Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
tipps_und_tricks [2009/08/29 09:36] flacco |
tipps_und_tricks [2010/07/29 12:52] flacco |
||
|---|---|---|---|
| Zeile 6: | Zeile 6: | ||
| [[:tipps_und_tricks:virtualbox| Tipps und Tricks zu VirtualBox]] | [[:tipps_und_tricks:virtualbox| Tipps und Tricks zu VirtualBox]] | ||
| + | |||
| + | ===== Linux-Clients und NFS-Fileserver ===== | ||
| + | Die Gruppen-basierte Zusammenarbeit auf einem Linux-Fileserver gestaltet sich schwierig, wenn diese per NFS auf den Fileserver zugreifen. Zwar lassen sich mit gesetztem SGID-Bit auf den Freigabe-Verzeichnissen Gruppen-Besitzrechte auf alle Objekte im Ordner vererben, nicht aber die Zugriffsrechte. Letztere sind von der "umask" abhängig. | ||
| + | |||
| + | Auf openSUSE-Systemen ist die vorgegebene umask "022", was bedeutet, das neu angelegte Dateien und Verzeichnisse für die besitzende Gruppe kein Schreibrecht gewähren: | ||
| + | |||
| + | <code> | ||
| + | Verzeichnis | ||
| + | | u | g | o | | ||
| + | ---------------------- | ||
| + | Default | 7 | 7 | 7 | | ||
| + | umask | 0 | 2 | 2 | | ||
| + | ---------------------- | ||
| + | Ergebnis | 7 | 5 | 5 | = rwx,r-x,r-x | ||
| + | |||
| + | Datei | ||
| + | Default | 6 | 6 | 6 | | ||
| + | umask | 0 | 2 | 2 | | ||
| + | ---------------------- | ||
| + | Ergebnis | 6 | 4 | 4 | = rw-,r--,r-- | ||
| + | </code> | ||
| + | |||
| + | Um pauschal auch für die besitzende Gruppe Schreibrecht zu gewähren muss die umask auf den Wert "002" geändert werden: | ||
| + | |||
| + | <code> | ||
| + | Verzeichnis | ||
| + | | u | g | o | | ||
| + | ---------------------- | ||
| + | Default | 7 | 7 | 7 | | ||
| + | umask | 0 | 0 | 2 | | ||
| + | ---------------------- | ||
| + | Ergebnis | 7 | 7 | 5 | = rwx,rwx,r-x | ||
| + | |||
| + | Datei | ||
| + | Default | 6 | 6 | 6 | | ||
| + | umask | 0 | 0 | 2 | | ||
| + | ---------------------- | ||
| + | Ergebnis | 6 | 6 | 4 | = rw-,rw-,r-- | ||
| + | </code> | ||
| + | |||
| + | Die umask ist prinzipiell Benutzer-bezogen. Sie kann an mehreren Stellen im System geändert werden. Wichtig dabei ist, dass die Änderung auf dem Fileserver-Client wirksam ist. Eine Änderung auf dem Server selbst, etwa in /etc/profile o.ä. bleibt wirkungslos. | ||
| + | |||
| + | Da openSUSE mit dem "pam_umask" Modul arbeitet, kann die umask auch in den Einstellungen der einzelnen Benutzerkonten vorgenommen werden. Eingetragen wird eine persönliche umask in das "Gecos-Feld". Hier ein Auszug aus einer entsprechend angepassten passwd-Datei: | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | stefan:x:10000:100:Stefan Schäfer,umask=002:/local/home/stefan:/bin/bash | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | Da invis Server eine LDAP-basierte zentrale Benutzerverwaltung anbieten, **muss** die gezeigte Anpassung selbstverständlich im LDAP-Verzeichniseintrag der einzelnen Benutzer vorgenommen werden. | ||
| + | |||
| + | Melden Sie sich dazu über den Link "Verzeichnisdienst" auf der Administrationsseite des Portals am LDAP-Verzeichnis an und ändern Sie das Feld "gecos" betroffenen Benutzereinträge wie folgt ab: | ||
| + | |||
| + | DN: uid=**username**,ou=Users,ou=Benutzerverwaltung,dc=**invis-net**,dc=loc | ||
| + | |||
| + | Von: "System User" zu "System User,umask=002" | ||
| + | |||
| + | Ab invis Version 6.7-R3 entspricht dies der Vorgabe, wenn Benutzer über das invis-Portal angelegt werden. Die Vorgabe kann in der Datei "/srv/www/htdocs/portal/config.php" an die eigenen Wünsche angepasst werden. | ||
| ===== Group-e Samba Dateimanager auch unter openSUSE ===== | ===== Group-e Samba Dateimanager auch unter openSUSE ===== | ||
| Zeile 31: | Zeile 90: | ||
| **Ergänzung:** | **Ergänzung:** | ||
| - | Wenn es nicht funktioniert bitte die /etc/hosts kontrollieren. Wenn da die Zeile: | + | Wenn es nicht funktioniert bitte die /etc/hosts kontrollieren. Wenn dort eine wie im folgenden Beispiel gezeigte Zeile zu finden ist, ist diese entweder zu löschen oder die 127.0.0.2 gegen die tatsächliche IP-Adresse zu tauschen. |
| <code>127.0.0.2 invis65.invis-net.loc invis65</code> | <code>127.0.0.2 invis65.invis-net.loc invis65</code> | ||
| - | drinnen steht entweder löschen oder die 127.0.0.2 gegen die tatsächliche IP-Adresse tauschen. (Bitte nicht mit der 127.0.0.1 verwechseln.). | + | (Bitte nicht mit der 127.0.0.1 verwechseln.). |
| Es sollte ein korrekter Eintrag direkt unter "127.0.0.1 localhost" stehen: | Es sollte ein korrekter Eintrag direkt unter "127.0.0.1 localhost" stehen: | ||
| Zeile 44: | Zeile 103: | ||
| **Erläuterung:** | **Erläuterung:** | ||
| - | Smbmount fragt die /etc/hosts nach der IP des Servers ab und gibt sich mit der ersten zutreffenden Antwort zufrieden. Wenn dies mit 127.0.0.2 beantwortet wird und Samba mit der Option "bind interfaces only" an bestimmte IPs gebunden ist, verweigert es einfach den Mount-Versuch. | + | **//smbmount//** fragt die /etc/hosts nach der IP des Servers ab und gibt sich mit der ersten zutreffenden Antwort zufrieden. Wenn dies mit 127.0.0.2 beantwortet wird und Samba mit der Option "bind interfaces only" an bestimmte IPs gebunden ist, verweigert es einfach den Mount-Versuch. |
| Gibt man in der Freigaben-Konfiguration von Group-e statt des Hostnamens die IP-des Samba-Servers ein, funktioniert es immer. | Gibt man in der Freigaben-Konfiguration von Group-e statt des Hostnamens die IP-des Samba-Servers ein, funktioniert es immer. | ||
| Zeile 80: | Zeile 139: | ||
| ===== Deeplinks verhindern ===== | ===== Deeplinks verhindern ===== | ||
| - | Wenn der Webserver eines invis Servers auch via HTTPs aus dem Internet erreichbar ist, können die einzelnen Applikationen derzeit noch über direkte Eingabe der Zieladresse ohne Umweg über das invis Portal erreicht werden. | + | Wenn der Webserver eines invis Servers auch via HTTPs aus dem Internet erreichbar ist, können die einzelnen Applikationen derzeit noch durch direkte Eingabe der Zieladresse im Browser ohne Umweg über das invis Portal erreicht werden. |
| Dieses Verhalten ist aus Sicherheitsgründen eher bedenklich und in der Regel nicht erwünscht. Um dies zu verhindern muss die Apache-Konfigurationsdatei /etc/apache2/vhosts.d/i7ssl.conf erweitert werden. | Dieses Verhalten ist aus Sicherheitsgründen eher bedenklich und in der Regel nicht erwünscht. Um dies zu verhindern muss die Apache-Konfigurationsdatei /etc/apache2/vhosts.d/i7ssl.conf erweitert werden. | ||
| Zeile 97: | Zeile 156: | ||
| </code> | </code> | ||
| - | Das Beispiel zeigt den Deeplink-Schutz für das Verzeichnis von phpMyAdmin. Sie müssen lediglich die Domain-Namen an Ihre Gegebenheiten anpassen und den Apache neustarten. | + | Das Beispiel zeigt den Deeplink-Schutz für das Verzeichnis von phpMyAdmin. Sie müssen lediglich die Domain-Namen an Ihre Gegebenheiten anpassen und den Apache neustarten. Danach sind die geschützten Applikationen nur noch über das invis-Portal erreichbar. |
| + | |||
| + | ===== Faxgate-Client unter Linux nutzen ===== | ||
| + | |||
| + | Um den Faxgate-Client unter Linux nutzen zu können sind ein paar Kleinigkeiten zu beachen: | ||
| + | |||
| + | - Die Firewall des Linux-Clients muss Port 50000/TCP geöffnet haben. | ||
| + | - Die ".jar" Datei ist mittels der Befehlszeile "java -jar FaxgateClient.jar" zu starten. Das lässt sich ja unter KDE oder Gnome als fertiges Icon auf den Desktop legen. | ||
| + | - In der hosts-Datei von Client und Server sollten trotz funktionierendem DNS in Einträgen mit der IP "127.0.0.2" stattdessen die realen IP-Adressen verwendet werden. | ||
| + | - Da unter Linux nicht unter fremder Benutzerkennung gedruckt werden kann, muss für jeden Fax-Benutzer Serverseitig eine Fax-Konfiguration via YaST erzeugt werden. Wird dort die MSN für eingehende Faxe nicht eingetragen, kann dieser Eintrag nur für den Faxversand genutzt werden. Der Faxempfang kann so weiterhin über die Benutzerkennung "fax" erfolgen. D.h. alle Faxe landen im speziellen Faxpostfach und sind für alle Nutzer lesbar. | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | Die gezeigten Einträge werden ab invis Release 6.6-R4 generell für alle Applikationen Standard sein. | ||