Verwenden von Univention Corporate Server (UCS) als Heimserver

In einem früheren Artikel haben wir Univention Corporate Server (UCS) untersucht. Diese Version war mehr auf Unternehmenskunden ausgerichtet. UCS kann jedoch auch als Heimserver verwendet werden.

Ingo Steuwer, Leiter Professional Services bei UCS, hat sich einige Zeit genommen, um diesen Vorgang im Detail zu erläutern. Wenn Sie ein Bastler sind, finden Sie diesen Artikel interessant.

Univention Corporate Server (UCS) als Heimserver

Univention Corporate Server (UCS) wird hauptsächlich von professionellen IT-Anwendern als ein System verwendet, das einfach einzurichten und zu warten ist. Aber auch Privatanwender können von diesem Konzept profitieren. In diesem Artikel möchte ich Ihnen eine Einführung geben, wie Sie mit UCS und den Apps Nextcloud und Kopano in wenigen Schritten Ihren eigenen Server für E-Mail, Groupware und File-Sharing einrichten und eine erstellen können Alternative zu Diensten wie GMail und Dropbox - alles unter Ihrer Kontrolle.

Hardware kaufen oder Server mieten?

Die erste Frage ist natürlich: Wo starte ich den Server? Grundsätzlich haben Privatanwender die gleichen Möglichkeiten wie Unternehmen: Entweder auf ihrer eigenen Hardware, in ihrem eigenen „IT-Center“ (oder Lagerraum) oder auf einem gemieteten System, das woanders gehostet wird, z. B. einem „dedizierten Server“ mit Cloud Diensteanbieter oder als Amazon Image [//aws.amazon.com/marketplace/pp/B071GDRQ3C]. Bei der Entscheidung ist zu berücksichtigen, wie Sie den Server tatsächlich nutzen möchten.

Ein gemietetes System ist mit einer minimalen Anfangsinvestition verbunden und ist in der Regel nicht mit erheblichen Bandbreitenbeschränkungen verbunden. Außerdem ist es einfacher, es Ihren Anforderungen entsprechend zu erweitern. Diese Art von System ist bei vielen Zugriffen von verschiedenen Standorten aus praktisch, z. B. wenn der Server von Mitgliedern einer Vereinigung verwendet wird.

Das Ausführen eines Systems in Ihrem eigenen Netzwerk bietet nicht nur die vollständige Kontrolle über Ihre eigenen Daten, sondern unterstützt auch zusätzliche Anwendungsszenarien wie einen Standard-Dateiserver oder das Streaming von Musik und Videos zu lokalen Media-Playern. Die Abhängigkeit von einer privaten Internetverbindung stellt jedoch häufig einen Engpass dar, wenn von außen auf das System zugegriffen wird. Selbst die neuesten VDSL-Verbindungen weisen eine vergleichsweise geringe Upload-Kapazität auf. Einige Internetanbieter unterstützen den Zugriff von außen überhaupt nicht. Im Zweifelsfall ist es daher die beste Lösung, einige Tests durchzuführen, bevor Sie Geld in neue Hardware investieren.

Die nachfolgend beschriebenen Schritte gelten grundsätzlich für beide Möglichkeiten gleichermaßen.

Wenn Sie Ihre eigene Hardware kaufen - was brauchen Sie?

UCS stellt nur minimale Anforderungen an die Hardware, was bedeutet, dass Sie eine große Auswahl an möglichen Systemen haben. Grundsätzlich kann auch ältere Desktop-Hardware geeignet sein, die jedoch häufig mit Nachteilen hinsichtlich Zuverlässigkeit und Stromverbrauch verbunden ist, wenn das System rund um die Uhr läuft. Wenn Sie in ein brandneues System investieren möchten, gibt es eine Reihe von Herstellern, die Hardware für dieses Segment anbieten, Systeme, die für den 24-Stunden-Betrieb geeignet sind (häufig als „SOHO NAS“ (Small oder Home Office Network Attached Storage) bezeichnet) ) Systeme). Beispiele sind die HP Systeme der MicroServer-Reihe und die Low Energy Server von Thomas-Krenn.

Die richtige Größe

Die nächste Frage betrifft die Größe des Systems. Das hier vorgestellte Setup läuft problemlos auf einem System mit kleinerer CPU und 4 GB RAM. Entscheidend ist die Anzahl der gleichzeitigen Zugriffe. Wenn die Anzahl der Benutzer oder Anwendungen zunimmt, wird möglicherweise mehr Kapazität erforderlich sein. Cloud-Angebote können einfach erweitert werden. Beim Kauf des Systems lohnt es sich, mit 8 oder 16 GB RAM und einer CPU mit 4 Kernen anzufangen.

Der für UCS benötigte Festplattenspeicher ist vernachlässigbar - 10 GB reichen aus, um das Betriebssystem lange Zeit gut zu versorgen. Ausschlaggebend ist hierbei der Verwendungszweck, insbesondere jedoch die im System zu speichernde Datenmenge. Beim Kauf von Hardware ist außerdem auf Redundanz über gespiegelte Festplatten (RAID) zu achten. Weitere Informationen zu diesem Aspekt finden Sie auch in den unten verlinkten Debian-HowTos.

Design: IP- und DNS-Konfiguration

Um über das Internet auf das System zuzugreifen, sind eine öffentliche IP-Adresse und ein entsprechender DNS-Eintrag erforderlich. Wenn Sie Serverressourcen mieten, erhalten Sie mindestens eine IP-Adresse und häufig auch eine Public Domain.

Die öffentliche IP wird in der Regel dem privaten Router in Heimnetzwerken zugewiesen. Es muss so konfiguriert sein, dass es Anforderungen an das lokale UCS-System weiterleiten kann. Wie dies geschieht, hängt vom Router selbst und möglicherweise vom Internetanbieter ab. Anleitungen sind für die meisten Router und Firewalls im Web verfügbar. Wenn der private Router keine öffentliche IP hat, kann es schwierig oder unmöglich sein, einen öffentlich zugänglichen Server dahinter zu betreiben. Im Zweifelsfall wenden Sie sich am besten an Ihren Internetprovider oder fordern Sie weitere Informationen im Internet an.

Die nächste Anforderung ist ein öffentlich auflösbarer DNS-Eintrag, der von Anbietern von „dynamischem DNS“ bezogen werden kann, wenn Sie keine öffentliche Domain haben. Der Router kümmert sich um die gesamte Kommunikation mit dem DNS-Provider. Daher ist hier auf Verträglichkeit zu achten. Im Folgenden wird die Domain "my-ucs.dnsalias.org" als Beispiel verwendet.

In den meisten Heimnetzwerken wird DCHP verwendet, um IP-Adressen automatisch zuzuweisen. Wie wir gesehen haben, muss die IP-Adresse des Servers im Router konfiguriert werden (siehe nächster Abschnitt für die nach außen freigegebenen Ports), sodass der UCS-Server immer dieselbe IP-Adresse erhalten muss. Dies kann erreicht werden, indem das UCS-System oder die MAC-Adresse in der DHCP-Konfiguration des Routers gespeichert werden. Alternativ kann bei der UCS-Installation auch eine feste IP-Adresse angegeben werden. In diesem Fall muss jedoch sichergestellt werden, dass der Router es keinem anderen Gerät zuweist. Stellen Sie bei Verwendung einer festen IP-Adresse immer sicher, dass die Angaben für das Standard-Gateway und den Nameserver korrekt sind. In den meisten Fällen ist die IP des Routers beides.

Aktivieren Sie den Zugriff auf Service-Ports

Für die hier beschriebenen Dienste müssen die Ports 80 (HTTP) und 443 (HTTPS) sowie 587 (SMTP-Übermittlung für eingehende Mails) extern verfügbar gemacht werden. Sobald HTTP eingerichtet wurde, kann dies auf den verschlüsselten Port 443 reduziert werden. Ein Zugriff auf Port 22 für SSH kann für die Remoteverwaltung nützlich sein, insbesondere in Systemen, die sich nicht in Heimnetzwerken befinden. Für zusätzliche Anwendungsszenarien sind möglicherweise zusätzliche Ports erforderlich. Zum Beispiel, wenn IMAPS / SMTPS neben ActiveSync auch für Mail-Clients verwendet werden soll. Während diese Ports in einem Home-Setup im lokalen Router aktiv aktiviert werden können, sollte die Konfiguration eines Systems, das extern über einen Provider betrieben wird, so eingerichtet werden, dass alle anderen Ports deaktiviert werden.

UCS-Setup

Für die Installation wird das UCS-ISO-Image von Univention heruntergeladen und auf eine DVD gebrannt oder auf einen USB-Stick übertragen. Das System sollte dann von diesem Medium gebootet werden (BIOS-Einstellung). Die Installation beginnt und neben einer Reihe von verschiedenen Schritten wie der Konfiguration der Sprache werden die bereitgestellten Festplatten partitioniert. In vielen Fällen kann der Partitionierungsvorschlag einfach übernommen werden. Wenn Sie die Ausfallsicherheit des Festplattenspeichers mit einem Software-RAID oder einer erweiterten Partitionierung erhöhen möchten, kann dies manuell eingerichtet werden. Einzelheiten finden Sie in der Debian-Dokumentation, da UCS den Installationsprozess hier verwendet.

Die eigentliche UCS-Konfiguration beginnt nach der Grundinstallation.

Die folgenden Daten sind für den geplanten Aufbau sinnvoll.

  • Domäneneinstellungen: Wenn Sie das erste (und möglicherweise einzige) System in einer UCS-Umgebung installieren, wählen Sie "Neue Domäne erstellen". Sie werden dann aufgefordert, eine funktionierende E-Mail-Adresse einzugeben, an die der anschließend erforderliche Schlüssel gesendet wird.
  • PC-Einstellungen: Sie werden nun nach einem vollständig qualifizierten Domainnamen für das UCS-System gefragt. Der erste Teil davon ist der Name, der dem zukünftigen System und seiner DNS-Domäne gegeben wird. Die Grundkonfiguration vieler Dienste eines UCS-Systems hängt von dieser Einstellung ab. Es ist sehr schwierig, es zu einem späteren Zeitpunkt zu ändern. In unserem Beispiel haben wir eine interne DNS-Domäne definiert. Der zuvor eingeführte öffentliche DNS-Eintrag kann dann zu einem späteren Zeitpunkt hinzugefügt werden. Es ist auch empfehlenswert, eine Domain zu verwenden, die vom öffentlichen DNS nicht aufgelöst werden kann, wie in unserem Beispiel „ucs.myhome.intranet“.
  • Softwarekonfiguration: Hier können Sie die ersten Dienste für die Installation auswählen. In einem internen Netzwerk ist es praktisch, einen Active Directory-kompatiblen Domänencontroller zu installieren, um zu einem späteren Zeitpunkt Dateifreigaben in Ihrem Netzwerk einrichten zu können.

Eine vollständige Dokumentation der Installation finden Sie im Produkthandbuch.

Nach der Installation ist das System über den Internetbrowser unter // erreichbar. Über den Link "System- und Domäneneinstellungen" gelangen Sie zur Univention Management Console (UMC), wo Sie sich mit dem während der Installation angegebenen Kennwort als "Administrator" anmelden können. Der Rest des Setups wird dort durchgeführt.

Nextcloud einrichten

Der erste Schritt besteht darin, die erforderlichen Dienste zu installieren und die Grundkonfiguration durchzuführen. Dies erfolgt über das App Center, das zuerst aktiviert werden muss. Dies erfolgt mithilfe des Schlüssels, der während der Installation an die angegebene E-Mail-Adresse gesendet wird. Dieser kann direkt im Begrüßungsdialog nach der Installation oder anschließend in UMC im Menü (Symbol „Burger“ oben rechts) über die Punkte „Lizenz“ und „Neue Lizenz importieren“ hochgeladen werden.

Die erste App, die installiert wird, ist Nextcloud, die als allgemeiner Speicherort für Dateien von PCs und Mobilgeräten empfohlen wird. Öffnen Sie dazu das Modul „App Center“ in der UMC und suchen Sie nach „Nextcloud“. Diese Installation von Nextcloud kann dann direkt gestartet werden. Befolgen Sie dazu die Anweisungen auf der Weboberfläche.

Nach Abschluss der Installation ist Nextcloud unter /// nextcloud verfügbar. Dieser Link ist auch auf der Übersichtsseite des UCS-Servers verfügbar. Beim Öffnen werden jedoch weiterhin Warnungen bezüglich des SSL-Zertifikats und des Links zu Nextcloud angezeigt. Dies wird später durch die Installation von "Let's Encrypt" behoben.

Mail & Groupware einrichten

Der zweite Schritt betrifft die Mail- und Groupware-Funktionen. Hier verwenden wir Kopano, das für unsere Zwecke kostenlos genutzt werden kann.

Dazu installieren Sie nacheinander die folgenden Komponenten von Kopano aus dem App Center-Modul der UMC: „Kopano Core“, „Kopano WebApp“ und „Z-Push for Kopano“.

Eine Mail-Domain für Kopano sollte dann registriert werden, bevor Sie mit der restlichen Konfiguration fortfahren. Bis zu diesem Schritt wurde nur die „interne“ Mail-Domain konfiguriert, die bei der Installation von UCS angegeben wurde (in unserem Beispiel „ucs.myhome.intranet“). Es ist jedoch nicht extern bekannt und kann nicht für E-Mail-Konten verwendet werden. Die verfügbaren Mail-Domänen werden über das UMC-Modul „E-Mail“ konfiguriert. Dieses Modul finden Sie im Bereich „Domains“ der UMC oder über die Suchfunktion. Hierbei ist zu beachten, dass UCS nach der Registrierung einer Mail-Domain davon ausgeht, dass alle Adressen in dieser Domain auch in UCS konfiguriert werden. Es ist daher empfehlenswert, hier die Domains zu übernehmen, die später auch für die externen Zugriffe auf den Server verwendet werden, in diesem Beispiel also "my-ucs.dnsalias.org".

Anschließend können Benutzerkonten eingerichtet werden. Die "primäre E-Mail-Adresse" ist die E-Mail-Adresse, die der Benutzer in Kopano verwenden wird. Mit anderen Worten, es sollte die Public Domain verwenden (z. B. [E-Mail geschützt]).

Fertigstellen der E-Mail

Der E-Mail-Dienst kann jetzt E-Mails empfangen, die an die öffentlich zugängliche E-Mail-Domain (dh my-ucs.dnsalias.org) gesendet wurden. Damit das Versenden problemlos funktioniert und Mails nicht direkt von den Spamfiltern anderer Mailserver blockiert werden, sollte dieser Name auch als "helo" verwendet werden. Dies kann erreicht werden, indem die UCR-Variable "mail / smtp / helo / name" auf den öffentlich zugänglichen FQDN gesetzt wird - in diesem Beispiel: my-ucs.dnsalias.org. Das Setzen von UCR-Variablen („Univention Configuration Registry“) kann im gleichnamigen UMC-Modul oder in der Kommandozeile mit dem Kommando durchgeführt werden

ucr set mail/smtp/helo/name=“my-ucs.dnsalias.org” 

Wenn möglich, ist es auch empfehlenswert, einen SMTP-Relay-Host zu verwenden (einen externen Server, der zum Senden unserer E-Mails berechtigt ist). Dies gilt insbesondere dann, wenn sich die IP-Adresse des Absenders von der der Public Domain unterscheidet. Eine Anleitung finden Sie hier.

Eingehende E-Mails werden gemäß den DNS-Einträgen Ihrer öffentlichen Domain weitergeleitet. Wenn eine E-Mail an Ihre Domain gerichtet ist (my-ucs.dnsalias.org), wird die IP-Adresse des MX-Eintrags verwendet. Wenn der MX-Eintrag nicht angegeben wird, wird die Basis-IP-Adresse der Domain selbst als Ziel verwendet. Letzteres ist in unserer Konfiguration der Fall: Die Mail-Domain entspricht der öffentlichen IP-Adresse des UCS-Servers, so dass unser System von anderen Systemen gefunden und für die Zustellung der Mails kontaktiert werden kann.

Port 25 ist standardmäßig in der UCS-Firewall angegeben. Port 587 wird jedoch für den direkten Austausch zwischen Mailservern bevorzugt. Dies kann von UCR in der Firewall genehmigt werden. Dies geschieht, indem die Variable "security / packetfilter / package / manual / tcp / 587 / all" auf "ACCEPT" gesetzt wird - wie oben für den "helo" -String, ist dies auch hier über das UMC-Modul oder die Kommandozeile möglich.

Nach den Änderungen müssen die Dienste "Postfix" und "Univention-Firewall" neu gestartet werden. Dies kann über die Befehlszeile ("Service Postfix Neustart; Service Univention-Firewall Neustart") oder durch einen Neustart des Servers erfolgen.

Univention Portal

Die Übersichtsseite des UCS-Servers, das „Univention Portal“, bietet eine gute Einführung in die verfügbaren Dienste. Es ist jetzt einfach über „//my-ucs.dnsalias.org“ verfügbar. Es gibt jedoch noch zwei Probleme: Zertifikatwarnungen im Browser und „fehlerhafte Links“ auf der Portalseite. Beides kann einfach gelöst werden:

Lassen Sie uns TLS-Zertifikate verschlüsseln

Standardmäßig verwendet der UCS-Webserver ein selbstsigniertes Zertifikat, was zu Warnungen im Browser führt. Hier hilft die Installation eines Zertifikats über „Let's Encrypt“; eine entsprechende integration haben wir als „coole lösung“ veröffentlicht. Es wird empfohlen, die externe Domain im UCR im Voraus anzugeben. Dazu setzen Sie die UCR-Variable „letsencrypt / domains“ in unserem Beispiel auf „my-ucs.dnsalias.org“. Damit das Zertifikat direkt vom Web- und Mailserver übernommen werden kann, müssen "letsencrypt / services / apache2" und "letsencrypt / services / postfix" jeweils auf "yes" gesetzt sein. Alle erforderlichen Schritte sind im verlinkten Wiki-Artikel beschrieben.

Portaloptimierung

Die Verknüpfungen im Univention Portal, der ersten Seite beim Zugriff auf die UCS-System-Weboberfläche, verwenden weiterhin die interne Domäne, die während der Installation angegeben wurde. Da dies für Zugriffe aus dem Internet nicht gelöst werden kann, müssen die Adressen angepasst werden. Diese Verknüpfungsadressen werden im LDAP konfiguriert. Sie finden sie im Bereich „Domain“ im Modul „LDAP Directory“ der UMC. Im gezeigten Baum befinden sich die Einträge "nextcloud" und "kopano-webapp" unter "univention / portal".

Nach dem Öffnen kann der richtige Pfad für die externe Domain unter "Links" angegeben werden - im Beispiel haben wir //my-ucs.dnsalias.org/nextcloud/ für Nextcloud und //my-ucs.dnsalias.org/ verwendet kopano / für Kopano.

Fertigstellung von Nextcloud

Beim ersten Zugriff auf Nextcloud über die Public Domain wird jedoch eine Fehlermeldung ausgegeben. Nextcloud registriert intern die Domain, mit der UCS installiert wurde und lehnt aus Sicherheitsgründen den Zugriff über andere Domains ab. Die öffentlichen Domänen können entweder über die Konfigurationsdateien oder über den in der Nextcloud-Fehlermeldung angegebenen Link genehmigt werden. Wenn Sie diesem Link folgen, können Sie sich mit dem bei der Installation von UCS angegebenen Kennwort als "Administrator" anmelden und die externe Domäne aktivieren.

In einigen Szenarien ist dieser Workflow problematisch: Der Link für die Freigabe bezieht sich auf die interne Domäne, die im beschriebenen Hosting-Szenario nicht in eine IP-Adresse aufgelöst werden kann. Hier kann ein Eintrag in der Datei „hosts“ (unter Linux: / etc / hosts) helfen, mit dem der interne FQDN der UCS-Server in die öffentliche IP-Adresse aufgelöst werden kann. In dieser Konfiguration funktioniert die Aktivierung der von Nextcloud angebotenen öffentlichen DNS-Domain dann problemlos.

Alternativ können Sie auch über den Befehl „univention-app shell nextcloud“ in den Docker-Container von Nextcloud wechseln, einen Editor über „apt install vim“ installieren und die Datei „/ var / www / html / config / config“ bearbeiten .php ”gemäß dem Nextcloud HowTo.

Benutzer

Benutzer können jetzt auf dem System erstellt werden. Für jedes in UCS angelegte Konto wird automatisch ein entsprechendes Konto in Nextcloud und bei Angabe einer primären Mailadresse auch in Kopano angelegt. Der Benutzer kann sich dann mit dem Kontokennwort bei beiden Diensten anmelden. Passwortänderungen sind über das Menü im Univention Portal möglich.

Kopano und Nextcloud können auch auf Smartphones verwendet werden. Für die Synchronisation von Mails, Kontakten und Terminen mit Kopano wird ein Exchange-Konto eingerichtet. Weitere Informationen hierzu finden Sie in der Kopano-Dokumentation. Nextcloud bietet eine eigene Android- oder iOS-App, über die Dateien mit dem Smartphone ausgetauscht und Bilder und Videos, die auf dem Telefon aufgenommen wurden, automatisch auf dem Server gespeichert werden können.

Ausblick

Dieses Setup bietet eine gute Grundlage für die Bereitstellung zusätzlicher Dienste aus den vielen für UCS verfügbaren Apps.

  • Mit der Fetchmail-Integration können bestehende E-Mail-Adressen weiterhin bequem empfangen werden. Der UCS-Server lädt dann automatisch Mails von anderen Anbietern herunter und zeigt sie im Kopano-Posteingang an.
  • Öffentlich zugängliche Server sind häufig das Ziel automatisierter Angriffe. Wenn in der Firewall auf SSH zugegriffen werden kann, sollte dieser Zugriff eingeschränkt werden. Beispiele finden Sie hier.
  • Wenn die Anzahl der Benutzer zunimmt, kann es hilfreich sein, ihnen die Möglichkeit zu geben, ihre Kennwörter selbst zurückzusetzen. Dies kann über die App „Self Service“ im App Center erfolgen.
  • Nextcloud kann mit einer ganzen Reihe von Plug-Ins erweitert werden. Das Plug-In „Collabora“, mit dem Sie Office-Dateien direkt im Browser bearbeiten können, ist besonders hilfreich, wenn Sie mit einer großen Anzahl von Dokumenten arbeiten.

Empfohlen

Finden Sie alle Dateien mit angegebenem Text mit dem SearchMonkey-GUI-Tool in Ubuntu
2019
ProtonMail: Ein Open Source-E-Mail-Dienstanbieter mit Schwerpunkt auf Datenschutz
2019
Nach der Installation des Betriebssystems Freya
2019