Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
invis_server_wiki:administration [2023/07/24 08:52] flacco [DNS Forwarder anpassen] |
invis_server_wiki:administration [2024/10/15 05:30] (aktuell) flacco [Administrative Mailkontenverwaltung auf der Kommandozeile] |
||
|---|---|---|---|
| Zeile 7: | Zeile 7: | ||
| Zur Administration des Servers gehören Störungsbeistand und natürlich wiederkehrende Aufgaben, wie das Einspielen von Updates, das Verwalten von Benutzern und Gruppen oder das Verwalten von Mailkonten. Einige dieser Aufgaben lassen sich bequem über das invis-Portal andere hingegen lediglich auf der Kommandozeile des Servers erledigen. Sowohl das invis-Portal, inklusive weiterer installierter Administrationswerkzeuge als auch die Kommandozeile des sind sowohl aus dem lokalen Netzwerk als auch via Internet erreichbar. Letzteres setzt allerdings einen korrekt konfigurierten Router und funktionierendes DDNS voraus. | Zur Administration des Servers gehören Störungsbeistand und natürlich wiederkehrende Aufgaben, wie das Einspielen von Updates, das Verwalten von Benutzern und Gruppen oder das Verwalten von Mailkonten. Einige dieser Aufgaben lassen sich bequem über das invis-Portal andere hingegen lediglich auf der Kommandozeile des Servers erledigen. Sowohl das invis-Portal, inklusive weiterer installierter Administrationswerkzeuge als auch die Kommandozeile des sind sowohl aus dem lokalen Netzwerk als auch via Internet erreichbar. Letzteres setzt allerdings einen korrekt konfigurierten Router und funktionierendes DDNS voraus. | ||
| - | Hinweise dazu, wie Sie Ihren Router konfigurieren finden Sie **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:installation:post-140#router|hier]]**. | + | Hinweise dazu, wie Sie Ihren Router konfigurieren finden Sie **[[https://wiki.invis-server.org/doku.php?id=invis_server_wiki:installation:post-140|hier]]**. |
| //**Hinweis:** Die nachfolgenden Anleitungen werden immer wieder aktualisiert und erweitert, d.h. Sie beziehen sich primär auf die jeweils aktuellen Versionen des | //**Hinweis:** Die nachfolgenden Anleitungen werden immer wieder aktualisiert und erweitert, d.h. Sie beziehen sich primär auf die jeweils aktuellen Versionen des | ||
| Zeile 163: | Zeile 163: | ||
| * **Mail-Verteiler:** Dient nicht der Rechtevergabe, sondern kann mit Email-Adressen gefüllt werden um später als Email-Verteilerliste zu dienen. | * **Mail-Verteiler:** Dient nicht der Rechtevergabe, sondern kann mit Email-Adressen gefüllt werden um später als Email-Verteilerliste zu dienen. | ||
| - | Neben dem Gruppentyp, können Sie ab invis-Server Version 14.0 entscheiden, ob der Gruppe eine Arbeitsverzeichnis zur Verfügung gestellt wird oder nicht. Wenn Sie ein Gruppenverzeichnis wünschen, können Sie überdies entscheiden ob ein leeres Verzeichnis oder ein Verzeichnis auf Basis einer Verzeichnisvorlage, also inklusive Unterverzeichnissen erstellt wird. | ||
| - | |||
| - | {{ :invis_server_wiki:neue_gruppe.png?400 |}} | ||
| - | Die Verzeichnisvorlagen werden in der Netzwerkfreigabe "media" im Unterverzeichnis <file>\portal\verzeichnisvorlagen</file> gepflegt. Mitglieder der Gruppe "diradmins" dürfen dort Verzeichnisstrukturen anlegen. Das invis-Portal schaut dort selbsttätig nach und zeigt diese dann zur Auswahl an. | ||
| - | |||
| - | Es empfiehlt sich die Verzeichnisvorlagen nach dem Schema "01_Vorlagenname" durchnummeriert zu benennen. Das invis-Portal zeigt die Vorlagen genau in der nummerierten Reihenfolge an. | ||
| ==== Benutzer ==== | ==== Benutzer ==== | ||
| Zeile 190: | Zeile 184: | ||
| - **Passwort:** Es gelten hier die Passwortregeln des ActiveDirectory. Diese können mit Hilfe des Tools //**pwsettings**// auf der Kommandozeile des invis-Servers definiert werden. Werden Veränderungen hinsichtlich der Passwortregeln vorgenommen müssen diese in der Konfigurationsdatei des invis-Portals ([[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#passwortsicherheit|siehe oben]]) übernommen werden. | - **Passwort:** Es gelten hier die Passwortregeln des ActiveDirectory. Diese können mit Hilfe des Tools //**pwsettings**// auf der Kommandozeile des invis-Servers definiert werden. Werden Veränderungen hinsichtlich der Passwortregeln vorgenommen müssen diese in der Konfigurationsdatei des invis-Portals ([[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#passwortsicherheit|siehe oben]]) übernommen werden. | ||
| + | ==== Verzeichnisvorlagen ==== | ||
| + | |||
| + | Neben dem Gruppentyp, können Sie ab invis-Server Version 14.0 entscheiden, ob der Gruppe eine Arbeitsverzeichnis zur Verfügung gestellt wird oder nicht. Wenn Sie ein Gruppenverzeichnis wünschen, können Sie überdies entscheiden ob ein leeres Verzeichnis oder ein Verzeichnis auf Basis einer Verzeichnisvorlage, also inklusive Unterverzeichnissen erstellt wird. | ||
| + | |||
| + | {{ :invis_server_wiki:neue_gruppe.png?400 |}} | ||
| + | |||
| + | Die Verzeichnisvorlagen werden in der Netzwerkfreigabe "media" im Unterverzeichnis <file>\portal\verzeichnisvorlagen</file> gepflegt. Mitglieder der Gruppe "diradmins" dürfen dort Verzeichnisstrukturen anlegen. Das invis-Portal schaut dort selbsttätig nach und zeigt diese dann zur Auswahl an. | ||
| + | |||
| + | Es empfiehlt sich die Verzeichnisvorlagen nach dem Schema "01_Vorlagenname" durchnummeriert zu benennen. Das invis-Portal zeigt die Vorlagen genau in der nummerierten Reihenfolge an. | ||
| ==== Exit Strategie ==== | ==== Exit Strategie ==== | ||
| Zeile 316: | Zeile 319: | ||
| * //**refreshfrc**// - Wurden beispielsweise via phpLDAPAdmin Änderungen an den Zugangsdaten eines Email-Postfachs vorgenommen, müssen diese Daten in die aktive fetchmailrc-Datei übernommen werden um wirksam zu sein. Das Script generiert die fetchmailrc-Datei einfach neu auf Basis der bestehenden. D.h. ist ein Benutzer als "abwesend" geführt ändert das Script daran nichts. | * //**refreshfrc**// - Wurden beispielsweise via phpLDAPAdmin Änderungen an den Zugangsdaten eines Email-Postfachs vorgenommen, müssen diese Daten in die aktive fetchmailrc-Datei übernommen werden um wirksam zu sein. Das Script generiert die fetchmailrc-Datei einfach neu auf Basis der bestehenden. D.h. ist ein Benutzer als "abwesend" geführt ändert das Script daran nichts. | ||
| - | ===== Geräte und Computer ins Netzwerk integrieren ===== | + | Die Scripts sind dazu gedacht, es dem Administrator einfach zu machen Mailkonten der Anwender zu verwalten. Via Portal benötigt er das Passwort des jeweiligen Benutzers, nicht schön. Kümmern sich die Benutzer (was leider quasi immer der Fall ist) nicht um ihre eigenen Mailkonten ist es für den Admin via Portal umständlich Mailkonten zu verwalten. Mit den Scripts ändert sich das. Das Anlegen eines neuen Mailkontos inkl. der Zuordnung zum lokalen Benutzer wird wie folgt eingeleitet: |
| + | |||
| + | <code> | ||
| + | invis:~ # addmailaccount username | ||
| + | </code> | ||
| + | |||
| + | Es öffnet sich ein "Dialog-Formular", in dem alle Daten eingetragen werden können. Das Script schreibt diese Informationen dann ins ActiveDirectory. | ||
| + | |||
| + | Um dann den Mailabruf einzuschalten genügt folgendes Kommando: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # changemacstate username a | ||
| + | </code> | ||
| + | |||
| + | Der Buchstabe "d" anstelle von "a" würde den Mailabruf wieder deaktivieren. | ||
| + | ===== Physische Geräte und Computer ins Netzwerk integrieren ===== | ||
| Bei der Integration eines neuen Gerätes, wie beispielsweise einen PC oder einen Netzwerkdrucker, in Ihr Netzwerk sorgen Sie dafür, dass dieses Gerät immer unter der gleichen IP-Adresse mit dem Netzwerk verbunden ist und es über einen von Ihnen festzulegenden Namen ansprechbar ist. Dahinter stehen die Dienste DNS (Namensauflösung) und DHCP (IP-Adressvergabe). | Bei der Integration eines neuen Gerätes, wie beispielsweise einen PC oder einen Netzwerkdrucker, in Ihr Netzwerk sorgen Sie dafür, dass dieses Gerät immer unter der gleichen IP-Adresse mit dem Netzwerk verbunden ist und es über einen von Ihnen festzulegenden Namen ansprechbar ist. Dahinter stehen die Dienste DNS (Namensauflösung) und DHCP (IP-Adressvergabe). | ||
| Zeile 378: | Zeile 396: | ||
| Handelt es sich bei Ihrem Gerät um Netzwerkhardware (Acce-Point, Switch usw.) oder einen Netzwerkdrucker, verfügt dieses/dieser garantiert über eine Webapplikation zur Konfiguration. Geben Sie einfach die IP-Adresse oder den vollen Namen des Gerätes mit vorangestelltem **''http''** in einem Browser ein. Wenn Sie auf dem Gerät landen, hat alles funktioniert. | Handelt es sich bei Ihrem Gerät um Netzwerkhardware (Acce-Point, Switch usw.) oder einen Netzwerkdrucker, verfügt dieses/dieser garantiert über eine Webapplikation zur Konfiguration. Geben Sie einfach die IP-Adresse oder den vollen Namen des Gerätes mit vorangestelltem **''http''** in einem Browser ein. Wenn Sie auf dem Gerät landen, hat alles funktioniert. | ||
| + | ===== Virtuelle Maschinen ins Netz integrieren ===== | ||
| + | |||
| + | Ab invis-Server 15.0 werden virtuelle Maschinen nicht mehr per Netzwerkbrücke mit dem internen (lokalen) Netz des invis-Servers verbunden. Diese Art der Anbindung bremst sowohl die VMs selbst, als auch den Zugriff darauf. Virtuelle Maschinen werden in ein eigenes Subnetz integriert und dies geschieht nicht über das invis-Portal sondern über neue Scripts. Die nachfolgende Abbildung verdeutlicht die neue Umgebung. | ||
| + | |||
| + | {{ :invis_server_wiki:invis-server-virtualbox-host-only-netze.png?800 |VMs im Netz}} | ||
| + | | ||
| + | Durch die Integration der VMs in ein eigenes Subnetz, welches aus Sicht von Virtualbox als "Host-only-Subnetz" sichtbar ist, teilen sich nicht mehr der invis-Server selbst und alle VMs die physische interne Netzwerkschnittstelle, wie es mit Netzwerkbrücken der Fall ist. Dadurch werden "Hänger" beim Zugriff auf die VMs vermieden und sie reagieren deutlich schneller auf Anfragen. | ||
| + | |||
| + | Die Subnetze werden dennoch vom lokalen DHCP-Dienst des invis-Servers mit IP-Adressen und Netzwerkinformationen versorgt. Sie sind der selben Firewall-Zone zugehörig wie das interne Netz und sind von dort aus ungehindert erreichbar. | ||
| + | |||
| + | Zunächst muss dafür ein Subnetz eingerichtet werden. Dieses muss zum einen Virtualbox als Host-only-Subnetz bekannt gemacht werden. Dem lokalen DHCP-Dienst und der internen Zone der Firewall muss die dafür am invis-Server endende virtuelle Netzwerkschnittstelle des Subnetzes zugeordnet werden. Das alles wird mit dem Toolbox-Script //**addvbsubnet**// in einem Schritt erledigt (Anwendung, siehe Toolbox hier im Wiki). | ||
| + | |||
| + | Danach können VMs aus diesem Netz mit dem Script //**addvm2subnet**// mit einer festen DHCP-Lease und DNS-Einträgen versorgt werden (Anwendung, siehe Toolbox hier im Wiki). | ||
| + | |||
| + | //**Hinweis:** Bei vorhandenen per Netzwerkbrücke verbundenen VMs, müssen die bestehenden DHCP- und DNS Einträge zunächst per invis-Portal gelöscht werden, bevor sie dem neuen Subnetz zugeordnet werden können.// | ||
| ===== Dienste ===== | ===== Dienste ===== | ||
| Zeile 415: | Zeile 448: | ||
| * **Maschinenkonten erweitern** - Gedacht um Maschinen-Konten mit UNIX-Attributen zu erweitern. Notwendig ist das um beispielsweise Maschinen-Konten Zugriff auf Fileserver-Freigaben zu gewähren, etwa wenn Software via GPOs ausgerollt wird. | * **Maschinenkonten erweitern** - Gedacht um Maschinen-Konten mit UNIX-Attributen zu erweitern. Notwendig ist das um beispielsweise Maschinen-Konten Zugriff auf Fileserver-Freigaben zu gewähren, etwa wenn Software via GPOs ausgerollt wird. | ||
| - | * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse, die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird. | + | * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse, die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird. **Achten** Sie bei Nutzung dieser Funktion unbedingt darauf, dass Sie über eine aktuelle Datensicherung verfügen. Das zugrunde liegende Script "könnte" über merkwürdige Datei- und Verzeichnisnamen stolpern. Mit "merkwürdig" ist die Verwendung von Sonderzeichen in Dateinamen gemeint. Wir haben versucht das Script so gut es geht, dagegen zu immunisieren, 100 prozentige Sicherheit gibt es aber nicht. Die unangenehme Folge wären zerstörte Dateien. |
| * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus. | * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus. | ||
| - | * **Benutzerdaten bereinigen** - (Ab Version 14.2) Wird ein Benutzerkonto gelöscht, verbleiben dessen Kopano- und ownCloud-Daten im jeweiligen System. Sie können über diese Funktion unter Angabe des Benutzernamens **endgültig** gelöscht werden. | + | * **Benutzerdaten bereinigen** - (Ab Version 14.3) Wird ein Benutzerkonto gelöscht, verbleiben dessen Kopano- und ownCloud-Daten im jeweiligen System. Sie können über diese Funktion unter Angabe des Benutzernamens **endgültig** gelöscht werden. |
| + | * **Steuerdatei Mailabruf auffrischen** - (Ab Version 14.3) Wurde beispielsweise per "phpLDAPAdmin" manuell eine Veränderung an irgendwelchen Zugangsdaten für den Abruf von Mails aus externen Postfächern geändert, kann hierüber die "fetchmailrc" Datei neu geschrieben werden. | ||
| Die Integration weiterer Scripts ist in Planung. | Die Integration weiterer Scripts ist in Planung. | ||
| Zeile 1003: | Zeile 1037: | ||
| <code> | <code> | ||
| - | invis:~ # | + | invis:~ # lvresize -L +1TB /dev/system/srv |
| </code> | </code> | ||
| + | |||
| + | Damit wird lediglich das Volume selbst vergrößert, nicht aber das Dateisystem. Dies zu vergrößern ist ein eigener Arbeitsschritt. Dieser ist vom verwendeten Dateisystem ab: | ||
| + | |||
| + | **ext4, xfs** | ||
| + | |||
| + | <code> | ||
| + | invis:~ # reseize2fs /dev/system/srv | ||
| + | </code> | ||
| + | |||
| + | **btrfs** | ||
| + | |||
| + | Hier wird nicht das Dateisystem angegeben, sondern der Mount-Point. Da wir üblicherweise nur das Root-Dateisystem mit btrfs formatieren, hier der zugehörige Befehl zum Vergrößern: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # btrfs filesystem resize max / | ||
| + | </code> | ||
| + | |||
| + | In beiden Fällen, wird automatisch der gesamte zur Verfügung stehende Platz genutzt. | ||
| ===== System allgemein ===== | ===== System allgemein ===== | ||
| Zeile 1047: | Zeile 1099: | ||
| </code> | </code> | ||
| - | ==== VirtualBox ==== | + | ==== VirtualBox Erweiterungspack ==== |
| - | VirtualBox wird auf invis-Servern automatisch mit einem Open-Source Erweiterungspack installiert. Teil der Funktionen dieses Erweiterungspacks ist der Zugriff auf virtuelle Maschinen via VNC. VNC läuft leider nicht immer frei von Problemen. Um statt dessen das offizielle Erweiterungspaket von Oracle nutzen möchte muss dieses zunächst installiert werden. | + | VirtualBox wird auf invis-Servern automatisch mit einem Open-Source Erweiterungspack installiert. Teil der Funktionen dieses Erweiterungspacks ist der Zugriff auf virtuelle Maschinen via VNC. VNC läuft leider nicht immer frei von Problemen. Um statt dessen das offizielle Erweiterungspaket von Oracle nutzen möchte muss dieses zunächst installiert werden. **//Beachten Sie dabei bitte dessen Lizenzbedingungen//**. |
| Laden Sie es zunächst passend zur installierten VirtualBox Version von [[http://download.virtualbox.org/virtualbox/]] herunter. Die Installation erfolgt auf der Kommandozeile des Servers: | Laden Sie es zunächst passend zur installierten VirtualBox Version von [[http://download.virtualbox.org/virtualbox/]] herunter. Die Installation erfolgt auf der Kommandozeile des Servers: | ||
| <code> | <code> | ||
| - | invis:~ # VBoxManage extpack install Oracle_VM_VirtualBox_Extension_Pack-5.2.22.vbox-extpack | + | invis:~ # VBoxManage extpack install --replace Oracle_VM_VirtualBox_Extension_Pack-7.0.18.vbox-extpack |
| </code> | </code> | ||