Ist das Script abgearbeitet, folgt die Feinarbeit! Es gilt jetzt die auf dem Server installierte bzw. vorbereitete Software für deren Nutzung vorzubereiten.
Wenn Sie Ihren invis-Server hinter einem Router betreiben, müssen Sie darin bis zu 5 Portweiterleitungen einrichten, wenn Sie Ihren invis-Server auch via Internet nutzen möchten.
Diese sind:
Die hier als „verschoben“ bezeichneten Ports wurden von sine zufällig generiert und während des Setups ausgegeben. Nachträglich Abfragen können Sie sie auf der Kommandozeile mit:
linux:~ # sine showconf
Mit Samba4 als AD Domaincontroller gelten folgende Voreinstellung für Laufzeit und Sicherheit der Benutzerpasswörter:
Einstellung | Vorgabe |
---|---|
max. Passwortlaufzeit | 43 Tage |
Passwortkomplexität | aktiviert |
min. Passwortlänge | 7 Zeichen |
Diese Voreinstellungen sind recht streng und können so sicherlich nicht überall Anwendung finden. Sie, als Administrator eines invis-Servers sollten sich von Ihren Anwendern aber nicht allzu viele Zugeständnisse in Sachen Passwortsicherheit abringen lassen.
Hinweis: Die nachfolgenden Einstellungen können ab invis-Server 11.4 auch mit unserem eigenen Passwort-tool pwsettings vorgenommen werden.
Zu wissen, wie sich die Einstellungen mit Hilfe des samba-tools auf der Kommandozeile des Servers ändern lassen, kann allerdings auch nicht schaden. Hier ein paar Beispiele:
Ändern der Passwortlaufzeit
linux:~ # samba-tool domain passwortsettings set --max-password-age=0
Der im Beispiel gewählte Wert 0 sorgt für eine unbegrenzte Passwortlaufzeit. Ist sicherlich nicht die beste Empfehlung, wird in der Praxis zur Stressvermeidung häufig bevorzugt.
Passwortkomplexität
linux:~ # samba-tool domain passwortsettings set --complexity=off
Hier kennt die Microsoft'sche Welt aus der das AD ja stammt keine Abstufungen. Möglich sind die Werte on, off und default wobei default wiederum on bedeutet.
Mit der Voreinstellungen werden Passwörter mit Sonderzeichen, Zahlen und Groß-/Kleinschreibung verlangt.
Passwortlänge
linux:~ # samba-tool domain passwortsettings set --min-pwd-length=5
Reduziert die geforderte Passwortlänge auf 5 Zeichen.
Als Benutzer root haben Sie natürlich die Möglichkeit Benutzerpasswörter zurückzusetzen. Dabei gelten nicht einmal die Passwortsicherheitsregeln.
linux:~ # samba-tool user setpassword benutzername --newpassword=neuespasswort --must-change-next-login
Im gezeigten Beispiel wird dafür gesorgt, dass der betroffene Benutzer sein Passwort bei der nächsten Anmeldung ändern muss.
Der NFS Fileserver für Linux-Clients ist nach der Installation des invis-Servers zwar vorbereitet, wird aber nicht automatisch gestartet. Um dies Nachzuholen sind folgende Schritte durchzuführen:
Die Dienste „nfsserver“ und „rpcbind“ zum automatischen Start vorsehen und starten:
linux:~ # systemctl enable nfsserver.service linux:~ # systemctl start nfsserver.service linux:~ # systemctl enable rpcbind.service linux:~ # systemctl start rpcbind.service
Anschliessend ist noch der Zugriff auf die NFS-Freigaben in der Firewall, für die interne Netzwerk-Schnittstelle zu öffnen.
Dazu ist in Datei
/etc/sysconfig/SuSEfirewall2
ist in Zeile (ca.) 414 folgendes zu ergänzen:
Aus:
FW_CONFIGURATIONS_INT="samba-4-ad"
wird
FW_CONFIGURATIONS_INT="nfs-kernel-server samba-4-ad"
Danach ist noch die Firwall neu zu starten:
linux:~ # systemctl restart SuSEfirewall2.service
Grund dafür, dass wir dies nicht automatisch ausführen ist, dass es nur in den wenigsten Fällen Linux Clients gibt (leider).
Hinweis: ownCloud lässt sich nur dann sinnvoll einsetzen, wenn es sowohl aus dem lokalen Netz wie auch aus dem Internet über die gleiche URL erreichbar ist. Voraussetzung dafür ist, dass Ihr invis-Server entweder über eine feste IP-Adresse oder einen gültigen DDNS Namen erreichbar ist. Ist diese Bedingung nicht erfüllt, ist es nicht möglich, dass Sie aus dem lokalen Netzwerk eine Datei oder ein Verzeichnis in ownCloud für dritte im Internet freigeben. ownCloud würde dann eine URL erzeugen, die niemals via Internet erreichbar wäre.
Während der ownCloud-Installation durch sine wird ownCloud grundsätzlich installiert, eine leere Datenbank angelegt und die Firewall vorbereitet. Im Anschluss daran muss die Setup Routine von ownCloud selbst durchlaufen werden und das LDAP-Plugin aktiviert und konfiguriert werden.
Sie benötigen dafür das Passwort, welches sine Ihnen mitgeteilt hat. Beim ersten Zugriff auf ownCloud startet die Setup-Routine automatisch.
Legen Sie zunächst die Zugangsdaten für das ownCloud Administrationskonto fest.
Klicken Sie jetzt auf „Speicher & Datenbank“ und wählen Sie dort als Datenbank-Typ „MySQL/MariaDB“ aus und geben Sie die Zugangsdaten zur vorbereiteten Datenbank ein:
Melden Sie sich jetzt mit dem zuvor definierten Adminitrationskonto an ownCloud an. Klicken Sie dann auf den Pulldown Pfeil oben rechts und dann auf „Administration“.
Klicken Sie jetzt links am oberen Rand auf den Eintrag „Apps“ und dann auf das Pluszeichen. Klicken Sie als nächstes auf den Menüeintrag „Nicht aktiviert“. Aktivieren Sie aus der Liste nicht aktivierter Apps den Eintrag „LDAP user and group backend“ und melden Sie sich daraufhin einmal ab und wieder an.
Jetzt finden Sie unter „Administration“ den Eintrag „LDAP“. Dort können Sie ownCloud schrittweise an Ihr Active Directory anbinden.
Im ersten Schritt müssen Sie die Zugangsdaten zum LDAP Server angeben:
Hinweis: ownCloud überprüft die Eingaben sofort. Wenn Sie also einen Fehler bei der Konfiguration machen wird dies unmittelbar angezeigt.
Auf der zweiten Seite der Konfiguration „Nutzer-Filter“ können Einschränkungen dafür vorgenommen werden welche Benutzerkonten von ownCloud im LDAP gefunden werden. Hier sind folgende Angaben zu machen:
Logins auf die Mitglieder dieser Gruppe(n) zu beschränken. Praktischerweise sollte für diesen Zweck eine eigene Gruppe angelegt werden.
Leider macht ownCloud bei der Umsetzung dieser Angaben in eine Filterregel einen Fehler. Dies lässt sich korrigieren in dem Sie auf den Link „bearbeiten klicken und die dann angezeigte Zeile gemäss folgendem Beispiel abändern:
(&(|(objectclass=person))(|(memberof=CN=owncloud,CN=Users,DC=invis-net,DC=loc)))
In Schritt drei „Anmeldefilter“ können Sie die Vorgabe „LDAP-Benutzername“ einfach beibehalten. Die Anmeldung erfolgt dann mit dem Login-Namen ohne angehängte Domain.
Im letzten Schritt legen Sie die Gruppen fest, die von ownCloud im LDAP gefunden und verwendet werden können. Hier sind folgende Angaben zu machen:
Damit ist die LDAP bzw. Active Directory Anbindung abgeschlossen und ownCloud bereit zur Nutzung. Einen echten Nutzen hat es natürlich nur dann, wenn Ihr Server über einen DDNS-Namen via Internet erreichbar ist.
Kivitendo ist nach erfolgreichem Setup des invis-Servers mittels sine bereits weitgehend vorbereitet. Die anfallende Nacharbeit beschränkt sich auf das Anlegen von Datenbanken, Benutzer, Gruppen und Mandanten.
Eine Umfangreiche Dokumentation zu Kivitendo finden Sie hier: https://steigmann.kivitendo-premium.de/doc/html/
Um die Kivitendo Nutzerdatenbank, Mandanten-Datenbanken sowie Nutzerkonten anlegen zu können, müssen Sie zunächst im Browser die Administrationsseite aufrufen. Der entsprechende Link sieht wie folgt aus:
http://ihr-server.domain.loc/kivitendo-erp/admin.pl
Sind weder Datenbanken noch Nutzerkonten eingerichtet, genügt ein Klick auf die Schaltfläche „Warenwirtschaft“ im invis-Portal. Kivitendo fragt dann selbständig, ob Sie zunächst auf die Administrationsseite wechseln möchten.
Das zunächst erfragte Administratoren-Passwort lautet schlicht: „admin123“. Kivitendo führt Sie anschliessend durch die Installation einer Authentifizierungsdatenbank. Folgen Sie hier einfach den Anweisungen. Als Benutzer zum Anlegen der Datenbank können müssen Sie wie vorgeschlagen den User „kivitendo“ verwenden. Für letzteren benötigen Sie selbstverständlich das von Ihnen vergebene Passwort.
Möchten Sie statt gegen eine interne Kivitendo Benutzerdatenbank, gegen ein LDAP-Verzeichnis (OpenLDAP oder Active Directory) Authentifizieren, müssen Sie vor dem Anlegen der Benutzerdatenbank in der Datei
/srv/www/htdocs/kivitendo/config/kivitendo.conf
folgende Änderungen vornehmen:
# Which module to use for authentication. Valid values are 'DB' and # 'LDAP'. If 'LDAP' is used then users cannot change their password # via kivitendo. module = LDAP
Weiterhin ist der LDAP-Server zu konfigurieren. Hier unterscheiden sich Classic und AD geringfügig voneinander:
host = 127.0.0.1 port = 389 tls = 1 attribute = sAMAccountName base_dn = DC=invis-net,DC=loc filter = bind_dn = ldap.admin@invis-net.loc bind_password = ldap-admin-secret
Selbstverständlich müssen Sie die Konfigurationsdaten an Ihre Umgebung anpassen.
Steht die Authentifizierungsdatenbank, gelangen Sie auf die eigentliche Administrationsseite.
Sie müssen jetzt eine (oder auch mehrere) Mandantendatenbanken anlegen.
Klicken Sie hier im ersten Schritt auf die Schaltfläche „Datenbankadministration“ und geben Sie in den Feldern für Benutzer und Passwort wiederum die Zugangsdaten des PostgreSQL-Benutzers „kivitendo“ ein. Bestätigen Sie Ihre Eingabe durch Drücken der Schaltfläche „Datenbank anlegen“.
In der darauf folgenden Maske müssen Sie einen Datenbanknamen vergeben - dieser sollte Sinn ergeben, beispielsweise durch einfügen des Mandantennamens - und sich für einen Kontenrahmen entscheiden. Die Vorgabe SK03 sollte in den meisten Fällen passen. Klicken Sie auf die Schaltfläche „Weiter“. Auf der nächsten Seite werden Sie über Erfolg oder Misserfolg der Aktion informiert. Geht alles glatt, gelangen Sie mit der Schaltfläche „Weiter“ zurück zur Administrationsseite.
Jetzt müssen Sie passend zur Mandantendatenbank noch den „Mandantenbenutzer“ anlegen. Klicken Sie dazu auf die Schaltfläche „Benutzer erfassen“ und füllen Sie das Formular „nach bestem Wissen und Gewissen“ aus.
In der Sektion Datenbank füllen Sie die Felder wie folgt aus:
Testen Sie auf jeden Fall vor dem Speichern der Eingaben die Verbindung zur Datenbank über die entsprechende Schaltfläche.
Mit den Eingabefeldern auf der rechten Bildhälfte können Sie unter anderem das „Look & Feel“ von Kivitendo in gewissem Umfang beeinflussen. Damit müssen Sie einfach experimentieren.
Ich empfehle ohnehin jedem Anwender sich zunächst eine Testdatenbank mit zugehörigem Testmandanten zu erstellen, um sich mit der Software vertraut zu machen. Ein ERP-System ist etwas ganz anderes als etwa ein Textverarbeitungsprogramm.
Mit der Schaltfläche „Speichern“ gelangen Sie wieder zurück zur Administrationsseite.
Wenn Sie den „Mandantenbenutzer“ angelegt haben müssen Sie diesen über die Schaltfläche „Gruppen bearbeiten“ noch mit Zugriffsrechten auf die Mandantendatenbank versorgen.
Nach einer noch jungfreulichen Neuinstallation existiert lediglich die Gruppe „Vollzugriff“, was in einfachen Umgebungen durchaus ausreicht. Klicken Sie die Gruppe im oberen Fenster an und anschließend auf die Schaltfläche „Bearbeiten“. Es öffnet sich eine neue Seite. In der oberen Sektion der Seite sind zwei mit „Benutzer in dieser Gruppe“ und „Benutzer nicht in dieser Gruppe“ bezeichnete Felder. Ihren neuen Benutzer sehen Sie im rechten Feld. Klicken Sie diesen Eintrag an und anschließend auf die Schaltfläche „Zu Gruppe hinzufügen“.
Über die Schaltfläche „Zurück“ sichern Sie Ihre Eingaben. Jetzt können Sie sich erstmalig mit Ihrem neuen Benutzer über die entsprechenden Felder an Kivitendo anmelden. Zukünftig gelangen Sie über die Schaltfläche „Warenwirtschaft“ im invis Portal direkt zur Kivitendo Benutzeranmeldung.
Kivitendo Taskserver
Seit Version Kivitendo Vorgänger LX-Office in Version 2.6.3 ist in der Software einen Taskmanager-Dienst zur Erinnerung an anstehende Aufgaben bzw. für Wiedervorlagen. Dieser Dienst ist bereits ins Runlevel-Konzept des Servers integriert, kann aber ohne Datenbank bez. angelegten Benutzer nicht starten.
Ist die Datenbank, wie oben beschrieben angelegt, muss in der Datei
/srv/www/htdocs/kivitendo-erp/config/kivitendo.conf
in der Rubrik [task_server] (ab Zeile 235) unter „login =“ ein Benutzer mit vollen Rechten eingetragen werden.
Danach kann der Tastserver mit:
linux:~ # systemctl start kivitendo-task-server.service
gestartet werden.
Hinweis: Kivitendo ist eine sehr komplexe Software, für die wir als Projekt „invis Server“ keinen Support leisten. Wenden Sie sich, wenn Sie Hilfe benötigen bitte direkt an Forum bzw. Wiki des Kivitendo Projekts. Für Kivitendo können Sie auch kommerziellen Support erhalten, wenden Sie sich diesbezüglich an eines der Kivitendo-Partner Unternehmen: http://www.kivitendo.de/partner.html
Um Tine 2.0 nach der Grundinstallation zur Mitarbeit zu bewegen, sind einige manuelle Arbeitsschritte notwendig.
Starten Sie damit, dass Sie im Browser folgende Adresse öffnen: http://ihrserver.domain.tld/tine20/setup.php
Sie können Sich hier mit folgenden Zugangsdaten anmelden:
Benutzername: tine20setup
Passwort: zufallsgeneriert
Das Passwort wurde im Verlauf der Server-Instalaltion von sine ausgegeben.
Die weitere Einrichtung von Tine 2.0 erfolgt in mehreren Schritten:
Die Punkte 1 und 2 dürften keiner weiteren Erläuterungen bedürfen.
Punkt 3 „Anpassen der Konfigurationsdatei“ erfordert eigentlich auch keine manuellen Eingriffe. Allerdings können Sie hier das Passwort des Setup-Benutzers nach eigenem Wunsch neu setzen. Ansonsten können Sie hier die Datenbankanbindung, das Logging-Verhalten und weitere „Kleinigkeiten“ einstellen. Sie finden die Konfigurationsdatei „config.inc.php“ in:
/var/lib/tine20/webroot
Sie können Sie auch manuell im Editor bearbeiten.
Diesem Punkt (4) ist große Aufmerksamkeit zu widmen, hier binden Sie Tine 2.0 an die Benutzerverwaltung des Active-Directories an.
Unterteilt ist dieser Abschnitt wiederum in mehrere Unterkategorien:
Vor allem die Abschnitte 2 und 3 müssen auf Ihre Active-Directory Umgebung angepasst werden. Konfigurieren Sie diese Abschnitte wie Nachfolgend beschrieben:
Sie müssen hier einen Tine 2.0 Administrator einrichten. Dieses Konto wird nicht im Active-Directory sondern in Tines Datenbank gespeichert. Wählen Sie nach Belieben einen Benutzernamen und ein ausreichend komplexes Passwort. D.h. Verwenden Sie auf Zahlen und Sonderzeichen und nicht weniger als 7 Zeichen. Die genauen Regeln kennen wir noch nicht. Zu einfache Passwörter werden hier zwar angenommen, das Konto wird jedoch nicht angelegt. Ohne einen Tine 2.0 Admin können Sie das Setup nicht beenden.
Geht hier etwas schief, können Sie das Anlegen des Benutzers auf der Kommandozeile wiederholen:
linux:~ # php /usr/share/tine20/setup.php --create_admin
Hinweis: Es ist kein Fehler sich mal anzuschauen, was das Script „setup.php“ auf der Kommandozeile so alles kann.
Ziel dieses Schrittes ist es, Benutzeranmeldungen an Tine 2.0 über das Active Directory durchzuführen. Hierzu benötigen Sie die zunächst den DN und das Passwort des invis-Server LDAP-Admins.
Das Passwort finden Sie in
/etc/invis/invis-pws.cfg
Füllen Sie die nachfolgend gezeigten Konfigurationsfelder entsprechend Ihrer Umgebung durch:
Die Konfiguration des Speichers der Benutzerkonten erfordert ähnlich Angaben, wie die der Authentifizierung. Geben Sie zu den nachfolgend gezeigten Eingabefeldern die erforderlichen Daten, angepasst an Ihre Umgebung an:
Bezüglich des letzten Punktes empfehlen wir hier einen rein lesenden Zugriff auf das Active-Directory, da die eigentliche Benutzerverwaltung über das invis-Portal erfolgen soll. Allerdings sind unsere diesbezüglichen Experimente noch nicht abgeschlossen.
Diese Einstellungen können Sie an und für sich nach eigenem Ermessen vornehmen. Sie sollten jedoch darauf achten, dass die hier getroffenen Einstellungen nicht mit den Einstellungen des Active Directory konkurrieren.
Wir empfehlen allerdings auch hier darauf zu verzichten die Groupware zur Verwaltung Ihre Server-Benutzer zu verwenden. Wenn Sie unserer Empfehlung folgen möchten, stellen Sie den Wert Benutzer kann Passwort ändern auf „nein“.
Auch hier können Sie nach eigenem Ermessen vorgehen. Uns fehlen hier derzeit noch die Erfahrungen um Empfehlungen aussprechen zu können.
Tine 2.0 muss jetzt noch an die Mailserver-Konfiguration des invis-Servers angepasst werden.
… to be continued.
Das Überwachungsdienst für unterbrechungsfreie Stromversorgungen des Herstellers APC muss an Ihre USV angepasst werden. Vorgenommen wird die Konfiguration in:
/etc/apcupsd/apcupsd.conf
In der Regel werden aktuelle USVs via USB-Kabel an den Server angeschlossen. APC-USVs kennen dafür die beiden Betriebsarten „USB“ und „Modbus“. Aktuelle Modelle sind auf jeden Fall auf Modbus einzustellen, da bei Ihnen über die ältere USB-Variante nicht alle Daten ausgelesen werden können. Wie Sie die Einstellung vornehmen, entnehmen Sie bitte dem Handbuch Ihrer USV.
In oben genannter Datei sind lediglich die folgenden Optionen, an Ihre USV anzupassen:
... UPSCABLE usb ... UPSTYPE usb ...
Die angezeigten Parameter entsprechen den Voreinstellungen, ggf. müssen Sie UPSTYPE auf den Wert „modbus“ umstellen.
Starten Sie jetzt den Dienst neu:
invis:~ # systemctl restart apcupsd.service
Um die Betriebsdaten der USV im invis-Portal anzuzeigen ändern Sie einfach in
/etc/invis/portal/config.php
den Parameter der Option „$STATUS_APCUPSD“ auf „true“:
.... // Aktivieren der APCUPS Daemon Abfrage $STATUS_APCUPSD = true; ....
Auf der Status Seite des invis-Portals sieht das dann beispielsweise wie folgt aus:
Nach Durchlauf des Setup-Scripts sine ist OpenVPN vollständig konfiguriert und bereits gestartete.
Testen können Sie dass mit:
linux:~ # ifconfig vpn
Bekommen Sie eine positive Antwort, läuft OpenVPN.
Um Clients anzubinden müssen Sie Client-Zertifikate und OpenVPN Client-Konfigurationen erzeugen.
Das Erzeugen der Zertifikatsdateien wird seit invis-Server 11.0 mittels des Scripts inviscerts vorgenommen.
Vorgefertigte Client-Konfigurationsdateien, die Sie lediglich anpassen müssen finden Sie in der Service-Freigabe Ihres Fileservers.
… to be continued
„z-push“ ist eine von Zarafa entwickelte Open-Source ActiveSync Implementation. Sie ermöglicht es Mobilgeräte mit Zarafa, aber auch Tine 2.0 zu synchronisieren. Weiterhin kann auch Outlook via ActiveSync an Zarafa angebunden werden.
Die Nacharbeit hier beschränkt sich auf das Eintragen der korrekten Zeitzone in die z-push Konfigurationsdatei:
/srv/www/htdocs/z-push2/config.php
... define('TIMEZONE', 'Europe/Berlin'); ...