||
| + | FW_CONFIGURATIONS_INT="samba-4-ad" | ||
| + | </code> | ||
| + | wird | ||
| + | <code> | ||
| + | FW_CONFIGURATIONS_INT="nfs-kernel-server samba-4-ad" | ||
| + | </code> | ||
| + | |||
| + | Danach ist noch die Firwall neu zu starten: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # systemctl restart SuSEfirewall2.service | ||
| + | </code> | ||
| + | |||
| + | Grund dafür, dass wir dies nicht automatisch ausführen ist, dass es nur in den wenigsten Fällen Linux Clients gibt (leider). | ||
| ==== Group-e ==== | ==== Group-e ==== | ||
| Zeile 668: | Zeile 762: | ||
| ==== Kivitendo ==== | ==== Kivitendo ==== | ||
| - | Wie auch Group-e, ist Kivitendo nach erfolgreichem Script-Lauf bereits auf dem zukünftigen invis-Server vorinstalliert. Die anfallende Nacharbeit beschränkt sich auf das Anlegen von Datenbanken und Mandanten-Accounts. | + | Wie auch Group-e, ist Kivitendo nach erfolgreichem Script-Lauf bereits auf dem zukünftigen invis-Server vorinstalliert. Die anfallende Nacharbeit beschränkt sich auf das Anlegen von Datenbanken, Benutzer, Gruppen und Mandanten. |
| - | //**Dazu zunächst ein Hinweis:** Zwar ist es möglich Kivitendo an eine bestehende LDAP-Benutzeranmeldung anzubinden, allerdings ist es nicht möglich von einem System-Benutzerkonto auf mehrere Mandanten-Datenbanken zuzugreifen. Technisch ausgedrückt können nur "eins zu eins" bzw. "viele zu eins" Beziehungen zwischen Kivitendo-Nutzerkonten und Kivitendo Mandanten-Datenbanken eingerichtet werden. "eins zu viele" Beziehungen, wie etwa von Produkten wie Lexware bekannt, sind (noch) nicht möglich. Würde Kivitendo an LDAP angebunden werden, müsste für jede Mandantendatenbank ein System-Benutzerkonto angelegt werden. Da dies auf die Dauer unübersichtlich wird, gehe ich bei der weiteren Beschreibung davon aus, dass Kivitendo eine eigene SQL-Datenbank für Kivitendo-Nutzer pflegt.// | + | Eine Umfangreiche Dokumentation zu Kivitendo finden Sie hier: [[https://steigmann.kivitendo-premium.de/doc/html/]] |
| Um die Kivitendo Nutzerdatenbank, Mandanten-Datenbanken sowie Nutzerkonten anlegen zu können, müssen Sie zunächst im Browser die Administrationsseite aufrufen. Der entsprechende Link sieht wie folgt aus: | Um die Kivitendo Nutzerdatenbank, Mandanten-Datenbanken sowie Nutzerkonten anlegen zu können, müssen Sie zunächst im Browser die Administrationsseite aufrufen. Der entsprechende Link sieht wie folgt aus: | ||
| Zeile 678: | Zeile 772: | ||
| Sind weder Datenbanken noch Nutzerkonten eingerichtet, genügt ein Klick auf die Schaltfläche "Warenwirtschaft" im invis-Portal. Kivitendo fragt dann selbständig, ob Sie zunächst auf die Administrationsseite wechseln möchten. | Sind weder Datenbanken noch Nutzerkonten eingerichtet, genügt ein Klick auf die Schaltfläche "Warenwirtschaft" im invis-Portal. Kivitendo fragt dann selbständig, ob Sie zunächst auf die Administrationsseite wechseln möchten. | ||
| - | Das zunächst erfragte Administratoren-Passwort lautet schlicht: **"admin123"**. Kivitendo führt Sie anschließend durch die Installation einer Authentifizierungsdatenbank. Folgen Sie hier einfach den Anweisungen. Als Benutzer zum Anlegen der Datenbank können müssen Sie wie vorgeschlagen den User "kivitendo" verwenden. Für letzteren benötigen Sie selbstverständlich das von Ihnen vergebene Passwort. | + | Das zunächst erfragte Administratoren-Passwort lautet schlicht: **"admin123"**. Kivitendo führt Sie anschliessend durch die Installation einer Authentifizierungsdatenbank. Folgen Sie hier einfach den Anweisungen. Als Benutzer zum Anlegen der Datenbank können müssen Sie wie vorgeschlagen den User "kivitendo" verwenden. Für letzteren benötigen Sie selbstverständlich das von Ihnen vergebene Passwort. |
| + | |||
| + | Möchten Sie statt gegen eine interne Kivitendo Benutzerdatenbank, gegen ein LDAP-Verzeichnis (OpenLDAP oder Active Directory) Authentifizieren, müssen Sie vor dem Anlegen der Benutzerdatenbank in der Datei <file>/srv/www/htdocs/kivitendo/config/kivitendo.conf</file> folgende Änderungen vornehmen: | ||
| + | |||
| + | **Classic & AD** | ||
| + | <code> | ||
| + | # Which module to use for authentication. Valid values are 'DB' and | ||
| + | # 'LDAP'. If 'LDAP' is used then users cannot change their password | ||
| + | # via kivitendo. | ||
| + | module = LDAP | ||
| + | </code> | ||
| + | |||
| + | Weiterhin ist der LDAP-Server zu konfigurieren. Hier unterscheiden sich Classic und AD geringfügig voneinander: | ||
| + | |||
| + | **Classic** | ||
| + | |||
| + | <code> | ||
| + | host = 127.0.0.1 | ||
| + | port = 389 | ||
| + | tls = 1 | ||
| + | attribute = uid | ||
| + | base_dn = DC=invis-net,DC=loc | ||
| + | filter = | ||
| + | bind_dn = uid=admin,ou=Benutzerverwaltung,dc=invis-net,dc=loc | ||
| + | bind_password = ldap-admin-secret | ||
| + | </code> | ||
| + | |||
| + | **AD** | ||
| + | <code> | ||
| + | host = 127.0.0.1 | ||
| + | port = 389 | ||
| + | tls = 1 | ||
| + | attribute = sAMAccountName | ||
| + | base_dn = DC=invis-net,DC=loc | ||
| + | filter = | ||
| + | bind_dn = ldap.admin@invis-net.loc | ||
| + | bind_password = ldap-admin-secret | ||
| + | </code> | ||
| + | |||
| + | Selbstverständlich müssen Sie die Konfigurationsdaten an Ihre Umgebung anpassen. | ||
| Steht die Authentifizierungsdatenbank, gelangen Sie auf die eigentliche Administrationsseite. | Steht die Authentifizierungsdatenbank, gelangen Sie auf die eigentliche Administrationsseite. | ||
| Zeile 734: | Zeile 867: | ||
| Für Kivitendo können Sie auch kommerziellen Support erhalten, wenden Sie sich diesbezüglich an eines der Kivitendo-Partner Unternehmen: [[http://www.kivitendo.de/partner.html]]// | Für Kivitendo können Sie auch kommerziellen Support erhalten, wenden Sie sich diesbezüglich an eines der Kivitendo-Partner Unternehmen: [[http://www.kivitendo.de/partner.html]]// | ||
| + | |||
| + | ==== ownCloud - ab invis-Server Active Directory 10.2 ==== | ||
| ==== Fax-Server ==== | ==== Fax-Server ==== | ||
| + | |||
| + | //**Hinweis:** Wir werden die Pflege des Fax-Server-Moduls über kurz oder lang einstellen. Geschuldet ist dies der ISDN Deaktivierung durch die Telekom, der Tatsache, dass AVM die Fritzcard nie als PCIeX Karte heraus gebracht hat und, dass es die FCPCI-Treiber auch nicht bis in alle Ewigkeit geben wird.// | ||
| Die Nacharbeit am Fax-Server beschränkt sich auf die Konfiguration des Fax-Anschlusses sowie der Drucker-Installation auf den Clients. | Die Nacharbeit am Fax-Server beschränkt sich auf die Konfiguration des Fax-Anschlusses sowie der Drucker-Installation auf den Clients. | ||