Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
invis_server_wiki:installation:sine-110 [2017/01/09 07:26] flacco |
invis_server_wiki:installation:sine-110 [2018/05/26 17:34] (aktuell) flacco [Modul: openvpn] |
||
|---|---|---|---|
| Zeile 3: | Zeile 3: | ||
| Auch nach der Umstellung auf ein RPM-basiertes Setup wird die weitere Installation vom Setup-Script (//**sine**// -- "__**s**__erver __**i**__nstallation __**n**__ow __**e**__asy") ausgeführt. | Auch nach der Umstellung auf ein RPM-basiertes Setup wird die weitere Installation vom Setup-Script (//**sine**// -- "__**s**__erver __**i**__nstallation __**n**__ow __**e**__asy") ausgeführt. | ||
| - | //**Achtung:** Verbinden Sie die interne Netzwerkschnittstelle Ihres invis-Servers mit einem Switch bevor Sie das Setup starten. Seit openSUSE 42.1 werden nicht verbundene Netzwerkschnittstellen nicht mehr automatisch aktiviert, auch dann nicht, wenn deren Startmodus auf "at boot time" steht. //**sine**// behebt dieses Problem im Laufe des Setups. Wir haben dieses Verhalten bereits als Bug an SUSE gemeldet. Das Verhalten wird seit dem immerhin in der offiziellen Dokumentation des SLES beschrieben, geändert wurde es jedoch nicht.// | + | //**Achtung:** Verbinden Sie die interne Netzwerkschnittstelle Ihres invis-Servers mit einem Switch bevor Sie das Setup starten. Seit openSUSE 42.1 werden nicht verbundene Netzwerkschnittstellen nicht mehr automatisch aktiviert, auch dann nicht, wenn deren Startmodus auf "at boot time" steht. **sine** behebt dieses Problem im Laufe des Setups. Wir haben dieses Verhalten bereits als Bug an SUSE gemeldet. Das Verhalten wird seit dem immerhin in der offiziellen Dokumentation des SLES beschrieben, geändert wurde es jedoch nicht.// |
| + | |||
| + | ==== sine bis invis-Server 12.x ==== | ||
| <code>linux:~ # sine</code> | <code>linux:~ # sine</code> | ||
| Zeile 31: | Zeile 33: | ||
| //**Hinweis:** Dokumentieren Sie die von Ihnen während des Scriptlaufs eingegebenen Daten mit. Das erleichtert die spätere Administration des Servers.// | //**Hinweis:** Dokumentieren Sie die von Ihnen während des Scriptlaufs eingegebenen Daten mit. Das erleichtert die spätere Administration des Servers.// | ||
| + | ==== sine2 ab invis-Server 13.0 ==== | ||
| + | |||
| + | Die ursprüngliche Version von //**sine**// wuchs bis zu einem Shell-Script von ca. 3500 Zeilen und damit eigentlich viel zu groß für ein Shell-Script. Zwar bezeichnen wir es im vorangegangenen Abschnitt bereits als "modular", jedoch bezog sich dies auf die Tatsache, dass die einzelnen Module in Form von Funktionen innerhalb des "einen" Scripts realisiert wurden. | ||
| + | |||
| + | Dies haben wir geändert. Wir haben es in einzelne Scripts zerlegt und der neuen Version den, zugegeben wenig einfallsreichen Namen //**sine2**// verpasst. Entsprechend ändern sich ab invis-Server Version 13.0 die Aufrufe des Scripts: | ||
| + | |||
| + | <code>linux:~ # sine2</code> | ||
| + | |||
| + | //**sine**// verfügt über ein paar nützliche Aufrufparameter: | ||
| + | |||
| + | * //**sine2 help**// - gibt kurze Hinweise zur Verwendung | ||
| + | * //**sine2 status**// - zeigt an, mit welchem Modul sine beim nächsten Aufruf gestartet wird. | ||
| + | * //**sine2 log**// - zeigt (so bereits vorhanden) das Log-File des bisherigen sine-Durchlaufs | ||
| + | * //**sine2 showconf**// - zeigt die (so bereits vorhanden) die von sine abgefragten Konfigurationsparameter an. | ||
| + | * **Ab invis 14.0:** //**sine2 showpws**// - zeigt alle während des Setups generierten Passwörter an. | ||
| + | * **Ab invis 14.0:** //**sine2 reset**// - löscht alle Setup-Daten (Konfigurationsdaten, Passwörter und Installationsstatus). Diese Funktion sollten Sie nur nutzen, wenn Sie wirklich sicher sind, was Sie tun. | ||
| + | * //**sine2 modulname**// - ermöglicht, **nach einmalig vollständigem Durchlauf**, übersprungene optionale Module nachträglich manuell zu starten. | ||
| + | |||
| + | Das Verzeichnis <file>/var/lib/sine</file> bleibt weiterhin das Arbeitsverzeichnis. Neu ist die Verzeichnisstruktur unter: <file>/usr/share/sine</file> Hier finden sich beispielsweise die einzelnen Modul-Scripts sowie die Kopnfigurationsvorlagen. Letztere sind damit aus dem Dokumentationspfad <file>/usr/share/doc/packages/invisAD-setup/examples</file> in die neue Verzeichnisstruktur gewandert. | ||
| + | |||
| + | Eine detailliertere Erläuterung zum neuen //**sine2**// ist **[[https://wiki.invis-server.org/doku.php/entwicklung#aufbau_sine2|hier]]** zu finden. | ||
| ==== Die Module im Einzelnen (Pflichtmodule) ==== | ==== Die Module im Einzelnen (Pflichtmodule) ==== | ||
| Nachfolgend werden die einzelnen Module in Reihenfolge des Scriptlaufs erläutert. Der Name des jeweiligen Moduls wird immer bei dessen Start kurz angezeigt. | Nachfolgend werden die einzelnen Module in Reihenfolge des Scriptlaufs erläutert. Der Name des jeweiligen Moduls wird immer bei dessen Start kurz angezeigt. | ||
| + | |||
| + | //**Hinweis:** Mit Veröffentlichung der invis-Server Release 13.0, ändert sich der nachfolgend geschilderte Installationsablauf geringfügig. Lassen Sie sich also nicht verunsichern, wenn die eine oder andere Bildschirmausgabe nicht haargenau so aussieht, wie in den hier gezeigten Screenshots. Weitere diesbezügliche Hinweise befinden sich ggf. in den einzelnen Modulbeschreibungen.// | ||
| ---- | ---- | ||
| Zeile 237: | Zeile 262: | ||
| //**Hinweis:** Mit Erscheinen des invis-Servers in Version 10.5 wurde die gesamte Zertifikats-Infrastruktur auf die Software **easy-rsa** umgestellt. Ab diesem Zeitpunkt gibt es nur noch eine CA für alle Zertifikate. D.h. Die hier erzeugte Infrastruktur wird auch für OpenVPN genutzt. Die VPN Client-Zertifikate werden von der gleichen CA signiert wie alle anderen Zertifikate des Servers. Es wird ab sofort auch für die Erstellung von VPN-Client-Zertifikaten das Passwort der Stamm-CA benötigt.// | //**Hinweis:** Mit Erscheinen des invis-Servers in Version 10.5 wurde die gesamte Zertifikats-Infrastruktur auf die Software **easy-rsa** umgestellt. Ab diesem Zeitpunkt gibt es nur noch eine CA für alle Zertifikate. D.h. Die hier erzeugte Infrastruktur wird auch für OpenVPN genutzt. Die VPN Client-Zertifikate werden von der gleichen CA signiert wie alle anderen Zertifikate des Servers. Es wird ab sofort auch für die Erstellung von VPN-Client-Zertifikaten das Passwort der Stamm-CA benötigt.// | ||
| + | |||
| + | //**sine**// fragt beim Erstellen der CA Informationen ab, die im Zertifikat der CA enthalten sein werden. In den meisten Fällen können Sie die Vorgaben übernehmen. Achten Sie beim CN (Common Name) darauf den Vorgabewert "Easy RSA CA" durch eine individuelle und vor allem eindeutige Vorgabe zu ersetzen. Eine gute Idee ist hier der volle Hostname (FQHN) des Servers gefolgt vom Kürzel CA, also z.B. "invis.example-net.loc CA". | ||
| + | |||
| + | //**Achtung** Vor allem, wenn Sie mehrere invis-Server installieren und betreuen ist es wichtig, dass der CN im Stammzertifikat auf allen Installationen unterschiedlich ist. Wenn Sie unterschiedliche Stammzertifikate mit gleichem CN in einen Zertifikatsspeicher, beispielsweise Ihres Browsers integrieren, hat er später keine Möglichkeit zu unterscheiden mit welchem dieser Stammzertifikate ein zu verifizierendes Server-Zertifikat signiert wurde.// | ||
| Wurde die CA fertig gestellt, werden noch Diffie-Hellman Parameterdateien sowie eine "Certificate-Revocation-List" erstellt. Speziell die Erstellung der DH-Parameter nimmt einige Zeit in Anspruch. | Wurde die CA fertig gestellt, werden noch Diffie-Hellman Parameterdateien sowie eine "Certificate-Revocation-List" erstellt. Speziell die Erstellung der DH-Parameter nimmt einige Zeit in Anspruch. | ||
| Zeile 376: | Zeile 405: | ||
| Beenden Sie //**sine**// daher am besten nach dem Modul, trennen Sie die SSH-Verbindung und bauen Sie über den neuen Port wieder auf. Danach können Sie //**sine**// wieder starten. | Beenden Sie //**sine**// daher am besten nach dem Modul, trennen Sie die SSH-Verbindung und bauen Sie über den neuen Port wieder auf. Danach können Sie //**sine**// wieder starten. | ||
| + | ---- | ||
| + | === Modul: openvpn === | ||
| + | |||
| + | **Typ:** interaktiv | ||
| + | |||
| + | Ein VPN-Zugang zum Server ist eigentlich ein Muss, vorausgesetzt Ihr Server ist via Internet erreichbar. Im Verlauf dieses Moduls müssen Sie nicht viel tun. Es werden lediglich 2 mal Informationen für Sie ausgegeben. Da ich weiß wie das in der Praxis abläuft (Info -> weg klicken... ;-)), möchte ich Ihre Aufmerksamkeit hier zusätzlich auf die zweite Info lenken: | ||
| + | |||
| + | {{ :invis_server_wiki:installation:14-008_vpn_info2.png?500 |}} | ||
| + | |||
| + | Auf dem fertig installierten invis-Server finden Sie in der Freigabe "Service" im Verzeichnis "VPN-Clients" Beispielkonfigurationen für verschiedene Client-Betriebssysteme. Auch mit dem Tool //**inviscerts**// generierte Client-Zertifikate finden Sie dort. | ||
| ---- | ---- | ||
| Zeile 408: | Zeile 447: | ||
| Dieses Modul sollten Sie überspringen, Fax auf ISDN-Basis ist gegenwärtig kaum noch machbar. Überdies ist das Modul auch nicht mehr vollständig Funktionsfähig, da die notwendigen FCPCI-Treiber nicht mehr automatisch installiert werden können. | Dieses Modul sollten Sie überspringen, Fax auf ISDN-Basis ist gegenwärtig kaum noch machbar. Überdies ist das Modul auch nicht mehr vollständig Funktionsfähig, da die notwendigen FCPCI-Treiber nicht mehr automatisch installiert werden können. | ||
| - | === Modul: webcdwriter === | + | === Modul: webcdwriter - Entfällt ab invis-Version 13.0=== |
| WebCDwriter ist irgendwie aus nostalgischen Gründen noch Bestandteil des invis-Servers. ...aber wer braucht noch heute noch eine Software zum Brennen von CDs. (genau CDs, nicht DVDs oder gar BlueRay). | WebCDwriter ist irgendwie aus nostalgischen Gründen noch Bestandteil des invis-Servers. ...aber wer braucht noch heute noch eine Software zum Brennen von CDs. (genau CDs, nicht DVDs oder gar BlueRay). | ||
| === Modul: openvpn === | === Modul: openvpn === | ||
| + | |||
| + | //**Hinweis:** Ab invis-Server Version 13.0 haben wir dieses Modul zum Pflichtmodul gewandelt und entsprechend vorverlegt.// | ||
| Ein VPN-Zugang zum Server ist eigentlich ein Muss, vorausgesetzt Ihr Server ist via Internet erreichbar. | Ein VPN-Zugang zum Server ist eigentlich ein Muss, vorausgesetzt Ihr Server ist via Internet erreichbar. | ||