Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
tipps_und_tricks [2012/06/20 09:05] flacco [Zarafa-Pakete installieren] |
tipps_und_tricks [2018/12/15 13:38] flacco |
||
|---|---|---|---|
| Zeile 2: | Zeile 2: | ||
| In diesem Bereich des Wikis werden sporadisch Kurzanleitungen, Workarounds usw. zu verschiedenen Themenbereichen auftauchen. | In diesem Bereich des Wikis werden sporadisch Kurzanleitungen, Workarounds usw. zu verschiedenen Themenbereichen auftauchen. | ||
| - | ===== VirtualBox ===== | + | ===== Rettungsumgebung (Chroot) ===== |
| - | Da der invis Server auch in Form virtueller Maschinen nutzbar ist und wir auf Messen gelegentlich entsprechende Images verteilen, beginnt die Tipps und Tricks Ecke mit einem Verweis auf VirtualBox - unserem favorisierten Virtualisierungssystem. Da mit einigen Einträgen zum Thema VirtualBox zu rechnen sein wird, widme ich diesem Thema eine eigene Wiki-Seite. | + | |
| - | [[:tipps_und_tricks:virtualbox| Tipps und Tricks zu VirtualBox]] | + | Wie ich selbst leidvoll erkennen musste, taugt die openSUSE Rettungsumgebung nicht dazu eine vollständige "Chroot" Umgebung aufzubauen um an einem nicht mehr startenden System zu arbeiten. Daher hier eine kurze Anleitung zur Realisation einer Chroot-Umgebung für openSUSE. |
| - | ===== Windows 7 ===== | + | Schritt 1 ist statt des Rettungssystems ein openSUSE-Live-System zu starten. |
| - | Windows 7 stellt an invis Administratoren neue Aufgaben. Eine davon ist ein sauberer Domänenbeitritt. | + | Danach können Schritt für Schritt alle Teilverzeichnissysteme zu einer vollständigen Umgebungzusammen gesetzt werden. Im Folgenden wird dies basierend auf unserer Partitionierungsempfehlung mit Software-RAID und LVM vorgenommen: |
| - | + | ||
| - | [[:tipps_und_tricks:win7dom|Domänenbeitritt mit Windows 7]] | + | |
| - | + | ||
| - | ===== Zarafa License-Daemon im Eigenbau ===== | + | |
| - | + | ||
| - | Offiziell wird openSUSE als Basis einer Zarafa-Version nicht unterstützt, was unter anderem dazu führt, dass weder Zarafa-Backup noch der License-Daemon dafür zur Verfügung stehen. Beide Tools enthalten Closed-Source-Komponenten und sind damit nicht Bestandteil der Open-Source-Pakete die wir in unserem Build-Service-Repository vorhalten. | + | |
| - | + | ||
| - | Sie sind aber Bestandteil der Free-Edition und können somit kostenlos genutzt werden, allerdings nur auf unterstützten Plattformen, wie etwa Ubuntu LTS. | + | |
| - | + | ||
| - | Problematisch ist grundsätzlich, dass Zarafa seine eigene Software meist statisch gegen vorhandene System-Libraries linkt. Da sich diese von Distribution zu Distribution in Ihren Versionen unterscheiden, ist es nicht möglich SLES oder RedHat-Pakete einfach unter openSUSE zu nutzen. | + | |
| - | + | ||
| - | Möglich ist aber den License-Daemon in einer Art Sandbox laufen zu lassen, in der er alle Libraries hat, die er benötigt. Die folgende Beschreibung erläutert den Aufbau der Sandbox auf einem Ubuntu-LTS System | + | |
| - | + | ||
| - | ==== VM einrichten ==== | + | |
| - | Zunächst muss dafür ein Ubuntu-LTS System installiert werden, hier empfiehlt sich die Arbeit mit Virtualbox. Entgegen der Angaben im Zarafa-Wiki spielt die Architektur der Sandbox sehr wohl eine Rolle. Da wir unsere invis-Server immer als 64Bit Systeme installieren, nutzen wir entsprechend auch ein 64Bit Ubuntu als Basis. | + | |
| - | + | ||
| - | ==== Zarafa-Pakete herunterladen und entpacken ==== | + | |
| - | + | ||
| - | Benötigt wird die zur installierten VM passende Zarafa Free-Edition, zu finden auf dem Zarafa-Download-Server: http://download.zarafa.com/community | + | |
| <code> | <code> | ||
| - | heinz@ubuntu:~$ wget http://download.zarafa.com/community/final/7.0/7.0.8-35178/zcp-7.0.8-35178-ubuntu-10.04-x86_64-free.tar.gz | + | linux:~ # mount /dev/system/root /mnt |
| - | .... | + | linux:~ # mount /dev/system/var /mnt/var |
| - | heinz@ubuntu:~$ tar -xzvf zcp-7.0.8-35178-ubuntu-10.04-x86_64-free.tar.gz | + | linux:~ # mount /dev/mdXXX /mnt/boot |
| </code> | </code> | ||
| - | ==== Zarafa-Pakete installieren ==== | + | **mdXXX** steht für das Software-RAID Device auf dem das /boot-Verzeichnis liegt. Leider nummeriert die Live-Umgebung SW-RAID Devices anders durch, als das installierte System. Kann also sein, das aus /dev/md0 im realen System /dev/md127 in der Live-Umgebung wird. Einfach ausprobieren. |
| - | In diesem Schritt müssen vorbereitend einige Zarafa-Pakete installiert werden. Benötigt werden: | + | Dann müssen noch die speziellen Verzeichnisse hinzugefügt werden: |
| - | + | ||
| - | * zarafa-licensed | + | |
| - | * zarafa-common | + | |
| - | * zarafa-client | + | |
| - | * zarafa-server | + | |
| <code> | <code> | ||
| - | heinz@ubuntu:~$ cd zcp-7.0.8-35178-ubuntu-10.04-x86_64/ | + | linux:~ # mount -t proc none /mnt/proc |
| - | heinz@ubuntu:~/zcp-7.0.8-35178-ubuntu-10.04-x86_64$ sudo dpkg -i zarafa-licensed_7.0.8-35178_amd64.deb zarafa-common_7.0.8-35178_amd64.deb zarafa-client_7.0.8-35178_amd64.deb zarafa-server_7.0.8-35178_amd64.deb | + | linux:~ # mount -t sysfs non /mnt/sys |
| + | linux:~ # mount -o bind /dev /mnt/dev | ||
| </code> | </code> | ||
| - | Es ist nicht notwendig vorherige Versionen zu deinstallieren, das erledigt //**dpkg**// automatisch. | + | (Genau der Teil funktioniert mit dem einfachen Rettungssystem nicht!) |
| - | + | ||
| - | ==== Sandbox aufbauen ==== | + | |
| - | Vor dem Bau einer neuen Sandbox sollte die Ubuntu (oder was auch immer) Version aktualisiert werden. | + | Damit ist die Chroot-Umgebung fertig und kann betreten werden: |
| <code> | <code> | ||
| - | heinz@ubuntu:~$ sudo apt-get update | + | linux:~ # chroot /mnt |
| - | heinz@ubuntu:~$ sudo apt-get upgrade | + | |
| </code> | </code> | ||
| - | Jetzt muss eine entsprechende Verzeichnisstruktur erzeugt werden. Eingerichtet wird diese (weitgehend FHS-konform) unter "/opt". | + | Jetzt kann im installierten System gearbeitet werden. Sie können hier beispielsweise Grub reparieren oder eine neue inird erzeugen. |
| - | <code> | + | Verlassen wird es einfach mit //**exit**// |
| - | heinz@ubuntu:~$ sudo mkdir -p /opt/zarafa-licensed-7.0.8/lib | + | |
| - | heinz@ubuntu:~$ sudo mkdir -p /opt/zarafa-licensed-7.0.8/bin | + | |
| - | </code> | + | |
| - | Anschließend werden die benötigten Zarafa-Komponenten in diese Verzeichnisse kopiert. | + | ===== Nein Danke Zensursula ===== |
| + | //**Hinweis:** Der folgende Text ist nicht ganz neutral geschrieben. Er enthält persönliche Meinungsäußerungen. Ich bitte dies zu entschuldigen.// | ||
| - | <code> | + | Ab Oktober 2009 soll das Web-Sperren-Gesetz gegen die Verbreitung von Kinderpornographie in Kraft treten. Da dieses Gesetzt, trotz des sicherlich aufrichtigen Ansatzes, am Thema vorbei geht und allenfalls eine Zensurinfrastruktur im Internet etabliert, zeigen wir hier eine Möglichkeit auf, es zu umgehen. Möglicherweise hilft das ja dabei die Wirkungslosigkeit dieses Gesetzes zu verdeutlichen. |
| - | heinz@ubuntu:~$ sudo cp -p /usr/bin/zarafa-licensed /opt/zarafa-licensed-7.0.8/bin/ | + | |
| - | heinz@ubuntu:~$ sudo cp -p /usr/lib/libzarafaclient.so /opt/zarafa-licensed-7.0.8/lib | + | |
| - | </code> | + | |
| + | Wer einen invis-Server im eigenen Netz betreibt und sich (zumindest vorerst) sicher sein möchte, dass seine Nameserverabfragen nicht von "manipulierten" Nameservern beantwortet werden, kann dies durch Ändern der "forwarders" in der bind-Konfiguration umgehen. | ||
| - | ===== Linux-Clients und NFS-Fileserver ===== | + | Ändern Sie einfach in der Datei "/etc/named.conf" die Einträge hinter "forwarders": |
| - | Die Gruppen-basierte Zusammenarbeit auf einem Linux-Fileserver gestaltet sich schwierig, wenn diese per NFS auf den Fileserver zugreifen. Zwar lassen sich mit gesetztem SGID-Bit auf den Freigabe-Verzeichnissen Gruppen-Besitzrechte auf alle Objekte im Ordner vererben, nicht aber die Zugriffsrechte. Letztere sind von der "umask" abhängig. | + | |
| - | Auf openSUSE-Systemen ist die vorgegebene umask "022", was bedeutet, das neu angelegte Dateien und Verzeichnisse für die besitzende Gruppe kein Schreibrecht gewähren: | + | <code> # The forwarders record contains a list of servers to which queries |
| + | # should be forwarded. Enable this line and modify the IP address to | ||
| + | # your provider's name server. Up to three servers may be listed. | ||
| + | # Die folgende Zeile ist um die IP-Adresse des fuer Sie zustaendigen DNS | ||
| + | # zu erweitern. | ||
| - | <code> | + | forwarders { 194.25.2.129; 192.168.178.1; }; |
| - | Verzeichnis | + | |
| - | | u | g | o | | + | |
| - | ---------------------- | + | |
| - | Default | 7 | 7 | 7 | | + | |
| - | umask | 0 | 2 | 2 | | + | |
| - | ---------------------- | + | |
| - | Ergebnis | 7 | 5 | 5 | = rwx,r-x,r-x | + | |
| - | Datei | + | # Enable the next entry to prefer usage of the name server declared in |
| - | Default | 6 | 6 | 6 | | + | # the forwarders section. |
| - | umask | 0 | 2 | 2 | | + | |
| - | ---------------------- | + | |
| - | Ergebnis | 6 | 4 | 4 | = rw-,r--,r-- | + | |
| - | </code> | + | |
| - | Um pauschal auch für die besitzende Gruppe Schreibrecht zu gewähren muss die umask auf den Wert "002" geändert werden: | + | forward first; |
| - | + | ||
| - | <code> | + | |
| - | Verzeichnis | + | |
| - | | u | g | o | | + | |
| - | ---------------------- | + | |
| - | Default | 7 | 7 | 7 | | + | |
| - | umask | 0 | 0 | 2 | | + | |
| - | ---------------------- | + | |
| - | Ergebnis | 7 | 7 | 5 | = rwx,rwx,r-x | + | |
| - | + | ||
| - | Datei | + | |
| - | Default | 6 | 6 | 6 | | + | |
| - | umask | 0 | 0 | 2 | | + | |
| - | ---------------------- | + | |
| - | Ergebnis | 6 | 6 | 4 | = rw-,rw-,r-- | + | |
| </code> | </code> | ||
| - | Die umask ist prinzipiell Benutzer-bezogen. Sie kann an mehreren Stellen im System geändert werden. Wichtig dabei ist, dass die Änderung auf dem Fileserver-Client wirksam ist. Eine Änderung auf dem Server selbst, etwa in /etc/profile o.ä. bleibt wirkungslos. | + | Tragen Sie statt des T-Online Nameservers und etwa dem einer Fritzbox (wie hier gezeigt) frei nutzbare **vertrauenswürdige** DNS-Server als Forwarder ein. Zu empfehlen sind hier die DNS-Server von Cloudflare (1.1.1.1) und Quad9 (9.9.9.9). Alternativ können Sie auch Nameserver aus der unter [[http://www.ungefiltert-surfen.de]] zu findenden Liste verwenden. Starten Sie anschließend **//bind//** mit: |
| - | + | ||
| - | Da openSUSE mit dem "pam_umask" Modul arbeitet, kann die umask auch in den Einstellungen der einzelnen Benutzerkonten vorgenommen werden. Eingetragen wird eine persönliche umask in das "Gecos-Feld". Hier ein Auszug aus einer entsprechend angepassten passwd-Datei: | + | |
| <code> | <code> | ||
| - | ... | + | invis:~ # systemctl restart named.service |
| - | stefan:x:10000:100:Stefan Schäfer,umask=002:/local/home/stefan:/bin/bash | + | |
| - | ... | + | |
| </code> | </code> | ||
| - | Da invis Server eine LDAP-basierte zentrale Benutzerverwaltung anbieten, **muss** die gezeigte Anpassung selbstverständlich im LDAP-Verzeichniseintrag der einzelnen Benutzer vorgenommen werden. | + | neu. |
| - | + | ||
| - | Melden Sie sich dazu über den Link "Verzeichnisdienst" auf der Administrationsseite des Portals am LDAP-Verzeichnis an und ändern Sie das Feld "gecos" betroffenen Benutzereinträge wie folgt ab: | + | |
| - | + | ||
| - | DN: uid=**username**,ou=Users,ou=Benutzerverwaltung,dc=**invis-net**,dc=loc | + | |
| - | + | ||
| - | Von: "System User" zu "System User,umask=002" | + | |
| - | + | ||
| - | Ab invis Version 6.7-R3 entspricht dies der Vorgabe, wenn Benutzer über das invis-Portal angelegt werden. Die Vorgabe kann in der Datei "/srv/www/htdocs/portal/config.php" an die eigenen Wünsche angepasst werden. | + | |
| ===== Speicherüberlauf Cyrus Index-DB ===== | ===== Speicherüberlauf Cyrus Index-DB ===== | ||
| Zeile 193: | Zeile 127: | ||
| Danach kann man sich wieder als Benutzer "config" mit dem Passwort "config" anmelden. | Danach kann man sich wieder als Benutzer "config" mit dem Passwort "config" anmelden. | ||
| - | |||
| - | ===== Nein Danke Zensursula ===== | ||
| - | **Achtung, der folgende Text ist nicht ganz neutral. Er enthält persönliche Meinugsäußerungen. Ich bitte dies zu entschuldigen.** | ||
| - | |||
| - | Ab Oktober 2009 soll das Web-Sperren-Gesetz gegen die Verbreitung von Kinderpornographie in Kraft treten. Da dieses Gesetzt, trotz des sicherlich aufrichtigen Ansatzes, am Thema vorbei geht und allenfalls eine Zensurinfrastruktur im Internet etabliert, zeigen wir hier eine Möglichkeit auf, es zu umgehen. Möglicherweise hilft das ja dabei die Wirkungslosigkeit dieses Gesetzes zu verdeutlichen. | ||
| - | |||
| - | Wer einen invis-Server im eigenen Netz betreibt und sich (zumindest vorerst) sicher sein möchte, dass seine Nameserverabfragen nicht von "manipulierten" Nameservern beantwortet werden, kann dies durch Ändern der "forwarders" in der bind-Konfiguration umgehen. | ||
| - | |||
| - | Ändern Sie einfach in der Datei "/etc/named.conf" die Einträge hinter "forwarders": | ||
| - | |||
| - | <code> # The forwarders record contains a list of servers to which queries | ||
| - | # should be forwarded. Enable this line and modify the IP address to | ||
| - | # your provider's name server. Up to three servers may be listed. | ||
| - | # Die folgende Zeile ist um die IP-Adresse des fuer Sie zustaendigen DNS | ||
| - | # zu erweitern. | ||
| - | |||
| - | forwarders { 194.25.2.129; 192.168.178.1; }; | ||
| - | |||
| - | # Enable the next entry to prefer usage of the name server declared in | ||
| - | # the forwarders section. | ||
| - | |||
| - | forward first; | ||
| - | </code> | ||
| - | |||
| - | Tragen Sie statt des T-Online Nameservers und etwa dem einer Fritzbox (wie hier gezeigt) bis zu drei Nameserver aus der unter [[http://www.ungefiltert-surfen.de]] zu findenden Liste ein und starten Sie **//bind//** mit: | ||
| - | |||
| - | <code> | ||
| - | Kommandozeile: /etc/init.d/named restart | ||
| - | </code> | ||
| - | |||
| - | neu. | ||
| - | |||
| - | ===== Deeplinks verhindern ===== | ||
| - | Wenn der Webserver eines invis Servers auch via HTTPs aus dem Internet erreichbar ist, können die einzelnen Applikationen derzeit noch durch direkte Eingabe der Zieladresse im Browser ohne Umweg über das invis Portal erreicht werden. | ||
| - | |||
| - | Dieses Verhalten ist aus Sicherheitsgründen eher bedenklich und in der Regel nicht erwünscht. Um dies zu verhindern muss die Apache-Konfigurationsdatei /etc/apache2/vhosts.d/i7ssl.conf erweitert werden. | ||
| - | |||
| - | Tragen Sie dort für jede Applikation die nicht direkt angesprochen werden soll folgenden Eintrag ein: | ||
| - | |||
| - | <code> | ||
| - | # Deeplinks verhindern | ||
| - | <Directory /srv/www/htdocs/phpMyAdmin> | ||
| - | SetEnvIfNoCase Referer "^http://invis.invis-net.loc" dontblock | ||
| - | SetEnvIfNoCase Referer "^https://your.dyndns-domain.net" dontblock | ||
| - | Order Deny,Allow | ||
| - | Deny from all | ||
| - | Allow from env=dontblock | ||
| - | </Directory> | ||
| - | </code> | ||
| - | |||
| - | Das Beispiel zeigt den Deeplink-Schutz für das Verzeichnis von phpMyAdmin. Sie müssen lediglich die Domain-Namen an Ihre Gegebenheiten anpassen und den Apache neustarten. Danach sind die geschützten Applikationen nur noch über das invis-Portal erreichbar. | ||
| - | |||
| - | |||
| - | Die gezeigten Einträge sind ab invis Release 6.6-R4 generell für alle Applikationen Standard. | ||
| ===== Faxgate-Client unter Linux nutzen ===== | ===== Faxgate-Client unter Linux nutzen ===== | ||