Brug Univention Corporate Server (UCS) som hjemmeserver

I en tidligere artikel gennemgik vi Univention Corporate Server (UCS). Denne version var mere fokuseret på virksomhedskunder. UCS kan dog også bruges som hjemmeserver.

Ingo Steuwer, chef for professionelle tjenester hos UCS, har taget lidt tid til at forklare denne procedure i detaljer. Hvis du er en DIY-hobbyist, finder du denne artikel interessant.

Univention Corporate Server (UCS) som hjemmeserver

Brug af Univention Home Server

Univention Corporate Server (UCS) bruges hovedsageligt af professionelle it-brugere som et system, der er let at oprette og let at vedligeholde. Alligevel kan private brugere også høste fordelene ved dette koncept. I denne artikel vil jeg gerne give en introduktion til, hvordan du kan konfigurere din egen server til e-mail, gruppearbejde og fildeling på få trin ved hjælp af UCS og Nextcloud og Kopano apps - så du kan konstruere en alternativ til tjenester som GMail og Dropbox alt under din egen kontrol.

Køb hardware eller lej en server?

Det første spørgsmål er selvfølgelig: Hvor kører jeg serveren? I princippet har private brugere samme muligheder som virksomheder: Enten på egen hardware, i deres eget "IT center" (eller lagerrum) eller på et lejet system, der er vært et andet sted, f.eks. En "dedikeret server" med en sky tjenesteyder eller som et Amazon-billede [https://aws.amazon.com/marketplace/pp/B071GDRQ3C]. Når du træffer beslutningen, er det vigtigt at overveje, hvordan du faktisk har til hensigt at bruge serveren.

Et lejet system indebærer en minimal initial investering og er normalt ikke forbundet med betydelige båndbredde restriktioner, plus det er lettere at blive udvidet, så de passer til dine behov. Denne form for system er praktisk i tilfælde af mange adganger fra forskellige steder, fx når serveren bruges af medlemmer af en forening.

At køre et system på dit eget netværk giver ikke kun kontrol over dine egne data, men understøtter også yderligere applikationsscenarier som en standard filserver eller streaming af musik og videoer til lokale medieafspillere. Men afhængighed af en privat internetforbindelse repræsenterer ofte en flaskehals, når systemet er tilgængeligt udefra; selv de nyeste VDSL-forbindelser har en forholdsvis lav uploadkapacitet. Nogle internetudbydere støtter ikke adgang udefra. Hvis du er i tvivl, er den bedste løsning derfor at køre nogle tests, inden du investerer penge i ny hardware.

De trin, der beskrives nedenfor, er i princippet lige anvendelige for begge muligheder.

Hvis du køber din egen hardware - hvad har du brug for?

UCS stiller kun minimal krav til hardwaren, hvilket betyder at du har et stort udvalg at vælge imellem, når det kommer til mulige systemer. I princippet kan ældre desktophardware også være egnet, men ofte forbundet med ulemper med hensyn til pålidelighed og strømforbrug, når systemet kører døgnet rundt. Hvis du beslutter dig for at investere i et helt nyt system, er der en række producenter, der tilbyder hardware til dette segment, systemer, der er egnede til at køre 24 / 7 (ofte kaldet "SOHO NAS" (Small- eller Home Office Network Attached Storage ) systemer). Eksempler herpå er HP-systemerne i MicroServer-serien og Low Energy Servers fra Thomas-Krenn.

Den rigtige størrelse

Det næste spørgsmål er spørgsmålet om systemets størrelse. Opsætningen her præsenteres på et system med en mindre CPU og 4 GB RAM uden problemer. Den afgørende faktor er antallet af samtidige adgang. Da antallet af brugere eller applikationer stiger, vil der i sidste ende være behov for mere kapacitet. Cloud tilbud kan nemt udvides. Hvis du køber systemet, er det værd at starte med 8 eller 16 GB RAM og en CPU med 4 kerner.

Den krævede harddiskplads til UCS er ubetydelig - 10 GB er nok til at holde operativsystemet godt leveret i lang tid. Den afgørende faktor her er den tilsigtede anvendelse, især mængden af ​​data, der skal gemmes på systemet. Ved køb af hardware er det også vigtigt at overveje redundans via spejlet diske (RAID). Yderligere oplysninger om dette aspekt kan også findes i Debian HowTos, der er linket nedenfor.

Design: IP og DNS konfiguration

For at få adgang til systemet fra internettet kræves der en offentlig IP-adresse og tilhørende DNS-post. Hvis du lejer serverressourcer, vil du blive forsynet med mindst en IP-adresse og ofte også et offentligt domæne.

Den offentlige IP er generelt tildelt den private router i hjemmenetværk. Det skal konfigureres, så det kan videregive anmodninger til det lokale UCS-system. Sådan gøres dette, afhænger af routeren selv og muligvis på internetudbyderen. HowTos er tilgængelige på internettet for de fleste routere og firewalls. Hvis den private router ikke har en offentlig IP, kan det vise sig svært eller umuligt at køre en offentligt tilgængelig server bagved den. I tvivlstilfælde er det bedst at kontakte din internetudbyder eller søge yderligere oplysninger på internettet.

Det næste krav er en offentligt løselig DNS-post, som kan købes hos udbydere af "dynamisk DNS", Hvis du ikke har et offentligt domæne. Routeren tager sig af al kommunikation med DNS-udbyderen. Som sådan er det vigtigt at være opmærksom på kompatibilitet her. Følgende bruger domænet "my-ucs.dnsalias.org" som et eksempel.

I de fleste hjemmenetværk bruges DCHP til at tildele IP-adresser automatisk. Men som vi så, skal serverens IP-adresse konfigureres i routeren (se næste afsnit for de porte, der deles udefra), så UCS-serveren skal altid modtage den samme IP-adresse. Dette kan opnås ved at gemme UCS-systemet eller MAC-adressen i routerens DHCP-konfiguration. Alternativt kan en fast IP-adresse også angives under UCS-installationen. I dette tilfælde skal det imidlertid sikres, at routeren ikke tildeler den til nogen anden enhed. Når du bruger en fast IP, skal du altid sørge for, at specifikationerne for standard gateway og navneserver er korrekte. I de fleste tilfælde er routerens IP begge.

Aktivér adgang til serviceporte

For de tjenester, der beskrives her, er det nødvendigt at gøre porte 90 (HTTP) og 443 (HTTPS) samt 587 (SMTP indsendelse til indgående mails) eksternt tilgængelige. Når HTTP er oprettet, kan dette reduceres til den krypterede port 443. En adgang til port 22 for SSH kan være praktisk til fjernadministration, især i systemer, der ikke er hjemme-netværk. Yderligere porte kan være nødvendige for yderligere applikationsscenarier. For eksempel, hvis IMAPS / SMTPS også skal bruges til postklienter sammen med ActiveSync. Mens disse porte kan aktiveres aktivt i den lokale router i en hjemmeopsætning, skal konfigurationen af ​​et system, der drives eksternt via en udbyder, indstilles på en sådan måde, at alle andre porte er deaktiveret.

UCS setup

Til installationen downloades UCS ISO image fra Univention og brændes til en dvd eller overføres til en USB-pind. Systemet skal derefter startes fra dette medium (BIOS-indstilling). Installationen begynder og sammen med en række forskellige trin, såsom sprogets konfiguration, de monterede harddiske deles. I mange tilfælde kan partitioneringsforslaget simpelthen vedtages. Hvis du vil øge fejlsikringen - af disklageret med en software RAID eller udvidet partitionering, kan dette indstilles manuelt. For detaljer henvises der til Debians dokumentation, da UCS anvender installationsprocessen her.

Den egentlige UCS-konfiguration begynder efter den grundlæggende installation.

Følgende data er praktiske til den planlagte opsætning.

  • Domæneindstillinger: Når du installerer det første (og muligvis eneste) system i et UCS-miljø, skal du vælge "Opret et nyt domæne". Du bliver derefter bedt om at indtaste en fungerende e-mail-adresse, som den efterfølgende nødvendige nøgle vil blive sendt til.
  • PC-indstillinger: Du bliver nu bedt om et fuldt kvalificeret domænenavn til UCS-systemet. Den første del af dette er navnet, der vil blive givet til det fremtidige system og dets DNS-domæne. Den grundlæggende konfiguration af mange af UCS-systemets tjenester afhænger af denne indstilling. Det er meget svært at ændre det på et senere tidspunkt. I vores eksempel definerede vi et internt DNS domæne. Den offentlige DNS-post introduceret før kan derefter tilføjes på et senere tidspunkt. Det er også anbefalet at bruge et domæne, som faktisk ikke kan løses af den offentlige DNS, som i vores eksempel "ucs.myhome.intranet".
  • Softwarekonfiguration: Du kan vælge de første tjenester til installation her. I et internt netværk er det praktisk at installere en Active Directory-kompatibel domænecontroller for at kunne oprette filaktier i dit netværk på et senere tidspunkt.

Komplet dokumentation af installationen findes i produkt manual.

Efter installationen kan systemet nås via internetbrowseren på http: // <IP>. Koblingen "System og domæneindstillinger" giver dig mulighed for at nå Univention Management Console (UMC), hvor du kan logge ind som "Administrator" ved hjælp af den adgangskode, der er angivet under installationen. Resten af ​​opsætningen udføres der.

Opsætning af Nextcloud

Det første skridt er at installere de nødvendige tjenester og udføre den grundlæggende opsætning. Dette sker via App Center, som først skal aktiveres. Dette gøres ved at bruge den nøgle, der er sendt (til den angivne e-mail-adresse) under installationen. Dette kan uploades direkte i hilsen dialogen efter installationen eller senere i UMC i menuen ("Burger" ikonet øverst til højre) via "License" og "Import new license" point.

Den første app, der skal installeres, er Nextcloud, som anbefales som en generel lagerplads til filer fra pc'er og mobile enheder. Dette gøres ved at åbne "App Center" modulet i UMC og derefter søge efter "Nextcloud". Denne installation af Nextcloud kan derefter indledes direkte. For at gøre det, skal du følge vejledningen i webgrænsefladen.

Når installationen er færdig, er Nextcloud tilgængelig på https: /// nextcloud. Dette link er også tilgængeligt på oversigtssiden af ​​UCS-serveren. Men når der åbnes, er der stadig advarsler om SSL-certifikatet og linket til Nextcloud. Dette vil blive løst senere ved installation af "Lad os kryptere".

Opsætning af mail og groupware

Det andet trin vedrører post- og groupware-funktionerne. Her bruger vi Kopano, som kan bruges gratis til vores formål.

Dette gøres ved at installere følgende komponenter i Kopano fra AppCenter-modulet i UMC'en efter hinanden: "Kopano Core", "Kopano WebApp" og "Z-Push for Kopano".

Et mail-domæne for Kopano skal derefter registreres, før du fortsætter med resten af ​​konfigurationen. Indtil dette trin er kun det "interne" maildomæne konfigureret, som blev angivet under installationen af ​​UCS (i vores eksempel "ucs.myhome.intranet"). Det er dog ikke kendt eksternt og kan ikke bruges til postkonti. De tilgængelige mail domæner er konfigureret via UMC modulet "E-mail". Dette modul kan findes i "Domæner" -området på UMC eller via søgefunktionen. Når det gøres, er det vigtigt at bemærke, at UCS efter registrering af et maildomæne går ud fra, at alle adresser i dette domæne også vil blive konfigureret i UCS. Det anbefales derfor at vedtage domænerne her, som senere også bruges til eksterne adgang til serveren, i dette eksempel derfor "my-ucs.dnsalias.org".

Brugerkonti kan derefter opsættes. Den "primære mailadresse" er den mailadresse, som brugeren vil bruge i Kopano. Med andre ord skal den bruge det offentlige område (f.eks. Navn@my-ucs.dnsalias.org).

Efterbehandling berører til e-mail

Posttjenesten kan nu modtage mail sendt til det offentligt tilgængelige maildomæne (dvs. my-ucs.dnsalias.org). For at sende til at fungere uden problemer og mails ikke blokeres direkte af spamfiltre fra andre mail-servere, skal dette navn også bruges som "helo". Dette kan gøres ved at indstille UCR-variablen "mail / smtp / helo / name" til det offentligt tilgængelige FQDN - i dette eksempel: my-ucs.dnsalias.org. Indstillingen af ​​UCR-variabler ("Univention Configuration Registry") kan udføres i UMC-modulet med samme navn eller i kommandolinjen med kommandoen

ucr sæt mail / smtp / helo / name = "my-ucs.dnsalias.org"

Hvis det er muligt, anbefales det også at bruge en SMTP-relæhost (En ekstern server, der er autoriseret til at sende vores e-mails). Dette gælder især, når afsenderens IP-adresse adskiller sig fra det offentlige domæne. En guide kan findes her.

Indgående mail bliver sendt i overensstemmelse med DNS-indtastningerne i dit offentlige domæne. Når en mail er beregnet til dit domæne (my-ucs.dnsalias.org), bruges MX-postens IP-adresse. Hvis MX-posten ikke er angivet, bruges basis-IP-adressen til domænet selv som destination. Sidstnævnte er tilfældet i vores konfiguration: Maildomænet svarer til den offentlige IP-adresse på UCS-serveren, med det resultat at vores system kan findes af andre systemer og kontaktes til levering af posterne.

Port 25 er som standard angivet i UCS firewall. Port 587 er imidlertid foretrukket til direkte udveksling mellem mail-servere. Dette kan godkendes af UCR i firewallen. Dette gøres ved at indstille variablen "sikkerhed / pakkefilter / pakke / manual / tcp / 587 / all" til "ACCEPT" - som ovenfor for "helo" -strengen, er dette også muligt her via UMC-modulet eller kommandolinjen.

Efter ændringerne skal tjenesten "postfix" og "univention-firewall" genstartes. Dette kan gøres via kommandolinjen ("genstart af tjenesten postfix, service univention-firewall genstart") eller ved at genstarte serveren.

Univention Portal

UCS-serverens oversigtsside, "Univention Portal", giver en god introduktion til de tilgængelige tjenester. Det er nu let tilgængeligt via "https://my-ucs.dnsalias.org". Der er dog stadig to ting, der forårsager problemer: Certifikatadvarsler i browseren og "fejlagtige links" på portalsiden. Begge kan løses let:

Lad os kryptere TLS-certifikater

Som standard bruger UCS webserver et selvsigneret certifikat, som resulterer i advarsler i browseren. Installationen af ​​et certifikat via "Lad os kryptere" hjælper her; vi har offentliggjort en tilsvarende integration som en "kølig løsning”. Det anbefales at angive det eksterne domæne i UCR på forhånd. Dette gøres ved at indstille UCR-variablen "letsencrypt / domains", i vores eksempel til "my-ucs.dnsalias.org". For at certifikatet skal vedtages direkte af web- og mailserveren, skal "letsencrypt / services / apache2" og "letsencrypt / services / postfix" hver især indstilles til "ja". Alle de nødvendige trin er beskrevet i den linkede wikiartikel.

Portal optimering

Genveje i Univention Portal, den første side, når du åbner UCS-systemets webgrænseflade, bruger stadig det interne domæne, der blev angivet under installationen. Da dette ikke kan løses for adgang fra internettet, skal adresserne tilpasses. Disse genvej adresser er konfigureret i LDAP. De findes i området "Domæne" i modulet "LDAP Directory" i UMC. I det viste trin kan posterne "nextcloud" og "kopano-webapp" findes under "univention / portal".

Efter åbningen kan den korrekte sti til det eksterne domæne angives under henholdsvis "Links" - i det eksempel, vi brugte https://my-ucs.dnsalias.org / nextcloud / for Nextcloud og https://my-ucs.dnsalias.org / kopano / for Kopano.

Afslutning af Nextcloud

Den første adgang til Nextcloud via det offentlige domæne giver dog en fejlmeddelelse. Nextcloud registrerer internt det domæne, hvor UCS blev installeret og afviser adgang via andre domæner af sikkerhedsmæssige årsager. De offentlige domæner kan godkendes enten via konfigurationsfilerne eller via linket angivet i Nextcloud-fejlmeddelelsen. Hvis du følger dette link, kan du logge ind som "Administrator" ved hjælp af den adgangskode, der er angivet under installationen af ​​UCS og aktivere det eksterne domæne.

I nogle scenarier kommer denne workflow med et hitch: Linket til delingen refererer til det interne domæne, som ikke kan løses til en IP-adresse i det beskrevne hosting scenario. En post i "værter" -filen (under Linux: / etc / hosts) kan yde hjælp her, hvormed den interne FQDN for UCS-serverne kan løses til den offentlige IP-adresse. I denne konfiguration fungerer aktiveringen af ​​det offentlige DNS-domæne, der tilbydes af Nextcloud, uden problemer.

Alternativt kan du også skifte til Nextclouds dockerbeholder via kommandoen "univention-app shell nextcloud" i kommandolinjen, installer en editor via "apt install vim" og rediger filen "/ var / www / html / config / config .php "i overensstemmelse med Nextcloud HowTo.

Brugere

Brugere kan nu oprettes på systemet. For hver konto, der er oprettet i UCS, oprettes der også en tilsvarende konto automatisk i Nextcloud og, hvis en primær mailadresse er angivet, også i Kopano. Brugeren kan derefter logge ind på begge tjenester med kontoadgangskoden. Adgangskodeændringer er mulige via menuen i Univention Portal.

Kopano og Nextcloud kan også bruges på smartphones. En "Exchange" -konto er oprettet til synkronisering af mails, kontakter og aftaler med Kopano. Yderligere oplysninger om dette findes i Kopano dokumentation. Nextcloud tilbyder sin egen Android eller iOS-app, via hvilken filer kan udveksles med smartphone, og billeder og videoer taget på telefonen gemmes automatisk til serveren.

Outlook

Denne opsætning giver et godt grundlag for at montere yderligere tjenester fra de mange apps, der er tilgængelige for UCS.

  • Den Fetchmail integration kan bruges til fortsat at modtage eksisterende e-mail-adresser bekvemt. UCS-serveren downloader derefter automatisk mails fra andre udbydere og viser dem i Kopano-indbakken.
  • Offentligt tilgængelige servere er ofte målet for automatiserede angreb. Hvis det er muligt at få adgang til SSH i firewallen, bør denne adgang begrænses. Eksempler er tilgængelige her.
  • Hvis antallet af brugere øges, kan det være nyttigt at give dem mulighed for at nulstille deres adgangskoder selv. Dette kan gøres ved hjælp af "Selvbetjening"App i App Center.
  • Nextcloud kan udvides med en lang række plug-ins. Det "samar"Plug-in, som gør det muligt at redigere Office-filer direkte i browseren, kan vise sig særligt nyttigt, når man beskæftiger sig med et stort antal dokumenter.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.