Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/23 10:48
Von Version 5.1
bearbeitet von aku@sbede
am 2022/05/16 15:00
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 15.1
bearbeitet von jonasmayer@sbede
am 2022/05/23 09:57
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Titel
... ... @@ -1,1 +1,1 @@
1 -OpenLDAP direkt im Internet freigeben (ohne Stream im rev-proxy)
1 +Samba4 Verzeichnisdienst direkt im Internet freigeben (ohne Stream via rev-proxy)
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.aku@sbede
1 +XWiki.jonasmayer@sbede
Inhalt
... ... @@ -1,17 +1,31 @@
1 -(% style="color:#000000" %)Wenn Sie den OpenLDAP direkt und nicht über den rev-proxy im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
1 +(% class="box warningmessage" %)
2 +(((
3 +(% style="font-size:16px" %)__**Wichtig**__(%%)
4 +Diese Art der Verzeichnisdienst-Freigabe wird von SBE nicht empfohlen, da hier die Freischaltung ohne zertifikatsgesicherte Transportverschlüsselung erfolgt.
5 +Wir empfehlen Ihnen stattdessen, dieser [[Anleitung >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen, um den LDAP-Dienst auf sichere Art mit Lets' Encrypt SSL-Zertifikaten freizugeben!
6 +)))
2 2  
3 3  
4 -=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ===
9 +----
5 5  
6 6  
7 -(% style="color:#000000" %)Öffnen Sie die die Datei /etc/nano/shorewall/rules mit einem Editor Ihrer Wahl und fügen Sie(%%) am Anfang folgende Zeile hinzu
12 +(% style="color:#000000" %)Wenn Sie den Verzeichnisdienst des Samba4-Containers direkt (und nicht über einen Tunnel via rev-proxy / nginx) im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
8 8  
14 +{{toc start="4" numbered="true"/}}
15 +
16 +
17 +==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ====
18 +
19 +
20 +(% style="color:#000000" %)Öffnen Sie die die Datei {{box}}/etc/nano/shorewall/rules{{/box}} mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
21 +Da der Port 636  intern schon vergeben ist wird mit diesem Eintrag der Port intern auf einen anderen Port umgemappt.
22 +
9 9  (% class="box" %)
10 10  (((
11 11  (% style="color:#000000" %)##DNAT ext dmz:172.28.29.2:1636 tcp 636##
12 12  )))
13 13  
14 -(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu
28 +(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu:
15 15  
16 16  (% class="box" %)
17 17  (((
... ... @@ -19,11 +19,11 @@
19 19  )))
20 20  
21 21  
22 -=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ===
36 +==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ====
23 23  
24 24  
25 -(% style="color:#000000" %)Erstellem Sie die Datei /usr/sbin/ldfirewall.custom mit einem Editor Ihrer Wahl.
26 -Sollte die Datei schin exitieren öffnen Sie sie.
39 +(% style="color:#000000" %)Erstellen Sie die Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} mit einem Editor Ihrer Wahl.
40 +Sollte die Datei schon mit anderweitigen Regeln existieren, bearbeiten Sie stattdessen den Inhalt in geeigneter Form.
27 27  
28 28  (% class="box" %)
29 29  (((
... ... @@ -31,7 +31,8 @@
31 31  )))
32 32  
33 33  
34 -(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu:
48 +(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu.
49 +Wie Sie dem Abschnitt unter// ipaddr// sehen können wird, hier der Port auf 636 zurückgemappt:
35 35  
36 36  (% class="box" %)
37 37  (((
... ... @@ -85,25 +85,25 @@
85 85  
86 86  (% class="box" %)
87 87  (((
88 -(% style="color:#000000" %)##SOURCEIP=" 87.130.28.26"                      ##(% style="color:#e74c3c" %)## <- SBE IP, da wird eine zusätzliche gewhitelistet, die öffentliche ip der moodle Instanz##(%%)
89 -(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2                 ##(% style="color:#e74c3c" %)##<- (ifconfig in logosrv und Eintrag "DMZ" anschauen##(%%)##
90 -(% style="color:#000000" %)IP_SAMBA4_SERVERNET=172.28.28.30   (% style="color:#e74c3c" %) <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen(%%)##
103 +(% style="color:#000000" %)##SOURCEIP="87.130.28.26"               ##(% style="color:#e74c3c" %)## <- Öffentliche IP(s), von denen aus Verbindungen erlaubt werden. In der Regel handelt es sich um IPv4-Adressen von Webservern, z.B. ein extern gehostete Moodle-Instanz##(%%)
104 +(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2            ##(% style="color:#e74c3c" %)##<- ifconfig im logosrv und IP-Adresse der Schnittstelle "dmz" anschauen##(%%)
105 +(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30   ##(% style="color:#e74c3c" %)## <- ifconfig iSamba4-ad Container und IP-Adresse der Schnittstelle "servernet" anschauen##
91 91  )))
92 92  
93 93  
94 -(% style="color:#000000" %)Danach müssen Sie die Datei als Skript für den Cronjob ausführbar gemacht werden und auch e ausfürhbar machen Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden
109 +(% style="color:#000000" %)Danach müssen Sie das Skript ausführbar machen, damit sie im Zuge eines Firewall-Restarts automatisch verarbeitet wird:
95 95  
96 96  (% class="box" %)
97 97  (((
98 -(% style="color:#000000" %)##chmod +x ldfirewall.custom##
113 +(% style="color:#000000" %)##chmod +x /usr/sbin/ldfirewall.custom##
99 99  )))
100 100  
101 101  
102 -(% style="color:#000000" %)Führen Sie nun das Skript einmal aus
117 +(% style="color:#000000" %)Führen Sie nun das Skript einmal aus und stellen Sie sicher, dass keine Fehlermeldungen an der Konsole ausgegeben werden (Syntaxkontrolle):
103 103  
104 104  (% class="box" %)
105 105  (((
106 -(% style="color:#000000" %)##bash ldfirewall.custom##
121 +(% style="color:#000000" %)##bash /usr/sbin/ldfirewall.custom##
107 107  )))
108 108  
109 109  
... ... @@ -115,11 +115,11 @@
115 115  )))
116 116  
117 117  
118 -(% style="color:#000000" %)Hier fügen Sie nun den Port 636 im Abschnitt //FromInternetAllowTCP// hinzu
133 +(% style="color:#000000" %)Hier fügen Sie nun den Port 1636 im Abschnitt //FromInternetAllowTCP// hinzu
119 119  
120 120  (% class="box" %)
121 121  (((
122 -(% style="color:#000000" %)FromInternetAllowTCP 636
137 +(% style="color:#000000" %)##FromInternetAllowTCP 1636##
123 123  )))
124 124  
125 125  
... ... @@ -131,6 +131,14 @@
131 131  )))
132 132  
133 133  
134 -(% style="color:#000000" %)Damit die Freigabe des OpenLDAP funktioniert ist es wichtig die Portfreigabe (Port 636) im Router nichtzu vergessen:
149 +(% style="color:#000000" %)Damit die Freigabe des Samba4-LDAP funktioniert, ist es außerdem noch wichtig, die Portfreigabe (TCP-Port 636) am vorgeschalteten Router nicht zu vergessen:
135 135  
136 -(% style="color:#000000" %)[[image:1597240262579-305.png]]
151 +(% style="color:#000000" %)[[image:Port_Router.png]]
152 +
153 +
154 +(% class="box successmessage" %)
155 +(((
156 +(% style="color:#000000" %)**__Hinweise:__**(%%)
157 +(% style="color:#000000" %)- Bei der IP-Adresse 192.168.1.254 in der Abbildung handelt es sich um die Schnittstelle p_extern des LogoDIDACT Servers(%%)
158 +- (% style="color:#000000" %)Neben dem Port 636 (LDAP-Freigabe als Thema dieses Artikels) werden hier außerdem noch die Ports 80+443 zur Freischaltung von Webdiensten durch den Router weitergeleitet
159 +)))
Port_Router.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.aku@sbede
Größe
... ... @@ -1,0 +1,1 @@
1 +21.5 KB
Inhalt