Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:installation [2015/06/14 13:25] flacco [ownCloud - ab invis-Server Active Directory 10.2] |
invis_server_wiki:installation [2015/07/25 10:58] flacco [Modul: etherpad] |
||
|---|---|---|---|
| Zeile 11: | Zeile 11: | ||
| Da invis Server auf openSUSE-Linux aufsetzen, wird ein entprechendes Installationsmedium benötigt, es genügt (eine schnelle Internetanbindung vorausgesetzt) das kleine Net-Install-ISO-Image ([[http://software.opensuse.org|openSUSE Download-Seite]]). Die Internetverbindung ist während des gesamten Script-Laufs zwingend. | Da invis Server auf openSUSE-Linux aufsetzen, wird ein entprechendes Installationsmedium benötigt, es genügt (eine schnelle Internetanbindung vorausgesetzt) das kleine Net-Install-ISO-Image ([[http://software.opensuse.org|openSUSE Download-Seite]]). Die Internetverbindung ist während des gesamten Script-Laufs zwingend. | ||
| - | Die invis-Server Installation ist relativ eng an die jeweils aktuelle openSUSE Installation gekoppelt. Seit **openSUSE 13.1** hat sich das invis-Setup grundlegend gewandelt. Basis der Installation sind seit 13.1 (**invis-Server Versionen 9.2 / classic und 10.0 / Active Directory**) eigens dafür erstellte RPM-Pakete, welche in unseren openSUSE Build Service Repositories vorgehalten werden. Es ist nicht mehr notwendig Teile des Setups manuell, etwa von unserer Projektseite herunterzuladen. | + | Die invis-Server Installation ist relativ eng an eine definierte openSUSE Installation gekoppelt. Seit **openSUSE 13.1** hat sich das invis-Setup grundlegend gewandelt. Basis der Installation sind seit 13.1 (**invis-Server Versionen 9.x / classic und 10.x / Active Directory**) eigens dafür erstellte RPM-Pakete, welche in unseren openSUSE Build Service Repositories vorgehalten werden. **Es ist nicht mehr notwendig Teile des Setups manuell, etwa von unserer Projektseite herunterzuladen.** |
| + | |||
| + | ==== Hardware ==== | ||
| Machen Sie sich vorab ein paar Gedanken zur verwendeten Hardware. Soll Ihr Server lediglich zum Ausprobieren und Spielen gedacht sein, können Sie durchaus auf recht betagte Hardware zurück greifen. Zum Testen empfehle ich allerdings eine virtuelle Maschine - meine favorisierte Virtualisierungslösung ist [[http://www.virtualbox.org|VirtualBox]]. | Machen Sie sich vorab ein paar Gedanken zur verwendeten Hardware. Soll Ihr Server lediglich zum Ausprobieren und Spielen gedacht sein, können Sie durchaus auf recht betagte Hardware zurück greifen. Zum Testen empfehle ich allerdings eine virtuelle Maschine - meine favorisierte Virtualisierungslösung ist [[http://www.virtualbox.org|VirtualBox]]. | ||
| Zeile 33: | Zeile 35: | ||
| //**Hinweis:** Ein Vorteil bei Verwendung eines Routers ist die Möglichkeit, das Netzwerksegment zwischen invis-Server und Router als "Gästenetz" bzw. als "Gäste-WLAN" zu nutzen.// | //**Hinweis:** Ein Vorteil bei Verwendung eines Routers ist die Möglichkeit, das Netzwerksegment zwischen invis-Server und Router als "Gästenetz" bzw. als "Gäste-WLAN" zu nutzen.// | ||
| - | //**Achtung:** Consumer-Geräte des Herstellers AVM blockieren im Standard-Setup manche ausgehenden DNS-Abfragen, was etwa Schwierigkeiten mit DDNS machen kann. Nicht bei allen Geräten kann die Konfiguration so geändert werden, dass der Betrieb eines invis-Servers nicht beeinträchtigt wird. Die Anschaffung eines Profi-Gerätes sollte in Erwägung gezogen werden.// | + | //**Achtung:** Einige Consumer-Geräte des Herstellers AVM blockieren im Standard-Setup manche ausgehenden DNS-Abfragen, was etwa Schwierigkeiten mit DDNS machen kann. Nicht bei allen Geräten kann die Konfiguration so geändert werden, dass der Betrieb eines invis-Servers nicht beeinträchtigt wird. Die Anschaffung eines Profi-Gerätes sollte in Erwägung gezogen werden.// |
| + | |||
| + | ==== Installationsvoraussetungen ==== | ||
| + | |||
| + | **Samba 4** | ||
| + | |||
| + | Um einen invis-Server AD zu Installieren benötigen Sie weiterhin Zugriff auf die Sernet Samba 4 Repositories. Diese Repositories sind über Zugangsdaten abgesichert. Das invis-Server Setup-Script //**sine**// installiert das Repository automatisch, fragt aber nach den Zugangsdaten. Bis vor kurzem war dafür eine Registrierung am [[https://portal.enterprisesamba.com|enterprisesamba Portal]] notwendig, um entsprechende Zugangsdaten zu erhalten. Möglich ist dieser Weg noch immer, allerdings gibt es jetzt auch öffentliche Zugangsdaten: | ||
| + | |||
| + | **USERNAME:** sernet-samba-public\\ | ||
| + | **ACCESSKEY:** Noo1oxe4zo | ||
| + | |||
| + | **ownCloud** | ||
| + | Wenn Sie (ab invisAD 10.1 Rev 22 bzw. 10.2) ownCloud Nutzen möchten benötigen Sie zwingend einen gültigen DDNS Namen oder eine feste IP-Adresse für Ihren Server über den bzw. die Sie Ihn via Internet erreichen können. **//sine//** fragt diesen Namen bzw. die Adresse während des Setups ab. | ||
| ===== Basisinstallation ===== | ===== Basisinstallation ===== | ||
| Zeile 650: | Zeile 664: | ||
| === Modul: etherpad === | === Modul: etherpad === | ||
| + | |||
| + | //**Hinweis:** Das Modul **etherpad** ist derzeit in allen invis-Versionen (9.2, 10.1 und 10.2) aufgrund von Inkompatibilitäten mit "nodejs" deaktiviert. Ob und/oder wann wir es wieder zum Leben erwecken ist derzeit unbestimmt.// | ||
| Funktionaler Neuzugang im invis-Server Funktionsumfang ist die Software Etherpad-Lite. Sie ist dazu gedacht mit mehreren Personen simultan an Texten zu arbeiten. Die Texte können in verschiedene Formate, darunter auch Dokuwiki exportiert werden. Sehr praktisch vor allem, wenn dezentral und dennoch im Team gearbeitet werden soll. | Funktionaler Neuzugang im invis-Server Funktionsumfang ist die Software Etherpad-Lite. Sie ist dazu gedacht mit mehreren Personen simultan an Texten zu arbeiten. Die Texte können in verschiedene Formate, darunter auch Dokuwiki exportiert werden. Sehr praktisch vor allem, wenn dezentral und dennoch im Team gearbeitet werden soll. | ||
| Zeile 668: | Zeile 684: | ||
| Ich werde bei der Dokumentation der Ersteinrichtung der beiden Programme hier nur das Wesentliche erläutern, da beide Programme immer wieder kleineren und größeren Änderungen unterliegen. | Ich werde bei der Dokumentation der Ersteinrichtung der beiden Programme hier nur das Wesentliche erläutern, da beide Programme immer wieder kleineren und größeren Änderungen unterliegen. | ||
| + | ==== Router ==== | ||
| + | |||
| + | Wenn Sie Ihren invis-Server hinter einem Router betreiben, müssen Sie darin bis zu 5 Portweiterleitungen einrichten, wenn Sie Ihren invis-Server auch via Internet nutzen möchten. | ||
| + | |||
| + | Diese sind: | ||
| + | |||
| + | - der vom invis Server genutzte "verschobene" SSH-Port (TCP) | ||
| + | - Port 443/TCP (HTTPs), wenn Sie ActiveSync/Z-Push nutzen möchten, um Mobilgeräte mit der Groupware des Servers zu synchronisieren. | ||
| + | - der vom invis Server genutzte "verschobene" HTTPs-Port (TCP) für den Zugriff auf das invis-Portal. | ||
| + | - der vom invis Server genutzte "verschobene" HTTPs-Port (TCP) für den Zugriff auf ownCloud. | ||
| + | - Port 1194/UDP für den Zugriff via OpenVPN. | ||
| + | |||
| + | Die hier als "verschoben" bezeichneten Ports wurden von //**sine**// zufällig generiert und während des Setups ausgegeben. Nachträglich Abfragen können Sie sie auf der Kommandozeile mit: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # sine showconf | ||
| + | </code> | ||
| + | ==== Passwortsicherheit ==== | ||
| + | |||
| + | //**Hinweis:** Die nachfolgenden Erläuterungen beziehen sich ausschließlich auf invis Server Active Directory und **nicht** auf invis Server Classic.// | ||
| + | |||
| + | Wird Samba4 als AD Domaincontroller betrieben gelten folgende Voreinstellung für Benutzerpasswörter: | ||
| + | |||
| + | ^ Einstellung ^ Vorgabe ^ | ||
| + | | max. Passwortlaufzeit | 43 Tage | | ||
| + | | Passwortkomplexität | aktiviert | | ||
| + | | min. Passwortlänge | 7 Zeichen | | ||
| + | |||
| + | Diese Voreinstellungen sind recht streng und können so sicherlich nicht überall Anwendung finden. Sie, als Administrator eines invis-Servers sollten sich von Ihren Anwendern aber nicht allzu viele Zugeständnisse in Sachen Passwortsicherheit abringen lassen. | ||
| + | |||
| + | Ändern lassen sich die Einstellungen mit Hilfe des //**samba-tools**// auf der Kommandozeile des Servers. Hier ein paar Beispiele: | ||
| + | |||
| + | **Ändern der Passwortlaufzeit** | ||
| + | |||
| + | <code> | ||
| + | linux:~ # samba-tool domain passwortsettings --max-password-age=0 | ||
| + | </code> | ||
| + | |||
| + | Der im Beispiel gewählte Wert **0** sorgt für eine unbegrenzte Passwortlaufzeit. Ist sicherlich nicht die beste Empfehlung, wird in der Praxis zur Stressvermeidung häufig bevorzugt. | ||
| + | |||
| + | **Passwortkomplexität** | ||
| + | |||
| + | <code> | ||
| + | linux:~ # samba-tool domain passwortsettings --complexity=off | ||
| + | </code> | ||
| + | |||
| + | Hier kennt die Microsoft'sche Welt aus der das AD ja stammt keine Abstufungen. Möglich sind die Werte //on//, //off// und //default// wobei //default// wiederum //on// bedeutet. | ||
| + | |||
| + | Mit der Voreinstellungen werden Passwörter mit Sonderzeichen, Zahlen und Groß-/Kleinschreibung verlangt. | ||
| + | |||
| + | **Passwortlänge** | ||
| + | |||
| + | <code> | ||
| + | linux:~ # samba-tool domain passwortsettings --min-pwd-length=5 | ||
| + | </code> | ||
| + | |||
| + | Reduziert die geforderte Passwortlänge auf 5 Zeichen. | ||
| + | |||
| + | Als Benutzer **root** haben Sie natürlich die Möglichkeit Benutzerpasswörter zurückzusetzen. Dabei gelten nicht einmal die Passwortsicherheitsregeln. | ||
| + | |||
| + | <code> | ||
| + | linux:~ # samba-tool user setpassword benutzername --newpassword=neuespasswort --must-change-next-login | ||
| + | </code> | ||
| + | |||
| + | Im gezeigten Beispiel wird dafür gesorgt, dass der betroffene Benutzer sein Passwort bei der nächsten Anmeldung ändern muss. | ||
| ==== NFS Fileserver ==== | ==== NFS Fileserver ==== | ||
| Zeile 868: | Zeile 949: | ||
| Für Kivitendo können Sie auch kommerziellen Support erhalten, wenden Sie sich diesbezüglich an eines der Kivitendo-Partner Unternehmen: [[http://www.kivitendo.de/partner.html]]// | Für Kivitendo können Sie auch kommerziellen Support erhalten, wenden Sie sich diesbezüglich an eines der Kivitendo-Partner Unternehmen: [[http://www.kivitendo.de/partner.html]]// | ||
| - | ==== ownCloud - ab invis-Server Active Directory 10.2 ==== | + | ==== ownCloud ==== |
| + | |||
| + | **Ab invis-Server Active Directory 10.1 Rev. 22** | ||
| Während der ownCloud-Installation durch //**sine**// wird ownCloud grundsätzlich installiert, eine leere Datenbank angelegt und die Firewall vorbereitet. Im Anschluss daran muss die Setup Routine von ownCloud selbst durchlaufen werden und das LDAP-Plugin aktiviert und konfiguriert werden. | Während der ownCloud-Installation durch //**sine**// wird ownCloud grundsätzlich installiert, eine leere Datenbank angelegt und die Firewall vorbereitet. Im Anschluss daran muss die Setup Routine von ownCloud selbst durchlaufen werden und das LDAP-Plugin aktiviert und konfiguriert werden. | ||
| Zeile 876: | Zeile 959: | ||
| Legen Sie zunächst die Zugangsdaten für das ownCloud Administrationskonto fest. | Legen Sie zunächst die Zugangsdaten für das ownCloud Administrationskonto fest. | ||
| - | Wählen Sie dann als Datenbank-Typ "MySQL/MariaDB" aus und geben Sie die Zugangsdaten zur vorbereiteten Datenbank ein: | + | Klicken Sie jetzt auf "Speicher & Datenbank" und wählen Sie dort als Datenbank-Typ "MySQL/MariaDB" aus und geben Sie die Zugangsdaten zur vorbereiteten Datenbank ein: |
| * **Host:** localhost | * **Host:** localhost | ||
| Zeile 897: | Zeile 980: | ||
| * **Base-DN:** dc=invis-net,dc=loc (Ersetzen Sie die Domänenbestandteile durch die Ihrer lokalen Domäne) | * **Base-DN:** dc=invis-net,dc=loc (Ersetzen Sie die Domänenbestandteile durch die Ihrer lokalen Domäne) | ||
| + | //**Hinweis:** ownCloud überprüft die Eingaben sofort. Wenn Sie also einen Fehler bei der Konfiguration machen wird dies unmittelbar angezeigt.// | ||
| + | |||
| + | Auf der zweiten Seite der Konfiguration "Nutzer-Filter" können Einschränkungen dafür vorgenommen werden welche Benutzerkonten von ownCloud im LDAP gefunden werden. Hier sind folgende Angaben zu machen: | ||
| + | |||
| + | * **Nur diese Objekt-Klassen:** person | ||
| + | * **Nur von diesen Gruppen:** Lassen Sie dieses Feld leer, wenn alle invis-Nutzer auch ownCloud nutzen dürfen oder wählen Sie eine Gruppe, aus um | ||
| + | Logins auf die Mitglieder dieser Gruppe(n) zu beschränken. Praktischerweise sollte für diesen Zweck eine eigene Gruppe angelegt werden. | ||
| + | |||
| + | Leider macht ownCloud bei der Umsetzung dieser Angaben in eine Filterregel einen Fehler. Dies lässt sich korrigieren in dem Sie auf den Link "bearbeiten klicken und die dann angezeigte Zeile gemäss folgendem Beispiel abändern: | ||
| + | |||
| + | <code> | ||
| + | (&(|(objectclass=person))(|(memberof=CN=owncloud,CN=Users,DC=invis-net,DC=loc))) | ||
| + | </code> | ||
| + | |||
| + | In Schritt drei "Anmeldefilter" können Sie die Vorgabe "LDAP-Benutzername" einfach beibehalten. Die Anmeldung erfolgt dann mit dem Login-Namen ohne angehängte Domain. | ||
| + | |||
| + | Im letzten Schritt legen Sie die Gruppen fest, die von ownCloud im LDAP gefunden und verwendet werden können. Hier sind folgende Angaben zu machen: | ||
| + | |||
| + | * **Nur diese Objekt-Klassen:** group | ||
| + | * **Nur diese Gruppen:** Lassen Sie das Feld leer wenn alle Gruppen der Domäne gefunden werden sollen oder wählen Sie die Gruppen aus, auf die Sie ownCloud beschränken möchten. | ||
| + | Damit ist die LDAP bzw. Active Directory Anbindung abgeschlossen und ownCloud bereit zur Nutzung. Einen echten Nutzen hat es natürlich nur dann, wenn Ihr Server über einen DDNS-Namen via Internet erreichbar ist. | ||
| ==== Fax-Server ==== | ==== Fax-Server ==== | ||