Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- invis_server_wiki:toolbox [2019/01/26 09:31]
flacco [groupadd2ad (Ab invisAD 10.5)]
+++ invis_server_wiki:toolbox [2024/07/23 14:34] (aktuell)
flacco [wawips (Ab Version 13.0)]
@@ Zeile 48: / Zeile 48: @@
 invis:~ # adbackup
 </code>
+===== addposixattrs (Ab invis-Server 14.2) ======
+Das Tool ist dazu gedacht ein bestehendes Benutzerkonto um POSIX-Attribute zu erweitern, damit sich der betroffene Benutzer auch direkt an der Konsole des Servers anmelden kann. Bestes Beispiel dafür ist das Konto des Domänenadministrators. Es wird bereits beim Domain-Provisioning angelegt. Es verfügt weder über ein Home-Verzeichnis noch wurde ein Logon-Script hinterlegt und er wird vom zugrunde liegenden Linux gar nicht gesehen. Das lässt sich mit //**addposixattrs**// ändern. Die Verwendung ist einfach:
+<code>
+invis:~ # addposixattrs benutzername
+</code>
+Wird es auf den Benutzer "administrator" angewendet, wird diesem das Logon-Script "admin.cmd" zugeordnet, andere Benutzer das Script "user.cmd". Der Unterschied ist, dass dem Admin auch die Freigabe "Service" als Laufwerk gemappt wird.
 ===== afterup =====
@@ Zeile 59: / Zeile 69: @@
 //**afterup**// behebt diese Probleme, achtet aber dabei nicht auf Änderungen von Ihnen, die von der invis-Standard-Installation abweichen.
-//**Hinweis**: Ab invisAD Version 10.1 muss bei Verwendung des invis-updaters **afterup** nicht mehr händisch ausgeführt werden.//
 ===== alldump =====
@@ Zeile 148: / Zeile 156: @@
 Diese müssen in der invis Konfigurationsdatei hinter "SMARTString:" eingetragen werden. Dabei ist auf genaue Schreibweise zu achten!
+In Einzelfällen haben wir festgestellt, dass die Information, ob SMART unterstützt wird oder nicht, im Sys-Dateisystem fehlen. In diesem Fall kann eine Unterscheidung nach Anschlusstyp als Workaround herhalten. Hintergrund ist einfach, dass SMART-Abfragen am USB-Bus häufig nicht funktioniert, während sie an anderen Bus-Systemen kein Problem darstellen. In diesem Fall kann der folgende String in die invis-Konfiguration eingetragen werden:
+  * ID_BUS=ata
 Bis einschließlich invis 6.9-R1-alpha9 muss der String noch direkt in das //**diskchecker**// Script eingetragen werden.
@@ Zeile 177: / Zeile 189: @@
+__Unterstrichener Text__
+===== Scripts rund um fetchmail =====
+Alle nachfolgenden Scripts gibt es ab invis-Server Version 14.3.
+==== addmailaccount ====
+Um dem invis-Server externe Mailkonten bekannt zu machen beispielsweise um den Mail-Abruf per fetchmail zu organisieren wurde ursprünglich das invis-Portal benutzt. Das war und ist so aufgebaut, dass es durch die Benutzer selbst bedient werden kann. Praktisch für Benutzer, eher ungelenk für den Administrator. Letzterer muss sich mit den Zugangsdaten des Zielbenutzers am Portal anmelden um diesen Job zu erledigen. Leider hat sich in der Vergangenheit gezeigt, das "normale Benutzer" entweder nicht in der Lage oder schlicht nicht willens sind Ihre Mail-Konten-Zugangsinformationen am invis-Portal einzugeben. Schade eigentlich...
+Um es dem Administrator einfacher zu machen, gibt es jetzt mit //**addmailaccount**// ein einfaches Script um dies auf der root-Konsole des Servers zu erledigen. Es ist ein interaktives Script und fragt die Informationen über ein Eingabeformular ab. Aufgerufen wird es wie folgt:
+<code>
+invis:~ # addmailaccount benutzername
+</code>
+Der Rest ist selbsterklärend.
+==== changemacstate ====
+Mit //**changemacstate**// wurde ein ergänzendes Script erstellt um den Email-Abruf für einzelne Benutzer zu aktivieren oder zu deaktivieren. D.h. Es werden Zeilen in die fetchmailrc-Datei eingefügt oder entfernt.
+<code>
+invis:~ # changemacstate benutzername [a|d]
+</code>
+Dabei stehen die Optionen **a** für aktivieren und **d** für deaktivieren.
+==== refreshfrc ====
+Sollten sich im LDAP des Servers Änderungen an den Zugangsdaten der externen Mailkonten ergeben haben, können diese im Block in die fetchmailrc-Datei übernommen werden. Das Script wird einfach ohne weitere Optionen aufgerufen und schreibt die fetchmailrc-Datei neu.
 ===== foldernames.php =====
@@ Zeile 182: / Zeile 222: @@
 <code>
-linux:~ # foldernames.php username sprache
+invis:~ # foldernames.php username sprache
 </code>
@@ Zeile 188: / Zeile 228: @@
 <code>
-linux:~ # foldernames.php heinz de_DE.UTF-8
+invs:~ # foldernames.php heinz de_DE.UTF-8
 </code>
+Alternativ kann auch das Kopano-eigene Script **//kopano-localize-folders//** verwendet werden:
+<code>
+invis:~ # kopano-localize-folders -u heinzb --lang de_DE.UTF-8
+</code>
 ===== freeports =====
@@ Zeile 209: / Zeile 254: @@
 </code>
+===== fixgsacls (Ab invis Version 14.1) =====
+Das Script setzt "verkorkste" Zugriffs-ACLs für die Gruppen-Arbeitsverzeichnisse in der Gruppen-Freigabe auf die Anfangswerte zurück. Gleichzeitig werden Verzeichnisse, die manuell auf der obersten Ebene der Gruppen-Freigabe angelegt wurden umbenannt indem das Script die Endung "-bitte_Support_anrufen" an die Verzeichnisnamen anhängt.
+Das Script kann sowohl auf der Kommandozeile des Servers, als auch aus dem invis-Portal heraus aufgerufen werden.
+<code>
+invis:~ # fixgsacls
+</code>
 ===== getcertinfo (ab invisAD 10.4) =====
@@ Zeile 384: / Zeile 438: @@
 Das Tool wir ab invis Version 6.7 R1 per Cronjob automatisch alle 10 Minuten ausgeführt.
-===== inhume =====
+===== inhume (Ab invis-Server Version 14.0) =====
-Dieses Script ist dazu gedacht verwaiste Kopano-Stores und ownCloud-Konten zuvor gelöschter Benutzer ebenfalls zu löschen. Das Script legt keine Datensicherung der zu löschenden Daten an.
+Dieses Script ist dazu gedacht verwaiste Kopano-Stores und ownCloud-Konten zuvor gelöschter Benutzer ebenfalls zu löschen.
+//**Hinweis:** Das Script legt keine Datensicherung der zu löschenden Daten an. Ziel ist es ja eben die verwaisten Daten zu löschen.//
 ===== ipservicestatus & ipservicecontrol (ab invisAD 10.1) =====
@@ Zeile 405: / Zeile 461: @@
 <code>
-linux:~ # inviscerts [ldap|extern|ms|vpn]
+linux:~ # inviscerts [intern|extern|ms|vpn|crl]
 </code>
 Sie benötigen für alle Operationen das Passwort Ihrer CA.
-Es ist mit //**inviscerts**// nicht mehr möglich, noch gültige Zertifikate neu zu erstellen.
+Die Optionen im Einzelnen:
+  * **intern** - Legt ein Zertifikat für interne Dienste an.
+  * **extern** - Legt ein Zertifikat für alle via Internet erreichbaren Dienste wie an.
+  * **ms** - Legt ein Zertifikat für den Mailserver an.
+  * **vpn** - Legt VPN Client-Zertifikate an.
+  * **crl** - Aktualisiert die Certificate Revocation List.
+Detaillierte Erläuterungen zur Verwendung und Funktionsweise des Scripts sind **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#verwaltung_von_schluesseln_und_zertifikaten|hier]]** zu finden.
+===== invis-updater (ab invisAD 10.1 / Deprecated) =====
-===== invis-updater (ab invisAD 10.1) =====
+//**Hinweis:** Dieses Script wird ggf. wieder entfernt. Das Installieren von reinen Sicherheits-Update mittels openSUSEs **you** ist vorzuziehen.//
 "fire and forget" Script zur Installation von Updates auf invis-Servern. Dem Script kann über eine Negativliste gesagt werden, welche Updates als kritisch angesehen werden, In der Voreinstellung sind dies Kernel-Updates, Aktualisierungen der installierten SQL-Dienste oder auch VirtualBox, wenn installiert. Alle anderen Updates werden installiert und davon betroffene Dienste automatisch neu gestartet. Integriert wird weiterhin die Ausführung des Scripts "afterup", letzteres muss also bei Verwendung des invis-updaters nicht mehr händisch ausgeführt werden.
@@ Zeile 431: / Zeile 496: @@
 Die Sicherungen sind unter <file>/srv/shares/sicherungen</file> zu finden.
-===== killzsearch (ab invisAD 10.3) =====
-Dieses Script lediglich als Workaround für einen Bug in Zarafa 7.2.0 gedacht. Hier kommt es vor, dass sich der neue Zarafa Search-Daemon aufhängt und den Zarafa-Server gleich mit in Schieflage bringt.
-Die Anwendung ist einfach:
-<code>
-linux:~ # runzarafa stop
-linux:~ # killzsearch
-linux:~ # runzarafa start
-</code>
-Ab Zarafa 7.2.1 ist der Bug behoben und das Script somit überflüssig.
 ===== kmemcalc (Vor V. 12.0 zmemcalc) =====
@@ Zeile 477: / Zeile 529: @@
-===== membermod =====
+===== membermod / mmall (letzteres seit invis-Server 14.1) =====
-Das Script ist dazu gedacht einen Maschinen-Konto mit UNIX-Attributen zu erweitern.
+Das Scripts sind dazu gedacht ein Maschinen-Konto mit UNIX-Attributen zu erweitern. Notwendig ist das um beispielsweise Maschinen-Konten Zugriff auf Fileserver-Freigaben zu gewähren, etwa wenn Software via GPOs ausgerollt wird.
+Dabei kann //**membermod**// gezielt auf einzelne Maschinenkonten angewendet werden:
 <code>
@@ Zeile 487: / Zeile 541: @@
 Als Aufrufargument wird der Computername des Maschinenkontos ohne Domäne erwartet.
+//**mmall**// hingegen sucht im LDAP-Verzeichnis nach allen Maschinenkonten und erweitert diese, wenn nicht bereits geschehen, alle um UNIX-Attribute. Das Script kann sowohl auf der Kommandozeile:
+<code>
+invis:~ # mmall
+</code>
+(ohne Aufrufargumente) als auch ab invis-Server 14.1 aus dem invis-Portal heraus aufgerufen werden.
 ===== mkdbsilent =====
@@ Zeile 503: / Zeile 564: @@
 Die resultierende Datei wird unter <file>/etc/invis/kopano/kopano.pem</file> abgelegt.
+//**Hinweis:** Müssen Zertifikate erneuert werden, ruft das Script **inviscerts** **mkkopanokey** automatisch auf.//
 ===== mkkopres (Ab invis-Version 14.0) =====
@@ Zeile 512: / Zeile 574: @@
 Das Script erwartet zwei Aufrufargumente, zunächst den Kontonamen des zu erweiternden Shared-Stores und anschließend den Typ der anzulegenden Ressource. Beim Ressourcen-Typ wird zwischen "equipment" und "room" unterschieden. Wird als Typ "equipment" angegeben, fragt das Script noch danach, wie viele Exemplare der Ressource zur Verfügung stehen. Also beispielsweise "3 Beamer". Kopano lehnt in diesem Fall eine Buchung erst ab, wenn die vorhandene Anzahl der Ressource überbucht wird.
-===== moddnsrecords (Ab invisAD 10.0 - nicht in invis Classic) =====
+===== moddnsrecords (Ab invisAD 10.0) =====
 Das Script ist als "vereinfachendes" Frontend für //**samba-tool**// zum Anlegen, Entfernen oder Ändern von DNS A- und PTR-Records gedacht. //**moddnsrecords**// wird auch vom invis-Portal zum Eintragen, Löschen oder Anpassen von DNS-Einträgen genutzt.
@@ Zeile 557: / Zeile 619: @@
 ===== netsetup =====
-Das Script //**netsetup**// benötigen Sie nur ein einziges Mal vor der Installation des invis-Servers. Es legt UDEV-Regeln für die Benennung der Netzwerkschnittstellen in "extern", "intern" und ggf. "dmz" an.
+Das Script //**netsetup**// benötigen Sie nur ein einziges Mal **vor** der Installation des invis-Servers. Es legt UDEV-Regeln für die Benennung der Netzwerkschnittstellen in "extern", "intern" und ggf. "dmz" an.
 ===== ocsubsync (Ab invis-Version 13.2) =====
@@ Zeile 646: / Zeile 708: @@
 Dabei muss "entryname" genau einem der in der obigen Liste angezeigten Namen entsprechen.
-===== vboxstop =====
+===== upgradead (Ab invis-Server Version 14.1) =====
+Trotz der merkwürdigen Benennung des Scripts hat es nicht mit dem Tod zu tun. Der Name setzt sich aus "upgrade" und "ad" zusammen. Gedacht ist es um eine ActiveDirectory-Sicherung aus einer Samba-Version kleiner 4.8 in einer Samba 4.10 Umgebung wiederherzustellen. Kurz um ein bestehendes AD in einem aktuellen invis-Server ab Version 14.1 wiederzubeleben.
+Als Aufrufargument erwartet das Script den Pfad zur wiederherzustellenden AD-Sicherungsdatei:
+<code>
+invis:~ # upgradead /srv/shares/archiv/sicherungen/vollsicherungen/ad/Samba_20190729-172425.tar.gz
+</code>
+Beachten Sie dabei, dass bei diesem Vorgang das bestehende AD des Servers auf dem das Script ausgeführt wird natürlich ersetzt wird. Das Script erzeugt vorsichtshalber vorab eine Sicherung des Bestands.
+===== Scripts rund um Virtualbox =====
+==== addvbsubnet (ab invis Version 15.0) ====
+Wird eine virtuelle Maschine per "Bridge" (Netzwerkbrücke) mit dem lokalen Netzwerk verbunden kann dass dazu führen, dass der lokale Zugriff auf die VM (beispielsweise per Remotedesktopverbindung) dazu führen sehr langsam ist, bzw. immer wieder kurz hängt. Woran das genau liegt konnten wir nicht herausfinden, außer dass sowohl der aus dem lokalen Netz eingehende Datenverkehr, als auch der zur VM laufende Verkehr physisch eine Netzwerkkarte teilen.
+Um dies zu umgehen wird es jetzt möglich virtuelle Maschinen an ein eigenes "internes" Subnetz (Host-only-Network) zu binden und dieses wiederum der internen Firewall-Zone des invis-Servers zuzuordnen und vom lokalen DHCP-Server mit IP-Adressen zu versorgen.
+Das Script fügt ein solches Host-only-Net zu Virtualbox hinzu, fügt es als Subnet in die LDAP-gestützte Konfiguration des DHCP-Servers ein und auch in die interne Firewall-Zone. Zwischen den NEtzwerkschnittstellen der internen Zone ist grundsätzlich ein Routing konfiguriert, d.h. die virtuellen Maschinen, die in diesem Netz laufen sind aus dem lokalen Netz direkt erreichbar und können auch der lokalen Domäne beitreten.
+**Anwendung:**
+<code>
+invis:~ # addvbsubnet ip-adresse subnetz/maske
+</code>
+Dabei steht "ip-adresse" für die Adresse die die zugehörige "vboxnet" Schnittstelle am invis-Server bekommt, "subetz" für die Netzwerkbasis-Adresse und "maske" für die Subnetzmaske in Langschreibweise.
+Im Anschluss an die Ausführung des Scripts muss der DHCP-Server am invis-Server neu gestartet werden:
+<code>
+invis:~ # systemctl restart dhcpd.service
+</code>
+==== addvm2subnet (ab invis Version 15.0) ====
+Dieses Script ist dazu gedacht neue DHCP-Reservierungen in VBox-Subnetzen einzurichten und für diese DNS-Records (Forward & Reverse) anzulegen.
+//**Hinweis:** das Script kann auch für das Standard-Netz verwendet werden. Anders als das invis-Portal ermittelt es aber nicht automatisch die zuletzt vergebene Adresse eines Netzes und teilt die Hosts auch nicht gemäß den Vorgaben "Server", "PC", "Drucker" oder "IP-Gerät" auf. Das ist damit Handarbeit. Um die nächste freie IP-Adresse zu ermitteln, kann es aber die bereits vergeben Adressen auflisten und auch die vorhandenen Subnetze anzeigen.//
+**Das Script im Query-Modus:**
+<code>
+invis:~ # addvm2subnet q IP-Part
+</code>
+Das "q" steht für "query" und IP-Part für den Teil einer IP-Adresse der im Subnetz liegt oder es kennzeichnet. Also etwa:
+<code>
+invis:~ # addvm2subnet q 172.18.4
+CN=DHCP Config,CN=DHCP-Server,cn=invis-server,DC=invis-server,DC=lan
+Ausgabe vergebener IP-Adressen:
+.18.4.2
+.18.4.5
+.18.4.1
+.18.4.3
+.18.4.4
+Mögliche Subnetze sind:
+.18.0.0
+.19.0.0
+</code>
+Im Beispiel wäre dann die IP-Adresse 172.18.4.6 die nächste freie Adresse.
+**Das Sript im aktiven Modus:**
+Um einen Host mit der gewünschten Adresse ins gewünschte Subnetz einzutragen sieht der Scriptaufruf wie folgt aus:
+<code>
+invis:~ # addvm2subnet 08:00:27:1f:d2:9a 172.19.4.1 erp1-vm
+</code>
+Achten Sie bei Eingabe der Mac-Adresse auf die Schreibweise, alle Buchstaben klein geschrieben und der Doppelpunkt als Trennzeichen. Es folgt die gewünschte IP-Adresse im anvisierten Subnetz und der Hostname ohne Domain.
+==== vboxstop ====
 Wenn während eines Updates des Servers auch VirtualBox aktualisiert werden soll, scheitert das meist daran, dass noch Komponenten von VirtualBox aktiv sind. //**vboxstop**// beendet alle störenden Prozesse.
@@ Zeile 652: / Zeile 789: @@
 //**Hinweis:** Fahren Sie vorher alle VMs herunter.//
-===== wawips (Ab Version 13.0) =====
+===== wawips (Ab Version 13.0 bis 14.3 ) =====
 Dieses Tool wird per Cronjob regelmäßig ausgeführt und dient dazu in der ERP-Lösung WaWision Wiedervorlagen auszulösen.