Ist das Script abgearbeitet, folgt die Feinarbeit! Es gilt jetzt vor allem Group-e und LX-Office für die Nutzung vorzubereiten.

Auch wenn ich diesen Bereich des Howtos so schnell es geht fortsetze, empfehle ich bei Problemen mit den beiden Programmen die zugehörigen Foren und Wikis.

Ich werde bei der Dokumentation der Ersteinrichtung der beiden Programme hier nur das Wesentliche erläutern, da beide Programme immer wieder kleineren und größeren Änderungen unterliegen.

Wenn Sie Ihren invis-Server hinter einem Router betreiben, müssen Sie darin bis zu 5 Portweiterleitungen einrichten, wenn Sie Ihren invis-Server auch via Internet nutzen möchten.

Diese sind:

1. der vom invis Server genutzte „verschobene“ SSH-Port (TCP)
2. Port 443/TCP (HTTPs), wenn Sie ActiveSync/Z-Push nutzen möchten, um Mobilgeräte mit der Groupware des Servers zu synchronisieren.
3. der vom invis Server genutzte „verschobene“ HTTPs-Port (TCP) für den Zugriff auf das invis-Portal.
4. der vom invis Server genutzte „verschobene“ HTTPs-Port (TCP) für den Zugriff auf ownCloud.
5. Port 1194/UDP für den Zugriff via OpenVPN.

Die hier als „verschoben“ bezeichneten Ports wurden von sine zufällig generiert und während des Setups ausgegeben. Nachträglich Abfragen können Sie sie auf der Kommandozeile mit:

linux:~ # sine showconf

Hinweis: Die nachfolgenden Erläuterungen beziehen sich ausschließlich auf invis Server Active Directory und nicht auf invis Server Classic.

Wird Samba4 als AD Domaincontroller betrieben gelten folgende Voreinstellung für Benutzerpasswörter:

Diese Voreinstellungen sind recht streng und können so sicherlich nicht überall Anwendung finden. Sie, als Administrator eines invis-Servers sollten sich von Ihren Anwendern aber nicht allzu viele Zugeständnisse in Sachen Passwortsicherheit abringen lassen.

Ändern lassen sich die Einstellungen mit Hilfe des samba-tools auf der Kommandozeile des Servers. Hier ein paar Beispiele:

Ändern der Passwortlaufzeit

linux:~ # samba-tool domain passwortsettings set --max-password-age=0

Der im Beispiel gewählte Wert 0 sorgt für eine unbegrenzte Passwortlaufzeit. Ist sicherlich nicht die beste Empfehlung, wird in der Praxis zur Stressvermeidung häufig bevorzugt.

Passwortkomplexität

linux:~ # samba-tool domain passwortsettings set --complexity=off

Hier kennt die Microsoft'sche Welt aus der das AD ja stammt keine Abstufungen. Möglich sind die Werte on, off und default wobei default wiederum on bedeutet.

Mit der Voreinstellungen werden Passwörter mit Sonderzeichen, Zahlen und Groß-/Kleinschreibung verlangt.

Passwortlänge

linux:~ # samba-tool domain passwortsettings set --min-pwd-length=5

Reduziert die geforderte Passwortlänge auf 5 Zeichen.

Als Benutzer root haben Sie natürlich die Möglichkeit Benutzerpasswörter zurückzusetzen. Dabei gelten nicht einmal die Passwortsicherheitsregeln.

linux:~ # samba-tool user setpassword benutzername --newpassword=neuespasswort --must-change-next-login

Im gezeigten Beispiel wird dafür gesorgt, dass der betroffene Benutzer sein Passwort bei der nächsten Anmeldung ändern muss.

Der NFS Fileserver für Linux-Clients ist nach der Installation des invis-Servers zwar vorbereitet, wird aber nicht automatisch gestartet. Um dies Nachzuholen sind folgende Schritte durchzuführen:

Die Dienste „nfsserver“ und „rpcbind“ zum automatischen Start vorsehen und starten:

linux:~ # systemctl enable nfsserver.service
linux:~ # systemctl start nfsserver.service
linux:~ # systemctl enable rpcbind.service
linux:~ # systemctl start rpcbind.service

Anschliessend ist noch der Zugriff auf die NFS-Freigaben in der Firewall, für die interne Netzwerk-Schnittstelle zu öffnen.

Dazu ist in Datei

/etc/sysconfig/SuSEfirewall2

ist in Zeile (ca.) 414 folgendes zu ergänzen:

Aus:

FW_CONFIGURATIONS_INT="samba-4-ad"

wird

FW_CONFIGURATIONS_INT="nfs-kernel-server samba-4-ad"

Danach ist noch die Firwall neu zu starten:

linux:~ # systemctl restart SuSEfirewall2.service

Grund dafür, dass wir dies nicht automatisch ausführen ist, dass es nur in den wenigsten Fällen Linux Clients gibt (leider).