invis_server_wiki:administration

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
invis_server_wiki:administration [2019/06/02 08:28]
flacco [Exit Strategie]
invis_server_wiki:administration [2023/07/24 09:03] (aktuell)
flacco [Volumes vergrößern]
Zeile 9: Zeile 9:
 Hinweise dazu, wie Sie Ihren Router konfigurieren finden Sie **[[https://​wiki.invis-server.org/​doku.php/​invis_server_wiki:​installation:​post-140#​router|hier]]**. Hinweise dazu, wie Sie Ihren Router konfigurieren finden Sie **[[https://​wiki.invis-server.org/​doku.php/​invis_server_wiki:​installation:​post-140#​router|hier]]**.
  
-//​**Hinweis:​** Die nachfolgenden Anleitungen werden immer wieder aktualisiert und erweitert, d.h. Sie beziehen sich primär auf die jeweils aktuellen Versionen des invis-Servers.//​+//​**Hinweis:​** Die nachfolgenden Anleitungen werden immer wieder aktualisiert und erweitert, d.h. Sie beziehen sich primär auf die jeweils aktuellen Versionen des  
 +invis-Servers.//​ 
 ===== invis Portal ===== ===== invis Portal =====
  
Zeile 19: Zeile 21:
   * **Netzwerkorganisation:​** Hinzufügen und Entfernen von Netzwerkgeräten zur DHCP- und DNS-Konfiguration. Das Portal unterscheidet zwischen vier verschiedenen Geräteklassen (Server, Drucker, Client-PC und IP-Gerät). In Abhängigkeit der Klassen werden IP-Adressen aus dafür reservierten Bereichen vergeben.   * **Netzwerkorganisation:​** Hinzufügen und Entfernen von Netzwerkgeräten zur DHCP- und DNS-Konfiguration. Das Portal unterscheidet zwischen vier verschiedenen Geräteklassen (Server, Drucker, Client-PC und IP-Gerät). In Abhängigkeit der Klassen werden IP-Adressen aus dafür reservierten Bereichen vergeben.
   * **Dienste:​** Ab invisAD 10.1 können über das Portal auch Dienste gestartet und gestoppt werden.   * **Dienste:​** Ab invisAD 10.1 können über das Portal auch Dienste gestartet und gestoppt werden.
-  * **Funktionen:​** Ab inviAD-Version 14.1 können hier ausgewählte administrative Scripte des Servers ausgeführt werden. Beispielsweise können hier mit einem Klick die Zugriffsberechtigungen der Gruppenverzeichnisse zurück gesetzt werden.+  * **Funktionen:​** Ab invisAD-Version 14.1 können hier ausgewählte administrative Scripte des Servers ausgeführt werden. Beispielsweise können hier mit einem Klick die Zugriffsberechtigungen der Gruppenverzeichnisse zurück gesetzt werden.
  
 **Zusätzliche administrative Werkzeuge** **Zusätzliche administrative Werkzeuge**
Zeile 45: Zeile 47:
   - **Systemdaten:​** Servername, Uhrzeit des Servers und die Uptime. Diese Informationen können keine kritischen Werte annehmen. Sollte aber die Uhrzeit des Servers um mehr als 5 Minuten von der Uhrzeit Ihres Computers abweichen führt dies zu Problemen. Bitten Informieren Sie darüber Ihren Administrator.   - **Systemdaten:​** Servername, Uhrzeit des Servers und die Uptime. Diese Informationen können keine kritischen Werte annehmen. Sollte aber die Uhrzeit des Servers um mehr als 5 Minuten von der Uhrzeit Ihres Computers abweichen führt dies zu Problemen. Bitten Informieren Sie darüber Ihren Administrator.
   - **Versionsinformationen:​** Hier wird die Aktualität Ihrer invis-Server Installation und des darunter liegenden Linux Betriebssystems angezeigt. Solange die angezeigten Versionsnummern in grün oder orange angezeigt werden, müssen Sie sich keine Sorgen machen. Handlungsbedarf besteht wenn sich die Zahlen rot färben. Rechnen Sie alle 1 bis2 Jahre mit einem umfangreicheren Upgrade um Ihren Server wieder auf Stand zu bringen.   - **Versionsinformationen:​** Hier wird die Aktualität Ihrer invis-Server Installation und des darunter liegenden Linux Betriebssystems angezeigt. Solange die angezeigten Versionsnummern in grün oder orange angezeigt werden, müssen Sie sich keine Sorgen machen. Handlungsbedarf besteht wenn sich die Zahlen rot färben. Rechnen Sie alle 1 bis2 Jahre mit einem umfangreicheren Upgrade um Ihren Server wieder auf Stand zu bringen.
-  - **Festplatten und RAID-Verbünde:​** Festplatten sind die Speicherorte für Ihre Daten, sie sind nicht für die Ewigkeit gebaut, sondern müssen als Verschleißteile angesehen werden. Damit es möglichst nicht zu überraschenden Ausfällen kommt, überwachen Festplatten sich selbst. Diese Überwachungsdaten werden von Ihrem Server abgerufen und hier angezeigt. Fehler werden hier in „rot“ angezeigt und sind sofort Ihrem Administrator zu melden. RAID-Verbünde sind der doppelte Boden, sie schützen vor Datenverlust bei einem Festplatten-Ausfall. Dies geschieht, in dem alle gespeicherten Daten mehrfach vorgehalten werden. Fällt eine Festplatte aus, gilt ein RAID-Verbund als beschädigt. Auch dies muss Ihr Administrator unmittelbar erfahren.+  - **Festplatten und RAID-Verbünde:​** Festplatten sind die Speicherorte für Ihre Daten, sie sind nicht für die Ewigkeit gebaut, sondern müssen als Verschleißteile angesehen werden. Damit es möglichst nicht zu überraschenden Ausfällen kommt, überwachen Festplatten sich selbst. Diese Überwachungsdaten werden von Ihrem Server abgerufen und hier angezeigt. Fehler werden hier in „rot“ angezeigt und sind sofort Ihrem Administrator zu melden. RAID-Verbünde sind der doppelte Boden, sie schützen vor Datenverlust bei einem Festplatten-Ausfall. Dies geschieht, in dem alle gespeicherten Daten mehrfach vorgehalten werden. Fällt eine Festplatte aus, gilt ein RAID-Verbund als beschädigt. Auch dies muss Ihr Administrator unmittelbar erfahren. Ab invis-Server 14.1 wird auch die bisherige Gesamtlaufzeit der Festplatten angezeigt und mit der durch den Hersteller garantierten Laufzeit ins Verhältnis gesetzt. Hilfreich, um rechtzeitige Erneuerung der Festplatten zu planen.
   - **Plattenplatz-Reserve:​** In aller Regel wird bei der Installation eines invis-Servers nicht der gesamte zur Verfügung Festplattenplatz verwendet. Statt dessen kann eine Reserve dazu genutzt werden, sie je nach Bedarf auf genutzte Laufwerke zu verteilen.   - **Plattenplatz-Reserve:​** In aller Regel wird bei der Installation eines invis-Servers nicht der gesamte zur Verfügung Festplattenplatz verwendet. Statt dessen kann eine Reserve dazu genutzt werden, sie je nach Bedarf auf genutzte Laufwerke zu verteilen.
   - **Festplattenauslastung:​** Der zur Verfügung stehende Festplattenplatz wird während der Serverinstallation bedarfsorientiert auf sogenannte „Volumes“ verteilt. In diesen Volumes speichern Sie Ihre Nutzdaten. Wichtig sind dabei die Volumes „home“ (persönliche Benutzerverzeichnisse),​ „var“ (Datenbanken und Emails) sowie „srv“ (Arbeitsverzeichnisse). Für diese Volumes zeigt hier jeweils ein farbiger Balken den jeweiligen Füllstand. Die Balken verfärben sich je nach Belegung von grün nach rot. Sind alle Volumes im „roten Bereich“ und es steht keine Plattenplatz-Reserve mehr zur Verfügung muss der Server mit größeren oder weiteren Festplatten ausgerüstet werden. Versteht sich, dass Sie auch das Ihrem Administrator mitteilen müssen.   - **Festplattenauslastung:​** Der zur Verfügung stehende Festplattenplatz wird während der Serverinstallation bedarfsorientiert auf sogenannte „Volumes“ verteilt. In diesen Volumes speichern Sie Ihre Nutzdaten. Wichtig sind dabei die Volumes „home“ (persönliche Benutzerverzeichnisse),​ „var“ (Datenbanken und Emails) sowie „srv“ (Arbeitsverzeichnisse). Für diese Volumes zeigt hier jeweils ein farbiger Balken den jeweiligen Füllstand. Die Balken verfärben sich je nach Belegung von grün nach rot. Sind alle Volumes im „roten Bereich“ und es steht keine Plattenplatz-Reserve mehr zur Verfügung muss der Server mit größeren oder weiteren Festplatten ausgerüstet werden. Versteht sich, dass Sie auch das Ihrem Administrator mitteilen müssen.
Zeile 198: Zeile 200:
 Folgende Schritte sind in diesem Fall durchzuführen:​ Folgende Schritte sind in diesem Fall durchzuführen:​
  
-  - **Passwort ändern** - Die Änderung des Passworts eines ausgeschiedenen Mitarbeiters sollte unmittelbar nach dessen Ausscheiden erfolgen. Damit kann er sich weder lokal am System, noch am invis-Portal anmelden. Diesen Schritt kann der Administrator im invis-Portal vornehmen. +  - **Passwort ändern** - Die Änderung des Passworts eines ausgeschiedenen Mitarbeiters sollte unmittelbar nach dessen Ausscheiden erfolgen. Damit kann er sich weder lokal am System, noch am invis-Portal anmelden. Diesen Schritt kann der Administrator im invis-Portal vornehmen. ​(Administration -> Benutzer -> Löschen) 
-  - **VPN-Schlüssel zurück ziehen** - Dieser Schritt verhindert, dass der Mitarbeiter weiterhin VPN-Verbindungen zum Unternehmensnetz aufbauen kann. Dieser Schritt erfordert eine Anmeldung an der Kommandozeile des Servers. Zurückgezogen wird der VPN-Schlüssel unter Verwendung des Scripts **''​inviscerts''​**. ​Siehe unten.+  - **VPN-Schlüssel zurück ziehen** - Dieser Schritt verhindert, dass der Mitarbeiter weiterhin VPN-Verbindungen zum Unternehmensnetz aufbauen kann. Dieser Schritt erfordert eine Anmeldung an der Kommandozeile des Servers. Zurückgezogen wird der VPN-Schlüssel unter Verwendung des Scripts **''​inviscerts''​**. 
 + 
 +Um ein VPN-Client-Zertifikat zurückzuziehen geben Sie folgendes Kommando ein: 
 + 
 +<​code>​ 
 +invis:~ # inviscerts vpn 
 +</​code>​ 
 + 
 +Das Script fragt Sie nach dem Namen für den das Zertifikat ausgestellt wurde. Sie müssen diesen Namen hier exakt eingeben, da ansonsten davon ausgegangen wird, dass ein neues Zertifikat ausgestellt werden soll. 
 + 
 +Achten Sie bitte genau auf die Abfragen des Scripts. Sie benötigen in dessen Verlauf das Passwort der CA.
  
 Alle folgenden Schritte können dann in Ruhe geplant werden. Es geht jetzt vor allem darum, wie mit dem Datenbestand des ehemaligen Mitarbeiters verfahren wird. Dabei ist zu prüfen, ob dem Mitarbeiter das Recht auf private Email-Nutzung und die Ablage privater Daten auf dem Unternehmensserver gewährt wurde. Ist dies der Fall, darf auch nach dem Ausscheiden **niemand** auf das Postfach bzw. das persönliche Verzeichnis dieses Mitarbeiters zugreifen. Die Daten müssen entweder gelöscht oder sicher und vor Zugriffen geschützt archiviert werden. Löschen, ist dabei ein relativ schwieriges Unterfangen,​ da sich seine Daten auch in diversen Datensicherungen befinden dürften. Alle folgenden Schritte können dann in Ruhe geplant werden. Es geht jetzt vor allem darum, wie mit dem Datenbestand des ehemaligen Mitarbeiters verfahren wird. Dabei ist zu prüfen, ob dem Mitarbeiter das Recht auf private Email-Nutzung und die Ablage privater Daten auf dem Unternehmensserver gewährt wurde. Ist dies der Fall, darf auch nach dem Ausscheiden **niemand** auf das Postfach bzw. das persönliche Verzeichnis dieses Mitarbeiters zugreifen. Die Daten müssen entweder gelöscht oder sicher und vor Zugriffen geschützt archiviert werden. Löschen, ist dabei ein relativ schwieriges Unterfangen,​ da sich seine Daten auch in diversen Datensicherungen befinden dürften.
Zeile 218: Zeile 230:
 //​**Hinweis:​** Wird im Unternehmen (wie vom Gesetzgeber gefordert) ein revisionssicheres Email-Archiv betrieben, kann der Zugriff auf den Mailbestand des Mitarbeiters darüber erfolgen.// //​**Hinweis:​** Wird im Unternehmen (wie vom Gesetzgeber gefordert) ein revisionssicheres Email-Archiv betrieben, kann der Zugriff auf den Mailbestand des Mitarbeiters darüber erfolgen.//
  
 +Ist der Umgang mit dem Mailbestand geregelt bzw. abgeschlossen,​ kann das Benutzerkonto des ausgeschiedenen Mitarbeiters gelöscht werden. Dieser Schritt wird im invis-Portal durchgeführt. Dabei wird das persönliche Verzeichnis des Benutzers automatisch archiviert. Zu finden sind die Daten anschließend in der Freigabe "​Archiv"​ des invis-Servers. Zugriffsberechtigt sind lediglich Mitglieder der Gruppe "​Archiv"​. Dies sollten maximal Mitglieder der Unternehmensleitung sein.
  
 +Nach dem Löschen des Benutzerkontos bleibt der Mailbestand des Benutzers, im Falle von Kopano, als sogenannter "​orphand Store" erhalten. Dieser aund andere "​Datenleichen"​ können unter Verwendung des Scripts **''​inhume''​** endgültig beseitigt werden.
  
 +<​code>​
 +invis:~ # inhume username
 +</​code>​
 +
 +
 +Inspizieren Sie abschließend noch den PC des Mitarbeiters auf relvenanten Daten und sichern Sie diese soweit vorhanden auf den Server.
  
 +Damit sind alle erforderlichen Schritte getan.
  
-to be continued... 
 ===== Mailkonten verwalten ===== ===== Mailkonten verwalten =====
  
Zeile 231: Zeile 251:
   - **Mailkontenverwaltung des invis-Servers:​** Hier wird das externe Mailkonto dem lokalen Benutzer zugeordnet. Diese Zuordnung wird nachfolgend beschrieben.   - **Mailkontenverwaltung des invis-Servers:​** Hier wird das externe Mailkonto dem lokalen Benutzer zugeordnet. Diese Zuordnung wird nachfolgend beschrieben.
  
-==== Mailkonten "​zuordnen" ​====+//​**Hinweis:​** Ab invis-Server Version 14.3 können Mailkonten auch vollständig administrativ auf der Kommandozeile verwaltet werden. Die Grund-Idee bei der Entwicklung des invis-Servers war eigentlich, dass wir die Kontenverwaltung,​ so einfach gestalten, dass Anwender sich selbst darum kümmern können. Leider wird dieses Angebot nicht angenommen. Meine persönliche Meinung ist, dass die meisten Anwender, trotz einfacher Gestaltung dazu nicht mehr in der Lage sind, da sie die Hintergründe nicht "​mehr"​ verstehen.//​ 
 + 
 +//​**Achtung:​** Auf invis-Servern vor Version 14.0 erfolgte die Anmeldung an CorNAz gegen den auf dem invis-Server installierten IMAP-Dienst. Verfügt der Benutzer nicht über ein lokales Postfach (dies ist abhängig vom Benutzertyp) schlägt die Anmeldung fehl. Das war gewünschtes Verhalten, da es keinen Sinn macht Emails von einem externen Server abzuholen, wenn diese nicht in einem lokalen Konto abgelegt werden können. Aus technischen Gründen ist das auf neueren Systemen nicht mehr so. Passen Sie also auf, dass der lokale Benutzer beispielsweise auch die Berechtigung hat etwa die Groupware Kopano zu verwenden. Ohne diese Berechtigungen könnten eingehende Mails nicht lokal zugestellt werden.// 
 +==== Mailkontenverwaltung via invis-Portal ==== 
 + 
 +=== Mailkonten "​zuordnen"​ ===
 Noch aus den Anfangstagen des invis-Servers stammt das Programm "​CorNAz"​ zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "​local"​{{ :​invis_server_wiki:​invisad-mailkonten1.png?​250|}} des Portals hinter der Schaltfläche "​Mailkonten"​. CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden. Noch aus den Anfangstagen des invis-Servers stammt das Programm "​CorNAz"​ zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "​local"​{{ :​invis_server_wiki:​invisad-mailkonten1.png?​250|}} des Portals hinter der Schaltfläche "​Mailkonten"​. CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden.
  
Zeile 244: Zeile 269:
  
 CorNAz verlangt eine gesonderte Anmeldung desjenigen lokalen Benutzers, dessen externe Mailkonten verwaltet werden sollen. Benötigt werden die Zugangsdaten des Benutzers die er auch zur Anmeldung am PC benötigt. {{ :​invis_server_wiki:​invisad-mailkonten2.png?​200|}} CorNAz verlangt eine gesonderte Anmeldung desjenigen lokalen Benutzers, dessen externe Mailkonten verwaltet werden sollen. Benötigt werden die Zugangsdaten des Benutzers die er auch zur Anmeldung am PC benötigt. {{ :​invis_server_wiki:​invisad-mailkonten2.png?​200|}}
- 
-//​**Achtung:​** Auf invis-Servern vor Version 14.0 erfolgte die Anmeldung an CorNAz gegen den auf dem invis-Server installierten IMAP-Dienst. Verfügt der Benutzer nicht über ein lokales Postfach (dies ist abhängig vom Benutzertyp) schlägt die Anmeldung fehl. Das war gewünschtes Verhalten, da es keinen Sinn macht Emails von einem externen Server abzuholen, wenn diese nicht in einem lokalen Konto abgelegt werden können. Aus technischen Gründen ist das auf neueren Systemen nicht mehr so. Passen Sie also auf, dass der lokale Benutzer beispielsweise auch die Berechtigung hat etwa die Groupware Kopano zu verwenden. Ohne diese Berechtigungen könnten eingehende Mails nicht lokal zugestellt werden.// 
  
 Nach der Anmeldung stehen die verschiedenen Funktionen über entsprechende Schaltflächen zur Verfügung.{{ :​invis_server_wiki:​invisad-mailkonten3.png |}} Nach der Anmeldung stehen die verschiedenen Funktionen über entsprechende Schaltflächen zur Verfügung.{{ :​invis_server_wiki:​invisad-mailkonten3.png |}}
  
-==== Mailkonto anlegen ​====+=== Mailkonto anlegen ===
  
 Klicken Sie auf die Schaltfläche "Konto hinzufügen"​. Das Anlegen erfolgt in zwei Schritten. Im ersten Schritt können (müssen aber nicht) Sie einen Mailprovider aus einer Liste bekannter Provider auswählen und wenn gewünscht IMAP als Protokoll für den Mailabruf bevorzugen. Beides ist nicht notwendig, es kann im nächsten Schritt alles manuell angepasst werden.{{ :​invis_server_wiki:​invisad-mailkonten4.png |}}  Klicken Sie auf die Schaltfläche "Konto hinzufügen"​. Das Anlegen erfolgt in zwei Schritten. Im ersten Schritt können (müssen aber nicht) Sie einen Mailprovider aus einer Liste bekannter Provider auswählen und wenn gewünscht IMAP als Protokoll für den Mailabruf bevorzugen. Beides ist nicht notwendig, es kann im nächsten Schritt alles manuell angepasst werden.{{ :​invis_server_wiki:​invisad-mailkonten4.png |}} 
Zeile 263: Zeile 286:
 Abschließend müssen Sie zumindest beim Erstanlegen eines externen Kontos den Benutzer als "​Anwesend"​ führen. Dazu einfach auf die Schaltfläche Anwesend klicken.{{ :​invis_server_wiki:​invisad-mailkonten7.png |}} Abschließend müssen Sie zumindest beim Erstanlegen eines externen Kontos den Benutzer als "​Anwesend"​ führen. Dazu einfach auf die Schaltfläche Anwesend klicken.{{ :​invis_server_wiki:​invisad-mailkonten7.png |}}
  
-==== Mailkonto löschen ​====+=== Mailkonto löschen ===
  
 Zum Löschen eines externen Kontos müssen Sie einfach auf die Schaltfläche "Konto löschen"​ klicken und dann aus der Liste der Konten des Benutzers das zu löschende Auswählen. Klicken Sie zum Löschen einfach auf die Schaltfläche "​Löschen"​ links neben dem zu entfernenden Konto.{{ :​invis_server_wiki:​invisad-mailkonten8.png |}} Zum Löschen eines externen Kontos müssen Sie einfach auf die Schaltfläche "Konto löschen"​ klicken und dann aus der Liste der Konten des Benutzers das zu löschende Auswählen. Klicken Sie zum Löschen einfach auf die Schaltfläche "​Löschen"​ links neben dem zu entfernenden Konto.{{ :​invis_server_wiki:​invisad-mailkonten8.png |}}
Zeile 269: Zeile 292:
 Der im Screenshot gezeigte Warntext ist ernst gemeint. Es erfolgt beim Löschen keine Sicherheitsabfrage,​ es wird unmittelbar gelöscht. Der im Screenshot gezeigte Warntext ist ernst gemeint. Es erfolgt beim Löschen keine Sicherheitsabfrage,​ es wird unmittelbar gelöscht.
  
-==== weitere Funktionen ​====+=== weitere Funktionen ===
  
 Grundsätzlich sind alle weiteren Funktionen von CorNAz in Ihrer Anwendung weitgehend selbsterklärend. ​ Grundsätzlich sind alle weiteren Funktionen von CorNAz in Ihrer Anwendung weitgehend selbsterklärend. ​
Zeile 285: Zeile 308:
 Diese Funktion generiert nach Wunsch Abwesenheitsbenachrichtigungen. Sie wurde von uns in letzter Zeit allerdings etwas stiefmütterlich behandelt, da Kopano, andere Groupwaresysteme und auch Roundcubemail eine solche Funktion selbst anbieten. Diese Funktion generiert nach Wunsch Abwesenheitsbenachrichtigungen. Sie wurde von uns in letzter Zeit allerdings etwas stiefmütterlich behandelt, da Kopano, andere Groupwaresysteme und auch Roundcubemail eine solche Funktion selbst anbieten.
  
 +==== Administrative Mailkontenverwaltung auf der Kommandozeile ====
  
 +Insgesamt zählen (bisher / V. 14.3) 3 einzelne Scripts zur Mailkontenverwaltung:​
 +
 +  * //​**addmailaccount**//​ - Dient dem zuordnen externer Mailkonten zu einem lokalen Benutzerkonto. Es hinterlegt die Zugangsdaten dieses Mailkontos im ActiveDirectory.
 +  * //​**changemacstate**//​ - Damit läßt sich der Status eines Benutzers zwischen an- und abwesend ändern. D.h. Emails werden beim Provider abgerufen, oder eben nicht. Das hat nichts mit eine Abwesenheitsbenachrichtigung zu tun. Neue Mails verbleiben einfach beim Provider.
 +  * //​**refreshfrc**//​ - Wurden beispielsweise via phpLDAPAdmin Änderungen an den Zugangsdaten eines Email-Postfachs vorgenommen,​ müssen diese Daten in die aktive fetchmailrc-Datei übernommen werden um wirksam zu sein. Das Script generiert die fetchmailrc-Datei einfach neu auf Basis der bestehenden. D.h. ist ein Benutzer als "​abwesend"​ geführt ändert das Script daran nichts.
  
 ===== Geräte und Computer ins Netzwerk integrieren ===== ===== Geräte und Computer ins Netzwerk integrieren =====
Zeile 379: Zeile 408:
   - Sie handeln hier auf eigene Gefahr, dessen sollten Sie sich bewusst sein!   - Sie handeln hier auf eigene Gefahr, dessen sollten Sie sich bewusst sein!
  
 +===== Sonderfunktionen im invis-Portal (Ab invis-Server Version 14.1) =====
  
 +Die administrative-Seite "​Funktionen"​ im invis-Portal bildet eine Schnittstelle zur Ausführung administrativer Shell-Scripts auf am Server auszuführen,​ ohne sich an dessen Konsole anzumelden.
  
 +Derzeit vorhandene Funktionen:
  
 +  * **Maschinenkonten erweitern** - Gedacht um Maschinen-Konten mit UNIX-Attributen zu erweitern. Notwendig ist das um beispielsweise Maschinen-Konten Zugriff auf Fileserver-Freigaben zu gewähren, etwa wenn Software via GPOs ausgerollt wird.
 +  * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse,​ die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird. 
 +  * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus.
 +  * **Benutzerdaten bereinigen** - (Ab Version 14.2) Wird ein Benutzerkonto gelöscht, verbleiben dessen Kopano- und ownCloud-Daten im jeweiligen System. Sie können über diese Funktion unter Angabe des Benutzernamens **endgültig** gelöscht werden. ​
 +
 +Die Integration weiterer Scripts ist in Planung.
 ===== Konsolenzugriff ===== ===== Konsolenzugriff =====
  
Zeile 681: Zeile 719:
 Sorgen Sie dafür, dass Ihr invis Server über den Maintenance-Zeitraum der zugrunde liegenden openSUSE Version immer mit den aktuellen Sicherheits-Updates versorgt wird. Sorgen Sie dafür, dass Ihr invis Server über den Maintenance-Zeitraum der zugrunde liegenden openSUSE Version immer mit den aktuellen Sicherheits-Updates versorgt wird.
  
-invis-Server ​bringen seit Version invisAD 10.1 ein "​Updater Script"​ mitGedacht ​ist es als "fire & forget"​ Updater für funktionsunkritische Sicherheitsaktualisierungen. Es werden dabei bestimmte Updates ​wie etwa solche installierter SQL-Dienste und auch Updates die einen Neustart erfordern ausgeklammertDas Script kümmert sich selbsttätig um das Neustarten betroffener Dienste und die Anwendung ​des invis //​**afterup**//​ ScriptsRufen sie es einfach ohne weitere Optionen auf:+Dabei ist zwischen dem Aktualisieren aller installierten Pakete und dem exklusiven Installieren von Sicherheitsupdates der Distribution. Ersteres ist nicht ganz frei von Gefahren. Beim Aktualisieren aller Pakete könnte beispielsweise auch das invis-Server ​Setup-Paket installiert werdenDas ist solange ungefährlich, ​wie dieses Paket keine strukturellen Änderungen am Server vornimmtIst dies doch der Fall kann die Funktionsweise ​des Servers erheblich gestört werden. Lesen Sie dafür hier im Wiki die Beschreibungen im Abschnitt Server Upgrade.
  
-<​code>​ +Wenn Sie wissen, was Sie tun läuft eine vollständige Aktualisierung ​wie folgt ab:
-invis:~ # invis-updater +
-</​code>​ +
- +
-Eine vollständige Aktualisierung ​können Sie mit //​**zypper**//​ durchführen:+
  
 <​code>​ <​code>​
Zeile 695: Zeile 729:
 </​code>​ </​code>​
  
-Es ist weder notwendig noch ratsam ein "​Distribution Upgrade"​ mit **//zypper dup//** durchzuführen.+//​**Hinweis:​** ​Es ist weder notwendig noch ratsam ein "​Distribution Upgrade"​ mit **zypper dup** durchzuführen!//
  
 Möchten Sie lediglich die Sicherheitspatches der Distribution installieren können Sie dies mit "YaST Online Update"​ (kurz: you) erledigen: Möchten Sie lediglich die Sicherheitspatches der Distribution installieren können Sie dies mit "YaST Online Update"​ (kurz: you) erledigen:
Zeile 703: Zeile 737:
 </​code>​ </​code>​
  
 +Dabei werden definitiv nur Patches installiert,​ die keine strukturellen Veränderungen am Setup mitbringen.
 ==== SMTP-Relay / SMTP-Auth ​ für Postfix einrichten ==== ==== SMTP-Relay / SMTP-Auth ​ für Postfix einrichten ====
 invis Server sind meist via DSL mit dem Internet verbunden, verfügen also nicht über eine dauerhafte Internet-Anbindung. Das macht sie aus Sicht vieler Internet-Mailserver **zurecht** nicht vertrauenswürdig. Um aus dieser Situation heraus zuverlässig Emails versenden zu können, wird für den Mailversand eine Relais-Station (Relay-Server) benötigt, die uns vertraut. Dabei handelt es sich eigentlich um nichts anderes als die Konfiguration eines Postausgangsservers,​ so wie das auch in Mail-Clients gemacht wird. invis Server sind meist via DSL mit dem Internet verbunden, verfügen also nicht über eine dauerhafte Internet-Anbindung. Das macht sie aus Sicht vieler Internet-Mailserver **zurecht** nicht vertrauenswürdig. Um aus dieser Situation heraus zuverlässig Emails versenden zu können, wird für den Mailversand eine Relais-Station (Relay-Server) benötigt, die uns vertraut. Dabei handelt es sich eigentlich um nichts anderes als die Konfiguration eines Postausgangsservers,​ so wie das auch in Mail-Clients gemacht wird.
Zeile 768: Zeile 803:
  
   * Erzeugen und Verlängern des LDAP-Server Zertifikats.   * Erzeugen und Verlängern des LDAP-Server Zertifikats.
-  * Erzeugen und Verlängern des Zertifikats für externen Zugriff. ​Es wird sowohl vom Apache-Webserver für Portal-Zugriff,​ z-Push und ownCloud, sowie dem openCPN-Server genutzt.+  * Erzeugen und Verlängern des Zertifikats für externen Zugriff. ​Für den Fall, dass für externe Zugriffe nicht mit Let's Encrypt Zertifikaten gearbeitet ​wird, wird das so erzeugte "​Extern-Zertifikat" ​sowohl vom Apache-Webserver für Portal-Zugriff,​ z-Push und ownCloud, sowie dem openCPN-Server genutzt.
   * Erzeugen und Verlängern des Mailserver-Zertifikates.   * Erzeugen und Verlängern des Mailserver-Zertifikates.
   * Erzeugen, Sperren und Verlängern von VPN-Client-Zertifikaten.   * Erzeugen, Sperren und Verlängern von VPN-Client-Zertifikaten.
Zeile 774: Zeile 809:
  
 Nebenstehend erläutert ein Ablaufdiagramm die Funktionsweise des Scripts. Nebenstehend erläutert ein Ablaufdiagramm die Funktionsweise des Scripts.
- 
-Es ist dem Script, im Unterschied zu seinen Vorgängern,​ nicht mehr möglich noch gültige Zertifikate zu erneuern. Damit verstößt //​**inviscerts**//​ nicht mehr gegen gängige Regeln der Zertifikatsverwaltung. 
  
 Die voreingestellten Lebensdauern der Server- und Client-Zertifikate beträgt 730 Tage, also 2 Jahre. Die Lebensdauer der CA selbst liegt bei 10 Jahren. Ändern lässt sich dies in: <​file>/​etc/​easy-rsa/​vars</​file>​ Notwendig ist das aber nicht. Die voreingestellten Lebensdauern der Server- und Client-Zertifikate beträgt 730 Tage, also 2 Jahre. Die Lebensdauer der CA selbst liegt bei 10 Jahren. Ändern lässt sich dies in: <​file>/​etc/​easy-rsa/​vars</​file>​ Notwendig ist das aber nicht.
Zeile 792: Zeile 825:
   * **extern** - Zertifikat für den Zugriff via Internet, gilt sowohl für das invis-Portal,​ ActiveSync, Kopano-Webapp,​ ownCloud und OpenVPN. Wird auf den im Internet gültigen DDNS Namen des invis-Servers ausgestellt.   * **extern** - Zertifikat für den Zugriff via Internet, gilt sowohl für das invis-Portal,​ ActiveSync, Kopano-Webapp,​ ownCloud und OpenVPN. Wird auf den im Internet gültigen DDNS Namen des invis-Servers ausgestellt.
   * **vpn** - Erstellt OpenVPN Client-Zertifikate. Hier wird als "​Common Name" des Zertifikats der Hostname des Client-Computers erstellt. Alternativ ist auch "​vorname.zuname"​ des Anwenders möglich.   * **vpn** - Erstellt OpenVPN Client-Zertifikate. Hier wird als "​Common Name" des Zertifikats der Hostname des Client-Computers erstellt. Alternativ ist auch "​vorname.zuname"​ des Anwenders möglich.
-  * **crl** - Aktualisiert die "​Certificate Revocation List". Dies ist wichtig, damit speziell OpenVPN keine Zurückgezogenen ​Zertifikate mehr akzeptiert.+  * **crl** - Aktualisiert die "​Certificate Revocation List". Dies ist wichtig, damit speziell OpenVPN keine zurückgezogenen ​Zertifikate mehr akzeptiert.
  
 Ohne Option aufgerufen gibt //​**inviscerts**//​ einfach nur eine kurze Hilfe für dessen Verwendung aus. Ohne Option aufgerufen gibt //​**inviscerts**//​ einfach nur eine kurze Hilfe für dessen Verwendung aus.
Zeile 806: Zeile 839:
 Weitere Informationen zum Umgang mit easyRSA sind im deutschsprachigen Wiki von OpenVPN zu finden: [[http://​wiki.openvpn.eu/​index.php/​Erzeugen_einer_PKI_mit_EasyRSA|OpenVPN Wiki]] Weitere Informationen zum Umgang mit easyRSA sind im deutschsprachigen Wiki von OpenVPN zu finden: [[http://​wiki.openvpn.eu/​index.php/​Erzeugen_einer_PKI_mit_EasyRSA|OpenVPN Wiki]]
  
 +**Individuelle Zertifikate**
 +
 +Werden weitere individuelle Server- oder Client-Zertifikate,​ so ist dies direkt mit dem Kommando ''​easy-rsa''​ möglich.
 +
 +//​**Hinweis:​** Dabei ist zu beachten, dass Googles Chrome-Browser inzwischen verlangt, dass Server-Zertifikate das Attribut SubjectAltNames enthalten. Ohne dieses Attribut erfolgt immer eine Zertifikatswarnung.//​
 +
 +Ein Beispiel für ein Server-Zertifikat:​
 +
 +<​code>​
 +invis:~ # easyrsa --subject-alt-name="​DNS:​host.example.loc"​ build-server-full host.example.loc nopass
 +</​code>​
 +
 +Die Option "​nopass"​ am Ende des Kommandos sorgt dafür, dass der private Schlüssel seinerseits nicht mit einem Passwort verschlüsselt wird. Im Falle von Server-Zertifikaten erleichtert das den Umgang damit, da dem Server-Dienst ansonsten immer das Passwort mitgegeben werden müsste. Bei vielen Diensten ist dies gar nicht möglich.
 +
 +Beispiel für ein Client-Zertifikat:​
 +
 +<​code>​
 +invis:~ # easyrsa --subject-alt-name="​DNS:​host.pe.loc"​ build-client-full host.pe.loc nopass
 +</​code>​
 +
 +Zum Erstellen von Zertifikaten wird immer das Passwort des privaten CA-Schlüssels benötigt.
 +
 +Neue Zertifikate werden in: <​file>/​etc/​easy-rsa/​example.loc/​issued</​file>​ und die zugehörigen privaten Schlüssel in: <​file>/​etc/​easy-rsa/​example.loc/​private</​file>​ abgelegt.
 +
 +**PKCS#12**
 +
 +Werden Schlüsselpaare in PKCS12-Containerformat benötigt, können diese nach Erstellung der Schlüsselpaare als solche exportiert werden:
 +
 +<​code>​
 +invis:~ # easyrsa export-p12 host.example.loc
 +</​code>​
 +
 +Dabei fragt das Kommando nach einem Export-Passwort. Soll die p12-Datei nicht Passwort-verschlüsselt werden, kann die Passworteingabe durch einfaches Drücken der Enter-Taste quittiert werden.
 +
 +Zu finden sind die erstellten p12-Dateien in:  <​file>/​etc/​easy-rsa/​example.loc/​private</​file>​
 +
 +**Öffentlichen Schlüssel extrahieren**
 +
 +<​code>​
 +server14:~ # openssl x509 -in hostname.crt -noout -pubkey > hostname-public.pem
 +</​code>​
 === Zertifikate von Let's Encrypt (ab invis Version 12.1) === === Zertifikate von Let's Encrypt (ab invis Version 12.1) ===
  
Zeile 877: Zeile 951:
  
 invis-Server arbeiten als DNS-Server für die eigene lokale Domäne und als Forward-Nameserver für die Namensauflösung im Internet. Für letzteren Zweck nutzt der auf einem invis-Serverlaufende DNS-Dienst //​**bind**//​ seinerseits wieder Forward-Nameserver. Oft werden hierfür beispielsweise die DNS-Server des Internet-Providers oder der vorgeschaltete Router genutzt. Es kann vorkommen, beispielsweise bei einem Provider-Wechsel,​ dass auf andere DNS-Forwarders umgestellt werden muss. invis-Server arbeiten als DNS-Server für die eigene lokale Domäne und als Forward-Nameserver für die Namensauflösung im Internet. Für letzteren Zweck nutzt der auf einem invis-Serverlaufende DNS-Dienst //​**bind**//​ seinerseits wieder Forward-Nameserver. Oft werden hierfür beispielsweise die DNS-Server des Internet-Providers oder der vorgeschaltete Router genutzt. Es kann vorkommen, beispielsweise bei einem Provider-Wechsel,​ dass auf andere DNS-Forwarders umgestellt werden muss.
 +
 +//​**Hinweis:​** Die genutzten DNS-Forwarder werden bereits beim Setup des invis-Servers abgefragt. Ändern müssen Sie daran lediglich etwas, wenn einer der ursprünglich gwählten Server seinen Dienst einstellt.//​
  
 Die Einstellungen werden in der Datei <​file>/​etc/​named.conf</​file>​ vorgenommen. Hier können in der folgenden Zeile bis zu drei Nameserver eingetragen werden: Die Einstellungen werden in der Datei <​file>/​etc/​named.conf</​file>​ vorgenommen. Hier können in der folgenden Zeile bis zu drei Nameserver eingetragen werden:
Zeile 910: Zeile 986:
 Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**//​ Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**//​
  
 +==== Volumes vergrößern ====
 +
 +Wird an irgendeiner Stelle des Servers der Plattenplatz knapp, kann dieser -- die Nutzung von LVM vorausgesetzt -- zur Laufzeit des Servers erweitert werden.
 +
 +Schauen Sie immer zunächst nach, wie viel ungenutzer Platz zur Verfügung steht:
 +
 +<​code>​
 +invis:~ # pvscan ​
 +  PV /​dev/​md0 ​  VG system ​         lvm2 [21,83 TiB / 10,49 TiB free]
 +  Total: 1 [21,83 TiB] / in use: 1 [21,83 TiB] / in no VG: 0 [0   ]
 +</​code>​
 +
 +Im gezeigten Beispiel sind es knapp 10,5TB. Dieser Platz kann nach Bedarf portionsweise auf die verschiedenen Volumes "​root",​ "​home",​ "​var"​ und "​srv"​ verteilt werden.
 +
 +Das vergrößern eines Volumes geht wie folgt:
 +
 +<​code>​
 +invis:~ # lvresize -L +1TB /​dev/​system/​srv
 +</​code>​
 +
 +Damit wird lediglich das Volume selbst vergrößert,​ nicht aber das Dateisystem. Dies zu vergrößern ist ein eigener Arbeitsschritt. Dieser ist vom verwendeten Dateisystem ab:
 +
 +**ext4, xfs**
 +
 +<​code>​
 +invis:~ # reseize2fs /​dev/​system/​srv
 +</​code>​
 +
 +**btrfs**
 +
 +Hier wird nicht das Dateisystem angegeben, sondern ​ der Mount-Point. Da wir üblicherweise nur das Root-Dateisystem mit btrfs formatieren,​ hier der zugehörige Befehl zum Vergrößern:​
 +
 +<​code>​
 +invis:~ # btrfs filesystem resize max /
 +</​code>​
 +
 +In beiden Fällen, wird automatisch der gesamte zur Verfügung stehende Platz genutzt.
 ===== System allgemein ===== ===== System allgemein =====
  
Zeile 969: Zeile 1082:
  
 Jetzt können Sie in phpVirtualBox die Fernsteuerung der virtuellen Maschinen via RDP konfigurieren. Jetzt können Sie in phpVirtualBox die Fernsteuerung der virtuellen Maschinen via RDP konfigurieren.
 +
 +==== Router Tausch ====
 +
 +Wird der Router für den Internetzugangs getauscht, hat das auch Auswirkungen auf den invis-Server. Klar sollte sein, dass beim neuen Router wieder die für den invis-Server erforderlichen Portweiterleitungen eingerichtet werden (80/TCP, 443/TCP, 1194/UDP sowie die verschobenen Ports für HTTPs Zugriff aufs invis-Portal und den SSH-Zugriff (beides TCP)). Die beiden verschobenen Ports können Sie den Dateien <​file>/​etc/​ssh/​sshd_conf</​file>​ und <​file>/​etc/​apache2/​listen.conf</​file>​ entnehmen.
 +
 +So Ihr invis-Server seine externe IP-Adresse per DHCP vom Router erhält sorgen Sie dafür, dass er für seine IP-Adresse im Router eine feste Reservierung erhält.
 +
 +Für den nicht unwahrscheinlichen Fall, dass Ihr invis-Server nach dem Router-Tausch eine neue IP-Adresse erhält, müssen Sie diese in die Apache-Konfiguration für die Erneuerung der Let's Encrypt Zertifikate eintragen.
 +
 +Zu finden ist die anzupassende Stelle der Konfiguration in: <​file>/​etc/​apache2/​vhosts.d/​vh-dehydrated.conf</​file>​
 +
 +Tragen Sie dort im VirtualHost-Tag die neue IP-Adresse ein und starten Sie den Webserver neu.
 +
 +<​code>​
 +# Alias definition for dehytrated wellknown output directory for challenge-hooks
 +# Stefan Schaefer - stefan@invis-server.org
 +
 +<​Virtualhost 192.168.178.21:​80>​
 +    ServerName dhxxx.example.de ​
 +    DocumentRoot /​srv/​www/​htdocs/​dehydrated
 +...
 +</​code>​
 +
 +<​code>​
 +invis:~ # systemctl restart apache2.service
 +</​code>​
 +
  • invis_server_wiki/administration.1559464104.txt.gz
  • Zuletzt geändert: 2019/06/02 08:28
  • von flacco