Änderungen von Dokument LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Zusammenfassung

• Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Titel

...	...	@@ -1,1 +1,1 @@
1		-Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer
	1	+Geändert: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv

Dokument-Autor

...	...	@@ -1,1 +1,1 @@
1		-XWiki.JensGruber@sbede
	1	+XWiki.jonasmayer@sbede

Inhalt

...	...	@@ -114,9 +114,6 @@
114	114	Zur Nutzung der SSL-Transportverschlüsselung ist es wiederum wichtig, ein gültiges Let's Encrypt Zertifikat zu beantragen, damit die Verbindungssicherheit zwischen zwei Servern gewährleistet werden kann.
115	115
116	116
117		-**... [REV-PROXY LDAPS-Freischaltung mit Let's Encrypt einfügen]...**
118		-
119		-
120	120	== __**Ports über Firewall an Rev-Proxy weiterleiten**__ ==
121	121
122	122	Damit die LDAP Verbindung funktioniert, muss der Port 636 an den Rev-Proxy weitergeleitet werden. Diese Weiterleitung können Sie wie folgt einrichten:
...	...	@@ -136,22 +136,22 @@
136	136	{{/code}}
137	137
138	138
139		-Ergänzen Sie die Liste innerhalb der Datei um den obersten Eintrag (DNAT ext dmz:172.28.29.3 tcp 636):
	136	+Ergänzen Sie die Liste innerhalb der Datei um den obersten Eintrag (lila eingefärbte Zeile). Dadurch werden externe Verbindungsanfragen auf Port 636 (LDAPS) vom ldhost zum rev-proxy LXC-Container weitergeleitet, so wie im Schaubild am Anfang des Artikels abgebildet.
140	140
141		-{{code language="bash"}}
142		-#
	138	+(% class="box" %)
	139	+(((
	140	+(% style="color:#16a085" %)###
143	143	# Shorewall version 4.0
144		-#
145		-DNAT ext dmz:172.28.29.3 tcp 636
	142	+###(%%)##
	143	+(% style="color:#8e44ad" %)**DNAT ext dmz:172.28.29.3 tcp 636**(%%)
146	146	DNAT ext dmz:172.28.29.3 tcp 80,443
147	147	DNAT ext dmz:172.28.29.2 tcp 1:21
148	148	DNAT ext dmz:172.28.29.2 tcp 23:2221
149	149	DNAT ext dmz:172.28.29.2 tcp 2223:65535
150		-DNAT ext dmz:172.28.29.2 udp 1:65535
	148	+DNAT ext dmz:172.28.29.2 udp 1:65535##
	149	+)))
151	151
152		-{{/code}}
153	153
154		-
155	155	Starten Sie nun die Firewall des ldhost neu:
156	156
157	157	{{code language="bash"}}
...	...	@@ -158,6 +158,60 @@
158	158	root@ldhosts:~ # /etc/init.d/shorewall restart
159	159	{{/code}}
160	160
	158	+
	159	+== __**Zertifikat für Rev-Proxy erstellen und prüfen**__ ==
	160	+
	161	+Damit die Verbindung gesichert werden kann, wird ein Let's Encrypt Zertifikat benötigt. Dieses können Sie nach folgender Anleitung erstellen:
	162	+
	163	+====== ======
	164	+
	165	+====== __acmetool__ ======
	166	+
	167	+Wechseln Sie in den puppeteer Container:
	168	+
	169	+{{code language="bash"}}
	170	+root@ldhost:~ # lxc-ssh -n puppeteer
	171	+{{/code}}
	172	+
	173	+Fordern Sie das Zertifikat mit folgendem Befehl an (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
	174	+
	175	+{{code language="bash"}}
	176	+root@puppeteer:~ # acmetool want kopano.SCHULKUERZEL.logoip.de
	177	+{{/code}}
	178	+
	179	+===== =====
	180	+
	181	+====== __acme.sh__ ======
	182	+
	183	+Wechseln Sie in den puppeteer Container:
	184	+
	185	+{{code language="bash"}}
	186	+root@ldhost:~ # lxc-ssh -n puppeteer
	187	+{{/code}}
	188	+
	189	+
	190	+Wechseln Sie im puppeteer Container in die Umgebung für das Verwalten der Zertifikate:
	191	+
	192	+{{code language="bash"}}
	193	+root@puppeteer:~ # sle
	194	+{{/code}}
	195	+
	196	+
	197	+Beantragen Sie ein neues Zertifikat mit folgendem Befehl (Ersetzen Sie "SCHULKUERZEL" mit dem jeweiligen Shortname):
	198	+
	199	+{{code language="bash"}}
	200	+le-acme@puppeteer:~ $ issue kopano.SCHULKUERZEL.logoip.de
	201	+{{/code}}
	202	+
	203	+
	204	+Um das verteilen der Zertifikate zu beschleunigen können Sie ggf. einen prun im puppeteer und rev-proxy Container durchführen:
	205	+
	206	+{{code language="bash"}}
	207	+root@puppeteer:~ # prun
	208	+root@rev-proxy:~ # prun
	209	+{{/code}}
	210	+
	211	+
161	161	=== ===
162	162
163	163	== (% style="color:#000000" %)**__LDAP Attribute__**(%%) ==