invis_server_wiki:administration

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
invis_server_wiki:administration [2020/06/26 08:22]
flacco
invis_server_wiki:administration [2024/10/15 05:30] (aktuell)
flacco [Administrative Mailkontenverwaltung auf der Kommandozeile]
Zeile 7: Zeile 7:
 Zur Administration des Servers gehören Störungsbeistand und natürlich wiederkehrende Aufgaben, wie das Einspielen von Updates, das Verwalten von Benutzern und Gruppen oder das Verwalten von Mailkonten. Einige dieser Aufgaben lassen sich bequem über das invis-Portal andere hingegen lediglich auf der Kommandozeile des Servers erledigen. Sowohl das invis-Portal,​ inklusive weiterer installierter Administrationswerkzeuge als auch die Kommandozeile des sind sowohl aus dem lokalen Netzwerk als auch via Internet erreichbar. Letzteres setzt allerdings einen korrekt konfigurierten Router und funktionierendes DDNS voraus. Zur Administration des Servers gehören Störungsbeistand und natürlich wiederkehrende Aufgaben, wie das Einspielen von Updates, das Verwalten von Benutzern und Gruppen oder das Verwalten von Mailkonten. Einige dieser Aufgaben lassen sich bequem über das invis-Portal andere hingegen lediglich auf der Kommandozeile des Servers erledigen. Sowohl das invis-Portal,​ inklusive weiterer installierter Administrationswerkzeuge als auch die Kommandozeile des sind sowohl aus dem lokalen Netzwerk als auch via Internet erreichbar. Letzteres setzt allerdings einen korrekt konfigurierten Router und funktionierendes DDNS voraus.
  
-Hinweise dazu, wie Sie Ihren Router konfigurieren finden Sie **[[https://​wiki.invis-server.org/​doku.php/invis_server_wiki:​installation:​post-140#router|hier]]**.+Hinweise dazu, wie Sie Ihren Router konfigurieren finden Sie **[[https://​wiki.invis-server.org/​doku.php?id=invis_server_wiki:​installation:​post-140|hier]]**. 
 + 
 +//​**Hinweis:​** Die nachfolgenden Anleitungen werden immer wieder aktualisiert und erweitert, d.h. Sie beziehen sich primär auf die jeweils aktuellen Versionen des  
 +invis-Servers.//​
  
-//​**Hinweis:​** Die nachfolgenden Anleitungen werden immer wieder aktualisiert und erweitert, d.h. Sie beziehen sich primär auf die jeweils aktuellen Versionen des invis-Servers.//​ 
 ===== invis Portal ===== ===== invis Portal =====
  
Zeile 161: Zeile 163:
   * **Mail-Verteiler:​** Dient nicht der Rechtevergabe,​ sondern kann mit Email-Adressen gefüllt werden um später als Email-Verteilerliste zu dienen. ​   * **Mail-Verteiler:​** Dient nicht der Rechtevergabe,​ sondern kann mit Email-Adressen gefüllt werden um später als Email-Verteilerliste zu dienen. ​
  
-Neben dem Gruppentyp, können Sie ab invis-Server Version 14.0 entscheiden,​ ob der Gruppe eine Arbeitsverzeichnis zur Verfügung gestellt wird oder nicht. Wenn Sie ein Gruppenverzeichnis wünschen, können Sie überdies entscheiden ob ein leeres Verzeichnis oder ein Verzeichnis auf Basis einer Verzeichnisvorlage,​ also inklusive Unterverzeichnissen erstellt wird. 
  
-{{ :​invis_server_wiki:​neue_gruppe.png?​400 |}} 
- 
-Die Verzeichnisvorlagen werden in der Netzwerkfreigabe "​media"​ im Unterverzeichnis <​file>​\portal\verzeichnisvorlagen</​file>​ gepflegt. Mitglieder der Gruppe "​diradmins"​ dürfen dort Verzeichnisstrukturen anlegen. Das invis-Portal schaut dort selbsttätig nach und zeigt diese dann zur Auswahl an. 
- 
-Es empfiehlt sich die Verzeichnisvorlagen nach dem Schema "​01_Vorlagenname"​ durchnummeriert zu benennen. Das invis-Portal zeigt die Vorlagen genau in der nummerierten Reihenfolge an. 
 ==== Benutzer ==== ==== Benutzer ====
  
Zeile 188: Zeile 184:
   - **Passwort:​** Es gelten hier die Passwortregeln des ActiveDirectory. Diese können mit Hilfe des Tools //​**pwsettings**//​ auf der Kommandozeile des invis-Servers definiert werden. Werden Veränderungen hinsichtlich der Passwortregeln vorgenommen müssen diese in der Konfigurationsdatei des invis-Portals ([[https://​wiki.invis-server.org/​doku.php/​invis_server_wiki:​administration#​passwortsicherheit|siehe oben]]) übernommen werden.   - **Passwort:​** Es gelten hier die Passwortregeln des ActiveDirectory. Diese können mit Hilfe des Tools //​**pwsettings**//​ auf der Kommandozeile des invis-Servers definiert werden. Werden Veränderungen hinsichtlich der Passwortregeln vorgenommen müssen diese in der Konfigurationsdatei des invis-Portals ([[https://​wiki.invis-server.org/​doku.php/​invis_server_wiki:​administration#​passwortsicherheit|siehe oben]]) übernommen werden.
  
 +==== Verzeichnisvorlagen ====
 +
 +Neben dem Gruppentyp, können Sie ab invis-Server Version 14.0 entscheiden,​ ob der Gruppe eine Arbeitsverzeichnis zur Verfügung gestellt wird oder nicht. Wenn Sie ein Gruppenverzeichnis wünschen, können Sie überdies entscheiden ob ein leeres Verzeichnis oder ein Verzeichnis auf Basis einer Verzeichnisvorlage,​ also inklusive Unterverzeichnissen erstellt wird.
 +
 +{{ :​invis_server_wiki:​neue_gruppe.png?​400 |}}
 +
 +Die Verzeichnisvorlagen werden in der Netzwerkfreigabe "​media"​ im Unterverzeichnis <​file>​\portal\verzeichnisvorlagen</​file>​ gepflegt. Mitglieder der Gruppe "​diradmins"​ dürfen dort Verzeichnisstrukturen anlegen. Das invis-Portal schaut dort selbsttätig nach und zeigt diese dann zur Auswahl an.
 +
 +Es empfiehlt sich die Verzeichnisvorlagen nach dem Schema "​01_Vorlagenname"​ durchnummeriert zu benennen. Das invis-Portal zeigt die Vorlagen genau in der nummerierten Reihenfolge an.
 ==== Exit Strategie ==== ==== Exit Strategie ====
  
Zeile 240: Zeile 245:
  
 Damit sind alle erforderlichen Schritte getan. Damit sind alle erforderlichen Schritte getan.
 +
 ===== Mailkonten verwalten ===== ===== Mailkonten verwalten =====
  
Zeile 248: Zeile 254:
   - **Mailkontenverwaltung des invis-Servers:​** Hier wird das externe Mailkonto dem lokalen Benutzer zugeordnet. Diese Zuordnung wird nachfolgend beschrieben.   - **Mailkontenverwaltung des invis-Servers:​** Hier wird das externe Mailkonto dem lokalen Benutzer zugeordnet. Diese Zuordnung wird nachfolgend beschrieben.
  
-==== Mailkonten "​zuordnen" ​====+//​**Hinweis:​** Ab invis-Server Version 14.3 können Mailkonten auch vollständig administrativ auf der Kommandozeile verwaltet werden. Die Grund-Idee bei der Entwicklung des invis-Servers war eigentlich, dass wir die Kontenverwaltung,​ so einfach gestalten, dass Anwender sich selbst darum kümmern können. Leider wird dieses Angebot nicht angenommen. Meine persönliche Meinung ist, dass die meisten Anwender, trotz einfacher Gestaltung dazu nicht mehr in der Lage sind, da sie die Hintergründe nicht "​mehr"​ verstehen.//​ 
 + 
 +//​**Achtung:​** Auf invis-Servern vor Version 14.0 erfolgte die Anmeldung an CorNAz gegen den auf dem invis-Server installierten IMAP-Dienst. Verfügt der Benutzer nicht über ein lokales Postfach (dies ist abhängig vom Benutzertyp) schlägt die Anmeldung fehl. Das war gewünschtes Verhalten, da es keinen Sinn macht Emails von einem externen Server abzuholen, wenn diese nicht in einem lokalen Konto abgelegt werden können. Aus technischen Gründen ist das auf neueren Systemen nicht mehr so. Passen Sie also auf, dass der lokale Benutzer beispielsweise auch die Berechtigung hat etwa die Groupware Kopano zu verwenden. Ohne diese Berechtigungen könnten eingehende Mails nicht lokal zugestellt werden.// 
 +==== Mailkontenverwaltung via invis-Portal ==== 
 + 
 +=== Mailkonten "​zuordnen"​ ===
 Noch aus den Anfangstagen des invis-Servers stammt das Programm "​CorNAz"​ zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "​local"​{{ :​invis_server_wiki:​invisad-mailkonten1.png?​250|}} des Portals hinter der Schaltfläche "​Mailkonten"​. CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden. Noch aus den Anfangstagen des invis-Servers stammt das Programm "​CorNAz"​ zur Verwaltung von Email-Konten. Zu finden ist es in der Rubrik "​local"​{{ :​invis_server_wiki:​invisad-mailkonten1.png?​250|}} des Portals hinter der Schaltfläche "​Mailkonten"​. CorNAz steht jedem Benutzer des Servers zur Verfügung, es benötigt also keinen administrativen Zugang zum invis-Portal. Ziel dahinter ist, dass Benutzer in der Lage sein sollen Ihre Mailkonten selbst zu verwalten. Dabei können jedem lokalen Benutzer beliebig viele externe Mailkonten zugeordnet werden.
  
Zeile 261: Zeile 272:
  
 CorNAz verlangt eine gesonderte Anmeldung desjenigen lokalen Benutzers, dessen externe Mailkonten verwaltet werden sollen. Benötigt werden die Zugangsdaten des Benutzers die er auch zur Anmeldung am PC benötigt. {{ :​invis_server_wiki:​invisad-mailkonten2.png?​200|}} CorNAz verlangt eine gesonderte Anmeldung desjenigen lokalen Benutzers, dessen externe Mailkonten verwaltet werden sollen. Benötigt werden die Zugangsdaten des Benutzers die er auch zur Anmeldung am PC benötigt. {{ :​invis_server_wiki:​invisad-mailkonten2.png?​200|}}
- 
-//​**Achtung:​** Auf invis-Servern vor Version 14.0 erfolgte die Anmeldung an CorNAz gegen den auf dem invis-Server installierten IMAP-Dienst. Verfügt der Benutzer nicht über ein lokales Postfach (dies ist abhängig vom Benutzertyp) schlägt die Anmeldung fehl. Das war gewünschtes Verhalten, da es keinen Sinn macht Emails von einem externen Server abzuholen, wenn diese nicht in einem lokalen Konto abgelegt werden können. Aus technischen Gründen ist das auf neueren Systemen nicht mehr so. Passen Sie also auf, dass der lokale Benutzer beispielsweise auch die Berechtigung hat etwa die Groupware Kopano zu verwenden. Ohne diese Berechtigungen könnten eingehende Mails nicht lokal zugestellt werden.// 
  
 Nach der Anmeldung stehen die verschiedenen Funktionen über entsprechende Schaltflächen zur Verfügung.{{ :​invis_server_wiki:​invisad-mailkonten3.png |}} Nach der Anmeldung stehen die verschiedenen Funktionen über entsprechende Schaltflächen zur Verfügung.{{ :​invis_server_wiki:​invisad-mailkonten3.png |}}
  
-==== Mailkonto anlegen ​====+=== Mailkonto anlegen ===
  
 Klicken Sie auf die Schaltfläche "Konto hinzufügen"​. Das Anlegen erfolgt in zwei Schritten. Im ersten Schritt können (müssen aber nicht) Sie einen Mailprovider aus einer Liste bekannter Provider auswählen und wenn gewünscht IMAP als Protokoll für den Mailabruf bevorzugen. Beides ist nicht notwendig, es kann im nächsten Schritt alles manuell angepasst werden.{{ :​invis_server_wiki:​invisad-mailkonten4.png |}}  Klicken Sie auf die Schaltfläche "Konto hinzufügen"​. Das Anlegen erfolgt in zwei Schritten. Im ersten Schritt können (müssen aber nicht) Sie einen Mailprovider aus einer Liste bekannter Provider auswählen und wenn gewünscht IMAP als Protokoll für den Mailabruf bevorzugen. Beides ist nicht notwendig, es kann im nächsten Schritt alles manuell angepasst werden.{{ :​invis_server_wiki:​invisad-mailkonten4.png |}} 
Zeile 280: Zeile 289:
 Abschließend müssen Sie zumindest beim Erstanlegen eines externen Kontos den Benutzer als "​Anwesend"​ führen. Dazu einfach auf die Schaltfläche Anwesend klicken.{{ :​invis_server_wiki:​invisad-mailkonten7.png |}} Abschließend müssen Sie zumindest beim Erstanlegen eines externen Kontos den Benutzer als "​Anwesend"​ führen. Dazu einfach auf die Schaltfläche Anwesend klicken.{{ :​invis_server_wiki:​invisad-mailkonten7.png |}}
  
-==== Mailkonto löschen ​====+=== Mailkonto löschen ===
  
 Zum Löschen eines externen Kontos müssen Sie einfach auf die Schaltfläche "Konto löschen"​ klicken und dann aus der Liste der Konten des Benutzers das zu löschende Auswählen. Klicken Sie zum Löschen einfach auf die Schaltfläche "​Löschen"​ links neben dem zu entfernenden Konto.{{ :​invis_server_wiki:​invisad-mailkonten8.png |}} Zum Löschen eines externen Kontos müssen Sie einfach auf die Schaltfläche "Konto löschen"​ klicken und dann aus der Liste der Konten des Benutzers das zu löschende Auswählen. Klicken Sie zum Löschen einfach auf die Schaltfläche "​Löschen"​ links neben dem zu entfernenden Konto.{{ :​invis_server_wiki:​invisad-mailkonten8.png |}}
Zeile 286: Zeile 295:
 Der im Screenshot gezeigte Warntext ist ernst gemeint. Es erfolgt beim Löschen keine Sicherheitsabfrage,​ es wird unmittelbar gelöscht. Der im Screenshot gezeigte Warntext ist ernst gemeint. Es erfolgt beim Löschen keine Sicherheitsabfrage,​ es wird unmittelbar gelöscht.
  
-==== weitere Funktionen ​====+=== weitere Funktionen ===
  
 Grundsätzlich sind alle weiteren Funktionen von CorNAz in Ihrer Anwendung weitgehend selbsterklärend. ​ Grundsätzlich sind alle weiteren Funktionen von CorNAz in Ihrer Anwendung weitgehend selbsterklärend. ​
Zeile 302: Zeile 311:
 Diese Funktion generiert nach Wunsch Abwesenheitsbenachrichtigungen. Sie wurde von uns in letzter Zeit allerdings etwas stiefmütterlich behandelt, da Kopano, andere Groupwaresysteme und auch Roundcubemail eine solche Funktion selbst anbieten. Diese Funktion generiert nach Wunsch Abwesenheitsbenachrichtigungen. Sie wurde von uns in letzter Zeit allerdings etwas stiefmütterlich behandelt, da Kopano, andere Groupwaresysteme und auch Roundcubemail eine solche Funktion selbst anbieten.
  
 +==== Administrative Mailkontenverwaltung auf der Kommandozeile ====
  
 +Insgesamt zählen (bisher / V. 14.3) 3 einzelne Scripts zur Mailkontenverwaltung:​
  
-===== Geräte und Computer ins Netzwerk integrieren =====+  * //​**addmailaccount**//​ - Dient dem zuordnen externer Mailkonten zu einem lokalen Benutzerkonto. Es hinterlegt die Zugangsdaten dieses Mailkontos im ActiveDirectory. 
 +  * //​**changemacstate**//​ - Damit läßt sich der Status eines Benutzers zwischen an- und abwesend ändern. D.h. Emails werden beim Provider abgerufen, oder eben nicht. Das hat nichts mit eine Abwesenheitsbenachrichtigung zu tun. Neue Mails verbleiben einfach beim Provider. 
 +  * //​**refreshfrc**//​ - Wurden beispielsweise via phpLDAPAdmin Änderungen an den Zugangsdaten eines Email-Postfachs vorgenommen,​ müssen diese Daten in die aktive fetchmailrc-Datei übernommen werden um wirksam zu sein. Das Script generiert die fetchmailrc-Datei einfach neu auf Basis der bestehenden. D.h. ist ein Benutzer als "​abwesend"​ geführt ändert das Script daran nichts. 
 + 
 +Die Scripts sind dazu gedacht, es dem Administrator einfach zu machen Mailkonten der Anwender zu verwalten. Via Portal benötigt er das Passwort des jeweiligen Benutzers, nicht schön. Kümmern sich die Benutzer (was leider quasi immer der Fall ist) nicht um ihre eigenen Mailkonten ist es für den Admin via Portal umständlich Mailkonten zu verwalten. Mit den Scripts ändert sich das. Das Anlegen eines neuen Mailkontos inkl. der Zuordnung zum lokalen Benutzer wird wie folgt eingeleitet:​ 
 + 
 +<​code>​ 
 +invis:~ # addmailaccount username 
 +</​code>​ 
 + 
 +Es öffnet sich ein "​Dialog-Formular",​ in dem alle Daten eingetragen werden können. Das Script schreibt diese Informationen dann ins ActiveDirectory. 
 + 
 +Um dann den Mailabruf einzuschalten genügt folgendes Kommando: 
 + 
 +<​code>​ 
 +invis:~ # changemacstate username a 
 +</​code>​ 
 + 
 +Der Buchstabe "​d"​ anstelle von "​a"​ würde den Mailabruf wieder deaktivieren. 
 +===== Physische ​Geräte und Computer ins Netzwerk integrieren =====
  
 Bei der Integration eines neuen Gerätes, wie beispielsweise einen PC oder einen Netzwerkdrucker,​ in Ihr Netzwerk sorgen Sie dafür, dass dieses Gerät immer unter der gleichen IP-Adresse mit dem Netzwerk verbunden ist und es über einen von Ihnen festzulegenden Namen ansprechbar ist. Dahinter stehen die Dienste DNS (Namensauflösung) und DHCP (IP-Adressvergabe). Bei der Integration eines neuen Gerätes, wie beispielsweise einen PC oder einen Netzwerkdrucker,​ in Ihr Netzwerk sorgen Sie dafür, dass dieses Gerät immer unter der gleichen IP-Adresse mit dem Netzwerk verbunden ist und es über einen von Ihnen festzulegenden Namen ansprechbar ist. Dahinter stehen die Dienste DNS (Namensauflösung) und DHCP (IP-Adressvergabe).
Zeile 366: Zeile 396:
 Handelt es sich bei Ihrem Gerät um Netzwerkhardware (Acce-Point,​ Switch usw.) oder einen Netzwerkdrucker,​ verfügt dieses/​dieser garantiert über eine Webapplikation zur Konfiguration. Geben Sie einfach die IP-Adresse oder den vollen Namen des Gerätes mit vorangestelltem **''​http''​** in einem Browser ein. Wenn Sie auf dem Gerät landen, hat alles funktioniert. Handelt es sich bei Ihrem Gerät um Netzwerkhardware (Acce-Point,​ Switch usw.) oder einen Netzwerkdrucker,​ verfügt dieses/​dieser garantiert über eine Webapplikation zur Konfiguration. Geben Sie einfach die IP-Adresse oder den vollen Namen des Gerätes mit vorangestelltem **''​http''​** in einem Browser ein. Wenn Sie auf dem Gerät landen, hat alles funktioniert.
  
 +===== Virtuelle Maschinen ins Netz integrieren =====
 +
 +Ab invis-Server 15.0 werden virtuelle Maschinen nicht mehr per Netzwerkbrücke mit dem internen (lokalen) Netz des invis-Servers verbunden. Diese Art der Anbindung bremst sowohl die VMs selbst, als auch den Zugriff darauf. Virtuelle Maschinen werden in ein eigenes Subnetz integriert und dies geschieht nicht über das invis-Portal sondern über neue Scripts. Die nachfolgende Abbildung verdeutlicht die neue Umgebung.
 +
 +{{ :​invis_server_wiki:​invis-server-virtualbox-host-only-netze.png?​800 |VMs im Netz}}
 +  ​
 +Durch die Integration der VMs in ein eigenes Subnetz, welches aus Sicht von Virtualbox als "​Host-only-Subnetz"​ sichtbar ist, teilen sich nicht mehr der invis-Server selbst und alle VMs die physische interne Netzwerkschnittstelle,​ wie es mit Netzwerkbrücken der Fall ist. Dadurch werden "​Hänger"​ beim Zugriff auf die VMs vermieden und sie reagieren deutlich schneller auf Anfragen.
 +
 +Die Subnetze werden dennoch vom lokalen DHCP-Dienst des invis-Servers mit IP-Adressen und Netzwerkinformationen versorgt. Sie sind der selben Firewall-Zone zugehörig wie das interne Netz und sind von dort aus ungehindert erreichbar.
 +
 +Zunächst muss dafür ein Subnetz eingerichtet werden. Dieses muss zum einen Virtualbox als Host-only-Subnetz bekannt gemacht werden. Dem lokalen DHCP-Dienst und der internen Zone der Firewall muss die dafür am invis-Server endende virtuelle Netzwerkschnittstelle des Subnetzes zugeordnet werden. Das alles wird mit dem Toolbox-Script //​**addvbsubnet**//​ in einem Schritt erledigt (Anwendung, siehe Toolbox hier im Wiki).
 +
 +Danach können VMs aus diesem Netz mit dem Script //​**addvm2subnet**//​ mit einer festen DHCP-Lease und DNS-Einträgen versorgt werden (Anwendung, siehe Toolbox hier im Wiki).
 +
 +//​**Hinweis:​** Bei vorhandenen per Netzwerkbrücke verbundenen VMs, müssen die bestehenden DHCP- und DNS Einträge zunächst per invis-Portal gelöscht werden, bevor sie dem neuen Subnetz zugeordnet werden können.//
 ===== Dienste ===== ===== Dienste =====
  
Zeile 403: Zeile 448:
  
   * **Maschinenkonten erweitern** - Gedacht um Maschinen-Konten mit UNIX-Attributen zu erweitern. Notwendig ist das um beispielsweise Maschinen-Konten Zugriff auf Fileserver-Freigaben zu gewähren, etwa wenn Software via GPOs ausgerollt wird.   * **Maschinenkonten erweitern** - Gedacht um Maschinen-Konten mit UNIX-Attributen zu erweitern. Notwendig ist das um beispielsweise Maschinen-Konten Zugriff auf Fileserver-Freigaben zu gewähren, etwa wenn Software via GPOs ausgerollt wird.
-  * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse,​ die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird. +  * **Fix Groupshare ACLs** - Damit können „verkorkste“ Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück gesetzt werden. Gleichzeitig werden Verzeichnisse,​ die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt, indem die Endung „-bitte_Support_anrufen“ an die Verzeichnisnamen anhängt wird. **Achten** Sie bei Nutzung dieser Funktion unbedingt darauf, dass Sie über eine aktuelle Datensicherung verfügen. Das zugrunde liegende Script "​könnte"​ über merkwürdige Datei- und Verzeichnisnamen stolpern. Mit "​merkwürdig"​ ist die Verwendung von Sonderzeichen in Dateinamen gemeint. Wir haben versucht das Script so gut es geht, dagegen zu immunisieren,​ 100 prozentige Sicherheit gibt es aber nicht. Die unangenehme Folge wären zerstörte Dateien.
   * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus.   * **Software-Versionen prüfen** - Gibt die Versionsnummern wichtiger auf dem Server installierter Software aus.
-  * **Benutzerdaten bereinigen** - (Ab Version 14.2) Wird ein Benutzerkonto gelöscht, verbleiben dessen Kopano- und ownCloud-Daten im jeweiligen System. Sie können über diese Funktion unter Angabe des Benutzernamens **endgültig** gelöscht werden. ​+  * **Benutzerdaten bereinigen** - (Ab Version 14.3) Wird ein Benutzerkonto gelöscht, verbleiben dessen Kopano- und ownCloud-Daten im jeweiligen System. Sie können über diese Funktion unter Angabe des Benutzernamens **endgültig** gelöscht ​werden.  
 +  * **Steuerdatei Mailabruf auffrischen** - (Ab Version 14.3) Wurde beispielsweise per "​phpLDAPAdmin"​ manuell eine Veränderung an irgendwelchen Zugangsdaten für den Abruf von Mails aus externen Postfächern geändert, kann hierüber die "​fetchmailrc"​ Datei neu geschrieben ​werden. ​
  
 Die Integration weiterer Scripts ist in Planung. Die Integration weiterer Scripts ist in Planung.
Zeile 707: Zeile 753:
 Sorgen Sie dafür, dass Ihr invis Server über den Maintenance-Zeitraum der zugrunde liegenden openSUSE Version immer mit den aktuellen Sicherheits-Updates versorgt wird. Sorgen Sie dafür, dass Ihr invis Server über den Maintenance-Zeitraum der zugrunde liegenden openSUSE Version immer mit den aktuellen Sicherheits-Updates versorgt wird.
  
-invis-Server ​bringen seit Version invisAD 10.1 ein "​Updater Script"​ mitGedacht ​ist es als "fire & forget"​ Updater für funktionsunkritische Sicherheitsaktualisierungen. Es werden dabei bestimmte Updates ​wie etwa solche installierter SQL-Dienste und auch Updates die einen Neustart erfordern ausgeklammertDas Script kümmert sich selbsttätig um das Neustarten betroffener Dienste und die Anwendung ​des invis //​**afterup**//​ ScriptsRufen sie es einfach ohne weitere Optionen auf:+Dabei ist zwischen dem Aktualisieren aller installierten Pakete und dem exklusiven Installieren von Sicherheitsupdates der Distribution. Ersteres ist nicht ganz frei von Gefahren. Beim Aktualisieren aller Pakete könnte beispielsweise auch das invis-Server ​Setup-Paket installiert werdenDas ist solange ungefährlich, ​wie dieses Paket keine strukturellen Änderungen am Server vornimmtIst dies doch der Fall kann die Funktionsweise ​des Servers erheblich gestört werden. Lesen Sie dafür hier im Wiki die Beschreibungen im Abschnitt Server Upgrade.
  
-<​code>​ +Wenn Sie wissen, was Sie tun läuft eine vollständige Aktualisierung ​wie folgt ab:
-invis:~ # invis-updater +
-</​code>​ +
- +
-Eine vollständige Aktualisierung ​können Sie mit //​**zypper**//​ durchführen:+
  
 <​code>​ <​code>​
Zeile 721: Zeile 763:
 </​code>​ </​code>​
  
-Es ist weder notwendig noch ratsam ein "​Distribution Upgrade"​ mit **//zypper dup//** durchzuführen.+//​**Hinweis:​** ​Es ist weder notwendig noch ratsam ein "​Distribution Upgrade"​ mit **zypper dup** durchzuführen!//
  
 Möchten Sie lediglich die Sicherheitspatches der Distribution installieren können Sie dies mit "YaST Online Update"​ (kurz: you) erledigen: Möchten Sie lediglich die Sicherheitspatches der Distribution installieren können Sie dies mit "YaST Online Update"​ (kurz: you) erledigen:
Zeile 729: Zeile 771:
 </​code>​ </​code>​
  
 +Dabei werden definitiv nur Patches installiert,​ die keine strukturellen Veränderungen am Setup mitbringen.
 ==== SMTP-Relay / SMTP-Auth ​ für Postfix einrichten ==== ==== SMTP-Relay / SMTP-Auth ​ für Postfix einrichten ====
 invis Server sind meist via DSL mit dem Internet verbunden, verfügen also nicht über eine dauerhafte Internet-Anbindung. Das macht sie aus Sicht vieler Internet-Mailserver **zurecht** nicht vertrauenswürdig. Um aus dieser Situation heraus zuverlässig Emails versenden zu können, wird für den Mailversand eine Relais-Station (Relay-Server) benötigt, die uns vertraut. Dabei handelt es sich eigentlich um nichts anderes als die Konfiguration eines Postausgangsservers,​ so wie das auch in Mail-Clients gemacht wird. invis Server sind meist via DSL mit dem Internet verbunden, verfügen also nicht über eine dauerhafte Internet-Anbindung. Das macht sie aus Sicht vieler Internet-Mailserver **zurecht** nicht vertrauenswürdig. Um aus dieser Situation heraus zuverlässig Emails versenden zu können, wird für den Mailversand eine Relais-Station (Relay-Server) benötigt, die uns vertraut. Dabei handelt es sich eigentlich um nichts anderes als die Konfiguration eines Postausgangsservers,​ so wie das auch in Mail-Clients gemacht wird.
Zeile 800: Zeile 843:
  
 Nebenstehend erläutert ein Ablaufdiagramm die Funktionsweise des Scripts. Nebenstehend erläutert ein Ablaufdiagramm die Funktionsweise des Scripts.
- 
-Es ist dem Script, im Unterschied zu seinen Vorgängern,​ nicht mehr möglich noch gültige Zertifikate zu erneuern. Damit verstößt //​**inviscerts**//​ nicht mehr gegen gängige Regeln der Zertifikatsverwaltung. 
  
 Die voreingestellten Lebensdauern der Server- und Client-Zertifikate beträgt 730 Tage, also 2 Jahre. Die Lebensdauer der CA selbst liegt bei 10 Jahren. Ändern lässt sich dies in: <​file>/​etc/​easy-rsa/​vars</​file>​ Notwendig ist das aber nicht. Die voreingestellten Lebensdauern der Server- und Client-Zertifikate beträgt 730 Tage, also 2 Jahre. Die Lebensdauer der CA selbst liegt bei 10 Jahren. Ändern lässt sich dies in: <​file>/​etc/​easy-rsa/​vars</​file>​ Notwendig ist das aber nicht.
Zeile 979: Zeile 1020:
 Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**//​ Selbstverständlich können sie auch einfach die DNS-Server Ihres Internet-Providers nutzen. **Es ist Ihre Entscheidung.**//​
  
 +==== Volumes vergrößern ====
 +
 +Wird an irgendeiner Stelle des Servers der Plattenplatz knapp, kann dieser -- die Nutzung von LVM vorausgesetzt -- zur Laufzeit des Servers erweitert werden.
 +
 +Schauen Sie immer zunächst nach, wie viel ungenutzer Platz zur Verfügung steht:
 +
 +<​code>​
 +invis:~ # pvscan ​
 +  PV /​dev/​md0 ​  VG system ​         lvm2 [21,83 TiB / 10,49 TiB free]
 +  Total: 1 [21,83 TiB] / in use: 1 [21,83 TiB] / in no VG: 0 [0   ]
 +</​code>​
 +
 +Im gezeigten Beispiel sind es knapp 10,5TB. Dieser Platz kann nach Bedarf portionsweise auf die verschiedenen Volumes "​root",​ "​home",​ "​var"​ und "​srv"​ verteilt werden.
 +
 +Das vergrößern eines Volumes geht wie folgt:
 +
 +<​code>​
 +invis:~ # lvresize -L +1TB /​dev/​system/​srv
 +</​code>​
 +
 +Damit wird lediglich das Volume selbst vergrößert,​ nicht aber das Dateisystem. Dies zu vergrößern ist ein eigener Arbeitsschritt. Dieser ist vom verwendeten Dateisystem ab:
 +
 +**ext4, xfs**
 +
 +<​code>​
 +invis:~ # reseize2fs /​dev/​system/​srv
 +</​code>​
 +
 +**btrfs**
 +
 +Hier wird nicht das Dateisystem angegeben, sondern ​ der Mount-Point. Da wir üblicherweise nur das Root-Dateisystem mit btrfs formatieren,​ hier der zugehörige Befehl zum Vergrößern:​
 +
 +<​code>​
 +invis:~ # btrfs filesystem resize max /
 +</​code>​
 +
 +In beiden Fällen, wird automatisch der gesamte zur Verfügung stehende Platz genutzt.
 ===== System allgemein ===== ===== System allgemein =====
  
Zeile 1021: Zeile 1099:
 </​code>​ </​code>​
  
-==== VirtualBox ====+==== VirtualBox ​Erweiterungspack ​====
  
-VirtualBox wird auf invis-Servern automatisch mit einem Open-Source Erweiterungspack installiert. Teil der Funktionen dieses Erweiterungspacks ist der Zugriff auf virtuelle Maschinen via VNC. VNC läuft leider nicht immer frei von Problemen. Um statt dessen das offizielle Erweiterungspaket von Oracle nutzen möchte muss dieses zunächst installiert werden.+VirtualBox wird auf invis-Servern automatisch mit einem Open-Source Erweiterungspack installiert. Teil der Funktionen dieses Erweiterungspacks ist der Zugriff auf virtuelle Maschinen via VNC. VNC läuft leider nicht immer frei von Problemen. Um statt dessen das offizielle Erweiterungspaket von Oracle nutzen möchte muss dieses zunächst installiert werden. **//​Beachten Sie dabei bitte dessen Lizenzbedingungen//​**.
  
 Laden Sie es zunächst passend zur installierten VirtualBox Version von [[http://​download.virtualbox.org/​virtualbox/​]] herunter. Die Installation erfolgt ​ auf der Kommandozeile des Servers: Laden Sie es zunächst passend zur installierten VirtualBox Version von [[http://​download.virtualbox.org/​virtualbox/​]] herunter. Die Installation erfolgt ​ auf der Kommandozeile des Servers:
  
 <​code>​ <​code>​
-invis:~ # VBoxManage extpack install Oracle_VM_VirtualBox_Extension_Pack-5.2.22.vbox-extpack+invis:~ # VBoxManage extpack install ​--replace ​Oracle_VM_VirtualBox_Extension_Pack-7.0.18.vbox-extpack
 </​code>​ </​code>​
  
  • invis_server_wiki/administration.1593159752.txt.gz
  • Zuletzt geändert: 2020/06/26 08:22
  • von flacco