Utilizzo di Univention Corporate Server (UCS) come server principale

In un precedente articolo, abbiamo esaminato Univention Corporate Server (UCS). Quella versione era più focalizzata sui client aziendali. Tuttavia, UCS può anche essere utilizzato come server principale.

Ingo Steuwer, responsabile dei servizi professionali di UCS, ha dedicato del tempo a spiegare questa procedura in dettaglio. Se sei un appassionato di fai-da-te, troverai questo articolo interessante.

Univention Corporate Server (UCS) come server principale

Univention Corporate Server (UCS) viene utilizzato principalmente dagli utenti IT professionisti come un sistema facile da configurare e di facile manutenzione. Eppure, gli utenti privati ​​possono anche cogliere i vantaggi di questo concetto. In questo articolo, vorrei fornire un'introduzione su come è possibile configurare il proprio server per e-mail, groupware e condivisione di file in pochi passaggi utilizzando UCS e le app Nextcloud e Kopano - consentendo di costruire un alternativa a servizi come GMail e Dropbox sotto il tuo controllo.

Acquista l'hardware o affitta un server?

La prima domanda è ovviamente: dove eseguo il server? In linea di principio, gli utenti privati ​​hanno le stesse opzioni delle aziende: sul proprio hardware, nel proprio "centro IT" (o magazzino), o su un sistema noleggiato, ospitato da qualche altra parte, ad esempio un "server dedicato" con un cloud fornitore di servizi o come immagine Amazon [//aws.amazon.com/marketplace/pp/B071GDRQ3C]. Quando si prende la decisione, è importante considerare come si intende effettivamente utilizzare il server.

Un sistema noleggiato comporta un investimento iniziale minimo e solitamente non è associato a limitazioni significative della larghezza di banda, inoltre è più semplice da espandere per soddisfare le tue esigenze. Questo tipo di sistema è pratico in caso di molti accessi da posizioni diverse, ad esempio quando il server viene utilizzato dai membri di un'associazione.

L'esecuzione di un sistema sulla propria rete non solo offre il pieno controllo sui propri dati, ma supporta anche scenari applicativi aggiuntivi come un file server standard o lo streaming di musica e video ai lettori multimediali locali. Tuttavia, la dipendenza da una connessione Internet privata rappresenta spesso un collo di bottiglia quando si accede al sistema dall'esterno; anche le ultime connessioni VDSL hanno una capacità di caricamento relativamente bassa. Alcuni provider Internet non supportano affatto l'accesso dall'esterno. In caso di dubbio, la soluzione migliore è quindi eseguire alcuni test prima di investire denaro in un nuovo hardware.

I passaggi descritti di seguito sono, in linea di principio, ugualmente applicabili per entrambe le opzioni.

Se acquisti il ​​tuo hardware - di cosa hai bisogno?

UCS pone solo requisiti minimi sull'hardware, il che significa che hai una vasta selezione tra cui scegliere quando si tratta di sistemi possibili. In linea di principio, anche l'hardware desktop più vecchio può essere adatto, sebbene spesso associato a svantaggi rispetto all'affidabilità e al consumo di energia quando il sistema funziona 24 ore su 24. Se si decide di investire in un sistema nuovo di zecca, ci sono una serie di produttori che offrono hardware per questo segmento, sistemi che sono adatti per la gestione 24/7 (spesso definito come "SOHO NAS" (Small o Home Office Network Attached Storage ) sistemi). Gli esempi includono i sistemi HP nella gamma MicroServer e i server Low Energy di Thomas-Krenn.

La giusta dimensione

La prossima domanda riguarda la dimensione del sistema. L'installazione presentata qui funziona su un sistema con una CPU più piccola e 4 GB di RAM senza problemi. Il fattore decisivo è il numero di accessi simultanei. Con l'aumentare del numero di utenti o di applicazioni, alla fine sarà necessario aumentare la capacità. Le offerte cloud possono essere facilmente ampliate. Se acquisti il ​​sistema, vale la pena iniziare con 8 o 16 GB di RAM e una CPU con 4 core.

Lo spazio su disco richiesto per UCS è trascurabile: 10 GB sono sufficienti per mantenere il sistema operativo ben fornito per un lungo periodo di tempo. Il fattore decisivo qui è l'uso previsto, in particolare, tuttavia, la quantità di dati da salvare sul sistema. Quando si acquista l'hardware, è anche importante considerare la ridondanza tramite dischi con mirroring (RAID). Ulteriori informazioni su questo aspetto sono disponibili anche negli HowTos Debian collegati di seguito.

Design: configurazione IP e DNS

Per accedere al sistema da Internet, sono necessari un indirizzo IP pubblico e la corrispondente voce DNS. Se si noleggiano risorse del server, verrà fornito almeno un indirizzo IP e spesso anche un dominio pubblico.

L'IP pubblico è generalmente assegnato al router privato nelle reti domestiche. Deve essere configurato in modo che possa passare richieste al sistema UCS locale. Il modo in cui questo viene fatto dipende dal router stesso e, eventualmente, dal provider Internet. Gli HowTo sono disponibili sul Web per la maggior parte dei router e dei firewall. Se il router privato non ha un IP pubblico, può risultare difficile o impossibile eseguire un server accessibile pubblicamente dietro di esso. In caso di dubbio, è meglio contattare il proprio fornitore di servizi Internet o cercare ulteriori informazioni sul Web.

Il requisito successivo è una voce DNS risolvibile pubblicamente, che può essere acquisita dai provider di "DNS dinamico", se non si dispone di un dominio pubblico. Il router si occupa di tutte le comunicazioni con il provider DNS. In quanto tale, è importante prestare attenzione alla compatibilità qui. Di seguito viene utilizzato il dominio "my-ucs.dnsalias.org" come esempio.

Nella maggior parte delle reti domestiche, DCHP viene utilizzato per assegnare automaticamente gli indirizzi IP. Ma come abbiamo visto, l'indirizzo IP del server deve essere configurato nel router (vedere la sezione successiva per le porte condivise all'esterno), quindi il server UCS deve sempre ricevere lo stesso indirizzo IP. Ciò può essere ottenuto salvando il sistema UCS o l'indirizzo MAC nella configurazione DHCP del router. In alternativa, è possibile specificare un indirizzo IP fisso durante l'installazione di UCS. In questo caso, tuttavia, è necessario assicurarsi che il router non lo assegni a nessun altro dispositivo. Quando si utilizza un IP fisso, assicurarsi sempre che le specifiche per il gateway predefinito e il name server siano corrette. Nella maggior parte dei casi, l'IP del router è entrambi.

Abilita l'accesso alle porte di servizio

Per i servizi descritti qui, è necessario rendere disponibili esternamente le porte 80 (HTTP) e 443 (HTTPS) e 587 (invio SMTP per le e-mail in arrivo). Una volta impostato HTTP, questo può essere ridotto alla porta crittografata 443. Un accesso alla porta 22 per SSH può essere pratico per l'amministrazione remota, specialmente nei sistemi non su reti domestiche. Ulteriori porte potrebbero essere necessarie per ulteriori scenari applicativi. Ad esempio, se IMAPS / SMTPS deve essere utilizzato anche per i client di posta accanto ad ActiveSync. Mentre queste porte possono essere abilitate attivamente nel router locale in una configurazione domestica, la configurazione di un sistema gestito esternamente tramite un provider deve essere configurata in modo tale che tutte le altre porte siano disabilitate.

Configurazione UCS

Per l'installazione, l'immagine ISO UCS viene scaricata da Univention e masterizzata su DVD o trasferita su una penna USB. Il sistema dovrebbe quindi essere avviato da questo supporto (impostazioni BIOS). L'installazione inizia e insieme a una serie di passaggi diversi come la configurazione della lingua, i dischi rigidi montati vengono partizionati. In molti casi, la proposta di partizionamento può essere semplicemente adottata. Se si desidera aumentare la sicurezza dell'errore della memoria su disco con un RAID software o un partizionamento esteso, è possibile impostarlo manualmente. Per i dettagli, fare riferimento alla documentazione di Debian, poiché UCS utilizza il suo processo di installazione qui.

La configurazione UCS effettiva inizia dopo l'installazione di base.

I seguenti dati sono pratici per l'installazione pianificata.

  • Impostazioni dominio: mentre stai installando il primo (e possibilmente solo) sistema in un ambiente UCS, seleziona "Crea un nuovo dominio". Viene quindi richiesto di inserire un indirizzo e-mail funzionante, al quale verrà inviata la chiave richiesta successivamente.
  • Impostazioni del PC: ora viene richiesto un nome di dominio completo per il sistema UCS. La prima parte di questo è il nome che verrà dato al futuro sistema e al suo dominio DNS. La configurazione di base di molti servizi di un sistema UCS dipende da questa impostazione. È molto difficile cambiarlo in un secondo momento. Nel nostro esempio, abbiamo definito un dominio DNS interno. La voce DNS pubblica introdotta prima può quindi essere aggiunta in un secondo momento. È anche consigliabile utilizzare un dominio che in realtà non può essere risolto dal DNS pubblico, come nel nostro esempio "ucs.myhome.intranet".
  • Configurazione software: qui puoi selezionare i primi servizi per l'installazione. In una rete interna, è pratico installare un controller di dominio compatibile con Active Directory in modo da poter impostare le condivisioni di file nella rete in un secondo momento.

La documentazione completa dell'installazione è disponibile nel manuale del prodotto.

Dopo l'installazione, il sistema può essere raggiunto tramite il browser Internet all'indirizzo //. Il collegamento "Impostazioni dominio e dominio" consente di raggiungere l'Univention Management Console (UMC), dove è possibile accedere come "Amministratore" utilizzando la password specificata durante l'installazione. Il resto del setup viene eseguito lì.

Impostazione di Nextcloud

Il primo passo è installare i servizi necessari ed eseguire la configurazione di base. Questo viene fatto tramite l'App Center, che deve essere prima attivato. Questo viene fatto utilizzando la chiave inviata (all'indirizzo di posta elettronica specificato) durante l'installazione. Questo può essere caricato direttamente nella finestra di dialogo di benvenuto dopo l'installazione o successivamente in UMC nel menu (icona "Burger" in alto a destra) tramite i punti "Licenza" e "Importa nuova licenza".

La prima app da installare è Nextcloud, che è consigliata come posizione di archiviazione generale per i file da PC e dispositivi mobili. Questo viene fatto aprendo il modulo "App Center" in UMC e quindi cercando "Nextcloud". Questa installazione di Nextcloud può quindi essere avviata direttamente. Per fare ciò, seguire le istruzioni nell'interfaccia web.

Una volta completata l'installazione, Nextcloud è accessibile all'indirizzo /// nextcloud. Questo collegamento è disponibile anche nella pagina di panoramica del server UCS. Tuttavia, una volta aperti, sono ancora presenti avvisi relativi al certificato SSL e al collegamento a Nextcloud. Questo sarà risolto successivamente attraverso l'installazione di "Let's Encrypt".

Configurazione di posta e groupware

Il secondo passo riguarda le funzioni mail e groupware. Qui, stiamo usando Kopano, che può essere utilizzato gratuitamente per i nostri scopi.

Ciò avviene installando i seguenti componenti di Kopano dal modulo App Center di UMC uno dopo l'altro: "Kopano Core", "Kopano WebApp" e "Z-Push for Kopano".

Un dominio di posta per Kopano dovrebbe quindi essere registrato prima di procedere con il resto della configurazione. Fino a questo momento, è stato configurato solo il dominio di posta "interno", che è stato specificato durante l'installazione di UCS (nel nostro esempio "ucs.myhome.intranet"). Tuttavia, non è noto esternamente e non può essere utilizzato per gli account di posta. I domini di posta disponibili sono configurati tramite il modulo UMC "E-Mail". Questo modulo può essere trovato nell'area "Domini" dell'UMC o tramite la funzione di ricerca. Nel fare ciò, è importante notare che, a seguito della registrazione di un dominio di posta, UCS presuppone che tutti gli indirizzi in questo dominio saranno configurati anche in UCS. È quindi raccomandabile adottare i domini qui che verranno poi utilizzati anche per gli accessi esterni al server, in questo esempio quindi "my-ucs.dnsalias.org".

Gli account utente possono quindi essere impostati. L '"indirizzo di posta principale" è l'indirizzo di posta che l'utente utilizzerà in Kopano. In altre parole, dovrebbe utilizzare il dominio pubblico (ad esempio, [email protected]).

Tocchi finali per e-mail

Il servizio di posta elettronica è ora in grado di ricevere mail inviate al dominio di posta accessibile pubblicamente (es. My-ucs.dnsalias.org). Affinché l'invio funzioni senza problemi e non sia direttamente bloccato dai filtri antispam di altri server di posta, questo nome dovrebbe essere usato anche come "helo". Questo può essere fatto impostando la variabile UCR "mail / smtp / helo / name" nel FQDN accessibile al pubblico - in questo esempio: my-ucs.dnsalias.org. Le impostazioni delle variabili UCR ("Univention Configuration Registry") possono essere eseguite nel modulo UMC con lo stesso nome o nella riga di comando con il comando

ucr set mail/smtp/helo/name=“my-ucs.dnsalias.org” 

Se possibile, è anche consigliabile utilizzare un host di inoltro SMTP (un server esterno autorizzato a inviare le nostre e-mail). Ciò si applica in particolare quando l'indirizzo IP del mittente è diverso da quello del dominio pubblico. Una guida può essere trovata qui.

La posta in arrivo viene instradata in base alle voci DNS del tuo dominio pubblico. Quando una mail è destinata al tuo dominio (my-ucs.dnsalias.org), viene utilizzato l'indirizzo IP del record MX. Se il record MX non è specificato, l'indirizzo IP di base del dominio stesso viene utilizzato come destinazione. Quest'ultimo è il caso della nostra configurazione: il dominio di posta corrisponde all'indirizzo IP pubblico del server UCS, con il risultato che il nostro sistema può essere trovato da altri sistemi e contattato per la consegna della posta.

La porta 25 è specificata nel firewall UCS per impostazione predefinita. Tuttavia, la porta 587 è preferita per lo scambio diretto tra i server di posta. Questo può essere approvato da UCR nel firewall. Ciò avviene impostando la variabile "security / packetfilter / package / manual / tcp / 587 / all" su "ACCEPT" - come sopra per la stringa "helo", anche qui tramite il modulo UMC o la riga di comando.

Dopo le modifiche, i servizi "postfix" e "univention-firewall" devono essere riavviati. Questo può essere fatto tramite la riga di comando ("service postfix restart, service univention-firewall restart") o riavviando il server.

Univention Portal

La pagina di panoramica del server UCS, il "Portale di Univention", fornisce una buona introduzione ai servizi disponibili. Ora è facilmente disponibile tramite "//my-ucs.dnsalias.org". Tuttavia, ci sono ancora due cose che causano problemi: avvisi del certificato nel browser e "link errati" nella pagina del portale. Entrambi possono essere risolti facilmente:

Let's Encrypt certificati TLS

Per impostazione predefinita, il server Web UCS utilizza un certificato autofirmato, che genera avvisi nel browser. L'installazione di un certificato tramite "Let's Encrypt" aiuta qui; abbiamo pubblicato un'integrazione corrispondente come "soluzione interessante". È consigliabile specificare in anticipo il dominio esterno in UCR. Ciò avviene impostando la variabile UCR "letsencrypt / domains", nel nostro esempio su "my-ucs.dnsalias.org". Inoltre, affinché il certificato venga adottato direttamente dal server web e mail, "letsencrypt / services / apache2" e "letsencrypt / services / postfix" devono essere impostati su "sì". Tutti i passaggi necessari sono descritti nell'articolo wiki collegato.

Ottimizzazione del portale

Le scorciatoie in Univention Portal, la prima pagina quando si accede all'interfaccia Web del sistema UCS, utilizzano ancora il dominio interno specificato durante l'installazione. Poiché questo non può essere risolto per gli accessi da Internet, gli indirizzi devono essere adattati. Questi indirizzi di scelta rapida sono configurati in LDAP. Possono essere trovati nell'area "Dominio" nel modulo "Directory LDAP" in UMC. Nella struttura mostrata, le voci "nextcloud" e "kopano-webapp" si trovano sotto "univention / portal".

Dopo l'apertura, il percorso corretto per il dominio esterno può essere inserito in "Collegamenti" rispettivamente - nell'esempio, abbiamo usato //my-ucs.dnsalias.org/nextcloud/ per Nextcloud e //my-ucs.dnsalias.org/ kopano / per Kopano.

Completamento di Nextcloud

Tuttavia, il primo accesso a Nextcloud tramite il dominio pubblico produce un messaggio di errore. Nextcloud registra internamente il dominio con cui è stato installato UCS e rifiuta l'accesso tramite altri domini per motivi di sicurezza. I domini pubblici possono essere approvati tramite i file di configurazione o tramite il collegamento fornito nel messaggio di errore Nextcloud. Se segui questo link, puoi accedere come "Amministratore" utilizzando la password specificata durante l'installazione di UCS e abilitare il dominio esterno.

In alcuni scenari, questo flusso di lavoro ha un intoppo: il collegamento per la condivisione fa riferimento al dominio interno, che non può essere risolto in un indirizzo IP nello scenario di hosting descritto. Una voce nel file "hosts" (sotto Linux: / etc / hosts) può fornire qui una guida, con la quale il FQDN interno dei server UCS può essere risolto all'indirizzo IP pubblico. In questa configurazione, l'abilitazione del dominio DNS pubblico offerto da Nextcloud funziona quindi senza problemi.

In alternativa, puoi anche passare alla finestra mobile di Nextcloud tramite il comando "univention-app shell nextcloud" nella riga di comando, installare un editor tramite "apt install vim" e modificare il file "/ var / www / html / config / config .php "in accordo con il Nextcloud HowTo.

utenti

Gli utenti possono ora essere creati sul sistema. Per ogni account creato in UCS, viene creato automaticamente anche un account corrispondente in Nextcloud e, se è stato specificato un indirizzo di posta principale, anche in Kopano. L'utente può quindi accedere a entrambi i servizi con la password dell'account. Le modifiche della password sono possibili tramite il menu nel Portale di Univention.

Kopano e Nextcloud possono essere utilizzati anche su smartphone. Un account "Exchange" è impostato per la sincronizzazione di e-mail, contatti e appuntamenti con Kopano. Ulteriori informazioni su questo possono essere trovate nella documentazione di Kopano. Nextcloud offre la propria app per Android o iOS, tramite la quale i file possono essere scambiati con lo smartphone e le immagini e i video acquisiti sul telefono vengono salvati automaticamente sul server.

prospettiva

Questa configurazione fornisce una buona base per il montaggio di servizi aggiuntivi dalle molte app disponibili per UCS.

  • L'integrazione di Fetchmail può essere utilizzata per continuare a ricevere comodamente gli indirizzi e-mail esistenti. Il server UCS scarica automaticamente la posta da altri provider e li visualizza nella posta in arrivo di Kopano.
  • I server accessibili pubblicamente sono spesso il bersaglio di attacchi automatici. Se è possibile accedere a SSH nel firewall, questo accesso dovrebbe essere limitato. Gli esempi sono disponibili qui.
  • Se il numero di utenti aumenta, può essere utile dare loro la possibilità di reimpostare le proprie password. Questo può essere fatto usando l'app "Self Service" nel Centro app.
  • Nextcloud può essere espanso con un'intera gamma di plug-in. Il plug-in "Collabora", che consente di modificare i file di Office direttamente nel browser, può rivelarsi particolarmente utile quando si ha a che fare con un numero elevato di documenti.

Raccomandato

Programma di contabilità open source rilasciato GnuCash 3.0 con un nuovo strumento di importazione CSV Riscritto in C ++
2019
8 consigli e trucchi Vim che ti renderanno un utente Pro
2019
Come cambiare le applicazioni predefinite in Ubuntu
2019