Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Letzte Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:installation:post-140 [2018/05/26 18:16] flacco [Router] |
invis_server_wiki:installation:post-140 [2021/08/23 16:04] flacco [ownCloud] |
||
|---|---|---|---|
| Zeile 4: | Zeile 4: | ||
| ===== Router ===== | ===== Router ===== | ||
| + | Nach der Installation ist es erforderlich ein paar Anpassungen an Ihrem Router vorzunehmen. | ||
| + | |||
| + | ==== Portweiterleitungen ==== | ||
| Wenn Sie Ihren invis-Server hinter einem Router betreiben, müssen Sie darin bis zu 5 Portweiterleitungen einrichten, wenn Sie Ihren invis-Server auch via Internet nutzen möchten. | Wenn Sie Ihren invis-Server hinter einem Router betreiben, müssen Sie darin bis zu 5 Portweiterleitungen einrichten, wenn Sie Ihren invis-Server auch via Internet nutzen möchten. | ||
| Zeile 10: | Zeile 13: | ||
| - der vom invis Server genutzte "verschobene" SSH-Port (TCP) | - der vom invis Server genutzte "verschobene" SSH-Port (TCP) | ||
| - | - Port 443/TCP (HTTPs), wenn Sie ActiveSync/Z-Push nutzen möchten, um Mobilgeräte mit der Groupware des Servers zu synchronisieren. | + | - Port 443/TCP (HTTPs), (ActiveSync/Z-Push, Direktzugriffe auf ownCloud und die Kopano-Webapp). |
| - der vom invis Server genutzte "verschobene" HTTPs-Port (TCP) für den Zugriff auf das invis-Portal. | - der vom invis Server genutzte "verschobene" HTTPs-Port (TCP) für den Zugriff auf das invis-Portal. | ||
| - Port 80/TCP (HTTP), ist erforderlich, wenn Sie für externe Zugriffe automatisch aktualisierte Zertifikate von Let's Encrypt verwenden möchten. | - Port 80/TCP (HTTP), ist erforderlich, wenn Sie für externe Zugriffe automatisch aktualisierte Zertifikate von Let's Encrypt verwenden möchten. | ||
| Zeile 20: | Zeile 23: | ||
| linux:~ # sine2 showconf | linux:~ # sine2 showconf | ||
| </code> | </code> | ||
| + | |||
| + | //**Hinweis:** Damit es möglichst nicht zu Konflikten mit anderen Diensten kommt werden zufällige Ports nur im "dynamischen Bereich" (größer 50000) generiert.// | ||
| + | |||
| + | ==== DDNS ==== | ||
| + | |||
| + | Wird ein invis-Server an einer DSL-Leitung betrieben besteht beim Zugriff von extern darauf das Problem, dass sich die IP-Adresse der Internet-Anbindung prinzipiell täglich ändert. Dies erfordert für eine zuverlässige Erreichbarkeit, dass der Server unter einem feststehenden Namen erreichbar sind. Die erforderliche Technik namens "dynamik DNS" beherrschen eigentlich alle Router. Dabei nennt der Router immer wenn er eine neue IP-Adresse erhält diese einem Nameserver, damit dieser sie dem festgelegten Namen zugeordnet werden kann. Es gibt eine Reihe von Providern die DDNS, teils kostenlos anbieten. | ||
| + | |||
| + | //**Hinweis:** Neben der Nutzung der DDNS-Funktionalität eines Routers, bietet der invis-Server DDNS auch direkt an, dies erfordert allerdings, dass Sie selbst im Internet einen DDNS-fähigen Nameserver betreiben und Besitzer der Domäne sind, der der Name des invis-Servers angehören soll.// | ||
| + | |||
| + | //**Achtung:** Die Nutzung einer festen IP-Adresse ist zwar praktisch, aber kein Ersatz für einen gültigen Namen. Das liegt einfach daran, dass Zertifizierungsstellen wie Let's Encrypt keine Sicherheitszertifikate auf IP-Adressen ausstellen, sondern nur auf Namen. Sprich, ohne gültigen Namen müssen Sie bei Nutzung von HTTPs immer mit Zertifikatswarnungen rechnen. Das macht sich insbesondere dann nicht gut, wenn Sie Dritten Daten per ownCloud freigeben.// | ||
| + | |||
| + | Eine Anleitung, wie Sie die DDNS-Funktion Ihres invis-Servers nutzen, finden Sie **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#ddns_funktion|hier]]**. | ||
| ===== Passwortsicherheit ===== | ===== Passwortsicherheit ===== | ||
| Zeile 31: | Zeile 46: | ||
| Diese Voreinstellungen sind recht streng und können so sicherlich nicht überall Anwendung finden. Sie, als Administrator eines invis-Servers sollten sich von Ihren Anwendern aber nicht allzu viele Zugeständnisse in Sachen Passwortsicherheit abringen lassen. | Diese Voreinstellungen sind recht streng und können so sicherlich nicht überall Anwendung finden. Sie, als Administrator eines invis-Servers sollten sich von Ihren Anwendern aber nicht allzu viele Zugeständnisse in Sachen Passwortsicherheit abringen lassen. | ||
| - | //**Hinweis:** Die nachfolgenden Einstellungen können ab invis-Server 11.4 auch mit unserem eigenen Passwort-tool **pwsettings** vorgenommen werden.// | + | //**Hinweis:** Die nachfolgenden Einstellungen werden ab invis-Server 11.4 mit unserem eigenen Passwort-tool **pwsettings** vorgenommen.// |
| + | |||
| + | <code> | ||
| + | invis:~ # pwsettings | ||
| + | </code> | ||
| Zu wissen, wie sich die Einstellungen mit Hilfe des //**samba-tools**// auf der Kommandozeile des Servers ändern lassen, kann allerdings auch nicht schaden. Hier ein paar Beispiele: | Zu wissen, wie sich die Einstellungen mit Hilfe des //**samba-tools**// auf der Kommandozeile des Servers ändern lassen, kann allerdings auch nicht schaden. Hier ein paar Beispiele: | ||
| Zeile 68: | Zeile 87: | ||
| Im gezeigten Beispiel wird dafür gesorgt, dass der betroffene Benutzer sein Passwort bei der nächsten Anmeldung ändern muss. | Im gezeigten Beispiel wird dafür gesorgt, dass der betroffene Benutzer sein Passwort bei der nächsten Anmeldung ändern muss. | ||
| + | |||
| + | ===== Let's Encrypt Zertifikate für Externzugriffe ===== | ||
| + | |||
| + | Die im Laufe der invis-Server-Installation erzeugten eigenen Zertifikate bringen ein Problem mit sich. Greift jemand beispielsweise mit einem Browser via Internet auf Ihren invis-Server zu wird dies mit einer Sicherheitswarnung beantwortet. Die betrifft Zugriffe auf Z-Push, ownCloud oder auch das invis-Portal. Speziell im Falle von ownCloud ist das unschön. Gerade, wenn Sie darüber Dateien mit Dritten teilen möchten, wirkt eine Zertifikatswarnung unseriös. | ||
| + | |||
| + | Zwar lässt sich das durch den Import des Server-Stammzertifikates beheben, allerdings ist die Verteilung des Stammzertifikates an Dritte ebenfalls nicht gerade einfach. | ||
| + | |||
| + | Eine Umstellung auf "echte" Zertifikate von Let's Encrypt behebt dieses Problem. Für die Umstellung müssen gewisse Voraussetzungen gegeben sein: | ||
| + | |||
| + | - Der Server muss an seinem Betriebsort stehen. | ||
| + | - Im vorgeschalteten Router muss Port 80 auf den invis-Server weitergeleitet sein | ||
| + | - Der Server muss über einen im Internet gültigen Namen verfügen. (DDNS) | ||
| + | |||
| + | Sind alle Voraussetzungen erfüllt, genügt es für den Umstieg auf die echten Zertifikate den folgenden Befehl auszuführen: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # actdehydrated | ||
| + | </code> | ||
| + | |||
| + | Alles weitere geschiet automatisch. | ||
| ===== NFS Fileserver ===== | ===== NFS Fileserver ===== | ||
| Zeile 82: | Zeile 121: | ||
| </code> | </code> | ||
| - | Anschliessend ist noch der Zugriff auf die NFS-Freigaben in der Firewall, für die interne Netzwerk-Schnittstelle zu öffnen. | + | Anschließend ist noch der Zugriff auf die NFS-Freigaben in der Firewall, für die interne Netzwerk-Schnittstelle zu öffnen. |
| - | Dazu ist in Datei <file>/etc/sysconfig/SuSEfirewall2</file> ist in Zeile (ca.) 414 folgendes zu ergänzen: | + | Dazu ist.... (kommt noch) |
| - | Aus: | + | Danach ist noch die Firewall neu zu starten: |
| - | <code> | + | |
| - | FW_CONFIGURATIONS_INT="samba-4-ad" | + | |
| - | </code> | + | |
| - | wird | + | |
| - | <code> | + | |
| - | FW_CONFIGURATIONS_INT="nfs-kernel-server samba-4-ad" | + | |
| - | </code> | + | |
| - | + | ||
| - | Danach ist noch die Firwall neu zu starten: | + | |
| <code> | <code> | ||
| - | linux:~ # systemctl restart SuSEfirewall2.service | + | linux:~ # systemctl restart firewalld.service |
| </code> | </code> | ||
| Zeile 122: | Zeile 152: | ||
| Melden Sie sich jetzt mit dem zuvor definierten Adminitrationskonto an ownCloud an. Klicken Sie dann auf den Pulldown Pfeil oben rechts und dann auf "Administration". | Melden Sie sich jetzt mit dem zuvor definierten Adminitrationskonto an ownCloud an. Klicken Sie dann auf den Pulldown Pfeil oben rechts und dann auf "Administration". | ||
| - | Klicken Sie jetzt links am oberen Rand auf den Eintrag "Apps" und dann auf das Pluszeichen. Klicken Sie als nächstes auf den Menüeintrag "Nicht aktiviert". Aktivieren Sie aus der Liste nicht aktivierter Apps den Eintrag "LDAP user and group backend" und melden Sie sich daraufhin einmal ab und wieder an. | + | Klicken Sie jetzt links am oberen Rand auf den Eintrag "Benutzer" und dann auf das Market-Symbol in Form eines Einkaufswagens. Es öffnet sich der ownCloud-Marketplace. Suchen Sie dort die Erweiterung "LDAP Integration" und installieren Sie sie. |
| - | Jetzt finden Sie unter "Administration" den Eintrag "LDAP". Dort können Sie ownCloud schrittweise an Ihr Active Directory anbinden. | + | Jetzt finden Sie im Pulldown-Menü rechts oben, unter "Einstellungen" den Eintrag "Nutzer-Einstellungen". Dort können Sie ownCloud schrittweise an Ihr ActiveDirectory anbinden. |
| Im ersten Schritt müssen Sie die Zugangsdaten zum LDAP Server angeben: | Im ersten Schritt müssen Sie die Zugangsdaten zum LDAP Server angeben: | ||
| - | * **Host:** [[ldaps://localhost]] | + | * **Host:** [[ldaps://invis.invis-server.lan]] (Ersetzen Sie den Hostname durch de Ihres invis-Servers) |
| * **Port:** 636 | * **Port:** 636 | ||
| - | * **Bind-DN:** ldap.admin@invis-net.loc (Ersetzen Sie die Domäne durch Ihre lokale Domäne) | + | * **Bind-DN:** ldap.admin@invis-net.lan (Ersetzen Sie die Domäne durch Ihre lokale Domäne) |
| * **Bind-Passwort:** Das Password für das "ldap.admin" Konto können Sie sich mit "sine showconf" anzeigen lassen. | * **Bind-Passwort:** Das Password für das "ldap.admin" Konto können Sie sich mit "sine showconf" anzeigen lassen. | ||
| - | * **Base-DN:** dc=invis-net,dc=loc (Ersetzen Sie die Domänenbestandteile durch die Ihrer lokalen Domäne) | + | * **Base-DN:** dc=invis-net,dc=lan (Ersetzen Sie die Domänenbestandteile durch die Ihrer lokalen Domäne) |
| + | |||
| + | Neuere ownCloud-Versionen unterstützen auch die StartTLS-Methode. Dabei können dann folgende Angaben für die LDAP-Anbindung gemacht werden: | ||
| + | |||
| + | * **Host:** [[ldap://invis.invis-server.lan]] (Ersetzen Sie den Hostname durch de Ihres invis-Servers) | ||
| + | * **Port:** 389 | ||
| + | |||
| + | Es muss dann die Checkbox "Benutze StartTLS support" aktiviert werden. | ||
| //**Hinweis:** ownCloud überprüft die Eingaben sofort. Wenn Sie also einen Fehler bei der Konfiguration machen wird dies unmittelbar angezeigt.// | //**Hinweis:** ownCloud überprüft die Eingaben sofort. Wenn Sie also einen Fehler bei der Konfiguration machen wird dies unmittelbar angezeigt.// | ||
| Zeile 148: | Zeile 185: | ||
| </code> | </code> | ||
| - | In Schritt drei "Anmeldefilter" können Sie die Vorgabe "LDAP-Benutzername" einfach beibehalten. Die Anmeldung erfolgt dann mit dem Login-Namen ohne angehängte Domain. | + | In Schritt drei "Login-Attribute" wählen Sie zusätzlich zur Vorgabe "AD/LDAP-Benutzername" im Auswahlmenü "Andere Attribute" noch das Attribut "sAMAccountName" aus. Die Anmeldung erfolgt dann mit dem Login-Namen ohne angehängte Domain. |
| Im letzten Schritt legen Sie die Gruppen fest, die von ownCloud im LDAP gefunden und verwendet werden können. Hier sind folgende Angaben zu machen: | Im letzten Schritt legen Sie die Gruppen fest, die von ownCloud im LDAP gefunden und verwendet werden können. Hier sind folgende Angaben zu machen: | ||
| Zeile 154: | Zeile 191: | ||
| * **Nur diese Objekt-Klassen:** group | * **Nur diese Objekt-Klassen:** group | ||
| * **Nur diese Gruppen:** Lassen Sie das Feld leer wenn alle Gruppen der Domäne gefunden werden sollen oder wählen Sie die Gruppen aus, auf die Sie ownCloud beschränken möchten. | * **Nur diese Gruppen:** Lassen Sie das Feld leer wenn alle Gruppen der Domäne gefunden werden sollen oder wählen Sie die Gruppen aus, auf die Sie ownCloud beschränken möchten. | ||
| + | |||
| + | //**Achtung:**Überlassen Sie alles sich selbst identifiziert ownCloud alle AD-Benutzer eindeutig anhand des LDAP-Attributes "objectGUID". Dieser Wert erfüllt zwar das Kriterium der Eindeutigkeit ist aber fürs menschliche Auge eher ungeeignet. Des weiteren exisitiert mit **''inhume''** in der invis-Server Toolbox ein Script um den Server von verwaisten Nutzerdaten aus Kopano und ownCloud zu befreien. Dieses Script hat ebenfalls ein Problem mit der "objectGUID". Daher sollte die eindeutige Benutzerzuordnung zwischen ownCloud und AD über das Attribut "samaccountname" erfolgen. Ändern Sie dies in der ownCloud-LDAP-Konfiguration im Reiter "Experte". Tragen Sie dort **"samaccountname"** in das Eingabefeld "UUID-Attribute für Benutzer:" ein.// | ||
| Damit ist die LDAP bzw. Active Directory Anbindung abgeschlossen und ownCloud bereit zur Nutzung. Einen echten Nutzen hat es natürlich nur dann, wenn Ihr Server über einen DDNS-Namen via Internet erreichbar ist. | Damit ist die LDAP bzw. Active Directory Anbindung abgeschlossen und ownCloud bereit zur Nutzung. Einen echten Nutzen hat es natürlich nur dann, wenn Ihr Server über einen DDNS-Namen via Internet erreichbar ist. | ||
| + | |||
| + | ===== Kimai ===== | ||
| + | |||
| + | Zum Abschluss der Kimai-Installation muss dessen Setup-Routine durchlaufen werden. Dazu einfach auf denn Link "Zeiterfassung" im invis-Portal klicken und den Anweisungen folgen. Im Verlauf des Setups wird nach dem Passwort des Kimai-Datenbank-Benutzers gefragt. Das können Sie auf der Kommandozeile des Servers mit dem Kommando: | ||
| + | |||
| + | <code> | ||
| + | invis:~ # sine2 showpws | ||
| + | </code> | ||
| + | |||
| + | erfragen. Der zugehörige Benutzer ist schlicht "kimai". | ||
| + | |||
| + | Nach Abschluss der Installation ist das Installer Verzeichnis <file>/srv/www/htdocs/kimai/installer</file> zu löschen. Es fehlt noch die Anbindung ans ActiveDirectory. Dazu ist in der Datei <file>/srv/www/htodcs/kimai/includes/autoconfig.php</file> die Option: | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | $authenticator = "activeDirectory"; | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | von ''kimai'' auf den Wert ''activeDirectory'' zu ändern. | ||
| + | |||
| + | Das wars. Sie können sich jetzt zunächst mit dem Benutzer "admin" und dem Passwort ''changme'' anmelden und Kimai ihrem Berdarf anzupassen. | ||
| ===== Kivitendo ===== | ===== Kivitendo ===== | ||
| Zeile 249: | Zeile 310: | ||
| Für Kivitendo können Sie auch kommerziellen Support erhalten, wenden Sie sich diesbezüglich an eines der Kivitendo-Partner Unternehmen: [[http://www.kivitendo.de/partner.html]]// | Für Kivitendo können Sie auch kommerziellen Support erhalten, wenden Sie sich diesbezüglich an eines der Kivitendo-Partner Unternehmen: [[http://www.kivitendo.de/partner.html]]// | ||
| - | ===== Tine 2.0 einrichten (experimentell) ===== | + | ===== WaWision, InvoicePlane ===== |
| - | Um Tine 2.0 nach der Grundinstallation zur Mitarbeit zu bewegen, sind einige manuelle Arbeitsschritte notwendig. | + | Alle drei genannten Programme bringen ein Web-gestütztes geführtes Setup mit. Sie müssen die Applikation jeweils nur im Browser öffnen. Das geht am einfachsten über die entsprechenden Links in der local-Section des invis-Portals. Die Webinstaller starten jeweils automatisch. |
| - | Starten Sie damit, dass Sie im Browser folgende Adresse öffnen: http://ihrserver.domain.tld/tine20/setup.php | + | Jedes der drei Programme benötigt eine eigene MariaDB-Datenbank, welche bereits von //**sine2**// erstellt wurden. Damit die Programm darauf zugreifen und sie mit Tabellen füllen können, benötigt der jeweilige Installer die Zugangsdaten zur Datenbank, bestehend aus Datenbankname, Benutzername des Dantenbankbenutzers und dessen Passwort. |
| - | Sie können Sich hier mit folgenden Zugangsdaten anmelden: | + | Die Passwörter können Sie wie folgt in Erfahrung bringen: |
| - | + | ||
| - | //**Benutzername:**// tine20setup\\ | + | |
| - | //**Passwort:**// zufallsgeneriert | + | |
| - | + | ||
| - | Das Passwort wurde im Verlauf der Server-Instalaltion von //**sine**// ausgegeben. | + | |
| - | + | ||
| - | Die weitere Einrichtung von Tine 2.0 erfolgt in mehreren Schritten: | + | |
| - | + | ||
| - | - Akzeptieren der Lizenz- und Datenschutzbedingungen | + | |
| - | - Überprüfen der Systemvoraussetzungen | + | |
| - | - Anpassen der Tine 2.0 Konfigurationsdatei | + | |
| - | - Einrichten der Benutzerverwaltung | + | |
| - | - Einrichten der Mailserver-Anbindung | + | |
| - | - Verwaltung der Tine 2.0 Einzelanwendungen | + | |
| - | + | ||
| - | Die Punkte 1 und 2 dürften keiner weiteren Erläuterungen bedürfen. | + | |
| - | + | ||
| - | **Punkt 3** "Anpassen der Konfigurationsdatei" erfordert eigentlich auch keine manuellen Eingriffe. Allerdings können Sie hier das Passwort des Setup-Benutzers nach eigenem Wunsch neu setzen. Ansonsten können Sie hier die Datenbankanbindung, das Logging-Verhalten und weitere "Kleinigkeiten" einstellen. Sie finden die Konfigurationsdatei "config.inc.php" in: <file>/var/lib/tine20/webroot</file> Sie können Sie auch manuell im Editor bearbeiten. | + | |
| - | + | ||
| - | ==== Tine 2.0 Benutzerverwaltung und -authentifizierung ==== | + | |
| - | + | ||
| - | Diesem Punkt (4) ist große Aufmerksamkeit zu widmen, hier binden Sie Tine 2.0 an die Benutzerverwaltung des Active-Directories an. | + | |
| - | + | ||
| - | Unterteilt ist dieser Abschnitt wiederum in mehrere Unterkategorien: | + | |
| - | + | ||
| - | * Festlegen des Administrativen Benutzers (Initialer Admin-Benutzer) | + | |
| - | * Benutzerauthentifizierung (Auhtentifizierungsdienst) | + | |
| - | * Benutzerverwaltung (Speicherort der Benutzerkonten) | + | |
| - | * Passworteinstellungen | + | |
| - | * Weiterleitungseinstellungen | + | |
| - | + | ||
| - | Vor allem die Abschnitte 2 und 3 müssen auf Ihre Active-Directory Umgebung angepasst werden. Konfigurieren Sie diese Abschnitte wie Nachfolgend beschrieben: | + | |
| - | + | ||
| - | === Admin-Benutzer === | + | |
| - | + | ||
| - | Sie **müssen** hier einen Tine 2.0 Administrator einrichten. Dieses Konto wird **nicht** im Active-Directory sondern in Tines Datenbank gespeichert. Wählen Sie nach Belieben einen Benutzernamen und ein ausreichend komplexes Passwort. D.h. Verwenden Sie auf Zahlen und Sonderzeichen und nicht weniger als 7 Zeichen. Die genauen Regeln kennen wir noch nicht. Zu einfache Passwörter werden hier zwar angenommen, das Konto wird jedoch nicht angelegt. Ohne einen Tine 2.0 Admin können Sie das Setup nicht beenden. | + | |
| - | + | ||
| - | Geht hier etwas schief, können Sie das Anlegen des Benutzers auf der Kommandozeile wiederholen: | + | |
| <code> | <code> | ||
| - | linux:~ # php /usr/share/tine20/setup.php --create_admin | + | invis:~ # sine2 showps |
| </code> | </code> | ||
| - | //**Hinweis:** Es ist kein Fehler sich mal anzuschauen, was das Script "setup.php" auf der Kommandozeile so alles kann.// | + | **Datenbank & Benutzername** |
| - | === Authentifizierungsdienst === | + | * WaWision: DB = wawision, Benutzer = wawision |
| - | + | * InvoicePlane: DB = invoiceplane, Benutzer = ip | |
| - | Ziel dieses Schrittes ist es, Benutzeranmeldungen an Tine 2.0 über das Active Directory durchzuführen. Hierzu benötigen Sie die zunächst den DN und das Passwort des invis-Server LDAP-Admins. | + | |
| - | + | ||
| - | Das Passwort finden Sie in <file>/etc/invis/invis-pws.cfg</file> | + | |
| - | + | ||
| - | Füllen Sie die nachfolgend gezeigten Konfigurationsfelder entsprechend Ihrer Umgebung durch: | + | |
| - | + | ||
| - | * **Backend:** LDAP | + | |
| - | * **Host:** Tragen Sie hier den voll qualifizierten Namen (FQDN) Ihres invis-Servers ein. | + | |
| - | * **Loginname:** Hier tragen Sie den Distinguished Name (DN) des LDAP Admins ein z.B.: CN=Admin LDAP,CN=Users,DC=domain,DC=tld (Sie müssen lediglich "domain" und "tld" an Ihre Umgebung anpassen.) | + | |
| - | * **Kennwort:** Das ermittelte Passwort des LDAP-Admins | + | |
| - | * **Verbindung benötigt DN:** ja | + | |
| - | * **Start TLS verwenden:** ja | + | |
| - | * **Base DN:** Die Wurzel Ihres LDAP-Verzeichnisses: "DC=domain,DC=tld" (angepasst an Ihre Umgebung.) | + | |
| - | * **Suchfilter:** samaccountame=%s (Achten Sie auf genaue Schreibweise, ein Fehler hier und niemand kann sich an Tine anmelden.) | + | |
| - | * **Kanonische Form der Benutzerkonten:** ACCTNAME_FORM_USERNAME | + | |
| - | * **Kontodomänenname:** Ihre lokale Domain in der Schreibweise "domain.tld" | + | |
| - | * **Account domain short name:** Wie oben nur ohne Top-Level-Domain | + | |
| - | + | ||
| - | + | ||
| - | === Benutzerverwaltung === | + | |
| - | + | ||
| - | Die Konfiguration des Speichers der Benutzerkonten erfordert ähnlich Angaben, wie die der Authentifizierung. Geben Sie zu den nachfolgend gezeigten Eingabefeldern die erforderlichen Daten, angepasst an Ihre Umgebung an: | + | |
| - | + | ||
| - | * **Backend:** ActiveDirectory | + | |
| - | * **Host:** Tragen Sie hier den voll qualifizierten Namen (FQDN) Ihres invis-Servers ein. | + | |
| - | * **Loginname:** Hier tragen Sie den Distinguished Name (DN) des LDAP Admins ein z.B.: CN=Admin LDAP,CN=Users,DC=domain,DC=tld (Sie müssen lediglich "domain" und "tld" an Ihre Umgebung anpassen.) | + | |
| - | * **Kennwort:** Das ermittelte Passwort des LDAP-Admins | + | |
| - | * **Verbindung benötigt DN:** ja | + | |
| - | * **Start TLS verwenden:** ja | + | |
| - | * **Benutzer-DN:** CN=Users,DC=domain,DC=loc (Domain und top-Level-Domain natürlich an Ihre Umgebung angepasst.) | + | |
| - | * **Benutzerfilter:** objectclass=person | + | |
| - | * **Benutzersuche-Bereich:** SEARCH_SCOPE_SUB | + | |
| - | * **Gruppen-DN:** CN=Users,DC=domain,DC=loc (Domain und top-Level-Domain natürlich an Ihre Umgebung angepasst.) | + | |
| - | * **Benutzerfilter:** objectclass=group | + | |
| - | * **Benutzersuche-Bereich:** SEARCH_SCOPE_SUB | + | |
| - | * **RFC-2307-Attribute beibehalten:** ja | + | |
| - | * **Minimale Benutzer-ID:** 20000 (invis-Server UID-Nummern beginnen bei 20000) | + | |
| - | * **Maximale Benutzer-ID:** 30000 (Mehr als 10000 Benutzer wird es auf invis-Servern wohl kaum geben) | + | |
| - | * **Minimale Gruppen-ID:** 20000 (invis-Server GID-Nummern beginnen bei 20000) | + | |
| - | * **Maximale Gruppen-ID:** 30000 (Mehr als 10000 Gruppen wird es auf invis-Servern wohl kaum geben) | + | |
| - | * **UUID Attribut von Gruppen:** & **UUID Attribut von Benutzern:** objectGUID | + | |
| - | * **Standard Benutzergruppenname:** tine20 (oder "Domain Users", je nachdem ob Sie den Zugriff auf definierte Benutzer beschränken möchten) | + | |
| - | * **Standard Admin-Gruppennamen:** Domain Admins | + | |
| - | * **Nur lesender Zugriff:** ja | + | |
| - | + | ||
| - | Bezüglich des letzten Punktes empfehlen wir hier einen rein lesenden Zugriff auf das Active-Directory, da die eigentliche Benutzerverwaltung über das invis-Portal erfolgen soll. Allerdings sind unsere diesbezüglichen Experimente noch nicht abgeschlossen. | + | |
| - | + | ||
| - | === Passworteinstellungen === | + | |
| - | + | ||
| - | Diese Einstellungen können Sie an und für sich nach eigenem Ermessen vornehmen. Sie sollten jedoch darauf achten, dass die hier getroffenen Einstellungen nicht mit den Einstellungen des Active Directory konkurrieren. | + | |
| - | + | ||
| - | Wir empfehlen allerdings auch hier darauf zu verzichten die Groupware zur Verwaltung Ihre Server-Benutzer zu verwenden. Wenn Sie unserer Empfehlung folgen möchten, stellen Sie den Wert **Benutzer kann Passwort ändern** auf "nein". | + | |
| - | + | ||
| - | === Weiterleitungseinstellungen === | + | |
| - | Auch hier können Sie nach eigenem Ermessen vorgehen. Uns fehlen hier derzeit noch die Erfahrungen um Empfehlungen aussprechen zu können. | ||
| - | ==== Email ==== | ||
| - | Tine 2.0 muss jetzt noch an die Mailserver-Konfiguration des invis-Servers angepasst werden. | ||
| - | ... to be continued. | ||
| ===== acpupsd einrichten ===== | ===== acpupsd einrichten ===== | ||
| Zeile 402: | Zeile 367: | ||
| ===== VPN-Clients einrichten ===== | ===== VPN-Clients einrichten ===== | ||
| - | Nach Durchlauf des Setup-Scripts //**sine**// ist OpenVPN vollständig konfiguriert und bereits gestartete. | + | Nach Durchlauf des Setup-Scripts //**sine2**// ist OpenVPN vollständig konfiguriert und bereits gestartete. |
| Testen können Sie dass mit: | Testen können Sie dass mit: | ||
| <code> | <code> | ||
| - | linux:~ # ifconfig vpn | + | linux:~ # ip link show vpn |
| </code> | </code> | ||
| Zeile 414: | Zeile 379: | ||
| Um Clients anzubinden müssen Sie Client-Zertifikate und OpenVPN Client-Konfigurationen erzeugen. | Um Clients anzubinden müssen Sie Client-Zertifikate und OpenVPN Client-Konfigurationen erzeugen. | ||
| - | Das Erzeugen der Zertifikatsdateien wird seit invis-Server 11.0 mittels des Scripts //**[[http://wiki.invis-server.org/doku.php/invis_server_wiki:administration#verwaltung_von_schluesseln_und_zertifikaten |inviscerts]]**// vorgenommen. | + | Das Erzeugen der Zertifikatsdateien wird seit invis-Server 11.0 mittels des Scripts //**[[http://wiki.invis-server.org/doku.php/invis_server_wiki:administration#verwaltung_von_schluesseln_und_zertifikaten |inviscerts]]**// vorgenommen. Für eine Anleitung klicken Sie auf den vorangegangenen Link. |
| Vorgefertigte Client-Konfigurationsdateien, die Sie lediglich anpassen müssen finden Sie in der Service-Freigabe Ihres Fileservers. | Vorgefertigte Client-Konfigurationsdateien, die Sie lediglich anpassen müssen finden Sie in der Service-Freigabe Ihres Fileservers. | ||
| Zeile 421: | Zeile 386: | ||
| ===== z-push konfigurieren ===== | ===== z-push konfigurieren ===== | ||
| - | "z-push" ist eine von Zarafa entwickelte Open-Source ActiveSync Implementation. Sie ermöglicht es Mobilgeräte mit Zarafa, aber auch Tine 2.0 zu synchronisieren. Weiterhin kann auch Outlook via ActiveSync an Zarafa angebunden werden. | + | "z-push" ist eine von Kopano entwickelte Open-Source ActiveSync Implementation. Sie ermöglicht es Mobilgeräte mit Kopano zu synchronisieren. Weiterhin kann auch Outlook via ActiveSync an Kopano angebunden werden. |
| - | Die Nacharbeit hier beschränkt sich auf das Eintragen der korrekten Zeitzone in die z-push Konfigurationsdatei: <file>/srv/www/htdocs/z-push2/config.php</file> | + | Die Nacharbeit hier beschränkt sich auf das Eintragen der korrekten Zeitzone in die z-push Konfigurationsdatei: <file>/etc/z-push/z-push.conf.php</file> |
| <code> | <code> | ||