Änderungen von Dokument Samba4 Verzeichnisdienst direkt im Internet freigeben (ohne Stream via rev-proxy)
Zuletzt geändert von Jonas Mayer am 2022/05/23 10:48
Zusammenfassung
-
Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)
-
Anhänge (0 geändert, 1 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Titel
-
... ... @@ -1,1 +1,1 @@ 1 - LDAPextern freigeben1 +samba4 direkt im Internet freigeben (ohne Stream im rev-proxy) - Dokument-Autor
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki.m ichaelecer@sbede1 +XWiki.jonasmayer@sbede - Inhalt
-
... ... @@ -1,11 +1,29 @@ 1 -(% style="color:#2980b9" %)ldhost 1 +(% style="color:#e74c3c; font-size:18px" %)**__Wichtig__**(%%) 2 +(% style="color:#e74c3c; font-size:16px" %)**Diese Art der Verzeichnisdienst-Freigabe wird von SBE nicht empfohlen, da hier die Freischaltung ohne zertifikatsgesicherte Transportverschlüsselung erfolgt. 3 +Wir empfehlen Ihnen stattdessen, dieser **(% style="font-size:16px" %)**[[(% style="font-size: 16px; color: rgb(41, 128, 185); font-size: 16px" %)Anleitung>>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]](%%)**(% style="color:#e74c3c; font-size:16px" %)**[[ >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen, um den LDAP-Dienst auf sichere Art mit Lets' Encrypt SSL-Zertifikaten freizugeben!** 2 2 5 + 6 +---- 7 + 8 + 9 +(% style="color:#000000" %)Wenn Sie den Verzeichnisdienst des Samba4-Containers direkt (und nicht über einen Tunnel via rev-proxy / nginx) im Internet freigeben wollen, folgen Sie bitte dieser Anleitung. 10 + 11 +{{toc start="4" numbered="true"/}} 12 + 13 + 14 +==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ==== 15 + 16 + 17 +(% style="color:#000000" %)Öffnen Sie die die Datei {{box}}/etc/nano/shorewall/rules{{/box}} mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu. 18 +Da der Port 636 intern schon vergeben ist wird mit diesem Eintrag der Port intern auf einen anderen Port umgemappt. 19 + 3 3 (% class="box" %) 4 4 ((( 5 -(% style="color:#000000" %)##nano /etc/shorewall/rules 6 -DNAT ext dmz:172.28.29.2:1636 tcp 636## 22 +(% style="color:#000000" %)##DNAT ext dmz:172.28.29.2:1636 tcp 636## 7 7 ))) 8 8 25 +(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu: 26 + 9 9 (% class="box" %) 10 10 ((( 11 11 (% style="color:#000000" %)##shorewall restart## ... ... @@ -12,15 +12,21 @@ 12 12 ))) 13 13 14 14 15 -(% style="color:#2980b9" %)logosrv 33 +==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ==== 16 16 35 + 36 +(% style="color:#000000" %)Erstellen Sie die Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} mit einem Editor Ihrer Wahl. 37 +Sollte die Datei schon mit anderweitigen Regeln existieren, bearbeiten Sie stattdessen den Inhalt in geeigneter Form. 38 + 17 17 (% class="box" %) 18 18 ((( 19 19 (% style="color:#000000" %)##nano /usr/sbin/ldfirewall.custom## 20 20 ))) 21 21 22 -(% style="color:#000000" %)folgenden Text pasten und bearbeiten: 23 23 45 +(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu. 46 +Wie Sie dem Abschnitt unter// ipaddr// sehen können wird, hier der Port auf 636 zurückgemappt: 47 + 24 24 (% class="box" %) 25 25 ((( 26 26 (% style="color:#000000" %)###!/bin/bash ... ... @@ -48,10 +48,10 @@ 48 48 # ~-~-~-~-~-~-- 49 49 # - BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2 50 50 # - Webuntis Server in Österreich IP: 213.208.138.146 51 - SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26" 75 + ##(% style="color:#e74c3c" %)## SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26" 52 52 IP_LOGOSRV_DMZ=172.28.29.2 53 - IP_SAMBA4_SERVERNET=172.28.28.30 54 -\\ for ipaddr in $SOURCEIP 77 + IP_SAMBA4_SERVERNET=172.28.28.30##(%%) 78 +\\(% style="color:#000000" %)## for ipaddr in $SOURCEIP 55 55 do 56 56 echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... " 57 57 $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636 ... ... @@ -68,36 +68,65 @@ 68 68 esac## 69 69 ))) 70 70 71 -(% style="color:#000000" %)folgendes muss hier angepasst werden: 72 72 96 +(% style="color:#000000" %)Hier müssen nun folgende Werte angepasst werden: 97 + 73 73 (% class="box" %) 74 74 ((( 75 -(% style="color:#000000" %)##SOURCEIP=" SBEIP,dawirdinezusätzlichegewhitelistet,dieöffentliche ipdermoodle76 -IP_LOGOSRV_DMZ=172.28.29.2 (ifconfig inlogosrv undEintrag"DMZ" anschauen77 -IP_SAMBA4_SERVERNET=172.28.28.30 nSambacontainer undEintrag"servernet" anschauen##100 +(% style="color:#000000" %)##SOURCEIP="87.130.28.26" ##(% style="color:#e74c3c" %)### <- Öffentliche IP(s), von denen aus Verbindungen erlaubt werden. In der Regel handelt es sich um IPv4-Adressen von Webservern, z.B. ein extern gehostete Moodle-Instanz##(%%) 101 +(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2 ##(% style="color:#e74c3c" %)### <- ifconfig im logosrv und IP-Adresse der Schnittstelle "dmz" anschauen##(%%) 102 +(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30 ##(% style="color:#e74c3c" %)## # <- ifconfig im Samba4-ad Container und IP-Adresse der Schnittstelle "servernet" anschauen## 78 78 ))) 79 79 80 -(% style="color:#000000" %)Das Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden 81 81 106 +(% style="color:#000000" %)Danach müssen Sie das Skript ausführbar machen, damit sie im Zuge eines Firewall-Restarts automatisch verarbeitet wird: 107 + 82 82 (% class="box" %) 83 83 ((( 84 -(% style="color:#000000" %)##chmod +x ldfirewall.custom 85 -bash ldfirewall.custom## 110 +(% style="color:#000000" %)##chmod +x /usr/sbin/ldfirewall.custom## 86 86 ))) 87 87 113 + 114 +(% style="color:#000000" %)Führen Sie nun das Skript einmal aus und stellen Sie sicher, dass keine Fehlermeldungen an der Konsole ausgegeben werden (Syntaxkontrolle): 115 + 88 88 (% class="box" %) 89 89 ((( 118 +(% style="color:#000000" %)##bash /usr/sbin/ldfirewall.custom## 119 +))) 120 + 121 + 122 +(% style="color:#000000" %)Im nächsten Schritt öffnen Sie mit einem Editor Ihrer Wahl die //internet.conf// 123 + 124 +(% class="box" %) 125 +((( 90 90 (% style="color:#000000" %)##nano /etc/logodidact/internet.conf## 91 91 ))) 92 92 93 -(% style="color:#000000" %)FromInternetAllowTCP 636 als Port freigeben in der Internet.conf 94 94 130 +(% style="color:#000000" %)Hier fügen Sie nun den Port 1636 im Abschnitt //FromInternetAllowTCP// hinzu 131 + 95 95 (% class="box" %) 96 96 ((( 134 +(% style="color:#000000" %)FromInternetAllowTCP 1636 135 +))) 136 + 137 + 138 +(% style="color:#000000" %)Im Anschluß daran starten Sie die Firewall neu 139 + 140 +(% class="box" %) 141 +((( 97 97 (% style="color:#000000" %)##ldfirewall restart## 98 98 ))) 99 99 100 -(% style="color:#000000" %)Portfreischalten auf dem Router nicht vergessen! 101 101 102 -(% style="color:#000000" %) [[image:1597240262579-305.png]]146 +(% style="color:#000000" %)Damit die Freigabe des Samba4-LDAP funktioniert, ist es außerdem noch wichtig, die Portfreigabe (TCP-Port 636) am vorgeschalteten Router nicht zu vergessen: 103 103 148 +(% style="color:#000000" %)[[image:Port_Router.png]] 149 + 150 + 151 +(% class="box successmessage" %) 152 +((( 153 +(% style="color:#000000" %)**__Hinweise:__**(%%) 154 +(% style="color:#000000" %)- Bei der IP-Adresse 192.168.1.254 in der Abbildung handelt es sich um die Schnittstelle p_extern des LogoDIDACT Servers(%%) 155 +- (% style="color:#000000" %)Neben dem Port 636 (LDAP-Freigabe als Thema dieses Artikels) werden hier außerdem noch die Ports 80+443 zur Freischaltung von Webdiensten durch den Router weitergeleitet 156 +)))
- Port_Router.png
-
- Author
-
... ... @@ -1,0 +1,1 @@ 1 +XWiki.aku@sbede - Größe
-
... ... @@ -1,0 +1,1 @@ 1 +21.5 KB - Inhalt