Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- invis_server_wiki:installation [2016/03/25 19:21]
flacco [How to start]
+++ invis_server_wiki:installation [2018/05/18 12:57]
flacco [Installation invis AD ab Version 14.0]
@@ Zeile 1: / Zeile 1: @@
 ====== How to start ======
-Die Installation eines Servers ist bei manchen Produkten sicherlich mit ein paar Mausklicks erledigt. Was dabei heraus kommen kann, sehe ich beispielsweise an den vielen Mails, die mein Mailserver blockt, weil sie von nur halb konfigurierten Mailservern versendet werden. Im Abstand von meist nur wenigen Sekunden taucht im entsprechenden Log immer wieder die Meldung "cannot find your hostname" auf. Würde derjenige, der den absendenden Server konfiguriert hat, nur ein bisschen von dem verstehen, was er da gemacht hat, wäre es ein Leichtes das Problem zu beheben.
+Die Installation eines Servers ist bei manchen Produkten sicherlich mit ein paar Mausklicks erledigt. Was dabei heraus kommen kann, sehe ich beispielsweise an den vielen Mails, die mein Mailserver blockt, weil sie von anderen, nur halb konfigurierten Mailservern versendet werden. Im Abstand von meist nur wenigen Sekunden taucht im entsprechenden Log immer wieder die Meldung "cannot find your hostname" auf. Würde derjenige, der den absendenden Server konfiguriert hat, nur ein bisschen von dem verstehen, was er da gemacht hat, wäre es ein Leichtes das Problem zu beheben.
 Eine invis Server Installation lässt sich nicht mit ein paar Mausklicks erledigen - über eine grafische Oberfläche verfügt er ohnehin nicht. Die Installation setzt definitiv Grundkenntnisse im Umgang mit Linux (inkl. Kommandozeile) sowie grundlegendes Wissen über Netzwerke voraus.
@@ Zeile 6: / Zeile 6: @@
 Sicherlich, die Installation ist weitestgehend per Script automatisiert, es kann allerdings für den späteren Betrieb des Servers nicht schaden, wenn verstanden wird, was das Script so macht.
-Da die nachfolgenden Beschreibungen mit der Zeit immer umfangreicher geworden sind, haben wir die Erläuterungen auf mehrere Unterseiten verteilt.
+Da die nachfolgenden Beschreibungen mit der Zeit immer umfangreicher geworden sind, haben wir die Erläuterungen auf mehrere Unterseiten verteilt. Sie sollten auf keinen Fall einen der Abschnitte überspringen, kurz es ist keine gute Idee einfach mit dem Setup loszulegen ohne sich um die Voraussetzungen gekümmert zu haben.
-Sie sollten auf keinen Fall einen der Abschnitte überspringen, kurz es ist keine gute Idee einfach mit dem Setup loszulegen ohne sich um die Voraussetzungen gekümmert zu haben.
+**Vorab sollten Sie unbedingt den Wiki-Beitrag [[invis_server_wiki:whatis_invis_server |invis Server im Überblick]] gelesen haben.**
-**Sektionen**
+===== Installation invis AD ab Version 14.0 =====
-**[[invis_server_wiki:installation:prep| Installation vorbereiten]]**
+Mit dem Sprung auf openSUSE Leap 15, startet der invis-Server 14.x. Der Versionssprung in der Major-Release Nummer lässt erahnen, dass sich wieder einmal einiges geändert hat. Daher beginne ich auch hier mit einer neues Beschreibung des Setups.
+//**Hinweis:** invis-Server Version 14.0 ist noch nicht veröffentlicht.//
+Die folgenden Seiten sind derzeit in Arbeit, also noch nicht vollständig aber sicherlich bereits informativ.
+**[[invis_server_wiki:installation:prep-140| Installation vorbereiten]] (in Arbeit)**
-===== Basisinstallation =====
+**[[invis_server_wiki:installation:basesetup-140| Basis-Installation]] (in Arbeit)**
-Ziel dieses Arbeitsabschnittes ist ein lauffähiges Linux-System, mit eingerichtetem RAID-System, vorkonfigurierten Netzwerkkarten und vorinstallierter Server-Software.
+**[[invis_server_wiki:installation:sine-140| Server-Setup mit sine2]] (in Arbeit.)**
-==== Festplatten-Management ====
+**[[invis_server_wiki:installation:post-140| Nacharbeit]] (in Arbeit)**
-Der Festplatten-Partitionierer von openSUSE ist seit Version 11.1 wieder in der Lage ein funktionierendes RAID/LVM Setup zu erzeugen. Wer allerdings kein Vertrauen in YaST hat, kann die Festplatten-Partitionierung und RAID-Konfiguration im Vorfeld der Installation auch von Hand vornehmen. Mehr dazu lesen Sie [[:invis_server_wiki:installation:diskprep|hier]].
-Für die weitere Beschreibung gehe ich davon aus, dass der Server über zwei Festplatten verfügt, die als RAID Level 1 Verbund betrieben werden.
+===== Installation invis AD ab Version 11.0 =====
-//**Hinweis:** Einige Funktionen des invis-Servers gehen von einem Setup auf Basis von LVM und Software-RAID in Kombination mit dem Dateisystem Ext4 aus. Seit openSUSE 13.2 setzt openSUSE auf BTRfs mit integrierter RAID und Snapshot-Funktion als Dateisystem für das Betriebssystem sowie XFS für Datenpartitionen aus. Wir raten von dieser Kombination in Verbindung mit dem invis Server ab. XFS sollte aufgrund dessen Inkompatibilität mit LVM-Snapshots nicht verwendet werden.//
+Mit Version 11.0 ändert sich einiges am Ablauf des Setups, da wir ein paar technische Änderungen am Setup-Script selbst vorgenommen und neue Software integriert haben. Da wir bereits jetzt das Classic-Setup nicht mehr anbieten, haben wir uns zu einer vollständig überarbeiteten Setup-Anleitung entschieden.
-Starten Sie Ihren zukünftigen Server von der Netz-Installations-CD und folgen Sie den Anweisungen bis zu dem Punkt, an dem Sie sich für ein Desktop-System entscheiden sollen. Klicken Sie hier auf "**Andere**" und wählen Sie "Minimale Serverauswahl (Textmodus)" aus.
+Die folgenden Seiten sind derzeit in Arbeit, also noch nicht vollständig aber sicherlich bereits informativ.
-Klicken Sie im nächsten Fenster auf die Schaltfläche "Partitionsaufbau erstellen" -> "Benutzerdefinierte Partitionierung (für Experten)".
+**[[invis_server_wiki:installation:prep-110| Installation vorbereiten]] (fertig gestellt)**
-Legen Sie auf jeder der beiden (hoffentlich identischen) Festplatten folgende Partitionen an:
-  - sdx1 Größe: 512MB - Typ: primär - Partitions-ID: 0xFD Linux-RAID (nicht formatieren!)
-  - sdx2 Größe: 1024MB (liegt an Ihnen) - Typ: primär - Dateisystem: swap
-  - sdx3 Größe: der gesamte Rest - Typ: primär - Partitions-ID: 0xFD Linux-RAID (nicht formatieren!)
-Fassen Sie jetzt jeweils die erste Partition der beiden Platten zu einem RAID 1 Verbund (md0) zusammen.
-  * Dateisystem: ext4 - Mountpoint: /boot
-Fassen Sie anschließend jeweils die dritte Partition zu einem weiteren RAID 1 Verbund (md1) zusammen. Dieses Device wird **nicht** formatiert und erhält auch **keinen** Mountpoint.
-Fügen Sie das RAID-Device md1 einer LVM-Volumegroup hinzu. Legen Sie auf dieser Volumegroup Logical-Volumes für die Mountpoints /, /var, /home und /srv an. Bevorzugtes Dateisystem hierbei ist generell **ext4**.
+**[[invis_server_wiki:installation:basesetup-110| Basis-Installation]] (fertig gestellt)**
-//**Achtung:** Bei der Verwendung von XFS kommt es zu Problemen bei Datensicherungsstrategieen auf Basis von LVM-Snapshots.//
+**[[invis_server_wiki:installation:sine-110| Server-Setup mit sine bzw. sine2]] (fertig gestellt.)**
-Die Größen der einzelnen LVs sind von verschiedenen Faktoren abhängig. Für / (root-Dateisystem) sollten 4GB immer ausreichen. Die Größe von /var ist vor allem davon abhängig, welchem IMAP-Server Sie den Vorzug geben. Dovecot etwa legt alle "Maildirs" in den Home-Verzeichnissen der User an - hier kann /var deutlich kleiner als 10GB sein, entsprechend sollte allerdings /home so groß gewählt sein, dass die zu erwartenden emails nebst den eigenen Dateien der User ausreichend Platz finden. Cyrus-IMAP (in Verbindung mit Group-e empfohlen) hingegen speichert alle Mails unter /var. Enstsprechend groß sollte /var auch sein, 10GB sind hier eher knapp.
+**[[invis_server_wiki:installation:post-110| Nacharbeit]] (in Arbeit)**
-Den Großteil des verbleibenden Rests sollten Sie auf /home und /srv verteilen. Hier gilt: Arbeiten die Anwender vor allem im Team gemeinsam an Projekten ist /srv mit viel Platz zu bedenken. Haben Sie es mit einer Horde Individualisten zu tun, sollten Sie /home mit viel Platz bedenken. Lassen Sie sich in jedem Fall einige Gigabyte als Reserve übrig, die Sie temporär für LVM-Snapshots als Basis für Datensicherungen nutzen können.
+===== Installation invis-Classic und invis AD bis Version 10.4 =====
-//**Hinweis:** Wenn nicht klar ist, wie sich der  Plattenplatzbedarf in den einzelnen Volumes entwickelt, kann es hilfreich sein für /srv, /home und /var zusammen nur einen Teil des insegesamt zur Verfügung stehenden Platzes zu verwenden und den verbleibenden Platz in Reserve zu halten. Dank LVM ist es später jederzeit, also auch während der produktiven Nutzung des Systems, möglich freien Platz nach Belieben den bereits vorhandenen Volumes zuzuweisen.//
+Sowie Version 11.0 als "stable" gilt, wird dieser Bereich aus dem Wiki entfernt.
-==== Software Auswahl ====
+//**Achtung:** Eine Installation des Classic-Pakets generell, wie auch des AD-Setups unter openSUSE 13.1 ist **nicht** mehr möglich! Weiterhin ist es möglich, dass die Installation der stabilen Version 104 unter openSUSE Leap 42.1 ebenfalls Probleme bereitet. Dies liegt vor allem an einer Umstrukturierung des Sernet-Samba Paketes. Wir haben versucht diese Probleme zu beseitigen, legen allerdings unser Hauptaugenmerk auf die Fertigstellung der Version 11.0.//
-Ist die Partitionierung vorbereitet, fragt YaST im nächsten Schritt nach den Daten eines anzulegenden Benutzers. Überspringen Sie diesen Punkt einfach (ignorieren Sie das Gemecker). Hier bereits einen Benutzer anzulegen macht keinen Sinn, schließlich ist das Ziel ja ein Server für eine LDAP-gestützte zentrale Benutzerverwaltung.
-Es folgt die Auswahl der zu installierenden Software. Es ist lediglich die textbasierte Server-Basis-Installation notwendig. Das zusätzliche Installieren weiterer Software dann vom Setup-Script bzw. dem invis-Setup-RPM übernommen.
+<del>**[[invis_server_wiki:installation:prep| Installation vorbereiten]]**</del>
-Ab openSUSE-Version 11.2 sollten Sie von vorneherein noch dafür sorgen, dass der SSH-Daemon gestartet und der zugehörige Port in der Firewall geöffnet wird. Klicken Sie dazu in der Installationszusammenfassung auf den Link (aktivieren und öffnen) neben dem SSH-Eintrag.
+<del>**[[invis_server_wiki:installation:basesetup| Basis-Installation]]**</del>
-//**Achtung:** Mit openSUSE Leap 42.1 läuft das openSUSE Setup geringfügig anders ab. Hier ist bei der Minimal-Installation keine Firewall mehr vorgesehen. Da diese aber für den invis-Server elementar ist, sollte in der Zusammenfassung der Installationseinstellungen die Firewall und der SSH-Daemon aktiviert und dann natürlich auch der SSH-Port freigegeben werden.//
+<del>**[[invis_server_wiki:installation:sine| Server-Setup mit sine]]**</del>
-Bestätigen Sie Ihre Einstellungen und überlassen Sie Ihren zukünftigen Server für eine Weile sich selbst; Zeit für ein [[https://en.opensuse.org/openSUSE:Beer|Bier]] ;-).
+**[[invis_server_wiki:installation:post| Nacharbeit]]**
-Führen Sie nach Abschluß der Installation zunächst ein vollständiges Online-Update durch. Hierzu bietet sich entweder YaST oder die direkte Verwendung des Paketmanagers //**zypper**// an:
-<code>Kommandozeile: zypper refresh
-Kommandozeile: zypper up</code>
-Da in aller Regel bei diesem ersten Update auch der Kernel aktualisiert wird, ist danach ein Neustart erforderlich.
-==== Netzwerkeinstellungen ====
-Um die Basis-Installation abzuschließen, müssen noch die beiden Netzwerkschnittstellen eingerichtet, sowie der voll qualifizierte Name ([[http://de.wikipedia.org/wiki/Domain#Fully_Qualified_Domain_Name_.28FQDN.29|FQDN]]) des Servers vergeben werden.
-Bei der Namensvergabe gelten folgende Regeln:
-  * Der Name muss dem Schema **//host.domain.tld//** gehorchen. (//host.tld// ist **nicht** zulässig!)
-  * Für die Top-Level-Domain (TLD) muss eine Fantasie-Domain wie beispielsweise //**.loc**//, //**.local**// oder //**.lan**// verwendet werden. Die Verwendung einer im Internet gültigen Domain führt zu Problemen beim Routing und dem EMail-Handling.
-Mit Veröffentlichung von openSUSE 13.1 wurde die Benennung der Netzwerkkarten so geändert, dass Sie sich an BIOS Informationen orientiert. Da die Benennung sich nur schwer denn einzelnen Firewall-Zonen eines invis-Servers zuordnen lässt, haben wir uns entschlossen, auf Basis von udev-Regeln klare Namen zu vergeben. Auch die Benennung der im Laufe des Setups einzurichtenden VPN-Schnittstelle wurde ein entsprechender Name gegeben:
-^  Früherer Gerätename  ^  Aktueller Name  ^
-|  eth0  |  extern  |
-|  eth1  |  intern  |
-|  tun1  |  vpn  |
-Die erste Netzwerkkarte des Systems (extern) stellt die Verbindung des Servers mit dem Internet her - entspricht somit der externen Zone Ihrer Firewall.
-Verwenden Sie vor dem Server einen Router, sollten Sie "extern" als DHCP-Client Konfigurieren. Wenn Sie ein Modem oder einen Router im Pass-Through Modus verwenden müssen Sie sie als PPPoE-Device einrichten und Ihren DSL-Zugang einrichten. Sorgen Sie dafür, dass bei der Internet-Einwahl **nicht** der verwendete DNS-Server geändert wird.
-Die zweite Netzwerkkarte (intern) muss mit einer festen IP-Adresse versehen werden. Selbst, wenn über den Internet-Service-Provider eine feste IP-Adresse zur Verfügung steht, ist für das interne Netz die Verwendung einer Adresse aus einem privaten Adressbereich zwingend.
-Zur Benennung der Netzwerkschnittstellen steht nach der Installation des invis-Setup RPMs mit //**netsetup**// ein eigenes Script zur Verfügung. Der Reihen nach.
-==== Installation vorbereiten ====
-Zur Installation ist es notwendig zunächst das gewünschte invis-Repository auf einem minimalen openSUSE System zu installieren. Zur Verfügung stehen zwei Repositories:
-  - **spins:invis:stable** - Stabile Version der invis-Server Setup Pakete. Nutzen Sie dieses Repository für produktiv genutzte invis-Server
-  - **spins:invis:unstable** - In Entwicklung befindliche Versionen der invis-Server Setup Pakete. Nutzen Sie dieses Repository, wenn Sie uns mit Rat, Tat, Lob oder Kritik bei der Weiterentwicklung unterstützen möchten.
-**Ab openSUSE Leap 42.1 bzw. invis-Server AD 10.4** muss der nachfolgende Schritt nicht mehr manuell ausgeführt werden. Dies erledigt das Script **{{:invis_server_wiki:invisprep.gz|invisprep}}** automatisch.
-Zur Installation eines der Repositories können Sie //**zypper**// verwenden:
-<code>
-linux:~ # zypper ar -f http://download.opensuse.org/repositories/spins:/invis:/stable/openSUSE_13.1/spins:invis:stable.repo
-</code>
-oder
-<code>
-linux:~ # zypper ar -f http://download.opensuse.org/repositories/spins:/invis:/unstable/openSUSE_42.1/spins:invis:unstable.repo
-</code>
-Danach kann das Setup-Paket installiert werden:
-**Classic:**
-<code>
-linux:~ # zypper ref
-linux:~ # zypper in invis-setup
-</code>
-**Active Directory:**
-<code>
-linux:~ # zypper ref
-linux:~ # zypper in invisAD-setup
-</code>
-Bei der Ausführung von //**zypper ref**// wird der "Signierungsschlüssel" des invis-Repositories empfangen. Diesem muss //dauerhaft// vertraut werden. Bestätigen Sie die gestellte Frage entsprechend.
-//**Hinweis:** Dass bei der Installation des invis-setup RPMs über 400 weitere Software-Pakete installiert werden ist normal. ;-)//
-//**Hinweis:** Da invis-Server (9.2 und 10.0) bereits den Nameserver bind in Version **9.10** verwenden kommt es bei der installation des invis-setup (u. invisAD-setup) Paketes zu einem Software-Abhängigkeitsproblem. Wählen Sie den von **zypper** unterbreiteten Lösungsvorschlag 1 (Lösung 1: bind-utils-9.10.1P1-179.1.x86_64 installieren (mit Anbieterwechsel)) aus.//
-Nach der Installation sollte zunächst das Script //**netsetup**// ausgeführt werden. Es versorgt die vorhandenen Netzwerkschnittstellen mit den persistenten Namen "extern" und "intern".
-<code>
-linux:~ # netsetup
-Es wurden Regeln zur Benennung der vorhandenen Netzwerkkarten erzeugt.
-Bitte starten Sie den Server jetzt neu und konfigurieren
-Sie Ihre Netzwerkkarten anschließend mit YaST.
-linux:~ #
-</code>
-Nach Ausführung dieses Scripts ist ein Neustart des Servers notwendig. Danach kann das Netzwerk-Setup mit YaST abgeschlossen werden:
-<code>
-linux:~ # yast lan
-</code>
-//**Hinweis:** Kontrollieren Sie beim Setup der Netzwerkkarten mit YaST, dass in den Karteneinstellungen unter Punkt "General" anstelle von "On Cable Connect", "At Boot Time" für das initialisieren der Netzwerkkarten eingetragen ist.//
-Nach beenden von YaST, ist evtl. das Kommando (Sollte ab openSUSE Leap 42.1 auch ohne funktionieren):
-<code>
-linux:~ # rcnetwork restart
-</code>
-auszuführen. Das Ergebnis sollte in etwa so aussehen:
-<code>
-linux:~ # ifconfig
-extern    Link encap:Ethernet  Hardware Adresse 08:00:27:DB:46:89
-          inet Adresse:192.168.240.205  Bcast:192.168.240.255  Maske:255.255.255.0
-          inet6 Adresse: fe80::a00:27ff:fedb:4689/64 Gültigkeitsbereich:Verbindung
-          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
-          RX packets:282 errors:0 dropped:96 overruns:0 frame:0
-          TX packets:79 errors:0 dropped:0 overruns:0 carrier:0
-          collisions:0 Sendewarteschlangenlänge:1000
-          RX bytes:23953 (23.3 Kb)  TX bytes:9356 (9.1 Kb)
-intern    Link encap:Ethernet  Hardware Adresse 08:00:27:1A:53:3A
-          inet Adresse:192.168.222.10  Bcast:192.168.222.255  Maske:255.255.255.0
-          inet6 Adresse: fe80::a00:27ff:fe1a:533a/64 Gültigkeitsbereich:Verbindung
-          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
-          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
-          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
-          collisions:0 Sendewarteschlangenlänge:1000
-          RX bytes:0 (0.0 b)  TX bytes:648 (648.0 b)
-</code>
-Zu prüfen ist auch ob der Hostname korrekt gesetzt wurde:
-<code>
-linux:~ # hostname -f
-</code>
-Wenn hierbei nach wie vor der von openSUSE während der Installation zufällig generierte Name (z.b. linux-lajhf1.site oder linux.suse) ausgegeben wird, kann das invis Server Setup **nicht** funktionieren. In diesem Fall bitte mit YaST das Setzen eines korrekten Hostnamens nachholen.
-Damit sind Basisinstallation und Netzwerkkonfiguration abgeschlossen.
-===== Anwendug des Setup-Scripts =====
-Auch nach der Umstellung auf ein RPM-basiertes Setup wird die weitere Installation vom Setup-Script (//**sine**// -- "__**s**__erver __**i**__nstallation __**n**__ow __**e**__asy") ausgeführt.
-<code>linux:~ # sine</code>
-//**sine**// kennt seit invis-Version 9.2 (openSUSE 13.1) ein paar nützliche Aufrufparameter:
-  * sine help - gibt kurze Hinweise zur Verwendung
-  * sine status - zeigt an, mit welchem Modul sine beim nächsten Aufruf gestartet wird.
-  * sine log - zeigt (so bereits vorhanden) das Log-File des bisherigen sine-Durchlaufs
-  * sine showconf - zeigt die (so bereits vorhanden) die von sine abgefragten Konfigurationsparameter an.
-  * sine modulname - ermöglicht, **nach einmalig vollständigem Durchlauf**, übersprungene optionale Module nachträglich manuell zu starten.
-Das Arbeitsverzeichnis von //**sine**// ist unter <file>/var/lib/sine</file> zu finden. Dort sind Konfigurations-, Log-, sowie Temporärdateien des Script-Laufs zu finden.
-Alle vorbereiteten Konfigurationsdateien für das invis-Setup sind im Zuge des Umbaus zur RPM-basierten Installation nach <file>/usr/share/doc/packages/invis-setup/examples</file> gewandert, später als "Examples-Verzeichnis" benannt.
-//**sine**// ist Modular aufgebaut. Alle Module werden der Reihe nach abgearbeitet. Wenn Sie etwa mit "STRG+C" den Script-Lauf an beliebiger Stelle unterbrechen, setzt ein erneuter Start das Script am Beginn des abgebrochenen Moduls fort. In aller Regel hat dies keine unerwünschten Folgen.
-Unterschieden wird zwischen Pflicht- und optionalen Modulen, wobei zunächst die Pflichtmodule in logischer Reihenfolge abgearbeitet werden. Zu Beginn eines optionalen Moduls, fragt das Script ob dieses Modul ausgeführt werden soll. Nach einem vollständigen Durchlauf des Scripts (es spielt keine Rolle, ob optionale Module ausgelassen wurden) können die optionalen Module einzeln wie oben aufgeführt manuell aufgerufen werden.  Die optionalen Module sind: //nagios, groupware, erp, webcdwriter, faxgate, openvpn, dokuwiki und etherpad.//
-Da das Script in Sachen Optik sicherlich nicht der Weisheit letzter Schluss ist, empfiehlt es sich während des Durchlaufs genau hinzuschauen und möglichst alles zu lesen. Sollten beim Script-Lauf Dinge unklar sein, scheuen Sie bitte nicht die Nutzung unseres [[http://forum.invis-server.org|Forums]] - es beisst nicht! Die Sache mit "Sche*, das funktioniert nicht" abzubrechen hilft niemandem.
-Bevor Sie jetzt das Script starten, sollten Sie sich fürs Verständnis dessen, was ein invis-Server ist, folgenden Beitrag durchlesen [[:invis_server_wiki:whatis_invis_server|Aufbau und Funktion]].
-//**Hinweis:** Die Setups zwischen **invis-server Classic** und **invis-server AD** unterscheiden sich an einigen Stellen voneinander. In der folgenden Beschreibung wird jeweils auf die Unterschiede hingewiesen. Sie sollten die Anleitung allerdings ungeachtet der gewählten Variante komplett lesen!//
-==== Die Module im Einzelnen (Pflichtmodule) ====
-Nachfolgend erläutere ich die einzelnen Module in Reihenfolge des Scriptlaufs. Der Name des jedes Moduls wird immer bei dessen Start kurz angezeigt.
-=== Modul: check ===
-Das erste Script-Modul fragt Sie zunächst, ob alle Installationsvoraussetzungen für die invis Server Installation erfüllt sind und führt diese noch einmal auf.
-Wird die Frage verneint, bricht das Script ab.
-Andernfalls werden einige grundlegende Vorbereitungen für die weitere Installation getroffen. Dazu gehören:
-  * die Aktualisierung des Paketmanagers zypper,
-  * die Durchführung eines Online-Updates,
-  * die Installation grundlegender Pakete,
-  * die Synchronisation der Server-Uhr und
-  * die Konfiguration des Boot-Managers.
-Nach Abschluss jeden Moduls haben Sie 5 Sekunden Zeit das Script mit "Strg+C" abzubrechen. Beim nächsten Aufruf wird das Script mit dem nächsten Modul fortgesetzt.
-Wird die Installation eines Servers auf diese Weise für mehr als einen Tag unterbrochen, empfiehlt es sich vor dem Fortführen der Installation manuell **//zypper ref//** auszuführen, da die Möglichkeit besteht, dass sich in den Repositories inzwischen Veränderungen ergeben haben können.
-=== Modul: quest ===
-Dieses Modul stellt Fragen nach der Umgebung in der der Server eingesetzt werden soll, sowie nach einigen notwendigen Passwörtern. Das Script versucht dabei Vorgabewerte für die Antworten selbsttätig zu ermitteln. Das klappt natürlich nicht bei den Passwörtern ;-).
-{{ :invis_server_wiki:01_quest1.png |}}
-Alle abgefragten Daten werden anschließend in der Datei "invis_confdata" im //**sine**// Arbeitsverzeichnis gespeichert. Achten Sie darauf, dass diese Datei nach Beendigung der Installation nicht für jedermann lesbar im Netz herum geistert. Wäre unschön, wenn Ihr Netz voller Administratoren wäre....
-----
-Zunächst werden Sie gebeten Informationen für den Aufbau einer eigenen Zertifizierungsstelle (CA) einzugeben. Diese Informationen werden nachfolgenden auch für die Erstellung von Schlüsseln und Zertifikaten für verschiedene Serverdienste benötigt.
-{{ :invis_server_wiki:02_quest_ssl.png |}}
-----
-Im Anschluss daran wird die Netzwerkkonfiguration abgefragt und überprüft.
-{{ :invis_server_wiki:03_quest_nw1.png |}}
-Die Daten werden automatisch ermittelt, sind einzelne Eingabefelder leer, ist die vorbereitende Netzwerkkonfiguration nicht vollständig abgeschlossen worden. Sie können die korrekten Daten hier manuell eingeben, müssen aber idealerweise im Anschluss an das Quest-Modul die Netzwerkkonfiguration mittels YaST nachgeholt werden.
-{{ :invis_server_wiki:04_quest_nw2.png |}}
-Im zweiten Bild der Netzwerkdaten, müssen alle Zeilen werte enthalten, ist dies nicht der Fall wird es bei der weiteren Konfiguration des Servers zu Fehlern kommen.
-----
-{{ :invis_server_wiki:05_quest_forwarddns.png |}}
-Ein invis-Server arbeitet für das an ihn angeschlossene Netzwerk als DNS-Server. Zuständig ist er primär für die Namensauflösung im lokalen Netz, er arbeitet aber auch als Caching-Nameserver für die Namensauflösung im Internet. Um diese Aufgabe zu erleichtern können Ihm sogenannte "Forwarder" bekannt gemacht werden. Forwarder sind DNS-Server, die die Namensabfrage im Internet beschleunigen können. Das Setup-Script fragt nach bis zu drei Forward-DNS Servern. Sie können hier ggf. einen vorgeschalteten Router, die DNS-Server Ihres Providers oder freie DNS-Server im Internet angeben.
-----
-** Nur invis-server Classic**
-Es werden Passwörter für unterschiedlich berechtigte LDAP-Administratoren, den MySQL-root-Account, den ntop-Admin und ggf. den Cyrus-Administrationsaccount erfragt.
-{{ :invis_server_wiki:06_quest_ldappws.png |}}
-Bei den Passwörtern für die LDAP-Admins wird zwischen dem LDAP-Manager, dem LDAP-Admin und Sektions-Admins unterschieden. Der Account des LDAP-Managers wird nicht im LDAP-Verzeichnis selbst sondern in der Datei slapd.conf angelegt. Ungeachtet aller gesetzten LDAP-Zugriffsrechte (ACLs) darf der LDAP-Manager immer schreibend auf das gesamte Verzeichnis zugreifen.
-Demgegenüber ist der LDAP-Admin ein Objekt im LDAP mit globalen Administrationsrechten, die sich aber über ACLs definieren lassen.
-Die Sektions-Admins sind jeweils nur für einen Zweig im LDAP - etwa die DHCP Konfiguration - administrationsberechtigt.
-** invis-Server AD **
-Hier übernimmt der Domänenadministrator zunächst die Rolle der AD-Verwaltung. Dessen Passwort wird derzeit im Laufe der Installation statisch auf den Wert: "p@ssw0rd" gesetzt und sollte später geändert werden.
-Es folgt die Abfrage des Passwortes für den MySQL root-Account.
-{{:invis_server_wiki:07_quest_mysqlpw.png?500|}} {{ :invis_server_wiki:08_quest_ntoppw.png?500|}}
-----
-** invis-server Classic **
-Die nächste Frage zielt auf die gewünschte Kombination aus Mailserverkomponenten und Groupware ab.
-{{ :invis_server_wiki:09_quest_mailsystem.png |}}
-Beim Mailserver-Setup wird zwischen drei Szenarios unterschieden:
-  * **Postfix**, **Cyrus-IMAP** und **Group-e**
-  * **Postfix** und **Zarafa**
-  * **Postfix**, **Dovecot-IMAP** und **SoGo**
-Produktiv ist derzeit vor allem die zweite Kombination zu empfehlen, sie ist in der Praxis erprobt.
-Kombination Nr. 1 dürfte bei weitem den größten Funktionsumfang bieten, allerdings ist die Einrichtung von Group-e kein Spaziergang.
-Kombination Nr. 3 ist erst seit kurzem Teil des Setups. Es wurde auf Wunsch eines Kunden implementiert. Es fehlen noch Informationen über SoGos Alltagstauglichkeit.
-Die beiden Groupware-Systeme Group-e und Zarafa lassen sich nicht miteinander vergleichen, sie verhalten sich wie Äpfel und Birnen zueinander. Während Zarafa den Fokus darauf legt als Exchange-Alternative in Betracht zu kommen und sich daher funktional auf Grouware-Kernfunktionen (Kalender, Kontakte, Aufgaben und Mail) beschränkt, ist Group-e eine Groupware-Lösung mit der sich auch ein einfaches Projekt, Zeit und Dokumentenmanagement, also regelrechte Workflows abbilden lassen. Group-e setzt allerdings für den vollen Funktionsumfang die Nutzung des Webclients voraus. Ein Fatclient oder gar die Anbindung von Outlook sind nicht im Fokus der Entwickler.
-In Sachen Anbindung von mobilen Clients sind beide Systeme miteinander vergleichbar. Group-e bietet SyncML und ActiveSync, Zarafa ActiveSync und Blackberry als Synchronisationsmöglichkeiten für Smartphones an.
-**invis-Server AD**
-{{ :invis_server_wiki:auswahl_mailserver.png |}}
-//**Achtung:** Wir haben die Abfrage für die unterschiedlichen Mailserver- bzw. Groupware-Setups in der Fragestunde gelassen. Derzeit funktioniert das Setup aber ausschließlich mit **Zarafa**. Eine Entscheidung, wie mit den anderen Optionen verfahren wird steht noch aus und ist unter anderem davon abhängig in wie weit die anderen Systeme eine AD-Integration erwägen.//
-----
-**invis-server Classic**
-Zentrales Element einer invis-Server Installation ist der Fileserver Samba. Gewählt werden kann zwischen Samba-Paketen aus dem Distributionsumfang oder RPM-Paketen der Göttinger Firma Sernet.
-{{ :invis_server_wiki:10_quest_samba.png |}}
-Vorteil der Sernet-Pakete ist sicherlich deren Longterm-Support. Sernet stellt seine Samba Pakete auch noch auf Jahre über den Maintenance-Zeitraum einer openSUSE-Version hinaus zur Verfügung. Nachteil ist, dass es eine Weile dauern kann bis Pakete für taufrische openSUSE-Versonen zur Verfügung stehen. **(Stand Januar 2014 - Es stehen noch keine Sernet-Pakete für openSUSE 13.1 zur Verfügung, es ist aber möglich die Pakete der Vorgängerversion 12.3 zu installieren)**.
-//**Hinweis:** Das im Sernet-Repository enthaltene Paket "sernet-samba-ad" wird an dieser Stelle **nicht** installiert, da es mit OpenLDAP in Konflikt steht. D.h. auch mit diesen Paketen ist vorerst nur eine klassische Samba Installation möglich. Wir arbeiten an einer Upgrade-Möglichkeit zu ActiveDirectory.//
-Installiert wird bereits Samba 4, auch wenn Samba nach wie vor klassisch, also ohne ActiveDirectory betrieben wird. Mit den openSUSE Paketen wäre dies auch derzeit noch nicht möglich. Um die Samba4 Pakete von Sernet installieren zu können ist eine persönliche Registrierung auf [[https://portal.enterprisesamba.com/]] erforderlich. Dort erhalten Sie Zugangsdaten, die von //**sine**// abgefragt und in die entsprechende Repository-Datei eingetragen werden müssen. Ohne diesen Schritt kann keine Software aus dem Repository installiert werden.
-**invis-Server AD**
-Um ein Active Directory zu ermöglichen müssen die Sernet-Samba Pakete gewählt werden. In diesem Fall wird das Paket **sernet-samba-ad** installiert. Die openSUSE Pakete beinhalten diese Komponente derzeit noch nicht.
-----
-Seit Version **6.9-R1** ist neu, dass zwischen unterschiedlichen Mailserver- und ERP-Software-Setups ausgewählt werden kann.
-{{ :invis_server_wiki:11_quest_erp.png |}}
-//**Achtung:** OpenERP ist derzeit (Stand 9.x) noch immer nicht soweit implementiert, dass es produktiv einsetzbar ist. Eine funktionierende Installation ist nicht möglich. Ursache dafür sind Probleme beim Bau der notwendigen RPM-Pakete. eine detaillierte Beschreibung des Problems finden Sie **[[http://forum.openerp.com/forum/topic34463.html|hier]]** Über Hilfe beim Beseitigen des Problems würden wir uns freuen. Eine funktionierende manuelle Installation ist möglich. Die aktuelle Version finden Sie **[[https://www.openerp.com/de/pricing|hier]]** zum herunterladen.//
-Zu entscheiden, ob Kivitendo oder WaWision besser zu Ihren Anforderungen passt dürfte nicht leicht sein. Informieren Sie sich am besten im Vorfeld über die Produkte:
-  * **Kivitendo** - [[http://www.kivitendo.de/]]
-  * **WaWision** - [[http://www.wawision.de/]]
-----
-Für den Einsatz im Mailserver, wie auch für die auf dem Fileserver abgelegten Dateien wird auf invis-Servern auch eine Antiviren Lösung installiert. Zur Auswahl stehen derzeit die Open-Source-Lösung ClamAV, sowie Avira Workstation für Unix.
-{{ :invis_server_wiki:12_quest_av.png |}}
-//**Hinweis:** Beachten Sie bei der Frage nach dem gewünschten Viren-Scanner, dass der angebotene Avira Antivir für den gewerblichen Einsatz käuflich erworben werden muss. Das Setup-Script lädt zwar automatisch einen Lizenzschlüssel herunter, dieser ist allerdings nur für den privaten Einsatz oder Evaluationszwecke gedacht. Hinzu kommt, dass Avira die Unterstützung des Betriebssystems Linux leider abgekündigt hat. Wir halten Ausschau nach einer Alternative. Aktualisierungen der Virendefinitionsdateien stellt Avira derzeit noch bereit.//
-----
-Idealerweise sollte Ihr invis-Server auch via Internet (HTTPs, SSH, VPN) erreichbar sein. Hierfür benötigen Sie entweder eine feste IP-Adresse oder einen DDNS-Namen. Dies wird im nächsten Schritt erfragt.
-{{:invis_server_wiki:13_quest_ddns1.png?500|}} {{ :invis_server_wiki:14_quest_ddns2.png?500|}}
-//**Hinweis:** Wenn die Frage, ob der invis Server via Internet (HTTPS) erreichbar sein soll mit "nein" beantwortet wird, wird der Apache-Webserver **NICHT** für den HTTPS-Zugriff eingerichtet. Wenn Sie dies später von Hand nachholen möchten, finden Sie im Examples-Verzeichnis im Unterverzeichnis webserver unter dem Namen "invis-sslvh.conf" eine Vorlage-Datei für einen SSL vhost. Kopieren Sie diese nach /etc/apache2/vhosts.d und passen Sie sie an Ihre Gegebenheiten an. Die Schlüssel für den HTTPS Zugriff müssen Sie dann allerdings selbst erzeugen. Hierfür können ist das Script **serverkeys** aus der invis toolbox gedacht.//
-----
-Weiterhin wird gefragt, ob die Zugangsdaten für den Postausgangsserver (SMTP Relay) Ihres Mailproviders vorliegen.
-{{:invis_server_wiki:15_quest_smtprelay1.png?500|}} {{ :invis_server_wiki:16_quest_smtprelay2.png?500|}}
-Ist dies nicht der Fall, lassen sich diese Daten auch zu einem späteren Zeitpunkt direkt in der Postfix-Konfiguration nachtragen. Ohne einen solchen Postausgangsserver wird es, speziell dann, wenn Ihr invis-Server hinter einem DSL-Anschluss ohne feste IP-Adresse nicht möglich sein zuverlässig Emails zu versenden.
-----
-invis-Server stellen einige Netzwerkfreigaben zur Verfügung, darunter die Freigabe "Transfer", die für den allgemeinen Dateiaustausch gedacht ist. Jeder Benutzer hat darauf Schreibrechte. Die Praxis hat gezeigt, dass solche Freigaben schnell zur "Betriebsmüllhalde" mutieren und sich immer größere Datenmengen ungeordnet ansammeln. Dem entgegenzuwirken bietet der invis-Server die Möglichkeit Dateien und Verzeichnissen, die hier abgelegt werden, ein Verfallsdatum zu geben, nachdem die Dateien automatisch gelöscht werden.
-{{:invis_server_wiki:17_quest_cleanup1.png?500|}} {{ :invis_server_wiki:18_quest_cleanup2.png?500|}}
-Sie werden hier gefragt, ob Sie diesen Automatismus wünschen und wie alt in "Transfer" abgelegte Dateien werden dürfen.
-----
-Anschließend wird gefragt, ob Sie regelmäßige Virenscans der Fileserver-Freigaben wünschen. Es sei darauf hingewiesen, dass der im invis-Server integrierte Virenscanner nicht als Echtzeit-Scanner arbeitet. Dies muss also auf den angeschlossenen Arbeitplatz-Computern der Fall sein.
-{{ :invis_server_wiki:19_quest_avcron.png |}}
-----
-Neu hinzugekommen ist noch ein weiterer Frage-Block zum Thema "ownCloud-Synchronisation". invis-Server bieten die Möglichkeit ein beliebiges Verzeichnis mit einem ownCloud-Konto zu verknüpfen. Hier werden neben dem Namen des ownCloud-Servers und den entsprechenden Zugangsdaten auch das zu synchronisierende Verzeichnis erfragt. Vorgegeben wurde als Verzeichnis: <file>/srv/shares/media/owncloud</file>
-Wenn hier ein anderes Verzeichnis genutzt werden soll, sollte darauf geachtet werden, dass das angegebene Verzeichnis im Bereich der File-Server Freigaben liegt.
-----
-Zum Abschluss dieses Moduls zeigt //**sine**// Ihnen noch die verschobenen Ports für den externen SSH und HTTPs Zugriff auf den Server.
-{{ :invis_server_wiki:20_quest_ports.png |}}
-Das Verschieben dieser Ports ist als Schutz gegen unerwünschte automatisierte Login-Versuche an Ihrem Server gedacht. Auch wenn diese Ports schnell mit einem Portscanner gefunden werden können, hat sich gezeigt, dass die meisten Loginversuche von automatisierten Tools ausgehen, die lediglich auf den Standardports anfragen.
-=== Modul: sysprep ===
-Aufgabe dieses Moduls ist den invis Server vorzubereiten. Es legt zunächst, bevor irgendwelche Konfigurationsänderungen vorgenommen werden, ein Backup-Archiv Ihres /etc Verzeichnisses an. Weiterhin wird der Virenscanner installiert und die zugehörigen Dienste gestartet. Es wird eine CA (Certifikation Authority - Zertifizierungsstelle) zur Signierung selbst erzeugter Schlüssel angelegt. Im Verlauf dieses Arbeitsschrittes werden Ihnen einige Fragen gestellt, für die die meisten mit Vorgabewerten versehen sind. Die Vorgaben können Sie einfach mit "Enter" übernehmen, alle anderen Fragen können Sie nach eigenem Ermessen beantworten.
-{{ :invis_server_wiki:21_sysprep_ca.png |}}
-Für die CA wird eine eigener "Private Key" erzeugt, der mit einem Passwort versehen ist. Dieses Passwort müssen Sie sich ausdenken und eingeben. Sie sollten dies mitprotokollieren, da dieses Passwort im weiteren Verlauf des Scripts wie auch beim eigenen Erzeugen von weiteren Schlüsseln immer wieder benötigt wird. Dieses Passwort ist **NICHT** für jedermanns Augen bestimmt. Machen Sie dieses Passwort bekannt, ist Ihre CA mehr oder minder wertlos.
-//**Achtung:** Nach dem bestätigen des im vorangegangenen Bild gezeigten Textes erscheint lediglich ein leerer Bildschirm. Damit es weitergeht muss zwingend noch einmal die Enter-Taste gedrückt werden.//
-{{ :invis_server_wiki:22_sysprep_ca2.png |}}
-Das Modul installiert die ausgewählten Samba-Pakete, konfiguriert und startet den NTP-Dienst, richtet das Netzwerküberwachungstool "ntop" ein und erledigt grundlegende Systemeinstellungen.
-=== Modul: ldap (invis-server classic) bzw. ad (invis-server AD)===
-**Classic**
-Dieses Modul richtet die LDAP-Umgebung für den invis-Server ein. Dazu gehört das Aufsetzen des Servers selbst, das einbinden der benötigten Schema-Dateien, das Anlegen des LDAP-Verzeichnisses sowie die Installation der smbldap-tools und phpLDAPAdmin, wichtigen Werkzeugen beim Verwalten des Verzeichnisses.
-**AD**
-Bezogen auf die AD-Variante des invis-Servers wird an dieser Stelle bereits die Active-Directory Domäne vollständig aufgebaut. D.h. das "Domain Provisioning" wird bezogen auf die Classic-Variante vorgezogen. Die oben erwähnten smbldap-tools werden für die AD-Variante nicht benötigt.
-{{ :invis_server_wiki:23_ldap_cert.png |}}
-Da der LDAP-Server auch verschlüsselt erreichbar sein soll wird ein entsprechendes Schlüssel/Zertifikats-Paar benötigt. Die Übergabe der für das Zertifikat notwendigen Informationen geschieht voll automatisch, Sie müssen lediglich zur Erstellung eines Sicherheitszertifikates das Passwort der Server-CA eingeben.
-{{ :invis_server_wiki:24_ldap_cert2.png |}}
-Anschließend werden Sie aufgefordert die Zertifikatsinformationen einer Sichtprüfung zu unterziehen und zu bestätigen, dass alle Angaben korrekt sind.
-{{ :invis_server_wiki:24_ldap_cert3.png |}}
-Damit ist auch dieses Modul abgeschlossen.
-=== Module: dns und dhcp ===
-Auch diese beiden Module laufen ohne Ihr Zutun. Sie konfigurieren beide Serverdienste, legen die zugehörige Struktur im LDAP-Verzeichnis an und starten die Dienste.
-=== Modul: mailserver ===
-Das Modul Mailserver richtet in Abhängigkeit der von Ihnen gewählten Komponenten mit Postfix, Zarafa, Cyrus- oder Dovecot-IMAP, Amavisd-new, fetchmail und Mailman einige Dienste ein. Dabei ist Ihre Mitarbeit an mehreren Stellen gefordert.
-Zunächst wird ein Schlüssel/Zertifikatspar für den Mailserver erstellt. Dies ermöglicht IMAP- und SMTP-Datenverkehr per TLS zu verschlüsseln und läuft in gleicher Weise wie beim Modul "ldap" ab. Sie benötigen hier lediglich das Passwort Ihres CA-Schlüssels.
-{{ :invis_server_wiki:26_mailserver_mm.png |}}
-Abschließend wird das Mailinglisten System Mailman eingerichtet. Hier müssen Sie lediglich ein initiales Passwort sowie die email-Adresse des zuständigen Admins eingeben. (Mailman wird zukünftig aller Voraussicht nach aus dem Modul "mailserver" entfernt und als eigenständiges optionales Modul angeboten.)
-{{ :invis_server_wiki:27_mailserver_mm2.png |}}
-Das Mailman Einrichtungswerkzeug versucht an den zuvor angegebenen Listen-Admin eine Email zu versenden. Wenn so wie im gezeigten Bild eine Email-Adresse eines noch nicht auf dem Server eingerichteten Benutzers eingegeben wurde, schlägt die Zustellung dieser Mail natürlich fehl. Das ist allerdings nicht wirklich von Belang.
-=== Modul: cups ===
-Dies Modul richtet, wie zu vermuten ist, den Druckserver CUPS ein. Auch dieses Modul ist ein Selbstläufer.
-=== Modul: fileserver (samba & nfs) ===
-Die Einrichtung eines LDAP/Samba-Domaincontrollers erledigt das Modul so gut wie selbsttätig. Dabei legt es die komplette Benutzer- und Gruppen-Struktur, wie in einer "Windows NT Domänenstruktur" üblich an. Machen Sie sich später mittels phpLDAPAdmin (zu erreichen über den Administrationsbereich im invis Portal) mit der Struktur vertraut. Dabei entsprechen auch die Gruppen-IDs den entsprechenden RIDs aus der Windows-Welt.
-Weiterhin legt das Script unter /srv/shares einige Freigaben (Verwaltung, Aktuell, Archiv, Gruppen, Media, Transfer) an. Diese sind in Abhängigkeit des gedachten Verwendungszwecks mit unterschiedlichen Zugriffsrechten versehen. Allen gemeinsam ist das gesetzte SGID-Bit, welches dafür sorgt, dass Dateien und Verzeichnisse die in einer Freigabe angelegt werden von dieser die besitzende Gruppe erben. Dies erleichtert das gruppenweise Zusammenarbeiten auf dem Fileserver. Schauen Sie sich auch dies fürs Verständnis einmal genauer an.
-Alle Freigaben sind mit einem "Netzwerk-Papierkorb" ausgestattet. D.H. alle von Anwendern in einer Freigabe gelöschten Dateien und Ordner werden unter Beibehaltung der Verzeichnisstruktur in den Ordner ".recycle" innerhalb der jeweiligen Freigabe verschoben. Um ein Überlaufen der Festplatten zu verhindern werden ältere Dateien automatisch vom Tool //**clean_recycle**// in regelmäßigen Abständen automatisch aus dem Papierkorb entfernt.
-Während des Aufbaus der Domänenstruktur werden Sie nach dem Passwort des Benutzers "root" sowie dem eines neu angelegten Users "domadmin" und eines Benutzers "junk" gefragt. Das root-Passwort benötigt Samba etwa um automatisch Maschinen-Konten anlegen zu können. Der User "domadmin" ist, wie der Name vermuten lässt ein Windows-Domänenadministrator. Dieser hat auf allen der Domäne beigetretenen Windows-Clients Administrationsrechte, nicht aber auf dem Linux Server selbst. Der Benutzer "junk" ist ein Dummy-User, an denn vom Mailserver als Spam eingestufte Emails gesendet werden. {{ :invis_server_wiki:29_samba_user2.png|}}
-Wenn die Domänen-Struktur steht, haben Sie hier im Script bereits die Möglichkeit nach belieben Benutzer anzulegen. Das Script unterscheidet zwischen normalen Domänen Benutzern, Verwaltungsmitgliedern (dürfen auf die Freigabe Verwaltung zugreifen) und Mail-Dummys (reine Linux-Benutzeraccounts, die sich nicht an Windows-PCs anmelden können).
-Sind alle Benutzerkonten nach Ihrem Wunsch angelegt, fragt das Script noch, ob es einen Gast-Account anlegen soll. Gäste können sich an Windows-Clients anmelden, haben aber so gut wie keine Rechte und dürfen nur auf die Freigabe Transfer zugreifen. Gedacht etwa als Accounts die nur im Internet surfen dürfen.
-{{ :invis_server_wiki:30_samba_user3.png |}}
-//**Hinweis:** Diese Funktion wird von uns seit längerem nicht mehr aktiv gepflegt. D.h. Sie sollten Benutzer über das Web-Portal des invis-Servers anlegen. Ignorieren Sie diese Möglichkeit hier einfach. Wir werden Sie sicherlich irgendwann aus **sine** entfernen.//
-Es wird nachfolgend gefragt, ob Sie einen Gastbenutzer anlegen möchten. Auch dies ist nicht nortwendig.
-{{ :invis_server_wiki:31_samba_user4.png |}}
-Eine weitere Funktion dieses Moduls ist, den Server selbst als LDAP-Client via SSSD zu konfigurieren. Dies ist notwendig, danit sich die im LDAP angelegten Benutzer auch direkt am Server anmelden können. Testen Sie dies am besten mit einem beliebigen Benutzer aus. Schlägt die Anmeldung fehl sind einige Funktionen des Servers nicht verfügbar.
-//**Achtung:** SSSD ist ein "caching" Daemon. D.h. er speichert Benutzerinformationen aus dem LDAP zwischen. Leider funktioniert (in meinen Augen) das frisch halten des Caches nicht optimal. D.h. Es kann sein, dass sie für frisch angelegte Benutzer oder Gruppen erst nach einigen Minuten Wartezeit Zugriffsrechte im Dateisystem setzen können.//
-//**Achtung**: Die Funktion Freigaben auch via NFS verfügbar zu machen ist in diesem Modul enthalten, wird aber nicht automatisch aktiviert. Dazu ist etwas manuelle Nacharbeit notwendig. (Siehe unten)//
-=== Modul: web ===
-Wie der Name vermuten lässt geht es hier um die Einrichtung des Webservers Apache, aber auch um die Installation des invis-Portals. Seit invis-Server Version 9.0 ist auch die Einrichtung des Dienstes "shellinabox" Teil dieses Moduls. "shellinabox" ermöglicht den SSH-Login am Server aus dem Webportal des invis-Servers heraus.
-Die Webserver-Konfiguration basiert auf namensbasierten vhosts. //**sine**// richtet zwei vhosts eingerichtet, von denen einer für den regulären HTTP-Zugriff aus dem lokalen Netz heraus gedacht ist und der zweite für den HTTPs-Zugriff via Internet.
-Der zweite vhost wird vom Script nur dann installiert, wenn im Modul "quest" ein DynDNS-Name eingegeben wurde. (Beachten Sie diesbezüglich den Hinweis in der Beschreibung des quest-Moduls.)
-Wird der vhost für den externen Zugriff eingerichtet, erstellt das Script einen Schlüssel/Zertifikat Satz. Auch hier benötigen Sie lediglich das Passwort des CA-Keys.
-=== Module: mysqlserver und postgresqlserver ===
-Das diese beiden Module genau das tun, was die Namen vermuten lassen dürfte selbstverständlich sein. Sie richten sowohl einen MySQL, bzw. ab Version 10.0 MariaDB als auch einen PostgreSQL Server ein.
-Die Frage nache dem "Warum beide" beantworte ich lieber bevor sie gestellt wird. Die in invis Server integrierte Groupware "Group-e" setzt einen MySQL-Server voraus, während das Warenwirtschaftssystem Kivitendo schlicht PostgreSQL benötigt. Beide Systeme haben einfach unterschiedliche Stärken. So profitieren Group-e und Zarafa vermutlich von der Performance des Einen, während Kivitendo auf die Transaktionssicherheit des Anderen baut.
-//**Hinweis:** Seit invis Version 7.0 wurde der Start des PostgreSQL Servers optional gestaltet. D.h. PostgreSQL wird installiert und konfiguriert, aber nur auf Wunsch gestartet. //
-//**Hinweis:** Ab invis Server 10.0 (Active Directory) werden die Speicherreservicerungen für die InnoDB-Engine von MariaDB bzw. MySQL dynamisch berechnet und eingerichtet. Dabei kann es vorkommen, dass wenn viel RAM zur Verfügung steht beim ersten Start von MariaDB bzw. MySQL sehr große Dateien auf der Festplatte angelegt werden. Dies kann unter Umständen sehr lange dauern. Wenn es also so aussieht, als würde **sine** still stehen, haben Sie einfach noch ein wenig Geduld. Auch eine etwaige Fehlermeldung des Systemd bez. eines fehlgeschlagenen Start des Dienstes kann getrost ignoriert werden. Systemd fehlt es scheinbar an der notwendigen Geduld.//
-{{ :invis_server_wiki:32_postgresql.png |}}
-//**Hinweis:** Seit openSUSE Version 12.x wurde MySQL durch MasiaDB ersetzt. Wird beim invis-Setup "Zarafa" als Groupware ausgewählt, wird aufgrund einer Inkompatibilität allerdings wieder auf MySQL zurück gewechselt.//
-=== Modul: firewall ===
-Dieses Modul richtet die im openSUSE Lieferumfang enthaltene SuSEfirewall2 ein. Es ist ein Selbstläufer
-Die Einrichtung einer Firewall würde ich aber niemals ohne Kontrolle einfach so einem Setup-Script überlassen.
-//**Daher mein Tipp:** Machen Sie sich UNBEDINGT mit der zugehörigen Konfigurationsdatei// <file>/etc/sysconfig/SuSEfirewall2</file> //vertraut. Nicht umsonst endete der einleitende Kommentar in dieser Datei lange Zeit mit den Worten "Good Luck".//
-Wenn Sie selbständig Änderungen an der Firewall-Konfiguration vornehmen, können Sie diese Änderungen mit:
-<code>linux:~ # rcSuSEfirewall2 reload</code>
-übernehmen.
-//**Achtung:** Nach Abschluss dieses Moduls ist Ihr Server per SSH nur noch auf dem vom Modul "quest" ausgegebenen verschobenen SSH-Port erreichbar.//
-==== Optionale Module ====
-Bei allen nachfolgend beschriebenen Modulen haben Sie die Möglichkeit die jeweilige Installation zu überspringen. Sie bekommen zu Beginn des Moduls einen kurzen Text eingeblendet, der die vom Modul einzurichtende Software beschreibt. Im Anschluss daran werden Sie gefragt, ob sie die jeweilige Installation wünschen oder nicht.
-=== Modul: nagios ===
-Wenn Sie planen Ihren invis-Server mit einem Monitoring-System wie Icinga oder Nagios zu überwachen, benötigen Sie einen Satz an Nagios-Plugins. Das Modul "nagios" installiert einen gängigen Satz an Plugins.
-{{ :invis_server_wiki:33_nagios.png |}}
-Zusätzlich zur Installation der Plugins wird ein Benutzer namens "nagios" angelegt, der für den Zugang eines Monitoring-Servers genutzt werden sollte.
-=== Modul: groupware ===
-Dies ist das zweite optionale Modul im Script. Da jedoch ein Backoffice Server ohne brauchbares Groupware-System nur eine halbe Sache ist, würde ich dieses Modul nicht überspringen. Jedenfalls stellt dieses Modul - wie auch alle folgenden - zu Beginn die Frage, ob Sie es ausführen möchten.
-Abhängig von der im Modul "quest" getroffenen Entscheidung bezüglich Groupware und IMAP-Server wird hier //**Group-e**//, //**Zarafa**// oder //**SoGo**// zur Installation vorgeschlagen.
-**Zarafa**
-Installiert wird immer die aktuelle Open-Source-Version des Zarafa-Servers inklusive Webaccess und modernerer Webapp.
-Um Outlook anbinden zu können ist die Installation des Zarafa-License-Daemons notwendig, der nicht Bestandteil der openSUSE Pakete ist und von uns auch für openSUSE nicht als RPM-Paket zur Verfügung gestellt werden kann. Statt dessen bieten wir den License-Daemon als Erweiterungspaket auf der invis-Server Website zum gesonderten Download an.
-Wenn Sie Zarafa als Groupware gewählt haben, erfolgt keine Abfrage, ob Sie den Durchlauf dieses Moduls wünschen oder nicht. Dies ist so beabsichtigt, da Zarafa Teile der Mailserver-Funktionen integriert mitbringt. D.h. ohne Zarafa Installation, würde der invis-Server nicht funktionieren.
-**Group-e**
-Ist alle Software installiert wird eine MySQL-Datenbank für Group-e eingerichtet. Diese Prozedur verlangt ganze drei mal hintereinander die Eingabe des MySQL-Root Passwortes. (Dies geschieht nicht um Sie zu ärgern. ;-) )
-Gegen Ende des Modul-Durchlaufs wird noch ein Mail-Dummy User für die Projektverwaltung der Groupware angelegt, Ihre Aufgabe hierbei ist lediglich die Vergabe eines Benutzerpasswortes.
-Um von der Vorinstallation zu einer Nutzbaren Group-e Installation zu gelangen lesen Sie bitte im Kapitel "Nacharbeit" den Abschnitt "[[#Group-e]]",
-**SoGo**
-Beschreibung folgt...
-=== Modul: erp ===
-Nr. 2 aus der Reihe der optionalen Module installiert das zu Beginn gewählte Warenwirtschafts- bzw. ERP-Systems.
-Zur Auswahl stehen die Systeme:
-  * WaWision
-  * Kivitendo
-Während das WaWision-Setup an dieser Stelle vollständig automatisch abläuft, erfordert Kivitendo ein bisschen Unterstützung.
-**waWision**
-Nach der Installation des waWision Software-Paketes wird eine leere MySQL-Datenbank nebst zugehörigem Benutzer angelegt. //**sine**// zeigt Ihnen die Zugangsdaten:
-{{ :invis_server_wiki:34_wawision.png |}}
-Notieren Sie sich diese Informationen, Sie werden beim späteren Vervollständigen des Setups benötigt.
-**Kivitendo**
-Nach der Installation der Kivitendo-ERP Pakete, wird ein PostgreSQL-Datenbank Benutzer unter dem Namen "kivitendo" angelegt. Für diesen müssen Sie sich selbstverständlich wieder mal ein Passwort ausdenken. Die Eingabe des Passwortes ist doppelt erforderlich, einmal beim Anlegen des Benutzers selbst und danach noch einmal für die Kivitendo-Konfiguration. Achten Sie darauf, dass Sie in beiden Fällen das gleiche Passwort eingeben.
-Im Anschluss daran müssen Sie sich für eine Authentifizierungsmethode entscheiden, ich empfehle die Vorgabe "SQL" zu übernehmen, Erläuterungen dazu finden Sie im Kapitel "Nacharbeit" dieser Anleitung, im Abschnitt "[[#LX-Office]]"
-Damit ist auch dieses Modul abgearbeitet.
-=== Modul: faxgate ===
-//**Hinweis:** Wir werden die Pflege des Fax-Server-Moduls über kurz oder lang einstellen. Geschuldet ist dies der ISDN Deaktivierung durch die Telekom, der Tatsache, dass AVM die Fritzcard nie als PCIeX Karte heraus gebracht hat und, dass es die FCPCI-Treiber auch nicht bis in alle Ewigkeit geben wird.//
-//**Achtung:** Seit invis 8.0-R1 funktioniert das Modul nicht mehr vollständig, da Foehr-IT keine fcpci-Kernelmodule für den Kernel für openSUSE ab 12.2 bereit hält. Die Treiber müssen manuell herunter geladen und installiert werden, alles andere kann das Faxgate-Modul erledigen. Die Kernel-Module sind **[[http://www.fkn-systems.de/index.php?&c=fcpci|hier]]** zu finden.//
-Dieses Modul setzt einen CAPI-basierten Faxserver auf. Das setzt voraus, dass Ihr zukünftiger invis Server über eine FritzCard PCI verfügt (andere Modelle haben wir nie getestet). Alternativ funktioniert es auch mit einer FritzCard DSL einer Kombination aus ISDN-Karte und DSL-Modem, die allerdings im Handel nicht mehr erhältlich ist.
-Das Script erkennt den Typ der eingesetzten FritzCard selbständig, läd das entsprechende Kernel-Modul von [[http://opensuse.foehr-it.de|Foehr IT]] herunter und installiert es automatisch. Verwendet wird dazu das Tool **//fcinst//** aus der invis Toolbox. Sie können dieses Script auch direkt benutzen, beispielsweise für ein Update des FritzCard-Treibermoduls, etwa nach einem Kernel-Update.
-Ist das Kernel-Modul erfolgreich installiert, müssen Sie wieder einmal der Installation zusätzlicher Software zustimmen.
-Im Anschluss an die Software-Installation müssen Sie festlegen, ob Sie Ihren Fax-Server im Single- (Vorgabe) oder Multiuser-Betrieb nutzen möchten. Der Singleuser-Betrieb geht von einer einzigen Faxnummer aus, alle auf dieser Nummer eingehenden Faxe werden im PDF-Format per Mail an einen speziell für diesen Zweck eingerichteten Benutzer "fax" gesendet. Diese Konfiguration dürfte vor allem in Verbindung mit einem ISDN-Mehrgeräteanschluss das Mittel der Wahl sein.
-Im Gegenzug dazu macht die Multiuser-Konfiguration mit ISDN-Anlagenanschlüssen Sinn, bei denen aus einem großen Rufnummern-Pool Mitarbeitern einzelne Faxnummern zugewiesen werden können. In diesem Fall werden eingehende Faxe im PDF-Format per Mail direkt an den entsprechenden Benutzer gesendet.
-Wird der Singleuser-Betrieb gewählt legt das Script den Benutzer "fax" selbst an - Sie werden hierbei natürlich nach einem Passwort gefragt.
-Unabhängig vom Betriebsmodus wird für den Faxversand eine entsprechende CUPS-Druckerwarteschlange unter dem Namen "faxgate" eingerichtet. Dieser Drucker steht auch via Samba zur Verfügung.
-Die individuelle Einrichtung des Fax-Servers, wie etwa die Eingabe der Faxnummern geschieht per YaST. Mehr dazu im Kapitel "Nacharbeit", Abschnitt "[[#Fax-Server]]"
-=== Modul: webcdwriter ===
-Diese Modul läuft völlig automatisch. Es installiert den Java-basierten Webcdwriter nebst zugehöriger Server-Sorftware. Dieses Software-Paket ermöglicht die Nutzung des CD/DVD-Brenners Ihres Servers via Netzwerk, also von jedem Arbeitsplatz aus.
-Hinweis: in der hier installierten Open Source Version ist lediglich das Brennen von CDs möglich. Das Brennen von DVDs verlangt ein kostenpflichtiges Update. Mehr Infos dazu auf Internet-Seite des [[http://joerghaeger.de/webCDwriter/|Autors]].
-=== Modul: openvpn ===
-Dieses Modul installiert die beliebte Open Source VPN-Lösung openVPN, die es Ihnen ermöglicht von Unterwegs via Internet auf Ihren Server bzw. Ihr Netzwerk zuzugreifen.
-Zunächst wird auch hier weiterere Software installiert. Ist diese Installation abgeschlossen wird (auch wenn dies widersinnig erscheinen mag) eine zweite CA (Zertifizierungsstelle) speziell für openVPN eingerichtet.
-{{ :invis_server_wiki:35_openvpn1.png |}}
-Sinnvoll ist dies, weil die Erzeugung von Schlüsseln und Zertifikaten für openVPN-Server und Clients mit anderen Vorgaben geschieht als bei den Schlüsseln für den Rest des Servers. Zum Einsatz kommt hier "easyRSA" ein leicht zu handhabendes Werkzeug zur Verwaltung der Schlüssel.
-Sowohl beim Erzeugen der CA, als auch beim Generieren des Schlüssel/Zertifikats-Paares für den VPN-Server selbst, stellt das Script (genauer gesagt easyRSA) einige vermutlich schon bekannte Fragen. Die Vorgabewerte sind Ihren Eingaben im Modul "quest" entnommen und können somit ohne Weiteres akzeptiert werden. Verändern müssen Sie nur wenige Einstellungen, der für den Server entscheidende "Common Name" wird aus den vorherigen Eingaben bereits als Vorgabe verwendet und darf nicht geändert werden.
-Zunächst wird die CA erzeugt:
-{{ :invis_server_wiki:36_openvpn2.png |}}
-Danach werden auf Primzahlen basierende Diffie-Hellmann Parameter berechnet, was eine Weile dauern kann. Wenn sich auf dem Bildschirm scheinbar nichts tut ist das durchaus normal. Haben Sie Geduld.
-{{ :invis_server_wiki:37_openvpn3.png |}}
-Zum Abschluss wird noch das Schlüssel/Zertifikatspaar des Servers selbst erzeugt:
-{{ :invis_server_wiki:38_openvpn4.png |}}
-Danach wird der openVPN Dienst gestartet. Mit "ifconfig" können Sie dies im Anschluss geprüft werden:
-{{ :invis_server_wiki:40_openvpn6.png |}}
-Es muss eine Netzwerkschnittstelle namens "vpn" angezeigt werden.
-Mehr zur Einrichtung des openVPN-Servers sowie der Erzeugung der Schlüssel für VPN-Clients im Kapitel "Nacharbeit", Abschnitt "[[#VPN-Server]]".
-=== Modul: dokuwiki ===
-Dieses Modul installiert das einfache und Ressourcen-schonende Wikisystem "Dokuwiki", nebst dem Monoboot-Template. Optisch ist es damit kaum vom bekannten Mediawiki zu unterscheiden. Es benötigt allerdings keine SQL-Datenbank und verfügt von Haus aus über eine Benutzerverwaltung mit ACLs.
-Auch die Einrichtung von Dokuwiki erfordert etwas "Nacharbeit", mehr dazu im Abschnitt "[[#Dokuwiki konfigurieren]]".
-=== Modul: etherpad ===
-//**Hinweis:** Das Modul **etherpad** ist derzeit in allen invis-Versionen (9.2, 10.1 und 10.2) aufgrund von Inkompatibilitäten mit "nodejs" deaktiviert. Ob und/oder wann wir es wieder zum Leben erwecken ist derzeit unbestimmt.//
-Funktionaler Neuzugang im invis-Server Funktionsumfang ist die Software Etherpad-Lite. Sie ist dazu gedacht mit mehreren Personen simultan an Texten zu arbeiten. Die Texte können in verschiedene Formate, darunter auch Dokuwiki exportiert werden. Sehr praktisch vor allem, wenn dezentral und dennoch im Team gearbeitet werden soll.
-Dieses Modul verlangt lediglich einmal die Eingabe des MySQL-root Passwortes.
-=== Modul: owncloud ===
-Dieses Modul installiert ownCloud. Der wesentliche Teil der des Setups muss allerdings manuell vorgenommen werden. Siehe Abschnitt Nacharbeit "[[#ownCloud]]".
-Das Modul legt eine Datenbank an und gibt, genau wie im Modul Wawision deren Zugangsdaten aus. Notieren Sie sich diese, sie werden für den manuellen Abschluss der onwCloud Installation benötigt.
-=== Modul: virtualbox ===
-Dieses Modul läuft vollkommen automatisch ab. Für die Verwendung von VirtualBox steht nach der Installation im invis-Portal im Bereich "Administration" das Tool "phpVirtualBox" zur Verfügung.
-==== Fertig ====
-Ist das Modul "openvpn" erfolgreich abgearbeitet, haben Sie es geschafft - Ihr Server ist bereits weitestgehend einsatzbereit.
-Um von "weitestgehend" zu "vollständig" zu gelangen lesen Sie einfach den folgenden Abschnitt.
-===== Nacharbeit =====
-Ist das Script abgearbeitet, folgt die Feinarbeit! Es gilt jetzt vor allem Group-e und LX-Office für die Nutzung vorzubereiten.
-Auch wenn ich diesen Bereich des Howtos so schnell es geht fortsetze, empfehle ich bei Problemen mit den beiden Programmen die zugehörigen Foren und Wikis.
-Ich werde bei der Dokumentation der Ersteinrichtung der beiden Programme hier nur das Wesentliche erläutern, da beide Programme immer wieder kleineren und größeren Änderungen unterliegen.
-==== Router ====
-Wenn Sie Ihren invis-Server hinter einem Router betreiben, müssen Sie darin bis zu 5 Portweiterleitungen einrichten, wenn Sie Ihren invis-Server auch via Internet nutzen möchten.
-Diese sind:
-  - der vom invis Server genutzte "verschobene" SSH-Port (TCP)
-  - Port 443/TCP (HTTPs), wenn Sie ActiveSync/Z-Push nutzen möchten, um Mobilgeräte mit der Groupware des Servers zu synchronisieren.
-  - der vom invis Server genutzte "verschobene" HTTPs-Port (TCP) für den Zugriff auf das invis-Portal.
-  - der vom invis Server genutzte "verschobene" HTTPs-Port (TCP) für den Zugriff auf ownCloud.
-  - Port 1194/UDP für den Zugriff via OpenVPN.
-Die hier als "verschoben" bezeichneten Ports wurden von //**sine**// zufällig generiert und während des Setups ausgegeben. Nachträglich Abfragen können Sie sie auf der Kommandozeile mit:
-<code>
-linux:~ # sine showconf
-</code>
-==== Passwortsicherheit ====
-//**Hinweis:** Die nachfolgenden Erläuterungen beziehen sich ausschließlich auf invis Server Active Directory und **nicht** auf invis Server Classic.//
-Wird Samba4 als AD Domaincontroller betrieben gelten folgende Voreinstellung für Benutzerpasswörter:
-^ Einstellung  ^  Vorgabe  ^
-| max. Passwortlaufzeit  |  43 Tage  |
-| Passwortkomplexität  |  aktiviert  |
-| min. Passwortlänge  |  7 Zeichen  |
-Diese Voreinstellungen sind recht streng und können so sicherlich nicht überall Anwendung finden. Sie, als Administrator eines invis-Servers sollten sich von Ihren Anwendern aber nicht allzu viele Zugeständnisse in Sachen Passwortsicherheit abringen lassen.
-Ändern lassen sich die Einstellungen mit Hilfe des //**samba-tools**// auf der Kommandozeile des Servers. Hier ein paar Beispiele:
-**Ändern der Passwortlaufzeit**
-<code>
-linux:~ # samba-tool domain passwortsettings set --max-password-age=0
-</code>
-Der im Beispiel gewählte Wert **0** sorgt für eine unbegrenzte Passwortlaufzeit. Ist sicherlich nicht die beste Empfehlung, wird in der Praxis zur Stressvermeidung häufig bevorzugt.
-**Passwortkomplexität**
-<code>
-linux:~ # samba-tool domain passwortsettings set --complexity=off
-</code>
-Hier kennt die Microsoft'sche Welt aus der das AD ja stammt keine Abstufungen. Möglich sind die Werte //on//, //off// und //default// wobei //default// wiederum //on// bedeutet.
-Mit der Voreinstellungen werden Passwörter mit Sonderzeichen, Zahlen und Groß-/Kleinschreibung verlangt.
-**Passwortlänge**
-<code>
-linux:~ # samba-tool domain passwortsettings set --min-pwd-length=5
-</code>
-Reduziert die geforderte Passwortlänge auf 5 Zeichen.
-Als Benutzer **root** haben Sie natürlich die Möglichkeit Benutzerpasswörter zurückzusetzen. Dabei gelten nicht einmal die Passwortsicherheitsregeln.
-<code>
-linux:~ # samba-tool user setpassword benutzername --newpassword=neuespasswort --must-change-next-login
-</code>
-Im gezeigten Beispiel wird dafür gesorgt, dass der betroffene Benutzer sein Passwort bei der nächsten Anmeldung ändern muss.
-==== NFS Fileserver ====
-Der NFS Fileserver für Linux-Clients ist nach der Installation des invis-Servers zwar vorbereitet, wird aber nicht automatisch gestartet. Um dies Nachzuholen sind folgende Schritte durchzuführen:
-Die Dienste "nfsserver" und "rpcbind" zum automatischen Start vorsehen und starten:
-<code>
-linux:~ # systemctl enable nfsserver.service
-linux:~ # systemctl start nfsserver.service
-linux:~ # systemctl enable rpcbind.service
-linux:~ # systemctl start rpcbind.service
-</code>
-Anschliessend ist noch der Zugriff auf die NFS-Freigaben in der Firewall, für die interne Netzwerk-Schnittstelle zu öffnen.
-Dazu ist in Datei <file>/etc/sysconfig/SuSEfirewall2</file> ist in Zeile (ca.) 414 folgendes zu ergänzen:
-Aus:
-<code>
-FW_CONFIGURATIONS_INT="samba-4-ad"
-</code>
-wird
-<code>
-FW_CONFIGURATIONS_INT="nfs-kernel-server samba-4-ad"
-</code>
-Danach ist noch die Firwall neu zu starten:
-<code>
-linux:~ # systemctl restart SuSEfirewall2.service
-</code>
-Grund dafür, dass wir dies nicht automatisch ausführen ist, dass es nur in den wenigsten Fällen Linux Clients gibt (leider).
-==== Group-e ====
-Um Group-e nach der Installation in einen nutzbaren Zustand zu bekommen, müssen Sie sich zunächst mit dem Benutzernamen "config" und gleichlautendem Passwort an Group-e anmelden.
-Zunächst werden Sie aufgefordert die Datenbank an die aktuelle Version der Software anzupassen. Sie benötigen dafür das Passwort des MySQL-Benutzers "root" welches Sie im Verlauf des invis Setup-Scripts festgelegt haben.
-Ist die Datenbank aktualisiert, zeigt Ihnen Group-e einen Installations-Check. Hier sehen Sie wo noch nachgearbeitet werden muss. In erster Linie ist dies die Anpassung an die bestehende LDAP-Struktur.
-Den Status "BAD" werden Sie vermutlich bei folgenden Punkten //ldap_bind// und folgenden, //cyrus_login//, //mkntpwd// und //php_mhash// sehen.
-Die beiden letzen Punkt sind schnell abgehakt. Das Tool //mkntpwd// ist inzwischen aus den meisten Linux-Distributionen verschwunden, dieser Fehler kann also entweder ignoriert werden oder in Sie entfernen in der "Globalen Konfiguration" einfach den Eintrag im Feld "NT Password Command".
-Klicken Sie zunächst auf den Reiter "User Defaults" und wählen Sie (so Sie dies möchten) als Standard-Sprache "de" für deutsch aus. Konfigurationsänderungen sind unmittelbar nach dem Speichern wirksam.
-Klicken Sie für die Anpassung an die LDAP-Umgebung auf den Reiter "Konfiguration". Dort sind die folgenden Felder wie hier gezeigt anzupassen:
-  * **Mindestlänge Benutzername:** Diesen Wert setze ich auf 3, da invis Server einen User namens "fax" kennen.
-  * **Passwörter nicht verwalten:** Diesen Punkt aktiviere ich, da Passwörter über das invis Protal verwaltet werden.
-  * **Virenscanner Kommando:** Die Vorgabe bezieht sich auf den Virenscanner "fprot". Da invis-Server entweder mit clamav oder antivir arbeiten muss diese Zeile an den verwendeten Scanner angepasst werden. Für **//antivir//** könnte das Kommando so aussehen:
-<code>avscan --allfiles --scan-in-archive -q --moveto=/var/spool/infected %s</code>
-Weiterhin müssen die Exitcodes für infizierte und verdächtige Dateien angepasst werden. Diese sind bezogen auf **//antivir//** : **1** für infizierte Dateien und **3** für verdächtige Dateien.
-Für **//clamscan//** kann eine entsprechende Zeile wie folgt aussehen:
-<code>clamscan --quiet --scan-archive=yes --move==/var/spool/infected %s</code>
-Bei Verwendung von ClamAV ist zu beachten, das //**clamscan**// keinen Exitcode für "verdächtige" Dateien kennt. Der Exitcode für infizierte Dateien ist **1**
-  * **Ldap BaseDN:** dc=deine-domain,dc=loc (Selbstverständlich an Ihre Umgebung angepasst)
-  * **Ldap Admin Bind:** uid=admin,dc=deine-domain,dc=loc
-  * **Ldap Admin Password:** Das zugehörige Passwort
-  * **Ldap BaseDN User:** ou=Users,ou=Benutzerverwaltung
-  * **Ldap BaseDN Groups:** ou=Groups,ou=Benutzerverwaltung
-  * **Ldap DN for sambaUnixIdPool Object:** sambaDomainName=DEINE-DOMAIN,ou=Benutzerverwaltung,dc=deine-domain,dc=loc
-  * **Samba Server Name:** Der NetBIOS-Name des Samba-Servers, meist der Hostname in Großbuchstaben.
-  * **Samba HomeDrive:** Auf invis Servern ist U: als Laufwerksbuchstabe für das Home-Laufwerk vorgegeben. H: kollidiert des öfteren mit fest eingebauten Card-Readern.
-  * **Samba HomePath:** \\{Server}\{USERNAME} -- Die Vorgabe sollte es allerdings auch tun.
-  * **Samba ProfilePath:** \\{SERVER}\profiles\{USERNAME} -- Hier fehlen in der Vorgabe ein paar Backslashes
-  * **Ldap BaseDN Samba:** sambaDomainName=DEINE-DOMAIN,ou=Benutzerverwaltung
-Speichern Sie Ihre Anpassungen ab. Danach sollte Group-e sich mit dem lokalen LDAP-Server vertragen, wie ein erneutes Klicken auf den "Install Check" beweisen sollte. Jetzt können Sie dort die Gruppe "All" und den Group-e Admin-Account "sysadmin" (in dieser Reihenfolge) anlegen.
-Klicken Sie zur Anpassung an den IMAP-Server erneut auf den Reiter "Konfiguration" und anschließend links auf den Link "E-Mail". Hier muss nicht viel eingestellt werden. Da der IMAP-Dienst des invis-Servers eine verschlüsselte Verbindung fordert muss die Einstellung für den IMAP Port geändert werden.
-  * **Port:** 143/tls/novalidate-cert -- Der Eintrag novalidate-cert ist notwendig, da Group-e ansonsten selbstsignierte Zertifikate nicht akzeptiert.
-Des weiteren muss noch das Passwort des Users "cyrus" angegeben werden, da Group-e in der Lage ist die Mailkonten der User zu verwalten.
-  * **Admin Passwort:** ihr cyrus Passwort -- Sie haben es während des Script-Laufs festgelegt.
-Gelegentlich gibt es Probleme mit dem IMAP-Namensraum, wenn neben dem Group-e Webmailclient noch ein Standalone-Mailclient wie etwa Thunderbird verwendet wird. So tauchen meist mehrere "Gesendet"-Ordner auf. Um dies in den Griff zu bekommen müssen Sie ein wenig mit den Mailbox-Bezeichnungen spielen. Ich warte hier erst mal auf die nächste Version von Group-e.
-Es emphielt sich etwa für den Versand größerer Mail-Anhänge die PHP-Werte für //memory_limit//, //post_max_size// und //max_upload_filesize// zu vergrößern. In meiner Praxis haben sich Werte von 256M, 64M und 32M bewährt. Wichtig dabei ist, dass der Wert für //post_max_size// doppelt so groß wie //max_upload_filesize// ist.
-Was die Grundkonfiguration der weiteren Group-e Applikationen angeht überlasse ich Sie zunächst auch sich selbst und Ihrem Spieltrieb. Ich habe allerdings auch nichts dagegen, wenn andere Nutzer sich hier am Wiki beteiligen und Tipps geben.
-Nach Abschluss der Grundkonfiguration können Sie sich an Group-e als User "sysadmin" anmelden und über das "Admin" Icon Group-e weiter einrichten. Es gilt zunächst Ihre System-User für die Nutzung von Group-e einzurichten. Klicken Sie dazu auf die einzelnen User-Einträge, tragen Sie deren **interne** email-Adresse - username@deine-domain.loc - ein und klicken Sie die Checkbox "Group-e User aktiv" an. Jeder Group-e User muss mindestens einer Group-e Gruppe angehören, da es derzeit aus Sicht von Group-e nur die Gruppe "all" gibt wählen Sie diese in der Drop-Down-Liste "Primärgruppe" aus.
-Klicken Sie jetzt noch im Feld "Applikationen" auf alle Checkboxen der Applikationen die dem User zur Verfügung stehen und speichern Sie Ihre Einstellungen ab. Damit kann sich der betreffende User an Group-e anmelden und es nutzen.
-Um alle Applikationen richtig nutzen zu können, ist noch einiges an Feinschliff notwendig. Auch hierbei überlassen ich Sie Ihrem Spieltrieb und verweise auf Forum und Wiki unter [[http://www.group-e.info]].
-==== Kivitendo ====
-Wie auch Group-e, ist Kivitendo nach erfolgreichem Script-Lauf bereits auf dem zukünftigen invis-Server vorinstalliert. Die anfallende Nacharbeit beschränkt sich auf das Anlegen von Datenbanken, Benutzer, Gruppen und Mandanten.
-Eine Umfangreiche Dokumentation zu Kivitendo finden Sie hier: [[https://steigmann.kivitendo-premium.de/doc/html/]]
-Um die Kivitendo Nutzerdatenbank, Mandanten-Datenbanken sowie Nutzerkonten anlegen zu können, müssen Sie zunächst im Browser die Administrationsseite aufrufen. Der entsprechende Link sieht wie folgt aus:
-http://ihr-server.domain.loc/kivitendo-erp/admin.pl
-Sind weder Datenbanken noch Nutzerkonten eingerichtet, genügt ein Klick auf die Schaltfläche "Warenwirtschaft" im invis-Portal. Kivitendo fragt dann selbständig, ob Sie zunächst auf die Administrationsseite wechseln möchten.
-Das zunächst erfragte Administratoren-Passwort lautet schlicht: **"admin123"**. Kivitendo führt Sie anschliessend durch die Installation einer Authentifizierungsdatenbank. Folgen Sie hier einfach den Anweisungen. Als Benutzer zum Anlegen der Datenbank können müssen Sie wie vorgeschlagen den User "kivitendo" verwenden. Für letzteren benötigen Sie selbstverständlich das von Ihnen vergebene Passwort.
-Möchten Sie statt gegen eine interne Kivitendo Benutzerdatenbank, gegen ein LDAP-Verzeichnis (OpenLDAP oder Active Directory) Authentifizieren, müssen Sie vor dem Anlegen der Benutzerdatenbank in der Datei <file>/srv/www/htdocs/kivitendo/config/kivitendo.conf</file> folgende Änderungen vornehmen:
-**Classic & AD**
-<code>
-# Which module to use for authentication. Valid values are 'DB' and
-# 'LDAP'.  If 'LDAP' is used then users cannot change their password
-# via kivitendo.
-module = LDAP
-</code>
-Weiterhin ist der LDAP-Server zu konfigurieren. Hier unterscheiden sich Classic und AD geringfügig voneinander:
-**Classic**
-<code>
-host          = 127.0.0.1
-port          = 389
-tls           = 1
-attribute     = uid
-base_dn       = DC=invis-net,DC=loc
-filter        =
-bind_dn       = uid=admin,ou=Benutzerverwaltung,dc=invis-net,dc=loc
-bind_password = ldap-admin-secret
-</code>
-**AD**
-<code>
-host          = 127.0.0.1
-port          = 389
-tls           = 1
-attribute     = sAMAccountName
-base_dn       = DC=invis-net,DC=loc
-filter        =
-bind_dn       = ldap.admin@invis-net.loc
-bind_password = ldap-admin-secret
-</code>
-Selbstverständlich müssen Sie die Konfigurationsdaten an Ihre Umgebung anpassen.
-Steht die Authentifizierungsdatenbank, gelangen Sie auf die eigentliche Administrationsseite.
-Sie müssen jetzt eine (oder auch mehrere) Mandantendatenbanken anlegen.
-Klicken Sie hier im ersten Schritt auf die Schaltfläche "Datenbankadministration" und geben Sie in den Feldern für Benutzer und Passwort wiederum die Zugangsdaten des PostgreSQL-Benutzers "kivitendo" ein. Bestätigen Sie Ihre Eingabe durch Drücken der Schaltfläche "Datenbank anlegen".
-In der darauf folgenden Maske müssen Sie einen Datenbanknamen vergeben - dieser sollte Sinn ergeben, beispielsweise durch einfügen des Mandantennamens - und sich für einen Kontenrahmen entscheiden. Die Vorgabe SK03 sollte in den meisten Fällen passen. Klicken Sie auf die Schaltfläche "Weiter". Auf der nächsten Seite werden Sie über Erfolg oder Misserfolg der Aktion informiert. Geht alles glatt, gelangen Sie mit der Schaltfläche "Weiter" zurück zur Administrationsseite.
-Jetzt müssen Sie passend zur Mandantendatenbank noch den "Mandantenbenutzer" anlegen. Klicken Sie dazu auf die Schaltfläche "Benutzer erfassen" und füllen Sie das Formular "nach bestem Wissen und Gewissen" aus.
-In der Sektion Datenbank füllen Sie die Felder wie folgt aus:
-  * **Datenbankcomputer:** localhost
-  * **Datenbank:**: Der Name Ihrer soeben angelegten Mandantendatenbank
-  * **Port:** 5432
-  * **Benutzer:** kivitendo
-  * **Passwort:** Das zugehörige Passwort
-Testen Sie auf jeden Fall vor dem Speichern der Eingaben die Verbindung zur Datenbank über die entsprechende Schaltfläche.
-Mit den Eingabefeldern auf der rechten Bildhälfte können Sie unter anderem das "Look & Feel" von Kivitendo in gewissem Umfang beeinflussen. Damit müssen Sie einfach experimentieren.
-Ich empfehle ohnehin jedem Anwender sich zunächst eine Testdatenbank mit zugehörigem Testmandanten zu erstellen, um sich mit der Software vertraut zu machen. Ein ERP-System ist etwas ganz anderes als etwa ein Textverarbeitungsprogramm.
-Mit der Schaltfläche "Speichern" gelangen Sie wieder zurück zur Administrationsseite.
-Wenn Sie den "Mandantenbenutzer" angelegt haben müssen Sie diesen über die Schaltfläche "Gruppen bearbeiten" noch mit Zugriffsrechten auf die Mandantendatenbank versorgen.
-Nach einer noch jungfreulichen Neuinstallation existiert lediglich die Gruppe "Vollzugriff", was in einfachen Umgebungen durchaus ausreicht. Klicken Sie die Gruppe im oberen Fenster an und anschließend auf die Schaltfläche "Bearbeiten". Es öffnet sich eine neue Seite. In der oberen Sektion der Seite sind zwei mit "Benutzer in dieser Gruppe" und "Benutzer nicht in dieser Gruppe" bezeichnete Felder. Ihren neuen Benutzer sehen Sie im rechten Feld. Klicken Sie diesen Eintrag an und anschließend auf die Schaltfläche "Zu Gruppe hinzufügen".
-Über die Schaltfläche "Zurück" sichern Sie Ihre Eingaben. Jetzt können Sie sich erstmalig mit Ihrem neuen Benutzer über die entsprechenden Felder an Kivitendo anmelden. Zukünftig gelangen Sie über die Schaltfläche "Warenwirtschaft" im invis Portal direkt zur Kivitendo Benutzeranmeldung.
-**Kivitendo Taskserver**
-Seit Version Kivitendo Vorgänger LX-Office in Version 2.6.3 ist in der Software einen Taskmanager-Dienst zur Erinnerung an anstehende Aufgaben bzw. für Wiedervorlagen. Dieser Dienst ist bereits ins Runlevel-Konzept des Servers integriert, kann aber ohne Datenbank bez. angelegten Benutzer nicht starten.
-Ist die Datenbank, wie oben beschrieben angelegt, muss in der Datei <file>/srv/www/htdocs/kivitendo-erp/config/kivitendo.conf</file> in der Rubrik **[task_server]** (ab Zeile 235) unter "login =" ein Benutzer mit vollen Rechten eingetragen werden.
-Danach kann der Tastserver mit:
-<code>
-linux:~ # systemctl start kivitendo-task-server.service
-</code>
-gestartet werden.
-//**Hinweis:** Kivitendo ist eine sehr komplexe Software, für die wir als Projekt "invis Server" keinen Support leisten. Wenden Sie sich, wenn Sie Hilfe benötigen bitte direkt an [[https://forum.kivitendo.de/|Forum]] bzw. [[https://trac.kivitendo.de/wiki/KivitendoIndex|Wiki]] des Kivitendo Projekts.
-Für Kivitendo können Sie auch kommerziellen Support erhalten, wenden Sie sich diesbezüglich an eines der Kivitendo-Partner Unternehmen: [[http://www.kivitendo.de/partner.html]]//
-==== ownCloud ====
-**Ab invis-Server Active Directory 10.1 Rev. 21**
-Während der ownCloud-Installation durch //**sine**// wird ownCloud grundsätzlich installiert, eine leere Datenbank angelegt und die Firewall vorbereitet. Im Anschluss daran muss die Setup Routine von ownCloud selbst durchlaufen werden und das LDAP-Plugin aktiviert und konfiguriert werden.
-Sie benötigen dafür das Passwort, welches //**sine**// Ihnen mitgeteilt hat. Beim ersten Zugriff auf ownCloud startet die Setup-Routine automatisch.
-Legen Sie zunächst die Zugangsdaten für das ownCloud Administrationskonto fest.
-Klicken Sie jetzt auf "Speicher & Datenbank" und wählen Sie dort als Datenbank-Typ "MySQL/MariaDB" aus und geben Sie die Zugangsdaten zur vorbereiteten Datenbank ein:
-  * **Host:** localhost
-  * **Datenbank:** owncloud
-  * **Datenbank-Benutzer:** owncloud
-  * **Passwort:** Das von sine generierte Passwort
-Melden Sie sich jetzt mit dem zuvor definierten Adminitrationskonto an ownCloud an. Klicken Sie dann auf den Pulldown Pfeil oben rechts und dann auf "Administration".
-Klicken Sie jetzt links am oberen Rand auf den Eintrag "Apps" und dann auf das Pluszeichen. Klicken Sie als nächstes auf den Menüeintrag "Nicht aktiviert". Aktivieren Sie aus der Liste nicht aktivierter Apps den Eintrag "LDAP user and group backend" und melden Sie sich daraufhin einmal ab und wieder an.
-Jetzt finden Sie unter "Administration" den Eintrag "LDAP". Dort können Sie ownCloud schrittweise an Ihr Active Directory anbinden.
-Im ersten Schritt müssen Sie die Zugangsdaten zum LDAP Server angeben:
-  * **Host:** localhost
-  * **Port:** 389
-  * **Bind-DN:** ldap.admin@invis-net.loc (Ersetzen Sie die Domäne durch Ihre lokale Domäne)
-  * **Bind-Passwort:** Das Password für das "ldap.admin" Konto können Sie sich mit "sine showconf" anzeigen lassen.
-  * **Base-DN:** dc=invis-net,dc=loc (Ersetzen Sie die Domänenbestandteile durch die Ihrer lokalen Domäne)
-//**Hinweis:** ownCloud überprüft die Eingaben sofort. Wenn Sie also einen Fehler bei der Konfiguration machen wird dies unmittelbar angezeigt.//
-Auf der zweiten Seite der Konfiguration "Nutzer-Filter" können Einschränkungen dafür vorgenommen werden welche Benutzerkonten von ownCloud im LDAP gefunden werden. Hier sind folgende Angaben zu machen:
-  * **Nur diese Objekt-Klassen:** person
-  * **Nur von diesen Gruppen:** Lassen Sie dieses Feld leer, wenn alle invis-Nutzer auch ownCloud nutzen dürfen oder wählen Sie eine Gruppe, aus um
-Logins auf die Mitglieder dieser Gruppe(n) zu beschränken. Praktischerweise sollte für diesen Zweck eine eigene Gruppe angelegt werden.
-Leider macht ownCloud bei der Umsetzung dieser Angaben in eine Filterregel einen Fehler. Dies lässt sich korrigieren in dem Sie auf den Link "bearbeiten klicken und die dann angezeigte Zeile gemäss folgendem Beispiel abändern:
-<code>
-(&(|(objectclass=person))(|(memberof=CN=owncloud,CN=Users,DC=invis-net,DC=loc)))
-</code>
-In Schritt drei "Anmeldefilter" können Sie die Vorgabe "LDAP-Benutzername" einfach beibehalten. Die Anmeldung erfolgt dann mit dem Login-Namen ohne angehängte Domain.
-Im letzten Schritt legen Sie die Gruppen fest, die von ownCloud im LDAP gefunden und verwendet werden können. Hier sind folgende Angaben zu machen:
-  * **Nur diese Objekt-Klassen:** group
-  * **Nur diese Gruppen:** Lassen Sie das Feld leer wenn alle Gruppen der Domäne gefunden werden sollen oder wählen Sie die Gruppen aus, auf die Sie ownCloud beschränken möchten.
-Damit ist die LDAP bzw. Active Directory Anbindung abgeschlossen und ownCloud bereit zur Nutzung. Einen echten Nutzen hat es natürlich nur dann, wenn Ihr Server über einen DDNS-Namen via Internet erreichbar ist.
-==== Fax-Server ====
-//**Hinweis:** Wir werden die Pflege des Fax-Server-Moduls über kurz oder lang einstellen. Geschuldet ist dies der ISDN Deaktivierung durch die Telekom, der Tatsache, dass AVM die Fritzcard nie als PCIeX Karte heraus gebracht hat und, dass es die FCPCI-Treiber auch nicht bis in alle Ewigkeit geben wird.//
-Die Nacharbeit am Fax-Server beschränkt sich auf die Konfiguration des Fax-Anschlusses sowie der Drucker-Installation auf den Clients.
-Der erste Teil lässt sich am Server bequem per YaST erledigen - ein eigenes Web-Frontend, vergleichbar mit corNAz, ist zwar angedacht aber noch nicht in die Tat umgesetzt. (Freiwillige Helfer sind uns sehr willkommen.)
-Starten Sie einfach auf der Kommandozeile "yast"
-<code>Kommandozeile: yast</code>
-und wechseln Sie im Hauptmenü auf den Eintrag "Network Devices" und im entsprechenden Untermenü auf der rechten Seite auf "Fax" und bestätigen Sie mit Enter.
-Fügen Sie jetzt mit der Tastenkombination "Alt+A" für "Add" einen neuen Eintrag hinzu. Füllen Sie die Felder wie folgt aus:
-  * **User:** Der Username des Faxnutzers, im Singleuser-Mode ist dies einfach "fax"
-  * **Fax Numbers:** sind die MSNs auf denen eingehende Faxe erwartet werden, also schlicht Ihre Faxnummer ohne Vorwahl. Mehrere MSNs werden durch Kommata getrennt eingegeben. Wenn Sie zusätzlich ein Papierfax verwenden sollten Sie darauf achten, das Fax-Server und Faxgerät nicht auf der gleichen MSN lauschen.
-  * **Outgoing MSN:** Die Nummer (ohne Vorwahl) unter der Faxe versand werden.
-  * **Station ID:** ist Ihre Faxnummer in internationaler Schreibweise, also etwa "+49 6403 1234567"
-  * **Headline:** ist der Tex, der immer am oberen Rand eines Faxes auftaucht, also etwa Ihr Firmenname.
-  * **Action:** Dies können Sie auf der Vorgabe "MailandSafe" belassen, was dafür sorgt das eingehende Faxe auf dem Server im SFF-Format gespeichert und im PDF-Format per Mail an den Empfänger versand werden.
-Wenn Sie den Fax-Server im Multiuser-Mode an einem ISDN-Anlagenanschluss betreiben, müssen Sie für jeden Empfänger einen solchen Eintrag erzeugen und bei den Feldern "Fax Numbers" und "Outgoing MSN" anstelle der so genannten "MSN" die entsprechende "EAZ" Nummer eingeben. Die EAZ ist schlicht die jeweilige Durchwahlnummer.
-//**Hinweis:** Wenn Sie im YaST-Untermenü genau hingeschaut haben, sollte Ihnen der Eintrag "Phone Answering Machine" aufgefallen sein, darüber können Sie auf die gleiche Weise einen ISDN-Anrufbeantworter einrichten.//
-Auf Windows-Clients muss zur Nutzung des Fax-Versands noch der Faxgate-Drucker installiert werden. (Linux-Clients können diesen ohne weitere Installation nutzen, sowie sie generell als CUPS-Clients eingerichtet sind.) Klicken Sie sich nach dem Domänenbeitritt des Windows-Clients durch die Netzwerkumgebung bis auf den invis-Server und klicken Sie dort den Drucker "Faxgate" doppelt an. Windows wird feststellen, dass für diesen Drucker noch keine Treiber vorhanden sind und den Treiber-Installationsassistenten starten. Wählen Sie hier als Treiber den "Apple Laserwriter 12/640" aus und stellen Sie die Treiberinstallation fertig.
-//**Hinweis:** Wenn Sie den Drucker auf vielen Clients zu installieren haben empfiehlt sich das Hochladen der Treiber auf den Server per "Windows Add Printer Wizard" Mehr dazu irgendwann unter "Tipps und Tricks".//
-Um ein Fax versenden zu können müssen Sie über das invis Portal den Fax-Client aufrufen und einrichten und dann einfach Ihr Fax auf den Faxgate-Drucker drucken. Der Faxgate-Drucker sucht selbsttätig im Druckdokument nach der Fax-Nummer des Empfängers. Wird diese nicht gefunden, fordert er mit Hilfe des Faxgate-Clients zur Eingabe der Empfängernummer auf.
-Die Einrichtung des Faxgate Clients ist im entsprechenden Handbuch beschrieben, auf welches Sie über die "?" (Helpdesk-Seite) des invis Portals zugreifen können.
-Fragen zum Thema beantworten wir gerne im [[http://forum.invis-server.org|Forum]].
-Einen kostenlosen SFF-Viewer für Windows, den Sie mit dem Faxgate-Client kombinieren können, finden Sie [[http://meine-faxnummer.de/downloads.php|hier]].
-==== VPN-Server ====
-Das invis Setup-Script richtet einen openVPN-Server für den "routed mode" vor. Diese Betriebsart wird meist eingesetzt, wenn es darum geht Außendienstmitarbeitern (in diesem Zusammenhang oft als "Roadwarriers" bezeichnet) flexiblen Zugang zu den Ressourcen des Firmennetzwerkes zu ermöglichen. Demgegenüber eignet sich der häufig erfragte "bridged mode" eher zur statischen Verbindung zweier Netzwerke via VPN.
-Im "routed mode" wird zunächst ein gesicherter VPN-Tunnel zum VPN-Server aufgebaut und dann auf dem Client die "Default Route" auf die Tunnelverbindung gesetzt. Das dahinter liegende Netzwerk ist vom Client aus nicht vollkommen transparent, was aus meiner Sicht die Sicherheit gegenüber dem "bridged mode" etwa bei Verlust eines als VPN-Client eingerichteten Notebooks ein wenig erhöht.
-Um Clients den Zugriff auf den VPN-Server zu ermöglichen muss auf diesen zunächst openVPN installiert werden. openVPN-Versionen für alle möglichen Betriebssysteme finden Sie [[http://openvpn.org/index.php/open-source/downloads.html|hier]].
-Derzeit muss noch eine leere Revocation-List manuell erzeugt werden. Diese dient dazu ggf. einzelne Client-Schlüssel zu deaktivieren.
-<code>Kommandozeile: source ./vars
-Kommandozeile: ./revoke-full dummy</code>
-Dieses Kommando wird mit einer Reihe von Fehlermeldungen aufgrund eines fehlenden "dummy.crt" Zertifikats quittiert. Ignorieren Sie sie einfach, es wird trotzdem im Unterverzeichnis "keys" die Datei namens "crl.pem" erzeugt, ohne die OpenVPN nicht startet.
-Nach der Installation wird auf dem Client eine Konfigurationsdatei für den Tunnel-Aufbau benötigt. Eine entsprechende Vorlage finden Sie unter /cfiles/openvpn im Verzeichnis des invis-Setup-Scripts. Kopieren Sie diese auf dem Client nach:
-**Windows:** c:\Programme\openvpn\conf
-**Linux:** /etc/openvpn
-Auf Windows-Clients müssen die Dateien die Endung ".ovpn" tragen, während unter Linux die Endung auf ".conf" lauten muss.
-Weiterhin benötigen Sie für jeden Client einen Schlüssel, den Sie auf dem Server erzeugen müssen. Wechseln Sie dazu auf dem Server ins Verzeichnis /etc/openvpn/ihredomain.loc und führen Sie folgende Kommandos aus:
-<code>Kommandozeile: source ./vars
-Kommandozeile: ./build-key-pass clientfqdn</code>
-Wobei "clientfqdn" selbstverständlich für den vollständigen Hostnamen des Clients steht. Der so erzeugte Schlüssel ist wie sie bemerkt haben passwortgeschützt. Kopieren Sie die Dateien ca.crt, clientfqdn.key und clientfqdn.crt auf sicherem Weg ebenfalls auf den einzurichtenden Client PC in das oben angegebene Verzeichnis. **Das Passwort darf nur der Nutzer des VPN-Clients kennen, schwören Sie ihn darauf ein, dass er Passwort und Client-PC niemals gemeinsam aufbewaren darf!**
-Alternativ zu drei einzelnen Dateien für Private-Key, Zertifikat und Stammzertifikat, kann auch eine PKCS#12-Datei erstellt werden, die alle Komponenten in einer passwortgeschützten Datei zusammenfasst.
-Die Vorgehensweise ist genauso einfach:
-<code>Kommandozeile: source ./vars
-Kommandozeile: ./build-key-pkcs12 clientfqdn</code>
-Hier ist nur die Datei "clientfqdn.p12" auf sicherem Wege auf den Client.
-Ein sicheres Kopieren kann beispielsweise mittels **//scp//** oder //**WinSCP**// erfolgen. Nich unüblich ist auch das Verteilen aller wichtigen Dateien per passwortgeschütztem USB-Stick, etwa, wenn sich Ihre Clients OpenVPN selbst installieren sollen. Sie haben dann die Möglichkeit, OpenVPN Installer, angepasste Konfigurationsdatei Schlüssel- und Zertifikate sowie einer Installationsanleitung bequem an Ihre Mitarbeiter weiterzugeben. Das zum Private-Key oder der PKCS#12-Datei gehörende Passwort hat allerdings auf einem USB-Stick nichts zu suchen.
-Passen Sie jetzt noch die Client-Konfigurationsdatei an. Hier sind der DynDNS-Name des VPN-Servers, die Namen der Schlüsseldateien und die IP-Adressen am Ende der Datei an Ihre Umgebung anzupassen.
-Je nach dem, ob Sie mit drei Dateien für Schlüssel- und Zertifikate oder mit einer PKCS#12 Datei arbeiten, muss in der Client-Konfiguration entweder:
-<code>
-ca ca.crt
-cert clientfqdn.crt
-key clientfqdn.key
-</code>
-oder
-<code>
-pkcs12 clientfqdn.p12
-</code>
-heissen.
-Richten Sie auf einem Client mehrere VPN-Verbindungen ein, sollten Sie die Zugehörigen Schlüssel- und Zertifikatsdateien in entsprechenden Unterverzeichnissen ablegen.
-<code>
-pkcs12 filiale_ffm\clientfqdn.p12
-</code>
-So verhindern Sie Probleme mit gleichnamigen Schlüsseldateien für unterschiedliche Verbindungen und Sie schaffen sichtbar Ordnung.
-Testen Sie abschließend die Verbindung indem Sie (unter Windows) die OpenVPN-GUI starten. In der Taskleite taucht daraufhin ein kleines Symbol auf. Dieses mit der rechten Maustaste angeklickt erlaubt Ihnen das direkte Starten aller bekannten VPN-Verbindungen. Sie werden daraufhin in einem geöffneten Fenster nach dem Passwort des Schlüssels gefragt. Nach der Eingabe können Sie dem Verbindungsaufbau zuschauen. Dieser sollte mit "suceeded" beendet werden.
-Sie können jetzt etwa mit dem Browser direkt (ohne HTTPS) auf den invis-Server zugreifen oder sich im Explorer über die Adresse "\\invisnetbiosname" (steht selbstverständlich synonym für den tatsächlichen Namen Ihres invis Servers) die Samba-Freigaben des Servers anschauen.
-Trennen können Sie die Verbindung ebenfals durch einen Rechtsklick auf das OpenVPN-Symbol in der Taskleiste.
-Viel Spass damit.
-==== Dokuwiki konfigurieren ====
-  Seit der Version 6.7-R7 wird die Installation automatisch durch das sine Script durchgeführt. Dabei wird die Authentifizierung durch die
-  im LDAP vorhandenen Benutzer vorgenommen. Solange diese nicht angelegt sind können Sie sich nur mit dem Domänen Administrator anmelden.
-Der Rest ist "learning by doing".
-==== z-push konfigurieren ====
-In der z-push Konfigurationsdatei: <file>/srv/www/htdocs/z-push2/config.php</file> ist die korrekte Zeitzone, für uns hier "Europe/Berlin" einzutragen.
-<code>
-...
-define('TIMEZONE', 'Europe/Berlin');
-...
-</code>