Änderungen von Dokument Samba4 Verzeichnisdienst direkt im Internet freigeben (ohne Stream via rev-proxy)

Zuletzt geändert von Jonas Mayer am 2022/05/23 10:48

Von 3.9 nach 3.8 Von 16.1 nach 15.1

Von Version 15.1

bearbeitet von jonasmayer@sbede
am 2022/05/23 09:57

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version 3.9

bearbeitet von michaelecer@sbede
am 2021/09/03 11:35

Änderungskommentar: Renamed from xwiki:Main.LD Server2.Allgemein.LDAP extern freigeben.WebHome

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (4 geändert, 0 hinzugefügt, 0 gelöscht)
Anhänge (0 geändert, 0 hinzugefügt, 1 gelöscht)
- Port_Router.png

Details

Seiteneigenschaften

Titel

@@ -1,1 +1,1 @@
--Samba4 Verzeichnisdienst direkt im Internet freigeben (ohne Stream via rev-proxy)
++LDAP extern freigeben

Übergeordnete Seite

@@ -1,1 +1,1 @@
--Main.LD Server.Allgemein.WebHome
++Main.LD Server2.Allgemein.WebHome

Dokument-Autor

@@ -1,1 +1,1 @@
--XWiki.jonasmayer@sbede
++XWiki.michaelecer@sbede

Inhalt

@@ -1,32 +1,11 @@
--(% class="box warningmessage" %)
--(((
--(% style="font-size:16px" %)__**Wichtig**__(%%)
--Diese Art der Verzeichnisdienst-Freigabe wird von SBE nicht empfohlen, da hier die Freischaltung ohne zertifikatsgesicherte Transportverschlüsselung erfolgt.
--Wir empfehlen Ihnen stattdessen, dieser [[Anleitung >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen, um den LDAP-Dienst auf sichere Art mit Lets' Encrypt SSL-Zertifikaten freizugeben!
--)))
++(% style="color:#2980b9" %)ldhost
--
------
--
--
--(% style="color:#000000" %)Wenn Sie den Verzeichnisdienst des Samba4-Containers direkt (und nicht über einen Tunnel via rev-proxy / nginx) im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
--
--{{toc start="4" numbered="true"/}}
--
--
--==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ====
--
--
--(% style="color:#000000" %)Öffnen Sie die die Datei {{box}}/etc/nano/shorewall/rules{{/box}} mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
--Da der Port 636  intern schon vergeben ist wird mit diesem Eintrag der Port intern auf einen anderen Port umgemappt.
--
  (% class="box" %)
  (((
--(% style="color:#000000" %)##DNAT        ext        dmz:172.28.29.2:1636   tcp        636##
++(% style="color:#000000" %)##nano /etc/shorewall/rules
++DNAT        ext        dmz:172.28.29.2:1636   tcp        636##
  )))
--(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu:
--
  (% class="box" %)
  (((
  (% style="color:#000000" %)##shorewall restart##
@@ -33,21 +33,15 @@
  )))
--==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ====
++(% style="color:#2980b9" %)logosrv
--
--(% style="color:#000000" %)Erstellen Sie die Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} mit einem Editor Ihrer Wahl.
--Sollte die Datei schon mit anderweitigen Regeln existieren, bearbeiten Sie stattdessen den Inhalt in geeigneter Form.
--
  (% class="box" %)
  (((
  (% style="color:#000000" %)##nano /usr/sbin/ldfirewall.custom##
  )))
++(% style="color:#000000" %)folgenden Text pasten und bearbeiten:
--(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu.
--Wie Sie dem Abschnitt unter// ipaddr// sehen können wird, hier der Port auf 636 zurückgemappt:
--
  (% class="box" %)
  (((
  (% style="color:#000000" %)###!/bin/bash
@@ -75,10 +75,10 @@
     # ~-~-~-~-~-~--
     # - BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
     # - Webuntis Server in Österreich IP: 213.208.138.146
--  ##(% style="color:#e74c3c" %)## SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26"
++   SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26"
     IP_LOGOSRV_DMZ=172.28.29.2
--   IP_SAMBA4_SERVERNET=172.28.28.30##(%%)
--\\(% style="color:#000000" %)##   for ipaddr in $SOURCEIP
++   IP_SAMBA4_SERVERNET=172.28.28.30
++\\   for ipaddr in $SOURCEIP
     do
       echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
       $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636
@@ -95,65 +95,36 @@
  esac##
  )))
++(% style="color:#000000" %)folgendes muss hier angepasst werden:
--(% style="color:#000000" %)Hier müssen nun folgende Werte angepasst werden:
--
  (% class="box" %)
  (((
--(% style="color:#000000" %)##SOURCEIP="87.130.28.26"               ##(% style="color:#e74c3c" %)###  <- Öffentliche IP(s), von denen aus Verbindungen erlaubt werden. In der Regel handelt es sich um IPv4-Adressen von Webservern, z.B. ein extern gehostete Moodle-Instanz##(%%)
--(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2            ##(% style="color:#e74c3c" %)###  <- ifconfig im logosrv und IP-Adresse der Schnittstelle "dmz" anschauen##(%%)
--(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30   ##(% style="color:#e74c3c" %)##   #  <- ifconfig im Samba4-ad Container und IP-Adresse der Schnittstelle "servernet" anschauen##
++(% style="color:#000000" %)##SOURCEIP=" 87.130.28.26"                         <- SBE IP, da wird eine zusätzliche gewhitelistet, die öffentliche ip der moodle Instanz
++IP_LOGOSRV_DMZ=172.28.29.2                 <- (ifconfig in logosrv und Eintrag "DMZ" anschauen
++IP_SAMBA4_SERVERNET=172.28.28.30    <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen##
  )))
++(% style="color:#000000" %)Das Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden
--(% style="color:#000000" %)Danach müssen Sie das Skript ausführbar machen, damit sie im Zuge eines Firewall-Restarts automatisch verarbeitet wird:
--
  (% class="box" %)
  (((
--(% style="color:#000000" %)##chmod +x /usr/sbin/ldfirewall.custom##
++(% style="color:#000000" %)##chmod +x ldfirewall.custom
++bash ldfirewall.custom##
  )))
--
--(% style="color:#000000" %)Führen Sie nun das Skript einmal aus und stellen Sie sicher, dass keine Fehlermeldungen an der Konsole ausgegeben werden (Syntaxkontrolle):
--
  (% class="box" %)
  (((
--(% style="color:#000000" %)##bash /usr/sbin/ldfirewall.custom##
--)))
--
--
--(% style="color:#000000" %)Im nächsten Schritt öffnen Sie mit einem Editor Ihrer Wahl die //internet.conf//
--
--(% class="box" %)
--(((
  (% style="color:#000000" %)##nano /etc/logodidact/internet.conf##
  )))
++(% style="color:#000000" %)FromInternetAllowTCP 636 als Port freigeben in der Internet.conf
--(% style="color:#000000" %)Hier fügen Sie nun den Port 1636 im Abschnitt //FromInternetAllowTCP// hinzu
--
  (% class="box" %)
  (((
--(% style="color:#000000" %)##FromInternetAllowTCP 1636##
--)))
--
--
--(% style="color:#000000" %)Im Anschluß daran starten Sie die Firewall neu
--
--(% class="box" %)
--(((
  (% style="color:#000000" %)##ldfirewall restart##
  )))
++(% style="color:#000000" %)Portfreischalten auf dem Router nicht vergessen!
--(% style="color:#000000" %)Damit die Freigabe des Samba4-LDAP funktioniert, ist es außerdem noch wichtig, die Portfreigabe (TCP-Port 636) am vorgeschalteten Router nicht zu vergessen:
++(% style="color:#000000" %)[[image:1597240262579-305.png]]
--(% style="color:#000000" %)[[image:Port_Router.png]]
--
--
--(% class="box successmessage" %)
--(((
--(% style="color:#000000" %)**__Hinweise:__**(%%)
--(% style="color:#000000" %)- Bei der IP-Adresse 192.168.1.254 in der Abbildung handelt es sich um die Schnittstelle p_extern des LogoDIDACT Servers(%%)
--- (% style="color:#000000" %)Neben dem Port 636 (LDAP-Freigabe als Thema dieses Artikels) werden hier außerdem noch die Ports 80+443 zur Freischaltung von Webdiensten durch den Router weitergeleitet
--)))

Port_Router.png

Author

...	...	@@ -1,1 +1,0 @@
1		-XWiki.aku@sbede

Größe

...	...	@@ -1,1 +1,0 @@
1		-21.5 KB

Inhalt