Přáli jste si někdy při čtení všech dnešních hororových zpráv o kybernetických útocích a malwaru nastavit si vlastní server, abyste měli konečně co největší kontrolu nad svými vlastními daty? Pokud ano, jste na správné cestě! V našich předchozích článcích Úvod do Univention Corporate Server a Instalace a konfigurace Univention Corporate Server , hovořili jsme o řešení pro správu serverů a IT Univention Corporate Server a jak jej můžete nainstalovat pro firemní použití. Tentokrát jsme zvolili trochu jiný přístup a dali dohromady softwarový balík kolem UCS, který velmi dobře splňuje vyšší bezpečnostní požadavky, a je tak ideální pro každého „domácího administrátora“ k vybudování vlastního soukromého serveru.
Nastavte si soukromý server s ownCloud, Kopano a pojďme šifrovat na Univention Corporate Server
V následujících krocích vám ukážeme, jak to nastavit v několika krocích a zahrnout software pro groupware, poštu a výměnu souborů. tedy aplikace ownCloud a Kopano. Vlastní pošta a groupwarová řešení se proto stanou, chcete-li, nadbytečnými. A s instalací Let's Encrypt budou připojení k vašemu serveru UCS také dobře chráněna.
První otázka:Kde spustím server?
Soukromí uživatelé se v zásadě potýkají se stejnými otázkami jako podniky:„Mám provozovat server na svém vlastním hardwaru, ve svém vlastním „IT centru“ (nebo skladu), nebo jej mám provozovat na pronajatém systému, který je někde hostován, např. „dedikovaný server“ s poskytovatelem cloudových služeb. Než se rozhodnete, je důležité si položit otázku, jak vlastně hodláte server používat.
Pronajmout či nepronajmout
Pronajatý systém zahrnuje malou počáteční investici a obvykle není spojen s významnými omezeními šířky pásma. Navíc je snazší jej upravit podle vašich požadavků. Pronajatý systém je praktický, když potřebujete přístup z různých míst, např. když server používají všichni členové vaší organizace, kteří mohou pracovat někde jinde.
Provoz vlastní sítě
Pokud provozujete systém ve vlastní síti, nabízí vám nejprve plnou kontrolu nad vašimi vlastními daty a také podporuje další aplikační scénáře, jako je standardní souborový server nebo streamování hudby a videí do místních přehrávačů médií. Závislost na soukromém internetovém připojení je však často překážkou, když chcete k systému přistupovat zvenčí; dokonce i nejnovější připojení VDSL mají poměrně nízkou kapacitu pro nahrávání. Někteří poskytovatelé internetu zabraňují jakémukoli přístupu zvenčí. Doporučuji proto provést několik testů, než investujete do nového hardwaru.
Níže popsané kroky jsou obecně použitelné pro obě možnosti.
Jaký hardware bych potřeboval?
UCS má pouze malé požadavky na hardware, takže volba je na vás. V zásadě může být vhodný i starší stolní hardware. Často však souvisí s nevýhodami z hlediska spolehlivosti a spotřeby energie, pokud systém běží nepřetržitě. Pokud se rozhodnete investovat do zcela nového systému, existují výrobci nabízející systémy, které jsou vhodné pro nepřetržitý provoz (často označované jako „SOHO NAS“ (Small or Home Office Network Attached Storage) systémy). Zde jsou příklady systémů HP v řadě MicroServer a serverů s nízkou spotřebou energie od Thomas-Krenn.
Účel určuje, která velikost je pro vás ta pravá
Další věcí, na kterou musíte myslet, je velikost systému. Nastavení, které zde uvádíme, běží na systému s menším CPU a 4 GB RAM bez problémů. Počet současných přístupů je kritickou částí. Pokud se počet uživatelů nebo aplikací zvýší, budete nakonec potřebovat větší kapacitu. Cloudové nabídky lze vždy snadno rozšířit. V případě zakoupení systému se tedy vyplatí začít již s 8 nebo16 GB RAM a CPU se 4 jádry.
Místo na pevném disku požadované pro UCS je zanedbatelné – 10 GB je více než dostačující k udržení operačního systému v provozu po dlouhou dobu. Rozhodujícím faktorem je zde to, co s tím hodláte dělat, zejména množství dat, které v systému ušetříte. Při nákupu hardwaru zvažte také redundanci prostřednictvím zrcadlených disků (RAID).
Konfigurace IP a DNS
Pro přístup do systému z internetu potřebujete veřejnou IP adresu a odpovídající DNS záznam. Pokud si pronajmete serverové zdroje, poskytnou vám alespoň IP adresu a často také veřejnou doménu.
V domácích sítích je veřejná IP obecně přiřazena soukromému routeru. Toto je třeba nakonfigurovat tak, aby mohlo předávat požadavky místnímu systému UCS. Jak se to provede, závisí na samotném routeru a případně na poskytovateli internetu. Návody k tomu najdete na webu pro většinu routerů a firewallů. Pokud soukromý router nemá veřejnou IP, může být obtížné nebo dokonce nemožné provozovat za ním veřejně přístupný server. V případě pochybností kontaktujte svého poskytovatele internetu nebo vyhledejte další informace na webu.
Dalším požadavkem je veřejně řešitelný záznam DNS, který lze získat od poskytovatelů dynamického DNS .
Router se stará o veškerou komunikaci s poskytovatelem DNS. používáme doménu “my-ucs.dnsalias.org” jako příklad v této příručce.
Pro zde popsané služby je nutné externě zpřístupnit port 80 (HTTP) a 443 (HTTPS) a také 587 (SMTP Odeslání pro příchozí poštu). Po nastavení lze HTTP redukovat na šifrovaný port 443. Pro vzdálenou správu, zejména u systémů, které nejsou v domácí síti, má smysl přístup na port 22 pro SSH. Další porty mohou vyplývat z dalších aplikací, např. pokud má být pro poštovní klienty kromě ActiveSync použit IMAPS / SMTPS. Zatímco v domácím nastavení jsou tyto porty aktivně povoleny v místním routeru, konfigurace systému provozovaného poskytovatelem by měla být navržena tak, aby blokovala všechny ostatní porty.
Ve většině domácích sítí se DCHP používá k automatickému přidělování IP adres. Protože však pro uvolnění portů na externí musí být v konfiguraci routeru nastavena adresa serveru, musí server získat vždy stejnou adresu. Chcete-li toho dosáhnout, můžete uložit systém UCS nebo MAC adresu v konfiguraci DHCP routeru. Případně můžete určit pevnou IP adresu během instalace UCS. V tomto případě je však třeba zajistit, aby jej router nepřiřadil žádnému jinému zařízení. Při použití pevné IP adresy se vždy ujistěte, že specifikace výchozí brány a jmenného serveru jsou správné. Ve většině případů je obojí
IP routeru.
Jak nastavit Univention Corporate Server
Pro instalaci se obraz UCS ISO stáhne z oficiálního odkazu ke stažení a vypálit na DVD nebo přenést na USB flash disk. Z tohoto média by se pak měl systém nabootovat (nastavení BIOSu). Instalace
začíná a vedle řady různých kroků, jako je konfigurace jazyka, jsou připojené pevné disky rozděleny na oddíly. V mnoha případech můžete jednoduše přijmout návrh rozdělení. Pokud chcete zvýšit zabezpečení proti selhání pomocí softwarového pole RAID nebo rozšířeného rozdělení na oddíly, nastavte jej ručně. Podrobnosti najdete v dokumentaci k Debianu protože UCS používá svůj instalační proces zde.
Po základní instalaci začne skutečná konfigurace UCS.
Následující informace jsou praktické pro plánované nastavení.
- Nastavení domény: Když instalujete první (a možná jediný) systém v prostředí UCS, vyberte „Vytvořit novou doménu“. Poté budete vyzváni k zadání funkční e-mailové adresy, na kterou bude následně zaslán požadovaný klíč.
- Nastavení počítače: Budete požádáni o F QDN pro systém UCS. První částí je jméno, které bude přiděleno budoucímu systému a jeho DNS doména. Na tomto nastavení závisí základní konfigurace mnoha služeb v systému UCS. Později je velmi obtížné změnit. V našem příkladu používáme FQDN "server.my-ucs.dnsalias.org" . Server se tedy cítí odpovědný za doménu my-ucs.dnsalias.org. Tento postup jsme schopni zvolit, jelikož v tomto příkladu předpokládáme, že všechny služby této domény poskytuje UCS.
- Konfigurace softwaru: Zde můžete vybrat první služby pro instalaci. Pro interní síť nainstalujte "Active Directory-compatible Domain Controller", abyste mohli nastavit sdílení souborů ve vaší síti. Další podrobnosti naleznete v předchozí příručce Instalace a konfigurace UCS a oficiální příručka UCS .
Jak získat přístup k UCS
Po instalaci můžete do systému přistupovat prostřednictvím internetového prohlížeče na adrese http://
Odemkněte Centrum aplikací
První věc, kterou musíte po instalaci a před instalací a nastavením požadovaných služeb udělat, je odemknout App Center. To se provádí pomocí "klíče", který je během procesu instalace zaslán na zadanou adresu. Nahrajte klíč přímo z uvítacího dialogu, který se objeví po instalaci, nebo přejděte později do UMC, klikněte na ikonu nabídky „Burger“ vpravo nahoře a vyberte bod „Licence“ a poté „Importovat novou licenci“.
Konfigurace řešení pro synchronizaci a sdílení souborů ownCloud
První aplikací, která se zde nainstaluje, je ownCloud, což je společné úložiště souborů z počítačů a mobilních zařízení. Otevřete Centrum aplikací modulu v UMC a vyhledejte „ownCloud“. Instalaci ownCloud lze spustit přímo. Jednoduše postupujte podle pokynů ve webovém rozhraní.
Po dokončení instalace je ownCloud dostupný přes https://
Nastavení pošty a groupwaru Kopano
Pro nyní následující instalaci pošty a groupwaru používáme Kopano. Pro naše účely jej můžete používat zdarma. Chcete-li nastavit poštu a groupware Kopano, nainstalujte součásti „Kopano Core“, „Kopano WebApp“ a „Z-Push for Kopano“ z App Center. Během instalace Kopano bude také vytvořena poštovní doména v UCS. Pomocí modulu UMC „Mail“ z kategorie „Doména“ můžete zajistit, že je poštovní doména správně nakonfigurována. V našem příkladu se nazývá "my-ucs.dnsalias.org".
Po instalaci můžete nastavit uživatelské účty. „Primární poštovní adresa“ je poštovní adresa, kterou bude uživatel používat v Kopano. Měl by tedy používat veřejnou doménu, například [email protected] .
Jemné doladění e-mailů
Poštovní služba je nyní schopna přijímat e-maily odeslané na veřejně přístupnou poštovní doménu, zde:my-ucs.dnsalias.org . Aby odesílání e-mailů fungovalo bez problémů a e-maily nebyly přímo blokovány spamovými filtry jiných poštovních serverů, měl by být tento název používán také jako „helo“. Za tímto účelem nastavte proměnnou UCR „mail/smtp/helo/name“ na veřejně přístupné FQDN – v tomto příkladu:my-ucs.dnsalias.org. Nastavení proměnných UCR (“Univention Configuration Registry”) lze provést ve stejnojmenném modulu UMC nebo v příkazovém řádku příkazem:
ucr set mail/smtp/helo/name=“my-ucs.dnsalias.org“
Pokud je to možné, doporučujeme také použít hostitele přenosu SMTP. Zejména pokud se IP adresa odesílatele liší od adresy veřejné domény. Další podrobnosti naleznete v této příručce .
Příchozí maily jsou směrovány podle aktuálního stavu implementace pro veřejný DNS záznam serveru:Pokud mají být maily zasílány na adresy domény „my-ucs.dnsalias.org“, IP přiděleného MX záznamu doména nebo IP adresa samotné domény je použita v DNS a kontaktována jako cíl. To je případ naší konfigurace:poštovní doména odpovídá veřejnému názvu serveru, takže náš systém je nalezen jinými poštovními servery a kontaktován pro doručování pošty.
Ve výchozím nastavení je v UCS firewallu určen port 25. Pro přímou výměnu mezi poštovními servery je však preferován port 587. To může být schváleno UCR ve firewallu. To lze provést nastavením proměnné “security/packetfilter/package/manual/tcp/587/all” na „PŘIJMOUT“ – stejně jako výše pro řetězec „helo“, i zde je to možné prostřednictvím modulu UMC nebo příkazového řádku. Po změnách je třeba restartovat služby „postfix“ a „univention-firewall“. To lze provést buď z příkazového řádku („service postfix restart; service univention-firewall restart“), nebo restartováním serveru.
Stránka s přehledem portálu Univention
Přehledová stránka v UCS, "Univention Portal", poskytuje dobrý úvod do všech dostupných služeb. Nyní k němu můžete snadno přistupovat přes "https://my-ucs.dnsalias.org" . V prohlížeči však stále zůstává upozornění na certifikát, které jsme již viděli při instalaci ownCloud. Lze to snadno vyřešit pomocí Let's Encrypt.
V neposlední řadě:Instalace Let’s Encrypt
Ve výchozím nastavení webový server UCS používá certifikát s vlastním podpisem, což vede k varování v prohlížeči. Pomocí instalace certifikátu s „Let’s Encrypt“ to můžete vyřešit. Odpovídající aplikaci naleznete v Centru aplikací.
Po instalaci otevřete konfigurační masku kliknutím na „Nastavení aplikace“ :zde zadejte domény
(my-ucs.dnsalias.org a server.my-ucs.dnsalias.org), oddělené mezerami a zaškrtněte služby, které by měly certifikát používat. V našem příkladu by měl být certifikát použit v Apache a Postfixu. Kliknutím na "Použít změny" bude vytvořen certifikát a integrován do služeb. Protože se restartuje i webový server Apache, musíte také jednou znovu načíst webové rozhraní.
Vytvoření uživatelů
Nyní lze do systému přidávat uživatele. Pro každý uživatelský účet vytvořený v UCS se automaticky vytvoří odpovídající účet ve ownCloud a pokud byla zadána primární poštovní adresa, tak i v Kopano. Uživatel se pak může přihlásit do obou služeb pomocí hesla účtu. Změny hesla jsou možné prostřednictvím nabídky na portálu Univention.
Synchronizaci e-mailů, kontaktů a schůzek Kopano a ownCloud mohou používat také chytré telefony. Pro synchronizaci e-mailů, kontaktů a schůzek se službou Kopano je ve smartphonu nastaven účet „Exchange“, podrobnosti naleznete na stránce dokumentace Kopano .
ownCloud nabízí vlastní aplikaci pro Android pro iOS, která vám umožní sdílet soubory s vaším chytrým telefonem a automaticky ukládat pořízené obrázky a videa na server.
Jaké další služby můžeme doporučit?
Toto nastavení je dobrým základem pro integraci více služeb z mnoha aplikací nabízených pro UCS:
- Aby bylo možné pokračovat v přijímání z předchozích existujících e-mailových adres, integrace Fetchmail může být použito. Server UCS automaticky stáhne e-maily od jiných poskytovatelů a poskytne je v poštovní schránce Kopano.
- Veřejně přístupné servery jsou často cílem automatických útoků. Pokud je povolen přístup k SSH ve firewallu, měl by být tento přístup omezen. Podívejte se na tento odkaz pro více podrobností.
- Pokud se počet uživatelů zvýší, může být užitečné umožnit jim, aby si resetovali heslo sami. Za tímto účelem nainstalujte „Samoobsluhu“ aplikace z Centra aplikací.
- ownCloud lze rozšířit o mnoho pluginů. Zvláště užitečná při práci s mnoha dokumenty je "Collabora" plugin, který umožňuje upravovat kancelářské soubory přímo v prohlížeči.
Závěr
Pokud jste pozorně sledovali tento komplexní průvodce (a všechny referenční odkazy), máte nyní:úspěšně nastavit soukromý server s ownCloud, Kopano a Let's Encrypt na Univention Corporate Server. Jak vidíte, nastavení domácího serveru na UCS není tak obtížné. Za zmínku také stojí, že oficiální manuály UCS jsou mimořádně dobře zdokumentovány a nabízejí velmi přesné a efektivní řešení všech možných problémů.