Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
invis_server_wiki:whatis_invis_server [2019/11/24 11:17] flacco [Mobiles Arbeiten / Home-Office] |
invis_server_wiki:whatis_invis_server [2020/01/16 15:01] (aktuell) flacco [Email & Groupware] |
||
|---|---|---|---|
| Zeile 59: | Zeile 59: | ||
| invis-Server sind tatsächlich als "rundum-sorglos Paket" für kleine Unternehmen gedacht. Dabei liegt der Fokus auf hoher Funktionalität bei überschaubaren Kosten. | invis-Server sind tatsächlich als "rundum-sorglos Paket" für kleine Unternehmen gedacht. Dabei liegt der Fokus auf hoher Funktionalität bei überschaubaren Kosten. | ||
| - | ===== Internetzugang ===== | + | ===== Überblick ===== |
| invis Server arbeiten prinzipiell als Router/Gateway deren Firewall so ausgelegt ist, dass sie ein dahinter liegendes Netzwerk vor Zugriffen aus dem Internet schützen. D.h. es ist prinzipiell der invis Server, der den Zugang des gesamten Netzwerkes zum Internet regelt. | invis Server arbeiten prinzipiell als Router/Gateway deren Firewall so ausgelegt ist, dass sie ein dahinter liegendes Netzwerk vor Zugriffen aus dem Internet schützen. D.h. es ist prinzipiell der invis Server, der den Zugang des gesamten Netzwerkes zum Internet regelt. | ||
| Zeile 105: | Zeile 105: | ||
| **Punkt 3 in der Abbildung** | **Punkt 3 in der Abbildung** | ||
| - | Lokale Clients werden mittels eines Domänenbeitritts mit der ActiveDirectory Domäne des invis-Servers verbunden. Möglich ist dies mit allen gängigen Betriebssystemen (Windows, Linux, MacOS). Speziell für Linux-Clients auf denen openSUSE Leap genutzt wird bieten wir ein eigenes invis-Client-Paket an, mit dem die Integration sehr einfach möglich ist. Das Paket unterstützt auch die Integration von zusätzlichen Linux-Fileservern als Memberserver in die Domäne. | + | Lokale Clients werden mittels eines Domänenbeitritts mit der ActiveDirectory Domäne des invis-Servers verbunden. Möglich ist dies mit allen gängigen Betriebssystemen (Windows, Linux, MacOS). Speziell für Linux-Clients auf denen openSUSE Leap genutzt wird bieten wir ein eigenes **invis-Client-Paket** an, mit dem die Integration sehr einfach möglich ist. Das Paket unterstützt auch die Integration von zusätzlichen Linux-Fileservern als Memberserver in die Domäne. |
| ==== Mobiles Arbeiten / Home-Office ==== | ==== Mobiles Arbeiten / Home-Office ==== | ||
| Zeile 118: | Zeile 118: | ||
| **Punkt 5 in der Abbildung** | **Punkt 5 in der Abbildung** | ||
| + | |||
| + | Auch der Filial-Server ist, genau wie der invis-Server selbst, als Router ausgelegt. Sprich, für dessen Netzerk-Integration gilt das gleiche wie zuvor für den invis-Server beschrieben. Denkbar ist allerdings auch ihn nicht als Router, sondern als einfaches Netzwerkmitglied hinter dem Hauptrouter zu betreiben. D.h. in dieser Betriebsart ist der Filial-Server selbst kein Router mehr. Inwieweit diese zweite Möglichkeit als Option in das Setup einfließt steht bisher nicht fest. | ||
| + | |||
| + | Fester Bestandteil des Setups ist der Aufbau einer VPN-Verbindung zum Netz des Hauptservers, sowie dessen Beitritt zur ActiveDrectory-Domäne des Hauptservers. Er arbeitet als lokaler Fileserver im Netz der Filiale, die Daten des Fileservers lassen sich via ownCloud mit Freigabe-Verzeichnissen des zentralen invis-Servers synchronisieren. D.h. Mitarbeiter die an beiden Standorten tätig sind können auf beiden Seiten mit Ihren Daten arbeiten. | ||
| + | |||
| + | Derzeit ist der Filialserver einfacher Memberserver der zentralen Domäne. D.h. damit der Zugriff auf dessen Fileserver-Freigaben klappt müssen auf allen PCs der Filiale Benutzerkonten angelegt werden, die denen der Domäne entsprechen. Für spätere Entwicklungsschritte ist angedacht, den Filial-Server als "Read-only-Domain-Controller" (RODC) zu betreiben. Damit wäre es möglich alle PCs der Filiale in die AD-Domäne aufzunehmen, womit dann das Anlegen lokaler Benutzerkonten entfällt. Wie gesagt, ist noch Zukunftsmusik. | ||
| ===== Zugang von "Außen" ===== | ===== Zugang von "Außen" ===== | ||
| Eine Warnung vorweg: | Eine Warnung vorweg: | ||
| Zeile 125: | Zeile 131: | ||
| invis Server sind dafür ausgelegt auf verschiedenen Wegen via Internet erreichbar zu sein. Vorgesehen sind 5 unterschiedlich Zugänge: | invis Server sind dafür ausgelegt auf verschiedenen Wegen via Internet erreichbar zu sein. Vorgesehen sind 5 unterschiedlich Zugänge: | ||
| - | - SSH -- Administrativer Zugriff. Der Port des SSH-Servers wird während des Setups auf einen zufälligen hohen Port verschoben. | + | - **SSH** -- Administrativer Zugriff. Der Port des SSH-Servers wird während des Setups auf einen zufälligen hohen Port verschoben. |
| - | - HTTPs -- Zugriff auf das invis-Portal und installierte Webapplikationen. Auch der HTTPs Port wird während des Setups auf einen zufälligen hohen Port verschoben. | + | - **HTTPs** -- Zugriff auf das invis-Portal und installierte Webapplikationen. Auch der HTTPs Port wird während des Setups auf einen zufälligen hohen Port verschoben. |
| - | - OpenVPN -- VPN Zugang auf den Server und das dahinter liegende Netz. | + | - **OpenVPN** -- VPN Zugang auf den Server und das dahinter liegende Netz. |
| - | - HTTPs -- ActiveSync/z-push auf Port 443 | + | - **HTTPs** -- ActiveSync/z-push auf Port 443 |
| - | - HTTP -- dient rein technischen Zwecken. Über Port 80 wird die Nutzung offizieller Sicherheitszertifikate des Zertifizierers "Let's Encrypt" ermöglicht. | + | - **HTTP** -- dient rein technischen Zwecken. Über Port 80 wird die Nutzung offizieller Sicherheitszertifikate des Zertifizierers "Let's Encrypt" ermöglicht. |
| Der Zugriff auf installierte Webapplikationen via Internet setzt den den vorherigen Zugriff auf das invis-Portal sowie die Mitgliedschaft in der Gruppe "**mobilusers**" voraus. Deeplinking auf die Webapplikationen wird verhindert. Davon ausgenommen sind z-Push, die Kopano Webapp und ownCloud. | Der Zugriff auf installierte Webapplikationen via Internet setzt den den vorherigen Zugriff auf das invis-Portal sowie die Mitgliedschaft in der Gruppe "**mobilusers**" voraus. Deeplinking auf die Webapplikationen wird verhindert. Davon ausgenommen sind z-Push, die Kopano Webapp und ownCloud. | ||
| Zeile 139: | Zeile 145: | ||
| D.h. auch beim Zugriff aus dem internen Netz wird die extern gültige URL genutzt. Ansonsten wäre es nicht möglich konsistente URLs zu erzeugen über die Dritte auf freigegebene Dateien oder Ordner zugreifen können. | D.h. auch beim Zugriff aus dem internen Netz wird die extern gültige URL genutzt. Ansonsten wäre es nicht möglich konsistente URLs zu erzeugen über die Dritte auf freigegebene Dateien oder Ordner zugreifen können. | ||
| - | //**Achtung:** Dafür ist es erforderlich, dass der von Ihnen verwendete Router eingerichtete Portforwarding-Regeln auch dann anwendet, wenn der Zugriff aus dem lokalen Netz (interne Zone) erfolgt. Einige Router der Telekom (Digibox), Vodafone (Easybox), Telefonica (One Access) sind dazu leider nicht in der Lage! Verwenden Sie statt dessen Geräte der Hersteller AVM (FritzBox) oder LANCOM. Mit diesen Geräten treten keine Probleme auf.// | + | //**Achtung:** Dafür ist es erforderlich, dass der von Ihnen verwendete Router eingerichtete Portforwarding-Regeln auch dann anwendet, wenn der Zugriff aus dem lokalen Netz (interne Zone) erfolgt. **Einige Router der Telekom (Digibox), Vodafone (Easybox), Telefonica (One Access) sind dazu leider nicht in der Lage!** Verwenden Sie statt dessen Geräte der Hersteller AVM (FritzBox) oder LANCOM. Mit diesen Geräten treten keine Probleme auf.// |
| Als Hostname kommt prinzipiell ein im Internet gültiger Hostname (DDNS) in Frage. Die Verwendung einer festen IP-Adresse (muss vom Provider gestellt werden) ist zwar denkbar, sorgt aber in Verbindung mit Verschlüsselung immer für Probleme, da Sicherheitszertifikate nur auf Namen und nicht für IP-Adressen ausgestellt werden. | Als Hostname kommt prinzipiell ein im Internet gültiger Hostname (DDNS) in Frage. Die Verwendung einer festen IP-Adresse (muss vom Provider gestellt werden) ist zwar denkbar, sorgt aber in Verbindung mit Verschlüsselung immer für Probleme, da Sicherheitszertifikate nur auf Namen und nicht für IP-Adressen ausgestellt werden. | ||
| Zeile 175: | Zeile 181: | ||
| Jeder auf einem invis Server angelegte Benutzer verfügt über eine lokales email-Konto (Postfach), dem eine Adresse nach dem Schema "//username@lokale-domain.loc//" zugeordnet ist. Diese Adresse hat ausschließlich im lokalen Netzwerk Bedeutung und kann im Internet nicht verwendet werden. Diesem Mailkonto können mittels CorNAz (Eintrag "Mailkonten" im invis-Portal) vom User selbst beliebig viele externe Mailkonten zugeordnet werden. | Jeder auf einem invis Server angelegte Benutzer verfügt über eine lokales email-Konto (Postfach), dem eine Adresse nach dem Schema "//username@lokale-domain.loc//" zugeordnet ist. Diese Adresse hat ausschließlich im lokalen Netzwerk Bedeutung und kann im Internet nicht verwendet werden. Diesem Mailkonto können mittels CorNAz (Eintrag "Mailkonten" im invis-Portal) vom User selbst beliebig viele externe Mailkonten zugeordnet werden. | ||
| - | Alle Mail-Clients im Netzwerk (Thunderbird, Outlook usw.) kennen nur die lokale Mail-Adresse. Wird von einem Client aus eine email versendet, prüft der invis-Server, ob sich der Empfänger im lokalen Netzwerk oder im Internet befindet. Trifft letzteres zu, tauscht der invis Server automatisch die in der email verankerten lokalen Absender-Adresse gegen eine im Internet Gültige (sender address rewriting) aus. | + | Alle Mail-Clients im Netzwerk (Thunderbird, Outlook usw.) kennen nur die lokale Mail-Adresse. Wird von einem Client aus eine Email versendet, prüft der invis-Server, ob sich der Empfänger im lokalen Netzwerk oder im Internet befindet. Trifft letzteres zu, tauscht der invis Server automatisch die in der Email verankerten lokalen Absender-Adresse gegen eine im Internet Gültige (sender address rewriting) aus. |
| - | Hat der Benutzer mehrere externe Mailkonten/email-Adressen angegeben, kann er mit unserem Mail-Konten-Verwaltungs-Tool "CorNAz" festlegen, welches seine bevorzugte Absender-Adresse ist. | + | Hat der Benutzer mehrere externe Mailkonten/Email-Adressen angegeben, kann er mit unserem Mail-Konten-Verwaltungs-Tool "CorNAz" festlegen, welches seine bevorzugte Absender-Adresse ist. |
| Emails an lokale Empfänger werden direkt zugestellt, hier findet kein "address rewriting" statt. | Emails an lokale Empfänger werden direkt zugestellt, hier findet kein "address rewriting" statt. | ||
| Zeile 186: | Zeile 192: | ||
| ====== Versionen und Versionsnummerierung ====== | ====== Versionen und Versionsnummerierung ====== | ||
| - | invis-Server gibt es in den Versionen "invis Classic" und "invis ActiveDirectory". Davon wird die Classic Version nicht mehr gepflegt und ist auch allenfalls noch mit reichlich Mühe unter openSUSE 13.1 (die im November 2016 endgültig ausläuft) installieren. Wir raten davon ab. | + | invis-Server gab es in den Versionen "invis Classic" und "invis ActiveDirectory". Davon wird die Classic Version nicht mehr gepflegt und lässt sich auch allenfalls nicht mehr installieren. |
| Die letzte Version des invis-Classic trug die Versionsnummer 9.3. | Die letzte Version des invis-Classic trug die Versionsnummer 9.3. | ||
| Zeile 192: | Zeile 198: | ||
| Ab Version 10.0 wurde der invis-Server dank Samba 4 auf ActiveDirectory anstelle von OpenLDAP umgestellt. Dies entspricht einer Aktualisierung der Windows Domänenstruktur von NTLM (Windows Server NT 4.0) auf ActiveDirectory mit Kerberos Authentifizierung (ab Windows Server 2000). Notwendig war dies, da immer mehr Business-Applikationen das Vorhandensein eines ActiveDirectories voraussetzen und neuere Windows-Versionen nur noch mit zunehmend großem Aufwand zum Beitritt in eine NTLM-Domäne zu bewegen sind. | Ab Version 10.0 wurde der invis-Server dank Samba 4 auf ActiveDirectory anstelle von OpenLDAP umgestellt. Dies entspricht einer Aktualisierung der Windows Domänenstruktur von NTLM (Windows Server NT 4.0) auf ActiveDirectory mit Kerberos Authentifizierung (ab Windows Server 2000). Notwendig war dies, da immer mehr Business-Applikationen das Vorhandensein eines ActiveDirectories voraussetzen und neuere Windows-Versionen nur noch mit zunehmend großem Aufwand zum Beitritt in eine NTLM-Domäne zu bewegen sind. | ||
| - | Die Versionen 10.0 bis 10.3 basierten auf openSUSE 13.1. Seit dem Auslaufen der Evergreen Maintenance für openSUSE 13.1 im November 2016 werden nur noch Installationen basierend auf openSUSE Leap unterstützt. Noch existierende alte Installationen sollten aktualisiert oder neu installiert werden. Erläuterungen zu den verschiedenen Upgrade-Pfaden sind hier im **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:upgrade|Wiki]]** zu finden. | + | Die Versionen 10.0 bis 10.3 basierten auf openSUSE 13.1. Seit dem Auslaufen der Evergreen Maintenance für openSUSE 13.1 im November 2016 werden nur noch Installationen basierend auf der jeweils aktuellen openSUSE Leap unterstützt. Noch existierende alte Installationen sollten aktualisiert oder neu installiert werden. Erläuterungen zu den verschiedenen Upgrade-Pfaden sind hier im **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:upgrade|Wiki]]** zu finden. |
| Die Versionsnummer eines invis-Servers besteht aus 3 Teilen bzw. Stellen: | Die Versionsnummer eines invis-Servers besteht aus 3 Teilen bzw. Stellen: | ||
| Zeile 206: | Zeile 212: | ||
| Grundsätzlich werden wir (soweit es unsere Zeit erlaubt) versuchen alle erforderlichen Update bzw. Upgrade Schritte hier im Wiki zu dokumentieren. Sollte etwas fehlen, bedenken Sie bitte, dass wir alle neben der Pflege und Entwicklung des invis-Servers auch noch die Jobs zu erledigen haben, die uns ernähren. | Grundsätzlich werden wir (soweit es unsere Zeit erlaubt) versuchen alle erforderlichen Update bzw. Upgrade Schritte hier im Wiki zu dokumentieren. Sollte etwas fehlen, bedenken Sie bitte, dass wir alle neben der Pflege und Entwicklung des invis-Servers auch noch die Jobs zu erledigen haben, die uns ernähren. | ||
| - | Mit Einführung von invis-Server 11.0 wurde die Major-Versionsnummer in den Namen des invis-Setup Paketes aufgenommen. Also wird aus **"invisAD-setup"** dann **"invisAD-Setup-11"**. Dies verhindert versehentliche Updates des Paketes bei dem ein bestehendes System beschädigt werden könnte. Um zur neuen Version zu kommen ist also immer ein Upgrade, entsprechend der Beschreibungen hier im [[invis_server_wiki:upgrade|Wiki]], erforderlich. | + | Seit Einführung von invis-Server 11.0 (August 2016) wurde die Major-Versionsnummer in den Namen des invis-Setup Paketes aufgenommen. Also wird aus **"invisAD-setup"** dann **"invisAD-Setup-11"**. Dies verhindert versehentliche Updates des Paketes bei dem ein bestehendes System beschädigt werden könnte. Um zur neuen Version zu kommen ist also immer ein Upgrade, entsprechend der Beschreibungen hier im [[invis_server_wiki:upgrade|Wiki]], erforderlich. |