Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
invis_server_wiki:administration [2021/08/17 05:50] flacco [Online Updates] |
invis_server_wiki:administration [2024/07/25 11:40] (aktuell) flacco [invis Server Administration] |
||
|---|---|---|---|
| Zeile 7: | Zeile 7: | ||
| Zur Administration des Servers gehören Störungsbeistand und natürlich wiederkehrende Aufgaben, wie das Einspielen von Updates, das Verwalten von Benutzern und Gruppen oder das Verwalten von Mailkonten. Einige dieser Aufgaben lassen sich bequem über das invis-Portal andere hingegen lediglich auf der Kommandozeile des Servers erledigen. Sowohl das invis-Portal, inklusive weiterer installierter Administrationswerkzeuge als auch die Kommandozeile des sind sowohl aus dem lokalen Netzwerk als auch via Internet erreichbar. Letzteres setzt allerdings einen korrekt konfigurierten Router und funktionierendes DDNS voraus. | Zur Administration des Servers gehören Störungsbeistand und natürlich wiederkehrende Aufgaben, wie das Einspielen von Updates, das Verwalten von Benutzern und Gruppen oder das Verwalten von Mailkonten. Einige dieser Aufgaben lassen sich bequem über das invis-Portal andere hingegen lediglich auf der Kommandozeile des Servers erledigen. Sowohl das invis-Portal, inklusive weiterer installierter Administrationswerkzeuge als auch die Kommandozeile des sind sowohl aus dem lokalen Netzwerk als auch via Internet erreichbar. Letzteres setzt allerdings einen korrekt konfigurierten Router und funktionierendes DDNS voraus. | ||
| - | Hinweise dazu, wie Sie Ihren Router konfigurieren finden Sie **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:installation:post-140#router|hier]]**. | + | Hinweise dazu, wie Sie Ihren Router konfigurieren finden Sie **[[https://wiki.invis-server.org/doku.php?id=invis_server_wiki:installation:post-140|hier]]**. |
| + | |||
| + | //**Hinweis:** Die nachfolgenden Anleitungen werden immer wieder aktualisiert und erweitert, d.h. Sie beziehen sich primär auf die jeweils aktuellen Versionen des | ||
| + | invis-Servers.// | ||
| - | //**Hinweis:** Die nachfolgenden Anleitungen werden immer wieder aktualisiert und erweitert, d.h. Sie beziehen sich primär auf die jeweils aktuellen Versionen des invis-Servers.// | ||
| ===== invis Portal ===== | ===== invis Portal ===== | ||
| Zeile 240: | Zeile 242: | ||
| Damit sind alle erforderlichen Schritte getan. | Damit sind alle erforderlichen Schritte getan. | ||
| + | |||
| ===== Mailkonten verwalten ===== | ===== Mailkonten verwalten ===== | ||
| Zeile 248: | Zeile 251: | ||
| - **Mailkontenverwaltung des invis-Servers:** Hier wird das externe Mailkonto dem lokalen Benutzer zugeordnet. Diese Zuordnung wird nachfolgend beschrieben. | - **Mailkontenverwaltung des invis-Servers:** Hier wird das externe Mailkonto dem lokalen Benutzer zugeordnet. Diese Zuordnung wird nachfolgend beschrieben. | ||
| - | ==== Mailkonten "zuordnen" ==== | + | //**Hinweis:** Ab invis-Server Version 14.3 können Mailkonten auch vollständig administrativ auf der Kommandozeile verwaltet werden. Die Grund-Idee bei der Entwicklung des invis-Servers war eigentlich, dass wir die Kontenverwaltung, so einfach gestalten, dass Anwender sich selbst darum kümmern können. Leider wird dieses Angebot nicht angenommen. Meine persönliche Meinung ist, dass die meisten Anwender, trotz einfacher Gestaltung dazu nicht mehr in der Lage sind, da sie die Hintergründe nicht "mehr" verstehen.// |
| + | |||
| + | //**Achtung:** Auf invis-Servern vor Version 14.0 erfolgte die Anmeldung an CorNAz gegen den auf dem invis-Server installierten IMAP-Dienst. Verfügt der Benutzer nicht über ein lokales Postfach (dies ist abhängig vom Benutzertyp) schlägt die Anmeldung fehl. Das war gewünschtes Verhalten, da es keinen Sinn macht Emails von einem externen Server abzuholen, wenn diese nicht in einem lokalen Konto abgelegt werden können. Aus technischen Gründen ist das auf neueren Systemen nicht mehr so. Passen Sie also auf, dass der lokale Benutzer beispielsweise auch die Berechtigung hat etwa die Groupware Kopano zu verwenden. Ohne diese Berechtigungen könnten eingehende Mails nicht lokal zugestellt werden.// | ||
| + | ==== Mailkontenverwaltung via invis-Portal ==== | ||
| + | |||
| + | === Mailkonten "zuordnen" === | ||
| Noch aus den Anfangstagen des invis-Servers stammt das Programm "CorNAz" zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "local"{{ :invis_server_wiki:invisad-mailkonten1.png?250|}} des Portals hinter der Schaltfläche "Mailkonten". CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden. | Noch aus den Anfangstagen des invis-Servers stammt das Programm "CorNAz" zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "local"{{ :invis_server_wiki:invisad-mailkonten1.png?250|}} des Portals hinter der Schaltfläche "Mailkonten". CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden. | ||
| Zeile 261: | Zeile 269: | ||
| CorNAz verlangt eine gesonderte Anmeldung desjenigen lokalen Benutzers, dessen externe Mailkonten verwaltet werden sollen. Benötigt werden die Zugangsdaten des Benutzers die er auch zur Anmeldung am PC benötigt. {{ :invis_server_wiki:invisad-mailkonten2.png?200|}} | CorNAz verlangt eine gesonderte Anmeldung desjenigen lokalen Benutzers, dessen externe Mailkonten verwaltet werden sollen. Benötigt werden die Zugangsdaten des Benutzers die er auch zur Anmeldung am PC benötigt. {{ :invis_server_wiki:invisad-mailkonten2.png?200|}} | ||
| - | |||
| - | //**Achtung:** Auf invis-Servern vor Version 14.0 erfolgte die Anmeldung an CorNAz gegen den auf dem invis-Server installierten IMAP-Dienst. Verfügt der Benutzer nicht über ein lokales Postfach (dies ist abhängig vom Benutzertyp) schlägt die Anmeldung fehl. Das war gewünschtes Verhalten, da es keinen Sinn macht Emails von einem externen Server abzuholen, wenn diese nicht in einem lokalen Konto abgelegt werden können. Aus technischen Gründen ist das auf neueren Systemen nicht mehr so. Passen Sie also auf, dass der lokale Benutzer beispielsweise auch die Berechtigung hat etwa die Groupware Kopano zu verwenden. Ohne diese Berechtigungen könnten eingehende Mails nicht lokal zugestellt werden.// | ||
| Nach der Anmeldung stehen die verschiedenen Funktionen über entsprechende Schaltflächen zur Verfügung.{{ :invis_server_wiki:invisad-mailkonten3.png |}} | Nach der Anmeldung stehen die verschiedenen Funktionen über entsprechende Schaltflächen zur Verfügung.{{ :invis_server_wiki:invisad-mailkonten3.png |}} | ||
| - | ==== Mailkonto anlegen ==== | + | === Mailkonto anlegen === |
| Klicken Sie auf die Schaltfläche "Konto hinzufügen". Das Anlegen erfolgt in zwei Schritten. Im ersten Schritt können (müssen aber nicht) Sie einen Mailprovider aus einer Liste bekannter Provider auswählen und wenn gewünscht IMAP als Protokoll für den Mailabruf bevorzugen. Beides ist nicht notwendig, es kann im nächsten Schritt alles manuell angepasst werden.{{ :invis_server_wiki:invisad-mailkonten4.png |}} | Klicken Sie auf die Schaltfläche "Konto hinzufügen". Das Anlegen erfolgt in zwei Schritten. Im ersten Schritt können (müssen aber nicht) Sie einen Mailprovider aus einer Liste bekannter Provider auswählen und wenn gewünscht IMAP als Protokoll für den Mailabruf bevorzugen. Beides ist nicht notwendig, es kann im nächsten Schritt alles manuell angepasst werden.{{ :invis_server_wiki:invisad-mailkonten4.png |}} | ||
| Zeile 280: | Zeile 286: | ||
| Abschließend müssen Sie zumindest beim Erstanlegen eines externen Kontos den Benutzer als "Anwesend" führen. Dazu einfach auf die Schaltfläche Anwesend klicken.{{ :invis_server_wiki:invisad-mailkonten7.png |}} | Abschließend müssen Sie zumindest beim Erstanlegen eines externen Kontos den Benutzer als "Anwesend" führen. Dazu einfach auf die Schaltfläche Anwesend klicken.{{ :invis_server_wiki:invisad-mailkonten7.png |}} | ||
| - | ==== Mailkonto löschen ==== | + | === Mailkonto löschen === |
| Zum Löschen eines externen Kontos müssen Sie einfach auf die Schaltfläche "Konto löschen" klicken und dann aus der Liste der Konten des Benutzers das zu löschende Auswählen. Klicken Sie zum Löschen einfach auf die Schaltfläche "Löschen" links neben dem zu entfernenden Konto.{{ :invis_server_wiki:invisad-mailkonten8.png |}} | Zum Löschen eines externen Kontos müssen Sie einfach auf die Schaltfläche "Konto löschen" klicken und dann aus der Liste der Konten des Benutzers das zu löschende Auswählen. Klicken Sie zum Löschen einfach auf die Schaltfläche "Löschen" links neben dem zu entfernenden Konto.{{ :invis_server_wiki:invisad-mailkonten8.png |}} | ||
| Zeile 286: | Zeile 292: | ||
| Der im Screenshot gezeigte Warntext ist ernst gemeint. Es erfolgt beim Löschen keine Sicherheitsabfrage, es wird unmittelbar gelöscht. | Der im Screenshot gezeigte Warntext ist ernst gemeint. Es erfolgt beim Löschen keine Sicherheitsabfrage, es wird unmittelbar gelöscht. | ||
| - | ==== weitere Funktionen ==== | + | === weitere Funktionen === |
| Grundsätzlich sind alle weiteren Funktionen von CorNAz in Ihrer Anwendung weitgehend selbsterklärend. | Grundsätzlich sind alle weiteren Funktionen von CorNAz in Ihrer Anwendung weitgehend selbsterklärend. | ||
| Zeile 302: | Zeile 308: | ||
| Diese Funktion generiert nach Wunsch Abwesenheitsbenachrichtigungen. Sie wurde von uns in letzter Zeit allerdings etwas stiefmütterlich behandelt, da Kopano, andere Groupwaresysteme und auch Roundcubemail eine solche Funktion selbst anbieten. | Diese Funktion generiert nach Wunsch Abwesenheitsbenachrichtigungen. Sie wurde von uns in letzter Zeit allerdings etwas stiefmütterlich behandelt, da Kopano, andere Groupwaresysteme und auch Roundcubemail eine solche Funktion selbst anbieten. | ||
| + | ==== Administrative Mailkontenverwaltung auf der Kommandozeile ==== | ||
| + | Insgesamt zählen (bisher / V. 14.3) 3 einzelne Scripts zur Mailkontenverwaltung: | ||
| - | ===== Geräte und Computer ins Netzwerk integrieren ===== | + | * //**addmailaccount**// - Dient dem zuordnen externer Mailkonten zu einem lokalen Benutzerkonto. Es hinterlegt die Zugangsdaten dieses Mailkontos im ActiveDirectory. |
| + | * //**changemacstate**// - Damit läßt sich der Status eines Benutzers zwischen an- und abwesend ändern. D.h. Emails werden beim Provider abgerufen, oder eben nicht. Das hat nichts mit eine Abwesenheitsbenachrichtigung zu tun. Neue Mails verbleiben einfach beim Provider. | ||
| + | * //**refreshfrc**// - Wurden beispielsweise via phpLDAPAdmin Änderungen an den Zugangsdaten eines Email-Postfachs vorgenommen, müssen diese Daten in die aktive fetchmailrc-Datei übernommen werden um wirksam zu sein. Das Script generiert die fetchmailrc-Datei einfach neu auf Basis der bestehenden. D.h. ist ein Benutzer als "abwesend" geführt ändert das Script daran nichts. | ||
| + | |||
| + | ===== Physische Geräte und Computer ins Netzwerk integrieren ===== | ||
| Bei der Integration eines neuen Gerätes, wie beispielsweise einen PC oder einen Netzwerkdrucker, in Ihr Netzwerk sorgen Sie dafür, dass dieses Gerät immer unter der gleichen IP-Adresse mit dem Netzwerk verbunden ist und es über einen von Ihnen festzulegenden Namen ansprechbar ist. Dahinter stehen die Dienste DNS (Namensauflösung) und DHCP (IP-Adressvergabe). | Bei der Integration eines neuen Gerätes, wie beispielsweise einen PC oder einen Netzwerkdrucker, in Ihr Netzwerk sorgen Sie dafür, dass dieses Gerät immer unter der gleichen IP-Adresse mit dem Netzwerk verbunden ist und es über einen von Ihnen festzulegenden Namen ansprechbar ist. Dahinter stehen die Dienste DNS (Namensauflösung) und DHCP (IP-Adressvergabe). | ||
| Zeile 366: | Zeile 378: | ||
| Handelt es sich bei Ihrem Gerät um Netzwerkhardware (Acce-Point, Switch usw.) oder einen Netzwerkdrucker, verfügt dieses/dieser garantiert über eine Webapplikation zur Konfiguration. Geben Sie einfach die IP-Adresse oder den vollen Namen des Gerätes mit vorangestelltem **''http''** in einem Browser ein. Wenn Sie auf dem Gerät landen, hat alles funktioniert. | Handelt es sich bei Ihrem Gerät um Netzwerkhardware (Acce-Point, Switch usw.) oder einen Netzwerkdrucker, verfügt dieses/dieser garantiert über eine Webapplikation zur Konfiguration. Geben Sie einfach die IP-Adresse oder den vollen Namen des Gerätes mit vorangestelltem **''http''** in einem Browser ein. Wenn Sie auf dem Gerät landen, hat alles funktioniert. | ||
| + | ===== Virtuelle Maschinen ins Netz integrieren ===== | ||
| + | |||
| + | Ab invis-Server 15.0 werden virtuelle Maschinen nicht mehr per Netzwerkbrücke mit dem internen (lokalen) Netz des invis-Servers verbunden. Diese Art der Anbindung bremst sowohl die VMs selbst, als auch den Zugriff darauf. Virtuelle Maschinen werden in ein eigenes Subnetz integriert und dies geschieht nicht über das invis-Portal sondern über neue Scripts. Die nachfolgende Abbildung verdeutlicht die neue Umgebung. | ||
| + | |||
| + | {{ :invis_server_wiki:invis-server-virtualbox-host-only-netze.png?800 |VMs im Netz}} | ||
| + | | ||
| + | Durch die Integration der VMs in ein eigenes Subnetz, welches aus Sicht von Virtualbox als "Host-only-Subnetz" sichtbar ist, teilen sich nicht mehr der invis-Server selbst und alle VMs die physische interne Netzwerkschnittstelle, wie es mit Netzwerkbrücken der Fall ist. Dadurch werden "Hänger" beim Zugriff auf die VMs vermieden und sie reagieren deutlich schneller auf Anfragen. | ||
| + | |||
| + | Die Subnetze werden dennoch vom lokalen DHCP-Dienst des invis-Servers mit IP-Adressen und Netzwerkinformationen versorgt. Sie sind der selben Firewall-Zone zugehörig wie das interne Netz und sind von dort aus ungehindert erreichbar. | ||
| + | |||
| + | Zunächst muss dafür ein Subnetz eingerichtet werden. Dieses muss zum einen Virtualbox als Host-only-Subnetz bekannt gemacht werden. Dem lokalen DHCP-Dienst und der internen Zone der Firewall muss die dafür am invis-Server endende virtuelle Netzwerkschnittstelle des Subnetzes zugeordnet werden. Das alles wird mit dem Toolbox-Script //**addvbsubnet**// in einem Schritt erledigt (Anwendung, siehe Toolbox hier im Wiki). | ||
| + | |||
| + | Danach können VMs aus diesem Netz mit dem Script //**addvm2subnet**// mit einer festen DHCP-Lease und DNS-Einträgen versorgt werden (Anwendung, siehe Toolbox hier im Wiki). | ||
| + | |||
| + | //**Hinweis:** Bei vorhandenen per Netzwerkbrücke verbundenen VMs, müssen die bestehenden DHCP- und DNS Einträge zunächst per invis-Portal gelöscht werden, bevor sie dem neuen Subnetz zugeordnet werden können.// | ||
| ===== Dienste ===== | ===== Dienste ===== | ||
| Zeile 403: | Zeile 430: | ||
| * **Maschinenkonten erweitern** - Gedacht um Maschinen-Konten mit UNIX-Attributen zu erweitern. Notwendig ist das um beispielsweise Maschinen-Konten Zugriff auf Fileserver-Freigaben zu gewähren, etwa wenn Software via GPOs ausgerollt wird. | * **Maschinenkonten erweitern** - Gedacht um Maschinen-Konten mit UNIX-Attributen zu erweitern. Notwendig ist das um beispielsweise Maschinen-Konten Zugriff auf Fileserver-Freigaben zu gewähren, etwa wenn Software via GPOs ausgerollt wird. | ||
| - | * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse, die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird. | + | * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse, die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird. **Achten** Sie bei Nutzung dieser Funktion unbedingt darauf, dass Sie über eine aktuelle Datensicherung verfügen. Das zugrunde liegende Script "könnte" über merkwürdige Datei- und Verzeichnisnamen stolpern. Mit "merkwürdig" ist die Verwendung von Sonderzeichen in Dateinamen gemeint. Wir haben versucht das Script so gut es geht, dagegen zu immunisieren, 100 prozentige Sicherheit gibt es aber nicht. Die unangenehme Folge wären zerstörte Dateien. |
| * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus. | * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus. | ||
| - | * **Benutzerdaten bereinigen** - (Ab Version 14.2) Wird ein Benutzerkonto gelöscht, verbleiben dessen Kopano- und ownCloud-Daten im jeweiligen System. Sie können über diese Funktion unter Angabe des Benutzernamens **endgültig** gelöscht werden. | + | * **Benutzerdaten bereinigen** - (Ab Version 14.3) Wird ein Benutzerkonto gelöscht, verbleiben dessen Kopano- und ownCloud-Daten im jeweiligen System. Sie können über diese Funktion unter Angabe des Benutzernamens **endgültig** gelöscht werden. |
| + | * **Steuerdatei Mailabruf auffrischen** - (Ab Version 14.3) Wurde beispielsweise per "phpLDAPAdmin" manuell eine Veränderung an irgendwelchen Zugangsdaten für den Abruf von Mails aus externen Postfächern geändert, kann hierüber die "fetchmailrc" Datei neu geschrieben werden. | ||
| Die Integration weiterer Scripts ist in Planung. | Die Integration weiterer Scripts ist in Planung. | ||
| Zeile 974: | Zeile 1002: | ||
| Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**// | Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**// | ||
| + | ==== Volumes vergrößern ==== | ||
| + | |||
| + | Wird an irgendeiner Stelle des Servers der Plattenplatz knapp, kann dieser -- die Nutzung von LVM vorausgesetzt -- zur Laufzeit des Servers erweitert werden. | ||
| + | |||
| + | Schauen Sie immer zunächst nach, wie viel ungenutzer Platz zur Verfügung steht: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # pvscan | ||
| + | PV /dev/md0 VG system lvm2 [21,83 TiB / 10,49 TiB free] | ||
| + | Total: 1 [21,83 TiB] / in use: 1 [21,83 TiB] / in no VG: 0 [0 ] | ||
| + | </code> | ||
| + | |||
| + | Im gezeigten Beispiel sind es knapp 10,5TB. Dieser Platz kann nach Bedarf portionsweise auf die verschiedenen Volumes "root", "home", "var" und "srv" verteilt werden. | ||
| + | |||
| + | Das vergrößern eines Volumes geht wie folgt: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # lvresize -L +1TB /dev/system/srv | ||
| + | </code> | ||
| + | |||
| + | Damit wird lediglich das Volume selbst vergrößert, nicht aber das Dateisystem. Dies zu vergrößern ist ein eigener Arbeitsschritt. Dieser ist vom verwendeten Dateisystem ab: | ||
| + | |||
| + | **ext4, xfs** | ||
| + | |||
| + | <code> | ||
| + | invis:~ # reseize2fs /dev/system/srv | ||
| + | </code> | ||
| + | |||
| + | **btrfs** | ||
| + | |||
| + | Hier wird nicht das Dateisystem angegeben, sondern der Mount-Point. Da wir üblicherweise nur das Root-Dateisystem mit btrfs formatieren, hier der zugehörige Befehl zum Vergrößern: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # btrfs filesystem resize max / | ||
| + | </code> | ||
| + | |||
| + | In beiden Fällen, wird automatisch der gesamte zur Verfügung stehende Platz genutzt. | ||
| ===== System allgemein ===== | ===== System allgemein ===== | ||