Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/23 10:48
Von Version 19.1
bearbeitet von jonasmayer@sbede
am 2022/05/23 10:36
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 5.1
bearbeitet von aku@sbede
am 2022/05/16 15:00
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Titel
... ... @@ -1,1 +1,1 @@
1 -Samba4 Verzeichnisdienst direkt im Internet freigeben (ohne Stream via rev-proxy)
1 +OpenLDAP direkt im Internet freigeben (ohne Stream im rev-proxy)
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.jonasmayer@sbede
1 +XWiki.aku@sbede
Inhalt
... ... @@ -1,32 +1,17 @@
1 -(% class="box warningmessage" %)
2 -(((
3 -(% style="font-size:16px" %)__**Wichtig**__(%%)
4 -Diese Art der Verzeichnisdienst-Freigabe wird von SBE nicht empfohlen, da hier die Freischaltung ohne zertifikatsgesicherte Transportverschlüsselung erfolgt.
5 -Wir empfehlen Ihnen stattdessen, dieser [[Anleitung >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen, um den LDAP-Dienst auf sichere Art mit Lets' Encrypt SSL-Zertifikaten freizugeben!
6 -)))
1 +(% style="color:#000000" %)Wenn Sie den OpenLDAP direkt und nicht über den rev-proxy im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
7 7  
8 8  
9 -----
4 +=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ===
10 10  
11 11  
12 -(% style="color:#000000" %)Wenn Sie den Verzeichnisdienst des Samba4-Containers direkt (d.h. nicht über einen Tunnel via (% style="color:#2980b9" %)**rev-proxy**(% style="color:#000000" %) / (% style="color:#27ae60" %)**nginx**(% style="color:#000000" %)) im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
7 +(% style="color:#000000" %)Öffnen Sie die die Datei /etc/nano/shorewall/rules mit einem Editor Ihrer Wahl und fügen Sie(%%) am Anfang folgende Zeile hinzu
13 13  
14 -{{toc start="4" numbered="true"/}}
15 -
16 -
17 -==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ====
18 -
19 -
20 -(% style="color:#000000" %)Öffnen Sie die die Datei {{box}}/etc/nano/shorewall/rules{{/box}} mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
21 -Da der LDAPS Port 636  schon durch den OpenLDAP-Dienst belegt ist, wird mit nachfolgendem Shorewall-Eintrag der Port serverintern zunächst auf einen anderen Port umgemappt.
22 -
23 23  (% class="box" %)
24 24  (((
25 -(% style="color:#16a085" %)### TCP-Port 636 vom Internet-Router entgegennehmen und auf benutzerdefiniertem Port 1636 zum LXC-Container logosrv weiterleiten##(%%)
26 26  (% style="color:#000000" %)##DNAT ext dmz:172.28.29.2:1636 tcp 636##
27 27  )))
28 28  
29 -(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu:
14 +(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu
30 30  
31 31  (% class="box" %)
32 32  (((
... ... @@ -34,10 +34,11 @@
34 34  )))
35 35  
36 36  
37 -==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ====
22 +=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ===
38 38  
39 39  
40 -(% style="color:#000000" %)Erstellen Sie die Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} mit einem Editor Ihrer Wahl.
25 +(% style="color:#000000" %)Erstellem Sie die Datei /usr/sbin/ldfirewall.custom mit einem Editor Ihrer Wahl.
26 +Sollte die Datei schin exitieren öffnen Sie sie.
41 41  
42 42  (% class="box" %)
43 43  (((
... ... @@ -45,14 +45,8 @@
45 45  )))
46 46  
47 47  
48 -(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei.
34 +(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu:
49 49  
50 -(% class="box infomessage" %)
51 -(((
52 -(% style="color:#000000; font-size:12px" %)**Hinweis:** Sollte die Datei schon mit anderweitigen Regeln existieren, bearbeiten Sie stattdessen den Inhalt in geeigneter Form und fügen Sie die relevanten Regeln darin ein. Es handelt sich um die rot & orange markierten Zeilen.
53 -)))
54 -
55 -
56 56  (% class="box" %)
57 57  (((
58 58  (% style="color:#000000" %)###!/bin/bash
... ... @@ -66,88 +66,91 @@
66 66  }
67 67  run()
68 68  {
69 - if [ "$VERBOSE" = "yes" ]; then
70 - echo "$@"
71 - fi
72 - if [ "$DRYRUN" = "no" ]; then
73 - "$@"
74 - fi
49 + if [ "$VERBOSE" = "yes" ]; then
50 + echo "$@"
51 + fi
52 + if [ "$DRYRUN" = "no" ]; then
53 + "$@"
54 + fi
75 75  }
76 76  \\case "$1" in
77 - start|restart)##(%%)
78 -(% style="color:#16a085" %)## # Zugelassene externe IP-Adressen (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
79 - # ~-~-~-~-~-~--
80 - # Beispiele:
81 - # * BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
82 - # * Webuntis Server in Österreich IP: 213.208.138.146##(%%)
83 -(% style="color:#e74c3c" %)## SOURCEIP="129.143.69.1 129.143.232.18 129.143.255.2 213.208.138.146"
84 - IP_LOGOSRV_DMZ=172.28.29.2
85 - IP_SAMBA4_SERVERNET=172.28.28.30##(%%)
86 -\\(% style="color:#e67e22" %)## for ipaddr in $SOURCEIP
87 - do
88 - echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
89 - $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636
90 - $ipt -t mangle -I mf_internet_cp -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed
91 - echo "OK"
92 - done##(%%)
93 -(% style="color:#000000" %)## ;;
57 + start|restart)
58 + # Zugelassene externe IP-Adressen
59 + # (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
60 + # ~-~-~-~-~-~--
61 + # - BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
62 + # - Webuntis Server in Österreich IP: 213.208.138.146
63 + ##(% style="color:#e74c3c" %)## SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26"
64 + IP_LOGOSRV_DMZ=172.28.29.2
65 + IP_SAMBA4_SERVERNET=172.28.28.30##(%%)
66 +\\(% style="color:#000000" %)## for ipaddr in $SOURCEIP
67 + do
68 + echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
69 + $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636
70 + $ipt -t mangle -I mark_from_internet_check_ports -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed
71 + echo "OK"
72 + done
73 + ;;
94 94   stop)
95 95   ;;
96 96   *)
97 - echo "Benutzung: $0 {start|restart}"
98 - exit 1
77 + echo "Benutzung: $0 {start|restart}"
78 + exit 1
99 99   ;;
100 100  esac##
101 101  )))
102 102  
103 -(% style="color:#000000; font-size:12px" %)**Info:** Durch die letzte iptables-Regel wird der temporär verwendete, benutzerdefinierte TCP-Port 1636 serverintern wieder auf Port 636 zurückgemappt, bevor die Verbindung zum LXC-Container samba4-ad weitergeleitet wird. An diesen Port ist der Samba4 Verzeichnisdienst gebunden.
104 104  
84 +(% style="color:#000000" %)Hier müssen nun folgende Werte angepasst werden:
105 105  
106 -(% style="color:#000000" %)In der Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} müssen nun folgende Werte an die eigene Umgebung angepasst werden:
107 -
108 108  (% class="box" %)
109 109  (((
110 -(% style="color:#e74c3c" %)##SOURCEIP="87.130.28.26"##(% style="color:#16a085" %)##               <- Öffentliche IP(s), von denen aus Verbindungen erlaubt werden. In der Regel handelt es sich um IPv4-Adressen von Webservern, z.B. eine extern gehostete Moodle-Instanz##(%%)
111 -(% style="color:#e74c3c" %)##IP_LOGOSRV_DMZ=172.28.29.2##(% style="color:#16a085" %)##            #  <- ifconfig im logosrv aufrufen, dort die IP-Adresse der Schnittstelle "dmz" anschauen und hier in der Variable eintragen##(%%)
112 -(% style="color:#e74c3c" %)##IP_SAMBA4_SERVERNET=172.28.28.30##(% style="color:#16a085" %)##   <- ifconfig im samba4-ad Container aufrufen, dort die IP-Adresse der Schnittstelle "servernet" anschauen und hier in der Variable eintragen##
88 +(% style="color:#000000" %)##SOURCEIP=" 87.130.28.26"                      ##(% style="color:#e74c3c" %)## <- SBE IP, da wird eine zutzliche gewhitelistet, die öffentliche ip der moodle Instanz##(%%)
89 +(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2                 ##(% style="color:#e74c3c" %)##<- (ifconfig in logosrv und Eintrag "DMZ" anschauen##(%%)##
90 +(% style="color:#000000" %)IP_SAMBA4_SERVERNET=172.28.28.30   (% style="color:#e74c3c" %) <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen(%%)##
113 113  )))
114 114  
115 115  
116 -(% style="color:#000000" %)Danach müssen Sie das Skript noch ausführbar machen, damit sie im Zuge eines Firewall-Restarts automatisch verarbeitet wird:
94 +(% style="color:#000000" %)Danach müssen Sie die Datei als Skript für den Cronjob ausführbar gemacht werden und auch e ausfürhbar machen Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden
117 117  
118 118  (% class="box" %)
119 119  (((
120 -(% style="color:#000000" %)##chmod +x /usr/sbin/ldfirewall.custom##
98 +(% style="color:#000000" %)##chmod +x ldfirewall.custom##
121 121  )))
122 122  
123 123  
124 -(% style="color:#000000" %)Führen Sie nun das Skript einmal im Vordergrund aus und stellen Sie sicher, dass keine Fehlermeldungen an der Konsole ausgegeben werden (Syntaxkontrolle):
102 +(% style="color:#000000" %)Führen Sie nun das Skript einmal aus
125 125  
126 126  (% class="box" %)
127 127  (((
128 -(% style="color:#000000" %)##bash /usr/sbin/ldfirewall.custom restart##
106 +(% style="color:#000000" %)##bash ldfirewall.custom##
129 129  )))
130 130  
131 131  
132 -(% style="color:#000000" %)Im Anschluß daran starten Sie die Firewall komplett neu, um die Regeln zu laden:
110 +(% style="color:#000000" %)Im nächsten Schritt öffnen Sie mit einem Editor Ihrer Wahl die //internet.conf//
133 133  
134 134  (% class="box" %)
135 135  (((
136 -(% style="color:#000000" %)##ldfirewall restart##
114 +(% style="color:#000000" %)##nano /etc/logodidact/internet.conf##
137 137  )))
138 138  
139 139  
140 -==== (% style="color:#000000" %)Schritte am vorgeschalteten Router für den Internetzugriff(%%) ====
118 +(% style="color:#000000" %)Hiergen Sie nun den Port 636 im Abschnitt //FromInternetAllowTCP// hinzu
141 141  
120 +(% class="box" %)
121 +(((
122 +(% style="color:#000000" %)FromInternetAllowTCP 636
123 +)))
142 142  
143 -(% style="color:#000000" %)Damit die Freigabe des Samba4-LDAP im Internet funktioniert, ist es außerdem noch wichtig, die Portfreigabe (TCP-Port 636) am vorgeschalteten Router zum LogoDIDACT Server hinzuzufügen:
144 144  
145 -[[image:1653294111427-417.png||class="img-thumbnail"]]
126 +(% style="color:#000000" %)Im Anschluß daran starten Sie die Firewall neu
146 146  
147 -
148 -(% class="box successmessage" %)
128 +(% class="box" %)
149 149  (((
150 -(% style="color:#000000" %)**__Hinweise:__**(%%)
151 -(% style="color:#000000" %)- Bei der IP-Adresse 192.168.1.254 in der Abbildung handelt es sich um die Schnittstelle p_extern des LogoDIDACT Servers(%%)
152 -- (% style="color:#000000" %)Neben dem Port 636 (LDAP-Freigabe wie im Artikel hier beschrieben) werden hier in der Abbildung außerdem noch die Ports 80+443 zur Freischaltung von LogoDIDACT Webdiensten durch den Router weitergeleitet
130 +(% style="color:#000000" %)##ldfirewall restart##
153 153  )))
132 +
133 +
134 +(% style="color:#000000" %)Damit die Freigabe des OpenLDAP funktioniert ist es wichtig die Portfreigabe (Port 636) im Router nichtzu vergessen:
135 +
136 +(% style="color:#000000" %)[[image:1597240262579-305.png]]
1653294111427-417.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.jonasmayer@sbede
Größe
... ... @@ -1,1 +1,0 @@
1 -27.9 KB
Inhalt
Port_Router.png
Author
... ... @@ -1,1 +1,0 @@
1 -XWiki.aku@sbede
Größe
... ... @@ -1,1 +1,0 @@
1 -21.5 KB
Inhalt