Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/23 10:48
Von Version 7.1
bearbeitet von aku@sbede
am 2022/05/17 14:23
Änderungskommentar: Neuen Anhang Port_Router.png hochladen
Auf Version 17.1
bearbeitet von jonasmayer@sbede
am 2022/05/23 10:21
Änderungskommentar: Neuen Anhang 1653294111427-417.png hochladen

Zusammenfassung

Details

Seiteneigenschaften
Titel
... ... @@ -1,1 +1,1 @@
1 -samba4 direkt im Internet freigeben (ohne Stream im rev-proxy)
1 +Samba4 Verzeichnisdienst direkt im Internet freigeben (ohne Stream via rev-proxy)
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.aku@sbede
1 +XWiki.jonasmayer@sbede
Inhalt
... ... @@ -1,20 +1,32 @@
1 -(% style="color: rgb(231, 76, 60); font-size: 18px" %)**Wichtig, diese Art der samba Freigabe wird von SBE nicht empfohlen, da hier die Freigabe unverschlüsselt erfolgt. Wir empfehlen Ihnen dieser **(% style="font-size:18px" %)**[[(% style="font-size: 18px; color: rgb(41, 128, 185)" %)Anleitung>>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]](%%)**(% style="color: rgb(231, 76, 60); font-size: 18px" %)**[[ >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen!**
1 +(% class="box warningmessage" %)
2 +(((
3 +(% style="font-size:16px" %)__**Wichtig**__(%%)
4 +Diese Art der Verzeichnisdienst-Freigabe wird von SBE nicht empfohlen, da hier die Freischaltung ohne zertifikatsgesicherte Transportverschlüsselung erfolgt.
5 +Wir empfehlen Ihnen stattdessen, dieser [[Anleitung >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen, um den LDAP-Dienst auf sichere Art mit Lets' Encrypt SSL-Zertifikaten freizugeben!
6 +)))
2 2  
3 3  
4 -(% style="color:#000000" %)Wenn Sie den OpenLDAP direkt und nicht über den rev-proxy im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
9 +----
5 5  
6 6  
7 -=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ===
12 +(% style="color:#000000" %)Wenn Sie den Verzeichnisdienst des Samba4-Containers direkt (d.h. nicht über einen Tunnel via (% style="color:#2980b9" %)**rev-proxy**(% style="color:#000000" %) / (% style="color:#27ae60" %)**nginx**(% style="color:#000000" %)) im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
8 8  
14 +{{toc start="4" numbered="true"/}}
9 9  
10 -(% style="color:#000000" %)Öffnen Sie die die Datei /etc/nano/shorewall/rules mit einem Editor Ihrer Wahl und fügen Sie(%%) am Anfang folgende Zeile hinzu
11 11  
17 +==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ====
18 +
19 +
20 +(% style="color:#000000" %)Öffnen Sie die die Datei {{box}}/etc/nano/shorewall/rules{{/box}} mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
21 +Da der LDAPS Port 636  schon durch den OpenLDAP-Dienst belegt ist, wird mit nachfolgendem Shorewall-Eintrag der Port serverintern zunächst auf einen anderen Port umgemappt.
22 +
12 12  (% class="box" %)
13 13  (((
14 -(% style="color:#000000" %)##DNAT ext dmz:172.28.29.2:1636 tcp 636##
25 +(% style="color:#16a085" %)### TCP-Port 636 vom Internet-Router entgegennehmen und auf benutzerdefiniertem Port 1636 zum LXC-Container logosrv weiterleiten##(%%)##
26 +(% style="color:#000000" %)DNAT ext dmz:172.28.29.2:1636 tcp 636(%%)##
15 15  )))
16 16  
17 -(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu
29 +(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu:
18 18  
19 19  (% class="box" %)
20 20  (((
... ... @@ -22,11 +22,10 @@
22 22  )))
23 23  
24 24  
25 -=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ===
37 +==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ====
26 26  
27 27  
28 -(% style="color:#000000" %)Erstellem Sie die Datei /usr/sbin/ldfirewall.custom mit einem Editor Ihrer Wahl.
29 -Sollte die Datei schin exitieren öffnen Sie sie.
40 +(% style="color:#000000" %)Erstellen Sie die Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} mit einem Editor Ihrer Wahl.
30 30  
31 31  (% class="box" %)
32 32  (((
... ... @@ -34,8 +34,14 @@
34 34  )))
35 35  
36 36  
37 -(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu:
48 +(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei.
38 38  
50 +(% class="box infomessage" %)
51 +(((
52 +(% style="font-size: 12px; color: rgb(0, 0, 0)" %)**Hinweis:** Sollte die Datei schon mit anderweitigen Regeln existieren, bearbeiten Sie stattdessen den Inhalt in geeigneter Form und fügen Sie die relevanten Regeln darin ein. Es handelt sich um die rot & orange markierten Zeilen.
53 +)))
54 +
55 +
39 39  (% class="box" %)
40 40  (((
41 41  (% style="color:#000000" %)###!/bin/bash
... ... @@ -57,23 +57,23 @@
57 57   fi
58 58  }
59 59  \\case "$1" in
60 - start|restart)
61 - # Zugelassene externe IP-Adressen
62 - # (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
77 + start|restart)##(%%)##
78 +(% style="color:#16a085" %) # Zugelassene externe IP-Adressen (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
63 63   # ~-~-~-~-~-~--
64 - # - BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
65 - # - Webuntis Server in Österreich IP: 213.208.138.146
66 - ##(% style="color:#e74c3c" %)## SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26"
80 + # Beispiele:
81 + # * BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
82 + # * Webuntis Server in Österreich IP: 213.208.138.146(%%)
83 +(% style="color:#e74c3c" %) SOURCEIP="129.143.69.1 129.143.232.18 129.143.255.2 213.208.138.146"
67 67   IP_LOGOSRV_DMZ=172.28.29.2
68 - IP_SAMBA4_SERVERNET=172.28.28.30##(%%)
69 -\\(% style="color:#000000" %)## for ipaddr in $SOURCEIP
85 + IP_SAMBA4_SERVERNET=172.28.28.30(%%)##
86 +\\(% style="color:#e67e22" %)## for ipaddr in $SOURCEIP
70 70   do
71 71   echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
72 72   $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636
73 - $ipt -t mangle -I mark_from_internet_check_ports -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed
90 + $ipt -t mangle -I mf_internet_cp -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed
74 74   echo "OK"
75 - done
76 - ;;
92 + done##(%%)##
93 +(% style="color:#000000" %) ;;
77 77   stop)
78 78   ;;
79 79   *)
... ... @@ -80,33 +80,35 @@
80 80   echo "Benutzung: $0 {start|restart}"
81 81   exit 1
82 82   ;;
83 -esac##
100 +esac(%%)##
84 84  )))
85 85  
103 +(% style="font-size: 12px; color: rgb(0, 0, 0)" %)**Info:** Durch die letzte iptables-Regel wird der temporär verwendete, benutzerdefinierte TCP-Port 1636 serverintern wieder auf Port 636 zurückgemappt, bevor die Verbindung zum LXC-Container samba4-ad weitergeleitet wird. An diesen Port ist der Samba4 Verzeichnisdienst gebunden.
86 86  
87 -(% style="color:#000000" %)Hier müssen nun folgende Werte angepasst werden:
88 88  
106 +(% style="color:#000000" %)In der Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} müssen nun folgende Werte an die eigene Umgebung angepasst werden:
107 +
89 89  (% class="box" %)
90 90  (((
91 -(% style="color:#000000" %)##SOURCEIP=" 87.130.28.26"                      ##(% style="color:#e74c3c" %)## <- SBE IP, da wird eine zutzliche gewhitelistet, die öffentliche ip der moodle Instanz##(%%)
92 -(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2                 ##(% style="color:#e74c3c" %)##<- (ifconfig in logosrv und Eintrag "DMZ" anschauen##(%%)
93 -(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30   ##(% style="color:#e74c3c" %)## <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen##
110 +(% style="color:#e74c3c" %)##SOURCEIP="87.130.28.26"##(% style="color:#16a085" %)##               <- Öffentliche IP(s), von denen aus Verbindungen erlaubt werden. In der Regel handelt es sich um IPv4-Adressen von Webservern, z.B. eine extern gehostete Moodle-Instanz##(%%)
111 +(% style="color:#e74c3c" %)##IP_LOGOSRV_DMZ=172.28.29.2##(% style="color:#16a085" %)##            #  <- ifconfig im logosrv aufrufen, dort die IP-Adresse der Schnittstelle "dmz" anschauen und hier in der Variable eintragen##(%%)
112 +(% style="color:#e74c3c" %)##IP_SAMBA4_SERVERNET=172.28.28.30##(% style="color:#16a085" %)##   <- ifconfig im samba4-ad Container aufrufen, dort die IP-Adresse der Schnittstelle "servernet" anschauen und hier in der Variable eintragen##
94 94  )))
95 95  
96 96  
97 -(% style="color:#000000" %)Danach müssen Sie die Datei als Skript für den Cronjob ausführbar gemacht werden und auch e ausfürhbar machen Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden
116 +(% style="color:#000000" %)Danach müssen Sie das Skript noch ausführbar machen, damit sie im Zuge eines Firewall-Restarts automatisch verarbeitet wird:
98 98  
99 99  (% class="box" %)
100 100  (((
101 -(% style="color:#000000" %)##chmod +x ldfirewall.custom##
120 +(% style="color:#000000" %)##chmod +x /usr/sbin/ldfirewall.custom##
102 102  )))
103 103  
104 104  
105 -(% style="color:#000000" %)Führen Sie nun das Skript einmal aus
124 +(% style="color:#000000" %)Führen Sie nun das Skript einmal im Vordergrund aus und stellen Sie sicher, dass keine Fehlermeldungen an der Konsole ausgegeben werden (Syntaxkontrolle):
106 106  
107 107  (% class="box" %)
108 108  (((
109 -(% style="color:#000000" %)##bash ldfirewall.custom##
128 +(% style="color:#000000" %)##bash /usr/sbin/ldfirewall.custom restart##
110 110  )))
111 111  
112 112  
... ... @@ -118,11 +118,11 @@
118 118  )))
119 119  
120 120  
121 -(% style="color:#000000" %)Hier fügen Sie nun den Port 636 im Abschnitt //FromInternetAllowTCP// hinzu
140 +(% style="color:#000000" %)Hier fügen Sie nun den Port 1636 im Abschnitt //FromInternetAllowTCP// hinzu
122 122  
123 123  (% class="box" %)
124 124  (((
125 -(% style="color:#000000" %)FromInternetAllowTCP 636
144 +(% style="color:#000000" %)##FromInternetAllowTCP 1636##
126 126  )))
127 127  
128 128  
... ... @@ -134,6 +134,14 @@
134 134  )))
135 135  
136 136  
137 -(% style="color:#000000" %)Damit die Freigabe des OpenLDAP funktioniert ist es wichtig die Portfreigabe (Port 636) im Router nichtzu vergessen:
156 +(% style="color:#000000" %)Damit die Freigabe des Samba4-LDAP funktioniert, ist es außerdem noch wichtig, die Portfreigabe (TCP-Port 636) am vorgeschalteten Router nicht zu vergessen:
138 138  
139 -(% style="color:#000000" %)[[image:1597240262579-305.png]]
158 +(% style="color:#000000" %)[[image:Port_Router.png]]
159 +
160 +
161 +(% class="box successmessage" %)
162 +(((
163 +(% style="color:#000000" %)**__Hinweise:__**(%%)
164 +(% style="color:#000000" %)- Bei der IP-Adresse 192.168.1.254 in der Abbildung handelt es sich um die Schnittstelle p_extern des LogoDIDACT Servers(%%)
165 +- (% style="color:#000000" %)Neben dem Port 636 (LDAP-Freigabe als Thema dieses Artikels) werden hier außerdem noch die Ports 80+443 zur Freischaltung von Webdiensten durch den Router weitergeleitet
166 +)))
1653294111427-417.png
Author
... ... @@ -1,0 +1,1 @@
1 +XWiki.jonasmayer@sbede
Größe
... ... @@ -1,0 +1,1 @@
1 +27.9 KB
Inhalt