Zum Inhalt springen
Zuletzt geändert von Jonas Mayer am 2022/05/23 10:48
Von Version 9.1
bearbeitet von aku@sbede
am 2022/05/17 14:27
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 13.1
bearbeitet von jonasmayer@sbede
am 2022/05/19 19:21
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Titel
... ... @@ -1,1 +1,1 @@
1 -samba4 direkt im Internet freigeben (ohne Stream im rev-proxy)
1 +Samba4 Verzeichnisdienst direkt im Internet freigeben (ohne Stream via rev-proxy)
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.aku@sbede
1 +XWiki.jonasmayer@sbede
Inhalt
... ... @@ -1,13 +1,20 @@
1 -(% style="color:#e74c3c; font-size:18px" %)**Wichtig, diese Art der samba Freigabe wird von SBE nicht empfohlen, da hier die Freigabe unverschlüsselt erfolgt. Wir empfehlen Ihnen dieser **(% style="font-size:18px" %)**[[(% style="font-size: 18px; color: rgb(41, 128, 185); font-size: 18px" %)Anleitung>>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]](%%)**(% style="color:#e74c3c; font-size:18px" %)**[[ >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen um den LDAP Dienst auf sichere Art freizugeben!**
1 +(% style="color:#e74c3c; font-size:18px" %)**__Wichtig__**(%%)
2 +(% style="color:#e74c3c; font-size:16px" %)**Diese Art der Verzeichnisdienst-Freigabe wird von SBE nicht empfohlen, da hier die Freischaltung ohne zertifikatsgesicherte Transportverschlüsselung erfolgt.
3 +Wir empfehlen Ihnen stattdessen, dieser **(% style="font-size:16px" %)**[[(% style="font-size: 16px; color: rgb(41, 128, 185); font-size: 16px" %)Anleitung>>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]](%%)**(% style="color:#e74c3c; font-size:16px" %)**[[ >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen, um den LDAP-Dienst auf sichere Art mit Lets' Encrypt SSL-Zertifikaten freizugeben!**
2 2  
3 3  
4 -(% style="color:#000000" %)Wenn Sie den OpenLDAP direkt und nicht über den rev-proxy im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
6 +----
5 5  
6 6  
7 -=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ===
9 +(% style="color:#000000" %)Wenn Sie den Verzeichnisdienst des Samba4-Containers direkt (und nicht über einen Tunnel via rev-proxy / nginx) im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
8 8  
11 +{{toc start="4" numbered="true"/}}
9 9  
10 -(% style="color:#000000" %)Öffnen Sie die die Datei /etc/nano/shorewall/rules mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
13 +
14 +==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ====
15 +
16 +
17 +(% style="color:#000000" %)Öffnen Sie die die Datei {{box}}/etc/nano/shorewall/rules{{/box}} mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
11 11  Da der Port 636  intern schon vergeben ist wird mit diesem Eintrag der Port intern auf einen anderen Port umgemappt.
12 12  
13 13  (% class="box" %)
... ... @@ -15,7 +15,7 @@
15 15  (% style="color:#000000" %)##DNAT ext dmz:172.28.29.2:1636 tcp 636##
16 16  )))
17 17  
18 -(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu
25 +(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu:
19 19  
20 20  (% class="box" %)
21 21  (((
... ... @@ -23,11 +23,11 @@
23 23  )))
24 24  
25 25  
26 -=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ===
33 +==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ====
27 27  
28 28  
29 -(% style="color:#000000" %)Erstellem Sie die Datei /usr/sbin/ldfirewall.custom mit einem Editor Ihrer Wahl.
30 -Sollte die Datei schin exitieren öffnen Sie sie.
36 +(% style="color:#000000" %)Erstellen Sie die Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} mit einem Editor Ihrer Wahl.
37 +Sollte die Datei schon mit anderweitigen Regeln existieren, bearbeiten Sie stattdessen den Inhalt in geeigneter Form.
31 31  
32 32  (% class="box" %)
33 33  (((
... ... @@ -36,7 +36,7 @@
36 36  
37 37  
38 38  (% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu.
39 -Wie Sie dem Asbchnitt unter// ipaddr// sehen können wird hier der Port zurückhemappt:
46 +Wie Sie dem Abschnitt unter// ipaddr// sehen können wird, hier der Port auf 636 zurückgemappt:
40 40  
41 41  (% class="box" %)
42 42  (((
... ... @@ -90,25 +90,25 @@
90 90  
91 91  (% class="box" %)
92 92  (((
93 -(% style="color:#000000" %)##SOURCEIP=" 87.130.28.26"                      ##(% style="color:#e74c3c" %)## <- SBE IP, da wird eine zusätzliche gewhitelistet, die öffentliche ip der moodle Instanz##(%%)
94 -(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2                 ##(% style="color:#e74c3c" %)##<- (ifconfig in logosrv und Eintrag "DMZ" anschauen##(%%)
95 -(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30   ##(% style="color:#e74c3c" %)## <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen##
100 +(% style="color:#000000" %)##SOURCEIP="87.130.28.26"               ##(% style="color:#e74c3c" %)## <- Öffentliche IP(s), von denen aus Verbindungen erlaubt werden. In der Regel handelt es sich um IPv4-Adressen von Webservern, z.B. ein extern gehostete Moodle-Instanz##(%%)
101 +(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2            ##(% style="color:#e74c3c" %)##<- ifconfig im logosrv und IP-Adresse der Schnittstelle "dmz" anschauen##(%%)
102 +(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30   ##(% style="color:#e74c3c" %)## <- ifconfig iSamba4-ad Container und IP-Adresse der Schnittstelle "servernet" anschauen##
96 96  )))
97 97  
98 98  
99 -(% style="color:#000000" %)Danach müssen Sie die Datei als Skript für den Cronjob ausführbar gemacht werden und auch e ausfürhbar machen Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden
106 +(% style="color:#000000" %)Danach müssen Sie das Skript ausführbar machen, damit sie im Zuge eines Firewall-Restarts automatisch verarbeitet wird:
100 100  
101 101  (% class="box" %)
102 102  (((
103 -(% style="color:#000000" %)##chmod +x ldfirewall.custom##
110 +(% style="color:#000000" %)##chmod +x /usr/sbin/ldfirewall.custom##
104 104  )))
105 105  
106 106  
107 -(% style="color:#000000" %)Führen Sie nun das Skript einmal aus
114 +(% style="color:#000000" %)Führen Sie nun das Skript einmal aus und stellen Sie sicher, dass keine Fehlermeldungen an der Konsole ausgegeben werden (Syntaxkontrolle):
108 108  
109 109  (% class="box" %)
110 110  (((
111 -(% style="color:#000000" %)##bash ldfirewall.custom##
118 +(% style="color:#000000" %)##bash /usr/sbin/ldfirewall.custom##
112 112  )))
113 113  
114 114  
... ... @@ -120,11 +120,11 @@
120 120  )))
121 121  
122 122  
123 -(% style="color:#000000" %)Hier fügen Sie nun den Port 636 im Abschnitt //FromInternetAllowTCP// hinzu
130 +(% style="color:#000000" %)Hier fügen Sie nun den Port 1636 im Abschnitt //FromInternetAllowTCP// hinzu
124 124  
125 125  (% class="box" %)
126 126  (((
127 -(% style="color:#000000" %)FromInternetAllowTCP 636
134 +(% style="color:#000000" %)FromInternetAllowTCP 1636
128 128  )))
129 129  
130 130  
... ... @@ -136,6 +136,14 @@
136 136  )))
137 137  
138 138  
139 -(% style="color:#000000" %)Damit die Freigabe des samba4 funktioniert ist es wichtig die Portfreigabe (Port 636) im Router nichtzu vergessen:
146 +(% style="color:#000000" %)Damit die Freigabe des Samba4-LDAP funktioniert, ist es außerdem noch wichtig, die Portfreigabe (TCP-Port 636) am vorgeschalteten Router nicht zu vergessen:
140 140  
141 141  (% style="color:#000000" %)[[image:Port_Router.png]]
149 +
150 +
151 +(% class="box successmessage" %)
152 +(((
153 +(% style="color:#000000" %)**__Hinweise:__**(%%)
154 +(% style="color:#000000" %)- Bei der IP-Adresse 192.168.1.254 in der Abbildung handelt es sich um die Schnittstelle p_extern des LogoDIDACT Servers(%%)
155 +- (% style="color:#000000" %)Neben dem Port 636 (LDAP-Freigabe als Thema dieses Artikels) werden hier außerdem noch die Ports 80+443 zur Freischaltung von Webdiensten durch den Router weitergeleitet
156 +)))