Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:installation [2015/07/24 07:27] flacco [Passwortsicherheit] |
invis_server_wiki:installation [2015/09/25 06:10] flacco [Installation vorbereiten] |
||
|---|---|---|---|
| Zeile 11: | Zeile 11: | ||
| Da invis Server auf openSUSE-Linux aufsetzen, wird ein entprechendes Installationsmedium benötigt, es genügt (eine schnelle Internetanbindung vorausgesetzt) das kleine Net-Install-ISO-Image ([[http://software.opensuse.org|openSUSE Download-Seite]]). Die Internetverbindung ist während des gesamten Script-Laufs zwingend. | Da invis Server auf openSUSE-Linux aufsetzen, wird ein entprechendes Installationsmedium benötigt, es genügt (eine schnelle Internetanbindung vorausgesetzt) das kleine Net-Install-ISO-Image ([[http://software.opensuse.org|openSUSE Download-Seite]]). Die Internetverbindung ist während des gesamten Script-Laufs zwingend. | ||
| - | Die invis-Server Installation ist relativ eng an die jeweils aktuelle openSUSE Installation gekoppelt. Seit **openSUSE 13.1** hat sich das invis-Setup grundlegend gewandelt. Basis der Installation sind seit 13.1 (**invis-Server Versionen 9.2 / classic und 10.0 / Active Directory**) eigens dafür erstellte RPM-Pakete, welche in unseren openSUSE Build Service Repositories vorgehalten werden. Es ist nicht mehr notwendig Teile des Setups manuell, etwa von unserer Projektseite herunterzuladen. | + | //**Achtung:** Manche Kabelnetzbetreiber (beispielsweise Unitymedia), die schnelle Internetanbindungen anbieten, fassen bei Privatkunden-Anschlüssen mehrere Kunden hinter einen Router in einem privaten IPv4 Netz zusammen. Ein invis-Server an einem solchen Anschluss wird niemals via Internet erreichbar sein. Wechseln Sie zu einem Business-Tarif und beantragen Sie eine feste IP-Adresse um dies zu beheben.// |
| + | |||
| + | Die invis-Server Installation ist relativ eng an eine definierte openSUSE Installation gekoppelt. Seit **openSUSE 13.1** hat sich das invis-Setup grundlegend gewandelt. Basis der Installation sind seit 13.1 (**invis-Server Versionen 9.x / classic und 10.x / Active Directory**) eigens dafür erstellte RPM-Pakete, welche in unseren openSUSE Build Service Repositories vorgehalten werden. **Es ist nicht mehr notwendig Teile des Setups manuell, etwa von unserer Projektseite herunterzuladen.** | ||
| + | |||
| + | ==== Hardware ==== | ||
| Machen Sie sich vorab ein paar Gedanken zur verwendeten Hardware. Soll Ihr Server lediglich zum Ausprobieren und Spielen gedacht sein, können Sie durchaus auf recht betagte Hardware zurück greifen. Zum Testen empfehle ich allerdings eine virtuelle Maschine - meine favorisierte Virtualisierungslösung ist [[http://www.virtualbox.org|VirtualBox]]. | Machen Sie sich vorab ein paar Gedanken zur verwendeten Hardware. Soll Ihr Server lediglich zum Ausprobieren und Spielen gedacht sein, können Sie durchaus auf recht betagte Hardware zurück greifen. Zum Testen empfehle ich allerdings eine virtuelle Maschine - meine favorisierte Virtualisierungslösung ist [[http://www.virtualbox.org|VirtualBox]]. | ||
| Zeile 21: | Zeile 25: | ||
| Weniger wichtig ist nach meinen Erfahrungen die Leistung des Prozessors. Ich betreibe in Größenordnungen von 3 - 15 Client-PCs Server, die lediglich mit AMD E350 oder Intel Atom Prozessoren ausgestattet sind. | Weniger wichtig ist nach meinen Erfahrungen die Leistung des Prozessors. Ich betreibe in Größenordnungen von 3 - 15 Client-PCs Server, die lediglich mit AMD E350 oder Intel Atom Prozessoren ausgestattet sind. | ||
| - | Die Ausstattung des Arbeitsspeichers betreffend gilt: Viel hilft viel! Als absolutes Minimum sehe ich inzwischen 2GB RAM an. | + | Die Ausstattung des Arbeitsspeichers betreffend gilt: **Viel hilft viel!** Als absolutes Minimum sehe ich inzwischen 2GB RAM an. Besser sind, gerade beim Einsatz von Zarafa und Virtualbox 8GB bis 16GB. |
| Geld für die Anschaffung einer Grafikkarte auszugeben, ist vollkommen unnötig - ein Onboard-Chip reicht völlig. Da ein invis-Server ohnehin ohne grafische Oberfläche betrieben wird, genügt immer die minimal per BIOS einstellbare Grafikspeichergröße. | Geld für die Anschaffung einer Grafikkarte auszugeben, ist vollkommen unnötig - ein Onboard-Chip reicht völlig. Da ein invis-Server ohnehin ohne grafische Oberfläche betrieben wird, genügt immer die minimal per BIOS einstellbare Grafikspeichergröße. | ||
| Zeile 33: | Zeile 37: | ||
| //**Hinweis:** Ein Vorteil bei Verwendung eines Routers ist die Möglichkeit, das Netzwerksegment zwischen invis-Server und Router als "Gästenetz" bzw. als "Gäste-WLAN" zu nutzen.// | //**Hinweis:** Ein Vorteil bei Verwendung eines Routers ist die Möglichkeit, das Netzwerksegment zwischen invis-Server und Router als "Gästenetz" bzw. als "Gäste-WLAN" zu nutzen.// | ||
| - | //**Achtung:** Consumer-Geräte des Herstellers AVM blockieren im Standard-Setup manche ausgehenden DNS-Abfragen, was etwa Schwierigkeiten mit DDNS machen kann. Nicht bei allen Geräten kann die Konfiguration so geändert werden, dass der Betrieb eines invis-Servers nicht beeinträchtigt wird. Die Anschaffung eines Profi-Gerätes sollte in Erwägung gezogen werden.// | + | //**Achtung:** Einige Consumer-Geräte des Herstellers AVM blockieren im Standard-Setup manche ausgehenden DNS-Abfragen, was etwa Schwierigkeiten mit DDNS machen kann. Nicht bei allen Geräten kann die Konfiguration so geändert werden, dass der Betrieb eines invis-Servers nicht beeinträchtigt wird. Die Anschaffung eines Profi-Gerätes sollte in Erwägung gezogen werden.// |
| + | ==== Installationsvoraussetungen ==== | ||
| + | |||
| + | **Samba 4** | ||
| + | |||
| + | Um einen invis-Server AD zu Installieren benötigen Sie weiterhin Zugriff auf die Sernet Samba 4 Repositories. Diese Repositories sind über Zugangsdaten abgesichert. Das invis-Server Setup-Script //**sine**// installiert das Repository automatisch, fragt aber nach den Zugangsdaten. Bis vor kurzem war dafür eine Registrierung am [[https://portal.enterprisesamba.com|enterprisesamba Portal]] notwendig, um entsprechende Zugangsdaten zu erhalten. Möglich ist dieser Weg noch immer, allerdings gibt es jetzt auch öffentliche Zugangsdaten: | ||
| + | |||
| + | **USERNAME:** sernet-samba-public\\ | ||
| + | **ACCESSKEY:** Noo1oxe4zo | ||
| + | |||
| + | **ownCloud** | ||
| + | |||
| + | Wenn Sie (ab invisAD 10.1 Rev 22 bzw. 10.2) ownCloud Nutzen möchten benötigen Sie zwingend einen gültigen DDNS Namen oder eine feste IP-Adresse für Ihren Server über den bzw. die Sie Ihn via Internet erreichen können. **//sine//** fragt diesen Namen bzw. die Adresse während des Setups ab. | ||
| ===== Basisinstallation ===== | ===== Basisinstallation ===== | ||
| Zeile 81: | Zeile 97: | ||
| ==== Netzwerkeinstellungen ==== | ==== Netzwerkeinstellungen ==== | ||
| - | Um die Basis-Installation abzuschließen, müssen noch die beiden Netzwerkschnittstellen eingerichtet, sowie der Name ([[http://de.wikipedia.org/wiki/Domain#Fully_Qualified_Domain_Name_.28FQDN.29|FQDN]]) des Servers vergeben werden. | + | Um die Basis-Installation abzuschließen, müssen noch die beiden Netzwerkschnittstellen eingerichtet, sowie der voll qualifizierte Name ([[http://de.wikipedia.org/wiki/Domain#Fully_Qualified_Domain_Name_.28FQDN.29|FQDN]]) des Servers vergeben werden. |
| + | |||
| + | Bei der Namensvergabe gelten folgende Regeln: | ||
| + | |||
| + | * Der Name muss dem Schema **//host.domain.tld//** gehorchen. (//host.tld// ist **nicht** zulässig!) | ||
| + | * Für die Top-Level-Domain (TLD) muss eine Fantasie-Domain wie beispielsweise //**.loc**//, //**.local**// oder //**.lan**// verwendet werden. Die Verwendung einer im Internet gültigen Domain führt zu Problemen beim Routing und dem EMail-Handling. | ||
| Mit Veröffentlichung von openSUSE 13.1 wurde die Benennung der Netzwerkkarten so geändert, dass Sie sich an BIOS Informationen orientiert. Da die Benennung sich nur schwer denn einzelnen Firewall-Zonen eines invis-Servers zuordnen lässt, haben wir uns entschlossen, auf Basis von udev-Regeln klare Namen zu vergeben. Auch die Benennung der im Laufe des Setups einzurichtenden VPN-Schnittstelle wurde ein entsprechender Name gegeben: | Mit Veröffentlichung von openSUSE 13.1 wurde die Benennung der Netzwerkkarten so geändert, dass Sie sich an BIOS Informationen orientiert. Da die Benennung sich nur schwer denn einzelnen Firewall-Zonen eines invis-Servers zuordnen lässt, haben wir uns entschlossen, auf Basis von udev-Regeln klare Namen zu vergeben. Auch die Benennung der im Laufe des Setups einzurichtenden VPN-Schnittstelle wurde ein entsprechender Name gegeben: | ||
| Zeile 95: | Zeile 116: | ||
| Die zweite Netzwerkkarte (intern) muss mit einer festen IP-Adresse versehen werden. Selbst, wenn über den Internet-Service-Provider eine feste IP-Adresse zur Verfügung steht, ist für das interne Netz die Verwendung einer Adresse aus einem privaten Adressbereich zwingend. | Die zweite Netzwerkkarte (intern) muss mit einer festen IP-Adresse versehen werden. Selbst, wenn über den Internet-Service-Provider eine feste IP-Adresse zur Verfügung steht, ist für das interne Netz die Verwendung einer Adresse aus einem privaten Adressbereich zwingend. | ||
| - | Zur Benennung der Netzwerkschnittstellen steht nach der Installation des invis-Setup RPMs ein eigenes Script zur Verfügung. Der Reihen nach. | + | Zur Benennung der Netzwerkschnittstellen steht nach der Installation des invis-Setup RPMs mit //**netsetup**// ein eigenes Script zur Verfügung. Der Reihen nach. |
| ==== Installation vorbereiten ==== | ==== Installation vorbereiten ==== | ||
| Zeile 138: | Zeile 159: | ||
| //**Hinweis:** Da invis-Server (9.2 und 10.0) bereits den Nameserver bind in Version **9.10** verwenden kommt es bei der installation des invis-setup (u. invisAD-setup) Paketes zu einem Software-Abhängigkeitsproblem. Wählen Sie den von **zypper** unterbreiteten Lösungsvorschlag 1 (Lösung 1: bind-utils-9.10.1P1-179.1.x86_64 installieren (mit Anbieterwechsel)) aus.// | //**Hinweis:** Da invis-Server (9.2 und 10.0) bereits den Nameserver bind in Version **9.10** verwenden kommt es bei der installation des invis-setup (u. invisAD-setup) Paketes zu einem Software-Abhängigkeitsproblem. Wählen Sie den von **zypper** unterbreiteten Lösungsvorschlag 1 (Lösung 1: bind-utils-9.10.1P1-179.1.x86_64 installieren (mit Anbieterwechsel)) aus.// | ||
| - | Nach der Installation sollte zunächst das Script "netsetup" ausgeführt werden. Es versorgt die vorhandenen Netzwerkschnittstellen mit den persistenten Namen "extern" und "intern". | + | Nach der Installation sollte zunächst das Script //**netsetup**// ausgeführt werden. Es versorgt die vorhandenen Netzwerkschnittstellen mit den persistenten Namen "extern" und "intern". |
| <code> | <code> | ||
| Zeile 650: | Zeile 671: | ||
| === Modul: etherpad === | === Modul: etherpad === | ||
| + | |||
| + | //**Hinweis:** Das Modul **etherpad** ist derzeit in allen invis-Versionen (9.2, 10.1 und 10.2) aufgrund von Inkompatibilitäten mit "nodejs" deaktiviert. Ob und/oder wann wir es wieder zum Leben erwecken ist derzeit unbestimmt.// | ||
| Funktionaler Neuzugang im invis-Server Funktionsumfang ist die Software Etherpad-Lite. Sie ist dazu gedacht mit mehreren Personen simultan an Texten zu arbeiten. Die Texte können in verschiedene Formate, darunter auch Dokuwiki exportiert werden. Sehr praktisch vor allem, wenn dezentral und dennoch im Team gearbeitet werden soll. | Funktionaler Neuzugang im invis-Server Funktionsumfang ist die Software Etherpad-Lite. Sie ist dazu gedacht mit mehreren Personen simultan an Texten zu arbeiten. Die Texte können in verschiedene Formate, darunter auch Dokuwiki exportiert werden. Sehr praktisch vor allem, wenn dezentral und dennoch im Team gearbeitet werden soll. | ||
| Dieses Modul verlangt lediglich einmal die Eingabe des MySQL-root Passwortes. | Dieses Modul verlangt lediglich einmal die Eingabe des MySQL-root Passwortes. | ||
| + | |||
| + | === Modul: owncloud === | ||
| + | |||
| + | Dieses Modul installiert ownCloud. Der wesentliche Teil der des Setups muss allerdings manuell vorgenommen werden. Siehe Abschnitt Nacharbeit "[[#ownCloud]]". | ||
| + | |||
| + | Das Modul legt eine Datenbank an und gibt, genau wie im Modul Wawision deren Zugangsdaten aus. Notieren Sie sich diese, sie werden für den manuellen Abschluss der onwCloud Installation benötigt. | ||
| + | |||
| + | === Modul: virtualbox === | ||
| + | |||
| + | Dieses Modul läuft vollkommen automatisch ab. Für die Verwendung von VirtualBox steht nach der Installation im invis-Portal im Bereich "Administration" das Tool "phpVirtualBox" zur Verfügung. | ||
| ==== Fertig ==== | ==== Fertig ==== | ||
| Zeile 668: | Zeile 701: | ||
| Ich werde bei der Dokumentation der Ersteinrichtung der beiden Programme hier nur das Wesentliche erläutern, da beide Programme immer wieder kleineren und größeren Änderungen unterliegen. | Ich werde bei der Dokumentation der Ersteinrichtung der beiden Programme hier nur das Wesentliche erläutern, da beide Programme immer wieder kleineren und größeren Änderungen unterliegen. | ||
| + | ==== Router ==== | ||
| + | |||
| + | Wenn Sie Ihren invis-Server hinter einem Router betreiben, müssen Sie darin bis zu 5 Portweiterleitungen einrichten, wenn Sie Ihren invis-Server auch via Internet nutzen möchten. | ||
| + | |||
| + | Diese sind: | ||
| + | |||
| + | - der vom invis Server genutzte "verschobene" SSH-Port (TCP) | ||
| + | - Port 443/TCP (HTTPs), wenn Sie ActiveSync/Z-Push nutzen möchten, um Mobilgeräte mit der Groupware des Servers zu synchronisieren. | ||
| + | - der vom invis Server genutzte "verschobene" HTTPs-Port (TCP) für den Zugriff auf das invis-Portal. | ||
| + | - der vom invis Server genutzte "verschobene" HTTPs-Port (TCP) für den Zugriff auf ownCloud. | ||
| + | - Port 1194/UDP für den Zugriff via OpenVPN. | ||
| + | |||
| + | Die hier als "verschoben" bezeichneten Ports wurden von //**sine**// zufällig generiert und während des Setups ausgegeben. Nachträglich Abfragen können Sie sie auf der Kommandozeile mit: | ||
| + | |||
| + | <code> | ||
| + | linux:~ # sine showconf | ||
| + | </code> | ||
| ==== Passwortsicherheit ==== | ==== Passwortsicherheit ==== | ||
| Zeile 916: | Zeile 966: | ||
| Für Kivitendo können Sie auch kommerziellen Support erhalten, wenden Sie sich diesbezüglich an eines der Kivitendo-Partner Unternehmen: [[http://www.kivitendo.de/partner.html]]// | Für Kivitendo können Sie auch kommerziellen Support erhalten, wenden Sie sich diesbezüglich an eines der Kivitendo-Partner Unternehmen: [[http://www.kivitendo.de/partner.html]]// | ||
| - | ==== ownCloud - ab invis-Server Active Directory 10.2 ==== | + | ==== ownCloud ==== |
| + | |||
| + | **Ab invis-Server Active Directory 10.1 Rev. 21** | ||
| Während der ownCloud-Installation durch //**sine**// wird ownCloud grundsätzlich installiert, eine leere Datenbank angelegt und die Firewall vorbereitet. Im Anschluss daran muss die Setup Routine von ownCloud selbst durchlaufen werden und das LDAP-Plugin aktiviert und konfiguriert werden. | Während der ownCloud-Installation durch //**sine**// wird ownCloud grundsätzlich installiert, eine leere Datenbank angelegt und die Firewall vorbereitet. Im Anschluss daran muss die Setup Routine von ownCloud selbst durchlaufen werden und das LDAP-Plugin aktiviert und konfiguriert werden. | ||
| Zeile 1080: | Zeile 1132: | ||
| ==== Dokuwiki konfigurieren ==== | ==== Dokuwiki konfigurieren ==== | ||
| - | |||
| - | Zur Ersteinrichtung müssen Sie den Installer des Wikisystems aufrufen. Gehen Sie dazu auf die Seite http://ihrserver/dokuwiki/install.php. | ||
| Seit der Version 6.7-R7 wird die Installation automatisch durch das sine Script durchgeführt. Dabei wird die Authentifizierung durch die | Seit der Version 6.7-R7 wird die Installation automatisch durch das sine Script durchgeführt. Dabei wird die Authentifizierung durch die | ||
| im LDAP vorhandenen Benutzer vorgenommen. Solange diese nicht angelegt sind können Sie sich nur mit dem Domänen Administrator anmelden. | im LDAP vorhandenen Benutzer vorgenommen. Solange diese nicht angelegt sind können Sie sich nur mit dem Domänen Administrator anmelden. | ||
| - | Die Einrichtung ist relativ einfach. Oben rechts auf der Seite können Sie zunächst die bevorzugte Sprache wählen. Getätigte Änderungen werden sofort übernommen. | + | Der Rest ist "learning by doing". |
| - | Legen Sie im zweiten Schritt einen Administrationszugang an und legen Sie das Sicherheitsneveau fest. Für eine firmeninternes Wiki empfiehlt sich die höchste Sicherheitsstufe. | + | ==== z-push konfigurieren ==== |
| - | Speichern Sie Ihre Eingaben und rufen Sie Dokuwiki direkt auf. Melden Sie sich mit dem soeben eingerichteten Administrationszugang an und wechseln Sie über die Schaltfläche "admin" in den Administrationsbereich. Klicken Sie hier auf den Link "Konfiguration". | + | In der z-push Konfigurationsdatei: <file>/srv/www/htdocs/z-push2/config.php</file> ist die korrekte Zeitzone, für uns hier "Europe/Berlin" einzutragen. |
| - | Im Konfigurationsmenü können Sie jetzt den Eintrag "Designvorlage (Template)" von "default" auf "monobook" ändern und die Änderung speichern. Die Monobook-Vorlage dürfte die Akzeptanz des Wikis deutlich erhöhen, da sie den meisten Benutzern dank Wikipedia bekannt vorkommen dürfte. | + | <code> |
| - | + | ... | |
| - | Wenn Ihr invis-Server via Internet erreichbar ist, sollten Sie sich noch ein wenig mit dem Sicherheitskonzept von Dokuwiki auseinandersetzen. In der Standardeinstellung ist es einem neuen Benutzer möglich sich selbst zu registrieren. Er hat anschließend weitgehend Zugriff auf Ihr Wiki. Ich habe in meiner Installation eine zusätzliche Benutzergruppe eingerichtet, die zunächst keine Rechte hat. Alle neuen Benutzer werden automatisch dieser Gruppe zugeordnet und erst der Admin kann sie manuell in Gruppen mit weiteren Rechten übernehmen. Wäre doch unschön, wenn "fremde" Zugriff auf sensible Daten erhielten, ohne, dass es jemand bemerkt. | + | define('TIMEZONE', 'Europe/Berlin'); |
| - | + | ... | |
| - | Der Rest ist "learning by doing". | + | </code> |