Haben Sie sich bei all den Horrormeldungen heute über Cyberattacken und Malware schon mal gewünscht, einen eigenen Server einzurichten, um endlich die größtmögliche Kontrolle über die eigenen Daten zu haben? Wenn ja, sind Sie auf dem richtigen Weg! In unseren vorherigen Artikeln Einführung in Univention Corporate Server und Installation und Konfiguration von Univention Corporate Server sprachen wir über die Server- und IT-Management-Lösung Univention Corporate Server und wie Sie es für die geschäftliche Nutzung installieren können. Diesmal gehen wir einen etwas anderen Weg und haben rund um UCS ein Softwarepaket geschnürt, das höheren Sicherheitsanforderungen sehr gut gerecht wird und somit ideal für jeden „Home-Admin“ ist, um sich seinen eigenen privaten Server aufzubauen.
Einen privaten Server mit ownCloud, Kopano und Let's Encrypt auf Univention Corporate Server einrichten
In den folgenden Schritten zeigen wir Ihnen, wie Sie das in wenigen Schritten einrichten und Groupware-, Mail- und Dateiaustauschsoftware einbinden. d.h. ownCloud- und Kopano-Apps. Proprietäre Mail- und Groupware-Lösungen werden damit auf Wunsch überflüssig. Und mit der Installation von Let's Encrypt sind auch die Verbindungen zu Ihrem UCS-Server bestens geschützt.
Erste Frage:Wo betreibe ich den Server?
Grundsätzlich stehen Privatanwender vor den gleichen Fragen wie Unternehmen:„Soll ich den Server auf meiner eigenen Hardware betreiben, in meinem eigenen „Rechenzentrum“ (oder Lagerraum), oder soll ich ihn auf einem gemieteten System betreiben, das irgendwo gehostet wird, z „dedizierter Server“ bei einem Cloud-Dienstleister. Bevor Sie sich entscheiden, ist es wichtig, sich zu fragen, wie Sie den Server tatsächlich nutzen möchten.
Mieten oder nicht vermieten
Ein gemietetes System ist mit einer geringen Anfangsinvestition verbunden und in der Regel nicht mit erheblichen Bandbreitenbeschränkungen verbunden. Darüber hinaus ist es einfacher, es an Ihre Anforderungen anzupassen. Ein gemietetes System ist praktisch, wenn Sie Zugriff von verschiedenen Standorten benötigen, z. B. wenn der Server von allen Mitgliedern Ihrer Organisation verwendet wird, die möglicherweise woanders arbeiten.
Betreiben Sie Ihr eigenes Netzwerk
Betreiben Sie ein System im eigenen Netzwerk, bietet es Ihnen zunächst die volle Kontrolle über Ihre eigenen Daten und unterstützt darüber hinaus zusätzliche Anwendungsszenarien wie einen Standard-Fileserver oder das Streamen von Musik und Videos auf lokale Mediaplayer. Allerdings ist die Abhängigkeit von einer privaten Internetverbindung oft ein Engpass, wenn man von außen auf das System zugreifen möchte; selbst die allerneuesten VDSL-Anschlüsse haben eine vergleichsweise geringe Upload-Kapazität. Einige Internetprovider unterbinden jeglichen Zugriff von außen. Ich empfehle daher, ein paar Tests durchzuführen, bevor Sie in neue Hardware investieren.
Die unten beschriebenen Schritte gelten allgemein für beide Optionen.
Welche Hardware benötige ich?
UCS hat nur geringe Anforderungen an die Hardware, Sie haben also die Wahl. Grundsätzlich kann auch ältere Desktop-Hardware geeignet sein. Sie sind jedoch oft mit Nachteilen in Bezug auf Zuverlässigkeit und Stromverbrauch verbunden, wenn das System ununterbrochen läuft. Wenn Sie sich entscheiden, in ein ganz neues System zu investieren, gibt es Hersteller, die Systeme anbieten, die für den 24/7-Betrieb geeignet sind (oft auch als „SOHO NAS“-Systeme (Small or Home Office Network Attached Storage) bezeichnet). Beispiele hierfür sind die HP-Systeme der MicroServer-Reihe und die Low Energy Server von Thomas-Krenn.
Der Zweck bestimmt, welche Größe für Sie richtig ist
Das nächste, worüber Sie nachdenken müssen, ist die Frage der Größe des Systems. Das hier vorgestellte Setup läuft auf einem System mit kleinerer CPU und 4 GB RAM problemlos. Die Anzahl der gleichzeitigen Zugriffe ist der kritische Teil. Wenn die Anzahl der Benutzer oder Anwendungen zunimmt, benötigen Sie schließlich mehr Kapazität. Cloud-Angebote sind jederzeit einfach erweiterbar. Beim Kauf des Systems lohnt es sich also schon mit 8 anzufangen oder16 GB RAM und eine CPU mit 4 Kernen.
Der für UCS benötigte Festplattenspeicher ist vernachlässigbar – 10 GB ist mehr als genug, um das Betriebssystem lange funktionsfähig zu halten. Entscheidend dabei ist, was Sie damit bezwecken, insbesondere die Menge an Daten, die Sie auf dem System speichern. Bitte berücksichtigen Sie beim Kauf von Hardware auch die Redundanz über gespiegelte Festplatten (RAID).
IP- und DNS-Konfiguration
Für den Zugriff auf das System aus dem Internet benötigen Sie eine öffentliche IP-Adresse und einen entsprechenden DNS-Eintrag. Wenn Sie Serverressourcen mieten, erhalten Sie mindestens eine IP-Adresse und oft auch eine öffentliche Domain.
In Heimnetzwerken wird die öffentliche IP in der Regel dem privaten Router zugeordnet. Dieser muss so konfiguriert werden, dass er Anfragen an das lokale UCS-System weiterleiten kann. Wie das geht, hängt vom Router selbst und ggf. vom Internetprovider ab. Für die meisten Router und Firewalls finden Sie dazu HowTos im Web. Wenn der private Router keine öffentliche IP hat, kann es schwierig oder sogar unmöglich sein, einen öffentlich zugänglichen Server dahinter zu betreiben. Wenden Sie sich im Zweifelsfall an Ihren Internetprovider oder informieren Sie sich im Web.
Die nächste Voraussetzung ist ein öffentlich auflösbarer DNS-Eintrag, der von Anbietern von dynamischem DNS bezogen werden kann .
Der Router übernimmt die gesamte Kommunikation mit dem DNS-Anbieter. wir verwenden die Domain “my-ucs.dnsalias.org” als Beispiel in diesem Handbuch.
Für die hier beschriebenen Dienste ist es notwendig, die Ports 80 (HTTP) und 443 (HTTPS) sowie 587 (SMTP Submission für eingehende Mails) extern verfügbar zu machen. Nach der Einrichtung kann HTTP auf den verschlüsselten Port 443 reduziert werden. Für die Remote-Administration, insbesondere bei Systemen, die sich nicht im Heimnetz befinden, ist der Zugriff auf Port 22 für SSH sinnvoll. Weitere Ports können sich aus weiteren Anwendungen ergeben, z. B. wenn neben ActiveSync auch IMAPS / SMTPS für Mailclients verwendet werden soll. Während im Heim-Setup diese Ports im lokalen Router aktiv freigeschaltet werden, sollte die Konfiguration eines Systems, das von einem Provider betrieben wird, darauf ausgelegt sein, alle anderen Ports zu blockieren.
In den meisten Heimnetzwerken wird DCHP verwendet, um IP-Adressen automatisch zuzuweisen. Da aber für die Freigabe der Ports nach extern die Serveradresse in der Konfiguration des Routers eingestellt werden muss, muss der Server immer die gleiche Adresse bekommen. Dazu können Sie das UCS-System oder die MAC-Adresse in der DHCP-Konfiguration des Routers hinterlegen. Alternativ können Sie während der UCS-Installation eine feste IP-Adresse festlegen. In diesem Fall muss allerdings darauf geachtet werden, dass der Router sie keinem anderen Gerät zuweist. Achten Sie bei der Verwendung einer festen IP immer darauf, dass die Angaben zum Default-Gateway und Nameserver stimmen. In den meisten Fällen ist beides der Fall
die IP des Routers.
So richten Sie Univention Corporate Server ein
Für die Installation wird das UCS-ISO-Image vom offiziellen Download-Link heruntergeladen und auf eine DVD gebrannt oder auf einen USB-Stick übertragen. Das System sollte dann von diesem Medium gebootet werden (BIOS-Einstellung). Die Installation
beginnt und neben verschiedenen Schritten wie der Konfiguration der Sprache werden die gemounteten Festplatten partitioniert. In vielen Fällen können Sie den Partitionierungsvorschlag einfach übernehmen. Wenn Sie die Ausfallsicherheit durch ein Software-RAID oder eine erweiterte Partitionierung erhöhen möchten, richten Sie diese manuell ein. Einzelheiten finden Sie in der Debian-Dokumentation da UCS hier seinen Installationsprozess verwendet.
Nach der Grundinstallation beginnt die eigentliche UCS-Konfiguration.
Die folgenden Informationen sind praktisch für die geplante Einrichtung.
- Domain-Einstellungen: Da Sie das erste (und möglicherweise einzige) System in einer UCS-Umgebung installieren, wählen Sie „Neue Domäne erstellen“. Anschließend werden Sie aufgefordert, eine funktionierende E-Mail-Adresse anzugeben, an die der anschließend benötigte Schlüssel gesendet wird.
- PC-Einstellungen: Sie werden nach einem F QDN für das UCS-System gefragt. Der erste Teil davon ist der Name, der dem zukünftigen System und seiner DNS-Domäne gegeben wird. Die Grundkonfiguration vieler Dienste in einem UCS-System ist von dieser Einstellung abhängig. Es ist sehr schwierig, es später zu ändern. In unserem Beispiel verwenden wir den des FQDN "server.my-ucs.dnsalias.org" . Der Server fühlt sich also für die Domain my-ucs.dnsalias.org zuständig. Wir können diese Vorgehensweise wählen, da wir in diesem Beispiel davon ausgehen, dass alle Dienste dieser Domäne von UCS bereitgestellt werden.
- Softwarekonfiguration: Hier können Sie die ersten Dienste zur Installation auswählen. Installieren Sie für ein internes Netzwerk den "Active Directory-kompatiblen Domänencontroller", um Dateifreigaben in Ihrem Netzwerk einrichten zu können. Weitere Einzelheiten finden Sie in der vorherigen Anleitung Installation und Konfiguration von UCS und das offizielle Handbuch von UCS .
Zugriff auf UCS
Nach der Installation können Sie über einen Internetbrowser unter http://
Entsperren Sie das App Center
Als Erstes müssen Sie nach der Installation und bevor Sie die erforderlichen Dienste installieren und einrichten können, das App Center entsperren. Dies geschieht über den „Schlüssel“, der während des Installationsvorgangs an die angegebene Adresse gesendet wird. Laden Sie den Schlüssel direkt aus dem nach der Installation erscheinenden Begrüßungsdialog hoch oder gehen Sie später auf die UMC, klicken Sie oben rechts auf das „Burger“-Menüsymbol und wählen Sie den Punkt „Lizenz“ und dann „Neue Lizenz importieren“.
Konfiguration der File Sync &Sharing-Lösung ownCloud
Als erste App wird hier ownCloud installiert, ein gemeinsamer Speicherort für Dateien von PCs und Mobilgeräten. Öffnen Sie das "App Center" Modul in der UMC und suchen Sie nach "ownCloud". Die Installation von ownCloud kann direkt angestoßen werden. Folgen Sie einfach den Anweisungen im Webinterface.
Nach Abschluss der Installation ist ownCloud über https://
Einrichten von Kopano Mail &Groupware
Für die nun folgende Installation einer Mail- und Groupware verwenden wir Kopano. Für unsere Zwecke können Sie es kostenlos verwenden. Um Kopano Mail und Groupware einzurichten, installieren Sie die Komponenten „Kopano Core“, „Kopano WebApp“ und „Z-Push for Kopano“ aus dem App Center. Bei der Installation von Kopano wird auch eine Maildomäne in UCS angelegt. Mit dem UMC-Modul „Mail“ aus der Kategorie „Domain“ können Sie sicherstellen, dass die Mail-Domain korrekt konfiguriert ist. In unserem Beispiel heißt es "my-ucs.dnsalias.org".
Nach der Installation können Sie Benutzerkonten einrichten. Die „primäre E-Mail-Adresse“ ist die E-Mail-Adresse, die der Benutzer in Kopano verwendet. Es sollte daher die öffentliche Domäne verwenden, zum Beispiel [email protected] .
Feinabstimmung von E-Mails
Der E-Mail-Dienst kann jetzt E-Mails empfangen, die an die öffentlich zugängliche E-Mail-Domäne gesendet werden, hier:my-ucs.dnsalias.org . Damit das Versenden von Mails problemlos funktioniert und Mails nicht direkt von Spamfiltern anderer Mailserver geblockt werden, sollte dieser Name auch als „helo“ verwendet werden. Setzen Sie dazu die UCR-Variable „mail/smtp/helo/name“ auf den öffentlich zugänglichen FQDN – in diesem Beispiel:my-ucs.dnsalias.org. Das Setzen von UCR („Univention Configuration Registry“)-Variablen kann im gleichnamigen UMC-Modul oder in der Kommandozeile mit dem Befehl:
durchgeführt werdenucr set mail/smtp/helo/name=“my-ucs.dnsalias.org“
Wir empfehlen außerdem, wenn möglich, einen SMTP-Relay-Host zu verwenden. Insbesondere dann, wenn die IP-Adresse des Absenders von der öffentlichen Domain abweicht. Weitere Einzelheiten finden Sie in diesem Leitfaden .
Eingehende Mails werden nach aktuellem Stand der Implementierung für den öffentlichen DNS-Eintrag des Servers geroutet:Sollen Mails an Adressen der Domain „my-ucs.dnsalias.org“ gesendet werden, die IP des zugeordneten MX-Records die Domain oder die IP-Adresse der Domain selbst wird im DNS verwendet und als Ziel kontaktiert. Letzteres ist in unserer Konfiguration der Fall:Die Maildomain entspricht dem öffentlichen Namen des Servers, damit unser System von anderen Mailservern gefunden und für die Zustellung von Mails kontaktiert wird.
Standardmäßig ist Port 25 in der UCS-Firewall festgelegt. Für den direkten Austausch zwischen Mailservern wird jedoch Port 587 bevorzugt. Dies kann von UCR in der Firewall freigegeben werden. Dies kann durch Setzen der Variable "security/packetfilter/package/manual/tcp/587/all" erfolgen auf „AKZEPTIEREN“ – wie oben für den „helo“-String, dies ist auch hier über das UMC-Modul oder die Kommandozeile möglich. Nach den Änderungen müssen die Dienste „postfix“ und „univention-firewall“ neu gestartet werden. Dies kann entweder über die Kommandozeile erfolgen („Service Postfix Restart; Service Univention-Firewall Restart“) oder durch einen Neustart des Servers.
Übersichtsseite des Univention Portals
Einen guten Einstieg in alle verfügbaren Dienste bietet die Übersichtsseite in UCS, dem „Univention Portal“. Sie können jetzt ganz einfach über "https://my-ucs.dnsalias.org" darauf zugreifen . Allerdings gibt es immer noch die Zertifikatswarnung im Browser, die wir schon bei der ownCloud-Installation gesehen haben. Es kann leicht mit Let's Encrypt gelöst werden.
Zu guter Letzt:Installation von Let‘s Encrypt
Standardmäßig verwendet der UCS-Webserver ein selbstsigniertes Zertifikat, was zu Warnungen im Browser führt. Über die Installation eines Zertifikats mit „Let’s Encrypt“ können Sie das lösen. Die entsprechende App finden Sie im App Center.
Öffnen Sie nach der Installation eine Konfigurationsmaske, indem Sie auf "App-Einstellungen" klicken :Geben Sie hier die Domänen ein
(my-ucs.dnsalias.org und server.my-ucs.dnsalias.org), getrennt durch Leerzeichen, und markieren Sie die Dienste, die das Zertifikat verwenden sollen. In unserem Beispiel soll das Zertifikat in Apache und Postfix verwendet werden. Mit einem Klick auf „Änderungen übernehmen“ wird ein Zertifikat erstellt und in die Dienste eingebunden. Da auch der Webserver Apache neu gestartet wird, müssen Sie auch das Webinterface einmal neu laden.
Anlegen von Benutzern
Benutzer können jetzt zum System hinzugefügt werden. Für jedes in UCS erstellte Benutzerkonto wird automatisch ein entsprechendes Konto in ownCloud und, falls eine primäre Mailadresse angegeben wurde, auch in Kopano angelegt. Der Benutzer kann sich dann mit dem Kontopasswort bei beiden Diensten anmelden. Passwortänderungen sind über das Menü im Univention Portal möglich.
Synchronisation von Mails, Kontakten und Terminen Kopano und ownCloud können auch von Smartphones genutzt werden. Um E-Mails, Kontakte und Termine mit Kopano zu synchronisieren, wird auf dem Smartphone ein "Exchange"-Konto eingerichtet, Details siehe Kopano-Dokumentationsseite .
ownCloud bietet eine eigene Android-iOS-App, mit der Sie Dateien mit Ihrem Smartphone teilen und aufgenommene Bilder und Videos automatisch auf dem Server speichern können.
Welche anderen Dienste können wir empfehlen?
Dieses Setup ist eine gute Basis, um weitere Dienste aus den vielen angebotenen Apps für UCS zu integrieren:
- Um weiterhin von bisherigen, bestehenden E-Mail-Adressen empfangen zu können, wird die Fetchmail-Integration kann verwendet werden. Der UCS-Server lädt automatisch Mails von anderen Anbietern herunter und stellt sie im Kopano-Postfach bereit.
- Öffentlich zugängliche Server sind oft das Ziel automatisierter Angriffe. Wenn der Zugriff auf SSH in der Firewall erlaubt ist, sollte dieser Zugriff eingeschränkt werden. Siehe diesen Link für weitere Details.
- Wenn die Anzahl der Benutzer zunimmt, kann es sinnvoll sein, ihnen zu erlauben, ihr Passwort selbst zurückzusetzen. Installieren Sie dazu den "Self Service" App aus dem App Center.
- ownCloud kann durch viele Plugins erweitert werden. Besonders hilfreich beim Umgang mit vielen Dokumenten ist die "Collabora" Plugin, mit dem Sie Office-Dateien direkt im Browser bearbeiten können.
Schlussfolgerung
Wenn Sie diese umfassende Anleitung (und alle Referenzlinks) sorgfältig befolgt haben, haben Sie jetzt:erfolgreich einen privaten Server mit ownCloud, Kopano und Let's Encrypt auf Univention Corporate Server eingerichtet. Wie Sie sehen, ist die Einrichtung eines Heimservers auf UCS gar nicht so schwierig. Erwähnenswert ist auch, dass die offiziellen UCS-Handbücher äußerst gut dokumentiert sind und eine sehr genaue und effektive Lösung für alle möglichen Probleme bieten.