Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
tipps_und_tricks [2018/12/15 13:17] flacco [OpenVPN] |
tipps_und_tricks [2018/12/15 13:19] flacco [Linux-Clients und NFS-Fileserver] |
||
|---|---|---|---|
| Zeile 130: | Zeile 130: | ||
| //**Hinweis:** Fertige Pakete (zld4invis) für den License-Daemon auf invis-Servern stehen unter **[[http://invis.invis-server.org/index.php?page=invis-7-2]]** zum Download bereit. Sie enthalten bereits alle notwendigen Komponenten inkl. init-Script.// | //**Hinweis:** Fertige Pakete (zld4invis) für den License-Daemon auf invis-Servern stehen unter **[[http://invis.invis-server.org/index.php?page=invis-7-2]]** zum Download bereit. Sie enthalten bereits alle notwendigen Komponenten inkl. init-Script.// | ||
| - | ===== Linux-Clients und NFS-Fileserver ===== | ||
| - | Die Gruppen-basierte Zusammenarbeit auf einem Linux-Fileserver gestaltet sich schwierig, wenn diese per NFS auf den Fileserver zugreifen. Zwar lassen sich mit gesetztem SGID-Bit auf den Freigabe-Verzeichnissen Gruppen-Besitzrechte auf alle Objekte im Ordner vererben, nicht aber die Zugriffsrechte. Letztere sind von der "umask" abhängig. | ||
| - | |||
| - | Auf openSUSE-Systemen ist die vorgegebene umask "022", was bedeutet, das neu angelegte Dateien und Verzeichnisse für die besitzende Gruppe kein Schreibrecht gewähren: | ||
| - | |||
| - | <code> | ||
| - | Verzeichnis | ||
| - | | u | g | o | | ||
| - | ---------------------- | ||
| - | Default | 7 | 7 | 7 | | ||
| - | umask | 0 | 2 | 2 | | ||
| - | ---------------------- | ||
| - | Ergebnis | 7 | 5 | 5 | = rwx,r-x,r-x | ||
| - | |||
| - | Datei | ||
| - | Default | 6 | 6 | 6 | | ||
| - | umask | 0 | 2 | 2 | | ||
| - | ---------------------- | ||
| - | Ergebnis | 6 | 4 | 4 | = rw-,r--,r-- | ||
| - | </code> | ||
| - | |||
| - | Um pauschal auch für die besitzende Gruppe Schreibrecht zu gewähren muss die umask auf den Wert "002" geändert werden: | ||
| - | |||
| - | <code> | ||
| - | Verzeichnis | ||
| - | | u | g | o | | ||
| - | ---------------------- | ||
| - | Default | 7 | 7 | 7 | | ||
| - | umask | 0 | 0 | 2 | | ||
| - | ---------------------- | ||
| - | Ergebnis | 7 | 7 | 5 | = rwx,rwx,r-x | ||
| - | |||
| - | Datei | ||
| - | Default | 6 | 6 | 6 | | ||
| - | umask | 0 | 0 | 2 | | ||
| - | ---------------------- | ||
| - | Ergebnis | 6 | 6 | 4 | = rw-,rw-,r-- | ||
| - | </code> | ||
| - | |||
| - | Die umask ist prinzipiell Benutzer-bezogen. Sie kann an mehreren Stellen im System geändert werden. Wichtig dabei ist, dass die Änderung auf dem Fileserver-Client wirksam ist. Eine Änderung auf dem Server selbst, etwa in /etc/profile o.ä. bleibt wirkungslos. | ||
| - | |||
| - | Da openSUSE mit dem "pam_umask" Modul arbeitet, kann die umask auch in den Einstellungen der einzelnen Benutzerkonten vorgenommen werden. Eingetragen wird eine persönliche umask in das "Gecos-Feld". Hier ein Auszug aus einer entsprechend angepassten passwd-Datei: | ||
| - | |||
| - | <code> | ||
| - | ... | ||
| - | stefan:x:10000:100:Stefan Schäfer,umask=002:/local/home/stefan:/bin/bash | ||
| - | ... | ||
| - | </code> | ||
| - | |||
| - | Da invis Server eine LDAP-basierte zentrale Benutzerverwaltung anbieten, **muss** die gezeigte Anpassung selbstverständlich im LDAP-Verzeichniseintrag der einzelnen Benutzer vorgenommen werden. | ||
| - | |||
| - | Melden Sie sich dazu über den Link "Verzeichnisdienst" auf der Administrationsseite des Portals am LDAP-Verzeichnis an und ändern Sie das Feld "gecos" betroffenen Benutzereinträge wie folgt ab: | ||
| - | |||
| - | DN: uid=**username**,ou=Users,ou=Benutzerverwaltung,dc=**invis-net**,dc=loc | ||
| - | |||
| - | Von: "System User" zu "System User,umask=002" | ||
| - | |||
| - | Ab invis Version 6.7-R3 entspricht dies der Vorgabe, wenn Benutzer über das invis-Portal angelegt werden. Die Vorgabe kann in der Datei "/srv/www/htdocs/portal/config.php" an die eigenen Wünsche angepasst werden. | ||
| ===== Speicherüberlauf Cyrus Index-DB ===== | ===== Speicherüberlauf Cyrus Index-DB ===== | ||
| Zeile 280: | Zeile 222: | ||
| neu. | neu. | ||
| - | ===== Deeplinks verhindern ===== | ||
| - | Wenn der Webserver eines invis Servers auch via HTTPs aus dem Internet erreichbar ist, können die einzelnen Applikationen derzeit noch durch direkte Eingabe der Zieladresse im Browser ohne Umweg über das invis Portal erreicht werden. | ||
| - | |||
| - | Dieses Verhalten ist aus Sicherheitsgründen eher bedenklich und in der Regel nicht erwünscht. Um dies zu verhindern muss die Apache-Konfigurationsdatei /etc/apache2/vhosts.d/i7ssl.conf erweitert werden. | ||
| - | |||
| - | Tragen Sie dort für jede Applikation die nicht direkt angesprochen werden soll folgenden Eintrag ein: | ||
| - | |||
| - | <code> | ||
| - | # Deeplinks verhindern | ||
| - | <Directory /srv/www/htdocs/phpMyAdmin> | ||
| - | SetEnvIfNoCase Referer "^http://invis.invis-net.loc" dontblock | ||
| - | SetEnvIfNoCase Referer "^https://your.dyndns-domain.net" dontblock | ||
| - | Order Deny,Allow | ||
| - | Deny from all | ||
| - | Allow from env=dontblock | ||
| - | </Directory> | ||
| - | </code> | ||
| - | |||
| - | Das Beispiel zeigt den Deeplink-Schutz für das Verzeichnis von phpMyAdmin. Sie müssen lediglich die Domain-Namen an Ihre Gegebenheiten anpassen und den Apache neustarten. Danach sind die geschützten Applikationen nur noch über das invis-Portal erreichbar. | ||
| - | |||
| - | |||
| - | Die gezeigten Einträge sind ab invis Release 6.6-R4 generell für alle Applikationen Standard. | ||
| ===== Faxgate-Client unter Linux nutzen ===== | ===== Faxgate-Client unter Linux nutzen ===== | ||