Univention Corporate Server (UCS) gebruiken als een thuisserver

In een eerder artikel hebben we Univention Corporate Server (UCS) besproken. Die versie was meer gericht op zakelijke klanten. UCS kan echter ook als een homeserver worden gebruikt.

Ingo Steuwer, hoofd van Professional Services bij UCS, heeft enige tijd nodig gehad om deze procedure in detail uit te leggen. Als je een doe-het-zelf hobbyist bent, zul je dit artikel interessant vinden.

Univention Corporate Server (UCS) als een homeserver

Univention Corporate Server (UCS) wordt voornamelijk gebruikt door professionele IT-gebruikers als een systeem dat eenvoudig is in te stellen en eenvoudig te onderhouden is. Toch kunnen particuliere gebruikers ook de vruchten van dit concept plukken. In dit artikel wil ik een inleiding geven over hoe u uw eigen server voor e-mail, groupware en bestandsdeling in slechts een paar stappen kunt instellen met behulp van UCS en de Nextcloud- en Kopano-apps - zodat u een alternatief voor diensten zoals GMail en Dropbox allemaal onder uw eigen controle.

Koop de hardware of huur een server?

De eerste vraag is natuurlijk: waar moet ik de server draaien? Privégebruikers hebben in principe dezelfde opties als bedrijven: hetzij op hun eigen hardware, in hun eigen "IT-centrum" (of opslagruimte), hetzij op een gehuurd systeem dat elders wordt gehost, bijvoorbeeld een "dedicated server" met een cloud serviceprovider of als een Amazon-afbeelding [//aws.amazon.com/marketplace/pp/B071GDRQ3C]. Wanneer u de beslissing neemt, is het belangrijk om te overwegen hoe u de server daadwerkelijk gaat gebruiken.

Een gehuurd systeem omvat een minimale initiële investering en wordt meestal niet geassocieerd met aanzienlijke bandbreedtebeperkingen, plus het is gemakkelijker om te worden uitgebreid om aan uw vereisten te voldoen. Dit soort systeem is praktisch in gevallen van veel toegang vanaf verschillende locaties, bijvoorbeeld wanneer de server wordt gebruikt door leden van een vereniging.

Een systeem op uw eigen netwerk uitvoeren biedt niet alleen volledige controle over uw eigen gegevens, maar ondersteunt ook aanvullende toepassingsscenario's, zoals een standaardbestandsserver of het streamen van muziek en video's naar lokale mediaspelers. De afhankelijkheid van een privé-internetverbinding vormt echter vaak een knelpunt wanneer het systeem van buitenaf wordt gebruikt; zelfs de allernieuwste VDSL-verbindingen worden geleverd met een relatief lage uploadcapaciteit. Sommige internetproviders ondersteunen helemaal geen toegang van buitenaf. In geval van twijfel is de beste oplossing daarom om enkele tests uit te voeren voordat u geld in nieuwe hardware investeert.

De hieronder beschreven stappen zijn in principe voor beide opties evenzeer van toepassing.

Als je je eigen hardware koopt - wat heb je nodig?

UCS plaatst slechts minimale vereisten aan de hardware, wat betekent dat u een grote selectie hebt om uit te kiezen als het gaat om mogelijke systemen. Oudere desktophardware kan in principe ook geschikt zijn, hoewel vaak gepaard gaat met nadelen met betrekking tot betrouwbaarheid en stroomverbruik wanneer het systeem de klok rond draait. Als u besluit te investeren in een gloednieuw systeem, zijn er een aantal fabrikanten die hardware voor dit segment aanbieden, systemen die geschikt zijn om 24/7 te worden gebruikt (vaak "SOHO NAS" genoemd) (Small of Home Office Network Attached Storage) ) systemen). Voorbeelden hiervan zijn de HP-systemen in het MicroServer-assortiment en de Low Energy Servers van Thomas-Krenn.

De goede maat

De volgende vraag is de grootte van het systeem. De hier gepresenteerde setup werkt zonder problemen op een systeem met een kleinere CPU en 4 GB RAM. Doorslaggevend is het aantal gelijktijdige toegangen. Naarmate het aantal gebruikers of applicaties toeneemt, zal er uiteindelijk behoefte zijn aan meer capaciteit. Cloudaanbiedingen kunnen eenvoudig worden uitgebreid. Als je het systeem koopt, is het de moeite waard om te beginnen met 8 of 16 GB RAM en een CPU met 4 kernen.

De benodigde schijfruimte voor UCS is te verwaarlozen - 10 GB is voldoende om het besturingssysteem lang goed te houden. Doorslaggevend hierbij is het beoogde gebruik, met name echter de hoeveelheid gegevens die op het systeem moet worden opgeslagen. Bij het kopen van hardware is het ook belangrijk om redundantie te overwegen via gespiegelde schijven (RAID). Meer informatie over dit aspect is ook te vinden in de onderstaande Debian HowTos.

Ontwerp: IP- en DNS-configuratie

Voor toegang tot het systeem vanaf internet is een openbaar IP-adres en bijbehorende DNS-invoer vereist. Als u serverresources huurt, ontvangt u ten minste een IP-adres en vaak ook een publiek domein.

Het openbare IP-adres wordt doorgaans toegewezen aan de privérouter in thuisnetwerken. Het moet zo worden geconfigureerd dat het aanvragen kan doorgeven aan het lokale UCS-systeem. Hoe dit wordt gedaan, is afhankelijk van de router zelf en mogelijk van de internetprovider. HowTo's zijn beschikbaar op het internet voor de meeste routers en firewalls. Als de private router geen openbaar IP-adres heeft, kan het moeilijk of onmogelijk blijken om een ​​openbaar toegankelijke server erachter te gebruiken. Neem in geval van twijfel contact op met uw internetprovider of zoek meer informatie op internet.

De volgende vereiste is een openbare DNS-vermelding die kan worden ingewisseld bij aanbieders van "dynamische DNS", als u geen openbaar domein hebt. De router zorgt voor alle communicatie met de DNS-provider. Daarom is het belangrijk hier aandacht te besteden aan compatibiliteit. Het volgende gebruikt het domein "my-ucs.dnsalias.org" als een voorbeeld.

In de meeste thuisnetwerken wordt DCHP gebruikt om automatisch IP-adressen toe te wijzen. Maar zoals we zagen, moet het IP-adres van de server worden geconfigureerd in de router (zie het volgende gedeelte voor de gedeelde poorten naar buiten), dus de UCS-server moet altijd hetzelfde IP-adres ontvangen. Dit kan worden bereikt door het UCS-systeem of het MAC-adres op te slaan in de DHCP-configuratie van de router. Als alternatief kan tijdens de UCS-installatie ook een vast IP-adres worden opgegeven. In dit geval moet er echter voor worden gezorgd dat de router dit niet aan een ander apparaat toewijst. Zorg er bij het gebruik van een vast IP-adres altijd voor dat de specificaties voor de standaardgateway en naamserver correct zijn. In de meeste gevallen is het IP-adres van de router beide.

Schakel toegang tot servicepoorten in

Voor de hier beschreven services is het noodzakelijk om poorten 80 (HTTP) en 443 (HTTPS) en 587 (SMTP-verzending voor binnenkomende mails) extern beschikbaar te maken. Wanneer HTTP eenmaal is ingesteld, kan dit worden gereduceerd tot de gecodeerde poort 443. Een toegang tot poort 22 voor SSH kan praktisch zijn voor beheer op afstand, in het bijzonder in systemen die niet op thuisnetwerken zijn. Er kunnen extra poorten nodig zijn voor extra toepassingsscenario's. Bijvoorbeeld, als IMAPS / SMTPS ook naast ActiveSync voor mailclients moet worden gebruikt. Hoewel deze poorten actief kunnen worden ingeschakeld in de lokale router in een thuisinstelling, moet de configuratie van een systeem dat extern wordt beheerd via een provider zo worden ingesteld dat alle andere poorten zijn uitgeschakeld.

UCS-instelling

Voor de installatie wordt de UCS ISO-afbeelding gedownload vanuit Univention en gebrand op een dvd of overgebracht naar een USB-stick. Het systeem moet dan worden opgestart vanaf dit medium (BIOS-instelling). De installatie begint en naast een reeks verschillende stappen, zoals de configuratie van de taal, worden de gekoppelde harde schijven gepartitioneerd. In veel gevallen kan de suggestie voor partitionering eenvoudigweg worden overgenomen. Als u de faalbeveiliging van de schijfopslag wilt vergroten met een software-RAID of uitgebreide partitionering, kan dit handmatig worden ingesteld. Raadpleeg voor meer informatie de documentatie van Debian, omdat UCS hier het installatieproces gebruikt.

De werkelijke UCS-configuratie begint na de basisinstallatie.

De volgende gegevens zijn praktisch voor de geplande installatie.

  • Domeininstellingen: wanneer u het eerste (en mogelijk enige) systeem in een UCS-omgeving installeert, selecteert u "Een nieuw domein maken". U wordt vervolgens gevraagd om een ​​werkend e-mailadres in te voeren, waarnaar de volgende vereiste sleutel zal worden verzonden.
  • PC-instellingen: u wordt nu gevraagd om een ​​volledig gekwalificeerde domeinnaam voor het UCS-systeem. Het eerste deel hiervan is de naam die wordt gegeven aan het toekomstige systeem en het DNS-domein. De basisconfiguratie van veel van de services van een UCS-systeem is afhankelijk van deze instelling. Het is erg moeilijk om het op een later tijdstip te veranderen. In ons voorbeeld hebben we een intern DNS-domein gedefinieerd. De openbare DNS-invoer die eerder is geïntroduceerd, kan vervolgens op een later tijdstip worden toegevoegd. Het is ook aan te bevelen om een ​​domein te gebruiken dat eigenlijk niet kan worden opgelost door de publieke DNS, zoals in ons voorbeeld "ucs.myhome.intranet".
  • Softwareconfiguratie: u kunt de eerste services voor installatie hier selecteren. In een intern netwerk is het praktisch om een ​​Active Directory-compatibele domeincontroller te installeren om in een later stadium bestandsshares in uw netwerk in te stellen.

Volledige documentatie van de installatie is te vinden in de producthandleiding.

Na de installatie is het systeem te bereiken via de internetbrowser op //. Met de koppeling "Systeem- en domeininstellingen" kunt u de Univention Management Console (UMC) bereiken, waar u zich als de "beheerder" kunt aanmelden met behulp van het wachtwoord dat tijdens de installatie is opgegeven. De rest van de setup wordt daar uitgevoerd.

Nextcloud instellen

De eerste stap is om de vereiste services te installeren en de basisinstellingen uit te voeren. Dit gebeurt via het App Center, dat eerst moet worden geactiveerd. Dit gebeurt tijdens de installatie met de verzonden sleutel (naar het opgegeven e-mailadres). Dit kan direct in het begroetingsdialoogvenster na de installatie of vervolgens in UMC in het menu ("Burger" -pictogram rechtsboven) worden geüpload via de punten "Licentie" en "Nieuwe licentie importeren".

De eerste app die wordt geïnstalleerd, is Nextcloud, dat wordt aanbevolen als algemene opslaglocatie voor bestanden van pc's en mobiele apparaten. Dit wordt gedaan door de module "App Center" in het UMC te openen en vervolgens te zoeken naar "Nextcloud". Deze installatie van Nextcloud kan dan direct worden gestart. Volg hiervoor de aanwijzingen in de webinterface.

Zodra de installatie is voltooid, is Nextcloud toegankelijk op /// nextcloud. Deze link is ook beschikbaar op de overzichtspagina van de UCS-server. Bij het openen blijven er echter waarschuwingen over het SSL-certificaat en de link naar Nextcloud. Dit wordt vervolgens opgelost door de installatie van "Let's Encrypt".

Mail & groupware instellen

De tweede stap betreft de mail- en groupware-functies. Hier gebruiken we Kopano, die gratis voor onze doeleinden kan worden gebruikt.

Dit gebeurt door achtereenvolgens de volgende componenten van Kopano te installeren vanuit de App Center-module van het UMC: "Kopano Core", "Kopano WebApp" en "Z-Push for Kopano".

Een e-maildomein voor Kopano moet dan worden geregistreerd voordat u verder gaat met de rest van de configuratie. Tot deze stap is alleen het "interne" e-maildomein geconfigureerd, dat is opgegeven tijdens de installatie van UCS (in ons voorbeeld "ucs.myhome.intranet"). Het is echter niet extern bekend en kan niet worden gebruikt voor e-mailaccounts. De beschikbare e-maildomeinen worden geconfigureerd via de UMC-module "E-mail". Deze module is te vinden in het gedeelte "Domeinen" van het UMC of via de zoekfunctie. Daarbij is het belangrijk op te merken dat, na registratie van een e-maildomein, UCS veronderstelt dat alle adressen in dit domein ook in UCS worden geconfigureerd. Het is dus raadzaam om hier de domeinen aan te nemen die later ook worden gebruikt voor de externe toegang tot de server, in dit voorbeeld daarom "my-ucs.dnsalias.org".

Gebruikersaccounts kunnen vervolgens worden ingesteld. Het "primaire e-mailadres" is het e-mailadres dat de gebruiker in Kopano zal gebruiken. Met andere woorden, het zou het publieke domein moeten gebruiken (bijv. [Email protected]).

De laatste hand leggen aan e-mail

De e-mailservice kan nu e-mails ontvangen die naar het publiek toegankelijke e-maildomein zijn verzonden (bijv. Mijn-ucs.dnsalias.org). Om de verzending zonder problemen te laten verlopen en mails die niet direct door de spamfilters van andere mailservers te worden geblokkeerd, moet deze naam ook als "helo" worden gebruikt. Dit kan gedaan worden door de UCR-variabele "mail / smtp / helo / name" in te stellen op de publiek toegankelijke FQDN - in dit voorbeeld: my-ucs.dnsalias.org. De instelling van UCR-variabelen ("Univention Configuration Registry") kan worden uitgevoerd in de UMC-module met dezelfde naam of in de opdrachtregel met de opdracht

ucr set mail/smtp/helo/name=“my-ucs.dnsalias.org” 

Indien mogelijk is het ook aan te raden om een ​​SMTP relay-host te gebruiken (een externe server die gemachtigd is om onze e-mails te verzenden). Dit is met name van toepassing wanneer het IP-adres van de afzender verschilt van dat van het publieke domein. Een gids is hier te vinden.

Inkomende e-mail wordt gerouteerd op basis van de DNS-vermeldingen van uw publieke domein. Wanneer een e-mail is bedoeld voor uw domein (my-ucs.dnsalias.org), wordt het IP-adres van de MX-record gebruikt. Als de MX-record niet is opgegeven, wordt het basis-IP-adres van het domein zelf als bestemming gebruikt. Dit laatste is het geval in onze configuratie: het e-maildomein komt overeen met het openbare IP-adres van de UCS-server, met als gevolg dat ons systeem door andere systemen kan worden gevonden en gecontacteerd voor het bezorgen van de e-mails.

Poort 25 wordt standaard opgegeven in de UCS-firewall. Poort 587 heeft echter de voorkeur voor de directe uitwisseling tussen mailservers. Dit kan door UCR in de firewall worden goedgekeurd. Dit wordt gedaan door de variabele "security / packetfilter / package / manual / tcp / 587 / all" in te stellen op "ACCEPT" - zoals hierboven voor de "helo" -reeks, dit is hier ook mogelijk via de UMC-module of de commandoregel.

Na de wijzigingen moeten de services "postfix" en "univention-firewall" opnieuw worden gestart. Dit kan worden gedaan via de opdrachtregel ("service postfix restart, service univention-firewall restart") of door de server opnieuw op te starten.

Univention-portal

De overzichtspagina van de UCS-server, de "Univention Portal", biedt een goede introductie tot de beschikbare services. Het is nu gemakkelijk beschikbaar via "//my-ucs.dnsalias.org". Er zijn echter nog steeds twee dingen die problemen veroorzaken: certificaatwaarschuwingen in de browser en "foutieve links" op de portalpagina. Beide kunnen eenvoudig worden opgelost:

Laten we TLS-certificaten coderen

Standaard gebruikt de UCS-webserver een zelfondertekend certificaat, wat resulteert in waarschuwingen in de browser. De installatie van een certificaat via "Let's Encrypt" helpt hier; we hebben een overeenkomstige integratie gepubliceerd als een "coole oplossing". Het is aan te bevelen om van tevoren het externe domein in UCR te specificeren. Dit wordt gedaan door de UCR-variabele "letsencrypt / domeinen" in ons voorbeeld in te stellen op "mijn-ucs.dnsalias.org". Om het certificaat rechtstreeks door het web en de mailserver te laten gebruiken, moeten "letsencrypt / services / apache2" en "letsencrypt / services / postfix" bovendien allemaal op "ja" worden gezet. Alle vereiste stappen worden beschreven in het gekoppelde wiki-artikel.

Portal-optimalisatie

De snelkoppelingen in de Univention Portal, de eerste pagina bij toegang tot de webinterface van het UCS-systeem, gebruiken nog steeds het interne domein dat tijdens de installatie is opgegeven. Omdat dit niet kan worden opgelost voor toegang vanaf internet, moeten de adressen worden aangepast. Deze snelkoppelingsadressen zijn geconfigureerd in de LDAP. Ze zijn te vinden in het gebied "Domein" in de module "LDAP-adreslijst" van het UMC. In de weergegeven boom zijn de vermeldingen "nextcloud" en "kopano-webapp" te vinden onder "univention / portal".

Na opening kan het juiste pad voor het externe domein worden ingevoerd onder respectievelijk "Links" - in het voorbeeld gebruikten we //my-ucs.dnsalias.org/nextcloud/ voor Nextcloud en //my-ucs.dnsalias.org/ kopano / voor Kopano.

Voltooiing van Nextcloud

De eerste toegang tot Nextcloud via het publieke domein geeft echter een foutmelding. Nextcloud registreert intern het domein waarmee UCS is geïnstalleerd en weigert om veiligheidsredenen toegang via andere domeinen. De openbare domeinen kunnen worden goedgekeurd via de configuratiebestanden of via de link in de Nextcloud-foutmelding. Als u deze link volgt, kunt u zich aanmelden als de "beheerder" met behulp van het wachtwoord dat is opgegeven tijdens de installatie van UCS en het externe domein inschakelen.

In sommige scenario's heeft deze werkstroom een ​​probleem: de link voor het delen verwijst naar het interne domein, dat niet kan worden omgezet naar een IP-adres in het beschreven gastscenario. Een vermelding in het "hosts" -bestand (onder Linux: / etc / hosts) kan hier hulp bieden, waarmee de interne FQDN van de UCS-servers kan worden omgezet naar het openbare IP-adres. In deze configuratie functioneert de activering van het openbare DNS-domein dat wordt aangeboden door Nextcloud dan zonder problemen.

Je kunt ook via de opdracht "univention-app shell nextcloud" op de opdrachtregel naar de Docker-container van Nextcloud gaan, een editor installeren via "apt install vim" en het bestand bewerken "/ var / www / html / config / config .php "in overeenstemming met de Nextcloud HowTo.

gebruikers

Gebruikers kunnen nu op het systeem worden aangemaakt. Voor elk account dat is gemaakt in UCS, wordt in Nextcloud ook automatisch een overeenkomend account gemaakt en, indien een primair e-mailadres is opgegeven, ook in Kopano. De gebruiker kan zich vervolgens bij beide services aanmelden met het accountwachtwoord. Wachtwoordwijzigingen zijn mogelijk via het menu in de Univention Portal.

Kopano en Nextcloud kunnen ook op smartphones worden gebruikt. Er is een "Exchange" -account ingesteld voor de synchronisatie van e-mails, contacten en afspraken met Kopano. Meer informatie hierover is te vinden in de documentatie van Kopano. Nextcloud biedt een eigen Android- of iOS-app, waarmee bestanden kunnen worden uitgewisseld met de smartphone en foto's en video's die op de telefoon zijn gemaakt, automatisch op de server worden opgeslagen.

vooruitzicht

Deze set-up biedt een goede basis om extra services te koppelen aan de vele apps die beschikbaar zijn voor UCS.

  • De Fetchmail-integratie kan worden gebruikt om door te gaan met het ontvangen van bestaande e-mailadressen. De UCS-server downloadt vervolgens automatisch mails van andere providers en geeft ze weer in de inbox van Kopano.
  • Publiekelijk toegankelijke servers zijn vaak het doelwit van geautomatiseerde aanvallen. Als toegang mogelijk is tot SSH in de firewall, moet deze toegang worden beperkt. Voorbeelden zijn hier beschikbaar.
  • Als het aantal gebruikers toeneemt, kan het nuttig zijn om hen de optie te geven om hun wachtwoorden zelf opnieuw in te stellen. Dit kan worden gedaan met behulp van de app "Self Service" in het App Center.
  • Nextcloud kan worden uitgebreid met een hele reeks plug-ins. De plug-in "Collabora", die het mogelijk maakt om Office-bestanden direct in de browser te bewerken, kan bijzonder nuttig zijn wanneer het om een ​​groot aantal documenten gaat.

Aanbevolen

Personaliseer Grub om een ​​betere ervaring met Linux te krijgen
2019
Alfaversie van de nieuwe Skype-client voor Linux is nu verkrijgbaar
2019
MyStory: Hoe ik Linux gebruik op een 13-jarige laptop
2019