Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/23 10:48
Von Version 15.1
bearbeitet von jonasmayer@sbede
am 2022/05/23 09:57
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 4.1
bearbeitet von aku@sbede
am 2022/05/16 14:59
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Titel
... ... @@ -1,1 +1,1 @@
1 -Samba4 Verzeichnisdienst direkt im Internet freigeben (ohne Stream via rev-proxy)
1 +OpenLDAP direkt im Internet freigeben (ohne Stream im rev-proxy)
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.jonasmayer@sbede
1 +XWiki.aku@sbede
Inhalt
... ... @@ -1,31 +1,17 @@
1 -(% class="box warningmessage" %)
2 -(((
3 -(% style="font-size:16px" %)__**Wichtig**__(%%)
4 -Diese Art der Verzeichnisdienst-Freigabe wird von SBE nicht empfohlen, da hier die Freischaltung ohne zertifikatsgesicherte Transportverschlüsselung erfolgt.
5 -Wir empfehlen Ihnen stattdessen, dieser [[Anleitung >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen, um den LDAP-Dienst auf sichere Art mit Lets' Encrypt SSL-Zertifikaten freizugeben!
6 -)))
1 +(% style="color:#000000" %)Wenn Sie den OpenLDAP direkt und nicht über den rev-proxy im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
7 7  
8 8  
9 -----
4 +=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ===
10 10  
11 11  
12 -(% style="color:#000000" %)Wenn Sie den Verzeichnisdienst des Samba4-Containers direkt (und nicht über einen Tunnel virev-proxy / nginx) im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
7 +(% style="color:#000000" %)Öffnen Sie die die Datei /etc/nano/shorewall/rules mit einem Editor Ihrer Wahl und fügen Sie(%%) am Anfang folgende Zeile hinzu
13 13  
14 -{{toc start="4" numbered="true"/}}
15 -
16 -
17 -==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ====
18 -
19 -
20 -(% style="color:#000000" %)Öffnen Sie die die Datei {{box}}/etc/nano/shorewall/rules{{/box}} mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
21 -Da der Port 636  intern schon vergeben ist wird mit diesem Eintrag der Port intern auf einen anderen Port umgemappt.
22 -
23 23  (% class="box" %)
24 24  (((
25 25  (% style="color:#000000" %)##DNAT ext dmz:172.28.29.2:1636 tcp 636##
26 26  )))
27 27  
28 -(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu:
14 +(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Firewall neu
29 29  
30 30  (% class="box" %)
31 31  (((
... ... @@ -33,11 +33,11 @@
33 33  )))
34 34  
35 35  
36 -==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ====
22 +=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ===
37 37  
38 38  
39 -(% style="color:#000000" %)Erstellen Sie die Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} mit einem Editor Ihrer Wahl.
40 -Sollte die Datei schon mit anderweitigen Regeln existieren, bearbeiten Sie stattdessen den Inhalt in geeigneter Form.
25 +(% style="color:#000000" %)Erstellem Sie die Datei /usr/sbin/ldfirewall.custom mit einem Editor Ihrer Wahl.
26 +Sollte die Datei schin exitieren öffnen Sie sie.
41 41  
42 42  (% class="box" %)
43 43  (((
... ... @@ -45,8 +45,7 @@
45 45  )))
46 46  
47 47  
48 -(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu.
49 -Wie Sie dem Abschnitt unter// ipaddr// sehen können wird, hier der Port auf 636 zurückgemappt:
34 +(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu:
50 50  
51 51  (% class="box" %)
52 52  (((
... ... @@ -77,8 +77,8 @@
77 77   # - Webuntis Server in Österreich IP: 213.208.138.146
78 78   ##(% style="color:#e74c3c" %)## SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26"
79 79   IP_LOGOSRV_DMZ=172.28.29.2
80 - IP_SAMBA4_SERVERNET=172.28.28.30##(%%)
81 -\\(% style="color:#000000" %)## for ipaddr in $SOURCEIP
65 + IP_SAMBA4_SERVERNET=172.28.28.30##(%%)##
66 +\\(% style="color:#000000" %) for ipaddr in $SOURCEIP
82 82   do
83 83   echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
84 84   $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636
... ... @@ -92,7 +92,7 @@
92 92   echo "Benutzung: $0 {start|restart}"
93 93   exit 1
94 94   ;;
95 -esac##
80 +esac(%%)##
96 96  )))
97 97  
98 98  
... ... @@ -100,25 +100,25 @@
100 100  
101 101  (% class="box" %)
102 102  (((
103 -(% style="color:#000000" %)##SOURCEIP="87.130.28.26"               ##(% style="color:#e74c3c" %)## <- Öffentliche IP(s), von denen aus Verbindungen erlaubt werden. In der Regel handelt es sich um IPv4-Adressen von Webservern, z.B. ein extern gehostete Moodle-Instanz##(%%)
104 -(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2            ##(% style="color:#e74c3c" %)###  <- ifconfig im logosrv und IP-Adresse der Schnittstelle "dmz" anschauen##(%%)
105 -(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30   ##(% style="color:#e74c3c" %)## <- ifconfig iSamba4-ad Container und IP-Adresse der Schnittstelle "servernet" anschauen##
88 +(% style="color:#000000" %)##SOURCEIP=" 87.130.28.26"  ##(% style="color:#e74c3c" %)## <- SBE IP, da wird eine zutzliche gewhitelistet, die öffentliche ip der moodle Instanz##(%%)##
89 +(% style="color:#000000" %)IP_LOGOSRV_DMZ=172.28.29.2  (% style="color:#e74c3c" %)<- (ifconfig in logosrv und Eintrag "DMZ" anschauen(%%)
90 +(% style="color:#000000" %)IP_SAMBA4_SERVERNET=172.28.28.30   (% style="color:#e74c3c" %) <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen(%%)##
106 106  )))
107 107  
108 108  
109 -(% style="color:#000000" %)Danach müssen Sie das Skript ausführbar machen, damit sie im Zuge eines Firewall-Restarts automatisch verarbeitet wird:
94 +(% style="color:#000000" %)Danach müssen Sie die Datei als Skript für den Cronjob ausführbar gemacht werden und auch e ausfürhbar machen Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden
110 110  
111 111  (% class="box" %)
112 112  (((
113 -(% style="color:#000000" %)##chmod +x /usr/sbin/ldfirewall.custom##
98 +(% style="color:#000000" %)##chmod +x ldfirewall.custom##
114 114  )))
115 115  
116 116  
117 -(% style="color:#000000" %)Führen Sie nun das Skript einmal aus und stellen Sie sicher, dass keine Fehlermeldungen an der Konsole ausgegeben werden (Syntaxkontrolle):
102 +(% style="color:#000000" %)Führen Sie nun das Skript einmal aus
118 118  
119 119  (% class="box" %)
120 120  (((
121 -(% style="color:#000000" %)##bash /usr/sbin/ldfirewall.custom##
106 +(% style="color:#000000" %)##bash ldfirewall.custom##
122 122  )))
123 123  
124 124  
... ... @@ -130,11 +130,11 @@
130 130  )))
131 131  
132 132  
133 -(% style="color:#000000" %)Hier fügen Sie nun den Port 1636 im Abschnitt //FromInternetAllowTCP// hinzu
118 +(% style="color:#000000" %)Hier fügen Sie nun den Port 636 im Abschnitt //FromInternetAllowTCP// hinzu
134 134  
135 135  (% class="box" %)
136 136  (((
137 -(% style="color:#000000" %)##FromInternetAllowTCP 1636##
122 +(% style="color:#000000" %)FromInternetAllowTCP 636
138 138  )))
139 139  
140 140  
... ... @@ -146,14 +146,6 @@
146 146  )))
147 147  
148 148  
149 -(% style="color:#000000" %)Damit die Freigabe des Samba4-LDAP funktioniert, ist es außerdem noch wichtig, die Portfreigabe (TCP-Port 636) am vorgeschalteten Router nicht zu vergessen:
134 +(% style="color:#000000" %)Damit die Freigabe des OpenLDAP funktioniert ist es wichtig die Portfreigabe (Port 636) im Router nichtzu vergessen:
150 150  
151 -(% style="color:#000000" %)[[image:Port_Router.png]]
152 -
153 -
154 -(% class="box successmessage" %)
155 -(((
156 -(% style="color:#000000" %)**__Hinweise:__**(%%)
157 -(% style="color:#000000" %)- Bei der IP-Adresse 192.168.1.254 in der Abbildung handelt es sich um die Schnittstelle p_extern des LogoDIDACT Servers(%%)
158 -- (% style="color:#000000" %)Neben dem Port 636 (LDAP-Freigabe als Thema dieses Artikels) werden hier außerdem noch die Ports 80+443 zur Freischaltung von Webdiensten durch den Router weitergeleitet
159 -)))
136 +(% style="color:#000000" %)[[image:1597240262579-305.png]]
Port_Router.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.aku@sbede
Größe
... ... @@ -1,1 +1,0 @@
1 -21.5 KB
Inhalt