Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
tipps_und_tricks [2015/09/26 14:14] flacco [VirtualBox] |
tipps_und_tricks [2018/12/15 13:21] flacco [Zarafa-Pakete herunterladen und entpacken] |
||
|---|---|---|---|
| Zeile 2: | Zeile 2: | ||
| In diesem Bereich des Wikis werden sporadisch Kurzanleitungen, Workarounds usw. zu verschiedenen Themenbereichen auftauchen. | In diesem Bereich des Wikis werden sporadisch Kurzanleitungen, Workarounds usw. zu verschiedenen Themenbereichen auftauchen. | ||
| - | ===== Rettungsumgebung ===== | + | ===== Rettungsumgebung (Chroot) ===== |
| Wie ich selbst leidvoll erkennen musste, taugt die openSUSE Rettungsumgebung nicht dazu eine vollständige "Chroot" Umgebung aufzubauen um an einem nicht mehr startenden System zu arbeiten. Daher hier eine kurze Anleitung zur Realisation einer Chroot-Umgebung für openSUSE. | Wie ich selbst leidvoll erkennen musste, taugt die openSUSE Rettungsumgebung nicht dazu eine vollständige "Chroot" Umgebung aufzubauen um an einem nicht mehr startenden System zu arbeiten. Daher hier eine kurze Anleitung zur Realisation einer Chroot-Umgebung für openSUSE. | ||
| Zeile 37: | Zeile 37: | ||
| Verlassen wird es einfach mit //**exit**// | Verlassen wird es einfach mit //**exit**// | ||
| - | |||
| - | ===== VirtualBox ===== | ||
| - | Da der invis Server auch in Form virtueller Maschinen nutzbar ist und wir auf Messen gelegentlich entsprechende Images verteilen, beginnt die Tipps und Tricks Ecke mit einem Verweis auf VirtualBox - unserem favorisierten Virtualisierungssystem. Da mit einigen Einträgen zum Thema VirtualBox zu rechnen sein wird, widme ich diesem Thema eine eigene Wiki-Seite. | ||
| - | |||
| - | [[:tipps_und_tricks:virtualbox| Tipps und Tricks zu VirtualBox]] | ||
| Zeile 68: | Zeile 63: | ||
| Wenn Sie Ihre Sandbox unter SLES bauen möchten, werden Sie feststellen, dass es für SUSE-Linuxe das Paket **mklibs** nicht gibt. Abhilfe schaft ein gleichnamiges Shellscript: [[https://github.com/blunderer/mklibs]] | Wenn Sie Ihre Sandbox unter SLES bauen möchten, werden Sie feststellen, dass es für SUSE-Linuxe das Paket **mklibs** nicht gibt. Abhilfe schaft ein gleichnamiges Shellscript: [[https://github.com/blunderer/mklibs]] | ||
| - | ==== Zarafa-Pakete herunterladen und entpacken ==== | ||
| - | |||
| - | Benötigt wird die zur installierten VM passende Zarafa Free-Edition, zu finden auf dem Zarafa-Download-Server: http://download.zarafa.com/community | ||
| - | |||
| - | <code> | ||
| - | heinz@ubuntu:~$ wget http://download.zarafa.com/community/final/7.0/7.0.8-35178/zcp-7.0.8-35178-ubuntu-10.04-x86_64-free.tar.gz | ||
| - | .... | ||
| - | heinz@ubuntu:~$ tar -xzvf zcp-7.0.8-35178-ubuntu-10.04-x86_64-free.tar.gz | ||
| - | </code> | ||
| - | |||
| - | ==== Zarafa-Pakete installieren ==== | ||
| - | |||
| - | In diesem Schritt müssen vorbereitend einige Zarafa-Pakete installiert werden. Benötigt werden: | ||
| - | |||
| - | * zarafa-licensed | ||
| - | * zarafa-common | ||
| - | * zarafa-client | ||
| - | * zarafa-server | ||
| - | |||
| - | <code> | ||
| - | heinz@ubuntu:~$ cd zcp-7.0.8-35178-ubuntu-10.04-x86_64/ | ||
| - | heinz@ubuntu:~/zcp-7.0.8-35178-ubuntu-10.04-x86_64$ sudo dpkg -i zarafa-licensed_7.0.8-35178_amd64.deb zarafa-common_7.0.8-35178_amd64.deb zarafa-client_7.0.8-35178_amd64.deb zarafa-server_7.0.8-35178_amd64.deb | ||
| - | </code> | ||
| - | |||
| - | Es ist nicht notwendig vorherige Versionen zu deinstallieren, das erledigt //**dpkg**// automatisch. | ||
| - | |||
| - | ==== Sandbox aufbauen ==== | ||
| - | |||
| - | Vor dem Bau einer neuen Sandbox sollte die Ubuntu (oder was auch immer) Version aktualisiert werden: | ||
| - | |||
| - | <code> | ||
| - | heinz@ubuntu:~$ sudo apt-get update | ||
| - | heinz@ubuntu:~$ sudo apt-get upgrade | ||
| - | </code> | ||
| - | |||
| - | Jetzt muss eine entsprechende Verzeichnisstruktur erzeugt werden. Eingerichtet wird diese (weitgehend FHS-konform) unter "/opt": | ||
| - | |||
| - | <code> | ||
| - | heinz@ubuntu:~$ sudo mkdir -p /opt/zarafa-licensed-7.0.8/lib | ||
| - | heinz@ubuntu:~$ sudo mkdir -p /opt/zarafa-licensed-7.0.8/bin | ||
| - | </code> | ||
| - | |||
| - | Anschließend werden die benötigten Zarafa-Komponenten in diese Verzeichnisse kopiert: | ||
| - | |||
| - | <code> | ||
| - | heinz@ubuntu:~$ sudo cp -p /usr/bin/zarafa-licensed /opt/zarafa-licensed-7.0.8/bin/ | ||
| - | heinz@ubuntu:~$ sudo cp -p /usr/bin/zarafa-report /opt/zarafa-licensed-7.0.8/bin/ | ||
| - | heinz@ubuntu:~$ sudo cp -p /usr/bin/zarafa-ssm /opt/zarafa-licensed-7.0.8/bin/ | ||
| - | heinz@ubuntu:~$ sudo cp -p /usr/lib/libzarafaclient.so /opt/zarafa-licensed-7.0.8/lib | ||
| - | </code> | ||
| - | |||
| - | Abschließend müssen alle von "zarafa-licensed" benötigten System-Libraries in der Sandbox installiert werden: | ||
| - | |||
| - | <code> | ||
| - | heinz@ubuntu:~$ sudo mklibs-copy -d /opt/zarafa-licensed-7.0.8/lib/ /opt/zarafa-licensed-7.0.8/bin/* | ||
| - | </code> | ||
| - | ...oder unter SLES mit oben genanntem Script: | ||
| - | |||
| - | <code> | ||
| - | sles:~ # mklibs -L/usr/lib64 -L/lib64 -o/opt/zarafa-licensed/lib /opt/zarafa-licensed/bin/* | ||
| - | </code> | ||
| - | |||
| - | Ist dies abgeschlossen, kann die Verzeichnisstruktur in ein tar.gz-Archiv gepackt und auf den Zielserver verfrachtet werden. Empfehlenswert ist es natürlich sich für openSUSE ein init-Script zum Start des Dienstes zu erzeugen und auch die Konfigurationsdatei <file>/etc/zarafa/licensed.cfg</file> auf den Zielserver zu kopieren. | ||
| - | |||
| - | Auf dem Zielserver muss noch das Verzeichnis <file>/etc/zarafa/license</file> angelegt werden. Hierin werden erworbene Lizenzschlüssel geschrieben. Ohne Lizenzschlüssel können mit laufendem License-Daemon aber immerhin 3 Outlook-Clients angebunden werden, was somit der Free-Edition entspricht. | ||
| - | |||
| - | //**Hinweis:** Fertige Pakete (zld4invis) für den License-Daemon auf invis-Servern stehen unter **[[http://invis.invis-server.org/index.php?page=invis-7-2]]** zum Download bereit. Sie enthalten bereits alle notwendigen Komponenten inkl. init-Script.// | ||
| - | ===== Linux-Clients und NFS-Fileserver ===== | ||
| - | Die Gruppen-basierte Zusammenarbeit auf einem Linux-Fileserver gestaltet sich schwierig, wenn diese per NFS auf den Fileserver zugreifen. Zwar lassen sich mit gesetztem SGID-Bit auf den Freigabe-Verzeichnissen Gruppen-Besitzrechte auf alle Objekte im Ordner vererben, nicht aber die Zugriffsrechte. Letztere sind von der "umask" abhängig. | ||
| - | |||
| - | Auf openSUSE-Systemen ist die vorgegebene umask "022", was bedeutet, das neu angelegte Dateien und Verzeichnisse für die besitzende Gruppe kein Schreibrecht gewähren: | ||
| - | |||
| - | <code> | ||
| - | Verzeichnis | ||
| - | | u | g | o | | ||
| - | ---------------------- | ||
| - | Default | 7 | 7 | 7 | | ||
| - | umask | 0 | 2 | 2 | | ||
| - | ---------------------- | ||
| - | Ergebnis | 7 | 5 | 5 | = rwx,r-x,r-x | ||
| - | |||
| - | Datei | ||
| - | Default | 6 | 6 | 6 | | ||
| - | umask | 0 | 2 | 2 | | ||
| - | ---------------------- | ||
| - | Ergebnis | 6 | 4 | 4 | = rw-,r--,r-- | ||
| - | </code> | ||
| - | |||
| - | Um pauschal auch für die besitzende Gruppe Schreibrecht zu gewähren muss die umask auf den Wert "002" geändert werden: | ||
| - | |||
| - | <code> | ||
| - | Verzeichnis | ||
| - | | u | g | o | | ||
| - | ---------------------- | ||
| - | Default | 7 | 7 | 7 | | ||
| - | umask | 0 | 0 | 2 | | ||
| - | ---------------------- | ||
| - | Ergebnis | 7 | 7 | 5 | = rwx,rwx,r-x | ||
| - | |||
| - | Datei | ||
| - | Default | 6 | 6 | 6 | | ||
| - | umask | 0 | 0 | 2 | | ||
| - | ---------------------- | ||
| - | Ergebnis | 6 | 6 | 4 | = rw-,rw-,r-- | ||
| - | </code> | ||
| - | |||
| - | Die umask ist prinzipiell Benutzer-bezogen. Sie kann an mehreren Stellen im System geändert werden. Wichtig dabei ist, dass die Änderung auf dem Fileserver-Client wirksam ist. Eine Änderung auf dem Server selbst, etwa in /etc/profile o.ä. bleibt wirkungslos. | ||
| - | |||
| - | Da openSUSE mit dem "pam_umask" Modul arbeitet, kann die umask auch in den Einstellungen der einzelnen Benutzerkonten vorgenommen werden. Eingetragen wird eine persönliche umask in das "Gecos-Feld". Hier ein Auszug aus einer entsprechend angepassten passwd-Datei: | ||
| - | |||
| - | <code> | ||
| - | ... | ||
| - | stefan:x:10000:100:Stefan Schäfer,umask=002:/local/home/stefan:/bin/bash | ||
| - | ... | ||
| - | </code> | ||
| - | |||
| - | Da invis Server eine LDAP-basierte zentrale Benutzerverwaltung anbieten, **muss** die gezeigte Anpassung selbstverständlich im LDAP-Verzeichniseintrag der einzelnen Benutzer vorgenommen werden. | ||
| - | |||
| - | Melden Sie sich dazu über den Link "Verzeichnisdienst" auf der Administrationsseite des Portals am LDAP-Verzeichnis an und ändern Sie das Feld "gecos" betroffenen Benutzereinträge wie folgt ab: | ||
| - | |||
| - | DN: uid=**username**,ou=Users,ou=Benutzerverwaltung,dc=**invis-net**,dc=loc | ||
| - | |||
| - | Von: "System User" zu "System User,umask=002" | ||
| - | |||
| - | Ab invis Version 6.7-R3 entspricht dies der Vorgabe, wenn Benutzer über das invis-Portal angelegt werden. Die Vorgabe kann in der Datei "/srv/www/htdocs/portal/config.php" an die eigenen Wünsche angepasst werden. | ||
| ===== Speicherüberlauf Cyrus Index-DB ===== | ===== Speicherüberlauf Cyrus Index-DB ===== | ||
| Zeile 253: | Zeile 123: | ||
| Danach kann man sich wieder als Benutzer "config" mit dem Passwort "config" anmelden. | Danach kann man sich wieder als Benutzer "config" mit dem Passwort "config" anmelden. | ||
| - | ===== OpenVPN ===== | ||
| - | Damit openVPN genutzt werden kann, wird eine CRL (Certificate Revocation List) benötigt. Auf älteren Installationen wird diese Datei nicht automatisch angelegt (Seit invis Version 9.2) ist dies der Fall), auch findet sich in den easy-RSA Tools kein Script um eine solche CRL zu erzeugen. Sie muss also manuell mittels //**openssl**// erzeugt werden. | ||
| - | |||
| - | Zunächst muss die auf dem System vorhandene OpenSSL-Version ermittelt werden. Für diesen Zweck gibt es ein vorgefertigtes Script: | ||
| - | |||
| - | <code> | ||
| - | invis:/etc/openvpn/invis-server.loc # ./whichopensslcnf | ||
| - | /openssl-1.0.0.cnf | ||
| - | ************************************************************** | ||
| - | No /openssl-1.0.0.cnf file could be found | ||
| - | Further invocations will fail | ||
| - | ************************************************************** | ||
| - | </code> | ||
| - | |||
| - | Auch wenn die ausgegebene Meldung auf einen Fehler hindeutet, so liegt nahe, dass hier openSSL in Version 1.0.0 installiert ist und auf die in der Ausgabe genannte Konfigurationsdatei zurückgegriffen werden muss. Das Erstellen der CRL sieht dann wie folgt aus: | ||
| - | |||
| - | <code> | ||
| - | invis:/etc/openvpn/invis-server.loc # openssl ca -config ./openssl-1.0.0.cnf -gencrl -keyfile ./keys/ca.key -cert ./keys/ca.crt -out ./keys/crl.pem | ||
| - | </code> | ||
| - | |||
| - | Danach ist im Unterverzeichnis "keys" die Datei "crl.pem" zu finden, auf die in der OpenVPN Konfiguration bezug genommen wird. | ||
| ===== Nein Danke Zensursula ===== | ===== Nein Danke Zensursula ===== | ||
| **Achtung, der folgende Text ist nicht ganz neutral. Er enthält persönliche Meinugsäußerungen. Ich bitte dies zu entschuldigen.** | **Achtung, der folgende Text ist nicht ganz neutral. Er enthält persönliche Meinugsäußerungen. Ich bitte dies zu entschuldigen.** | ||
| Zeile 306: | Zeile 155: | ||
| neu. | neu. | ||
| - | ===== Deeplinks verhindern ===== | ||
| - | Wenn der Webserver eines invis Servers auch via HTTPs aus dem Internet erreichbar ist, können die einzelnen Applikationen derzeit noch durch direkte Eingabe der Zieladresse im Browser ohne Umweg über das invis Portal erreicht werden. | ||
| - | |||
| - | Dieses Verhalten ist aus Sicherheitsgründen eher bedenklich und in der Regel nicht erwünscht. Um dies zu verhindern muss die Apache-Konfigurationsdatei /etc/apache2/vhosts.d/i7ssl.conf erweitert werden. | ||
| - | |||
| - | Tragen Sie dort für jede Applikation die nicht direkt angesprochen werden soll folgenden Eintrag ein: | ||
| - | |||
| - | <code> | ||
| - | # Deeplinks verhindern | ||
| - | <Directory /srv/www/htdocs/phpMyAdmin> | ||
| - | SetEnvIfNoCase Referer "^http://invis.invis-net.loc" dontblock | ||
| - | SetEnvIfNoCase Referer "^https://your.dyndns-domain.net" dontblock | ||
| - | Order Deny,Allow | ||
| - | Deny from all | ||
| - | Allow from env=dontblock | ||
| - | </Directory> | ||
| - | </code> | ||
| - | |||
| - | Das Beispiel zeigt den Deeplink-Schutz für das Verzeichnis von phpMyAdmin. Sie müssen lediglich die Domain-Namen an Ihre Gegebenheiten anpassen und den Apache neustarten. Danach sind die geschützten Applikationen nur noch über das invis-Portal erreichbar. | ||
| - | |||
| - | |||
| - | Die gezeigten Einträge sind ab invis Release 6.6-R4 generell für alle Applikationen Standard. | ||
| ===== Faxgate-Client unter Linux nutzen ===== | ===== Faxgate-Client unter Linux nutzen ===== | ||