Änderungen von Dokument Samba4 Verzeichnisdienst direkt im Internet freigeben (ohne Stream via rev-proxy)

Zuletzt geändert von Jonas Mayer am 2022/05/23 10:48

Von 6.1 nach 7.1 Von 11.1 nach 12.1

Von Version 7.1

bearbeitet von aku@sbede
am 2022/05/17 14:23

Änderungskommentar: Neuen Anhang Port_Router.png hochladen

Auf Version 11.1

bearbeitet von jonasmayer@sbede
am 2022/05/19 19:19

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (2 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Dokument-Autor

@@ -1,1 +1,1 @@
--XWiki.aku@sbede
++XWiki.jonasmayer@sbede

Inhalt

@@ -1,20 +1,28 @@
--(% style="color: rgb(231, 76, 60); font-size: 18px" %)**Wichtig, diese Art der samba Freigabe wird von SBE nicht empfohlen, da hier die Freigabe unverschlüsselt erfolgt. Wir empfehlen Ihnen dieser **(% style="font-size:18px" %)**[[(% style="font-size: 18px; color: rgb(41, 128, 185)" %)Anleitung>>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]](%%)**(% style="color: rgb(231, 76, 60); font-size: 18px" %)**[[ >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen!**
++(% style="color:#e74c3c; font-size:18px" %)**__Wichtig__**(%%)
++(% style="color:#e74c3c; font-size:16px" %)**Diese Art der Verzeichnisdienst-Freigabe wird von SBE nicht empfohlen, da hier die Freischaltung ohne zertifikatsgesicherte Transportverschlüsselung erfolgt.
++Wir empfehlen Ihnen stattdessen, dieser **(% style="font-size:16px" %)**[[(% style="font-size: 16px; color: rgb(41, 128, 185); font-size: 16px" %)Anleitung>>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]](%%)**(% style="color:#e74c3c; font-size:16px" %)**[[ >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen, um den LDAP-Dienst auf sichere Art mit Lets' Encrypt SSL-Zertifikaten freizugeben!**
--(% style="color:#000000" %)Wenn Sie den OpenLDAP direkt und nicht über den rev-proxy im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
++----
--=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ===
++(% style="color:#000000" %)Wenn Sie den Verzeichnisdienst des Samba4-Containers direkt (und nicht über einen Tunnel via rev-proxy / nginx) im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
++{{toc start="4" numbered="true"/}}
--(% style="color:#000000" %)Öffnen Sie die die Datei /etc/nano/shorewall/rules mit einem Editor Ihrer Wahl und fügen Sie(%%) am Anfang folgende Zeile hinzu
++==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ====
++
++
++(% style="color:#000000" %)Öffnen Sie die die Datei {{box}}/etc/nano/shorewall/rules{{/box}} mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
++Da der Port 636  intern schon vergeben ist wird mit diesem Eintrag der Port intern auf einen anderen Port umgemappt.
++
  (% class="box" %)
  (((
  (% style="color:#000000" %)##DNAT        ext        dmz:172.28.29.2:1636   tcp        636##
  )))
--(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu
++(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu:
  (% class="box" %)
  (((
@@ -22,11 +22,11 @@
  )))
--=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ===
++==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ====
--(% style="color:#000000" %)Erstellem Sie die Datei /usr/sbin/ldfirewall.custom mit einem Editor Ihrer Wahl.
--Sollte die Datei schin exitieren öffnen Sie sie.
++(% style="color:#000000" %)Erstellen Sie die Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} mit einem Editor Ihrer Wahl.
++Sollte die Datei schon mit anderweitigen Regeln existieren, bearbeiten Sie stattdessen den Inhalt in geeigneter Form.
  (% class="box" %)
  (((
@@ -34,7 +34,8 @@
  )))
--(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu:
++(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu.
++Wie Sie dem Abschnitt unter// ipaddr// sehen können wird, hier der Port auf 636 zurückgemappt:
  (% class="box" %)
  (((
@@ -88,25 +88,25 @@
  (% class="box" %)
  (((
--(% style="color:#000000" %)##SOURCEIP=" 87.130.28.26"                      ##(% style="color:#e74c3c" %)##   <- SBE IP, da wird eine zusätzliche gewhitelistet, die öffentliche ip der moodle Instanz##(%%)
--(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2                 ##(% style="color:#e74c3c" %)##<- (ifconfig in logosrv und Eintrag "DMZ" anschauen##(%%)
--(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30   ##(% style="color:#e74c3c" %)## <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen##
++(% style="color:#000000" %)##SOURCEIP="87.130.28.26"               ##(% style="color:#e74c3c" %)###  <- Öffentliche IP(s), von denen aus Verbindungen erlaubt werden. In der Regel handelt es sich um IPv4-Adressen von Webservern, z.B. ein extern gehostete Moodle-Instanz##(%%)
++(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2            ##(% style="color:#e74c3c" %)###  <- ifconfig im logosrv und IP-Adresse der Schnittstelle "dmz" anschauen##(%%)
++(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30   ##(% style="color:#e74c3c" %)##   #  <- ifconfig im Samba4-ad Container und IP-Adresse der Schnittstelle "servernet" anschauen##
  )))
--(% style="color:#000000" %)Danach müssen Sie die Datei als Skript für den Cronjob ausführbar gemacht werden und auch e ausfürhbar machen Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden
++(% style="color:#000000" %)Danach müssen Sie das Skript ausführbar machen, damit sie im Zuge eines Firewall-Restarts automatisch verarbeitet wird:
  (% class="box" %)
  (((
--(% style="color:#000000" %)##chmod +x ldfirewall.custom##
++(% style="color:#000000" %)##chmod +x /usr/sbin/ldfirewall.custom##
  )))
--(% style="color:#000000" %)Führen Sie nun das Skript einmal aus
++(% style="color:#000000" %)Führen Sie nun das Skript einmal aus und stellen Sie sicher, dass keine Fehlermeldungen an der Konsole ausgegeben werden (Syntaxkontrolle):
  (% class="box" %)
  (((
--(% style="color:#000000" %)##bash ldfirewall.custom##
++(% style="color:#000000" %)##bash /usr/sbin/ldfirewall.custom##
  )))
@@ -118,11 +118,11 @@
  )))
--(% style="color:#000000" %)Hier fügen Sie nun den Port 636 im Abschnitt //FromInternetAllowTCP// hinzu
++(% style="color:#000000" %)Hier fügen Sie nun den Port 1636 im Abschnitt //FromInternetAllowTCP// hinzu
  (% class="box" %)
  (((
--(% style="color:#000000" %)FromInternetAllowTCP 636
++(% style="color:#000000" %)FromInternetAllowTCP 1636
  )))
@@ -134,6 +134,14 @@
  )))
--(% style="color:#000000" %)Damit die Freigabe des OpenLDAP funktioniert ist es wichtig die Portfreigabe (Port 636) im Router nichtzu vergessen:
++(% style="color:#000000" %)Damit die Freigabe des Samba4-LDAP funktioniert, ist es außerdem noch wichtig, die Portfreigabe (TCP-Port 636) am vorgeschalteten Router nicht zu vergessen:
--(% style="color:#000000" %)[[image:1597240262579-305.png]]
++(% style="color:#000000" %)[[image:Port_Router.png]]
++
++
++(% class="box successmessage" %)
++(((
++(% style="color:#000000" %)**__Hinweise:__**(%%)
++(% style="color:#000000" %)- Bei der IP-Adresse 192.168.1.254 in der Abbildung handelt es sich um die Schnittstelle p_extern des LogoDIDACT Servers(%%)
++- (% style="color:#000000" %)Neben dem Port 636 (LDAP-Freigabe als Thema dieses Artikels) werden hier außerdem noch die Ports 80+443 zur Freischaltung von Webdiensten durch den Router weitergeleitet
++)))