Änderungen von Dokument Samba4 Verzeichnisdienst direkt im Internet freigeben (ohne Stream via rev-proxy)

Zuletzt geändert von Jonas Mayer am 2022/05/23 10:48

Von 8.1 nach 9.1 Von 18.1 nach 19.1

Von Version 9.1

bearbeitet von aku@sbede
am 2022/05/17 14:27

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version 18.1

bearbeitet von jonasmayer@sbede
am 2022/05/23 10:30

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (3 geändert, 0 hinzugefügt, 0 gelöscht)
Anhänge (0 geändert, 1 hinzugefügt, 0 gelöscht)
- 1653294111427-417.png

Details

Seiteneigenschaften

Titel

@@ -1,1 +1,1 @@
--samba4 direkt im Internet freigeben (ohne Stream im rev-proxy)
++Samba4 Verzeichnisdienst direkt im Internet freigeben (ohne Stream via rev-proxy)

Dokument-Autor

@@ -1,1 +1,1 @@
--XWiki.aku@sbede
++XWiki.jonasmayer@sbede

Inhalt

@@ -1,21 +1,32 @@
--(% style="color:#e74c3c; font-size:18px" %)**Wichtig, diese Art der samba Freigabe wird von SBE nicht empfohlen, da hier die Freigabe unverschlüsselt erfolgt. Wir empfehlen Ihnen dieser **(% style="font-size:18px" %)**[[(% style="font-size: 18px; color: rgb(41, 128, 185); font-size: 18px" %)Anleitung>>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]](%%)**(% style="color:#e74c3c; font-size:18px" %)**[[ >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen um den LDAP Dienst auf sichere Art freizugeben!**
++(% class="box warningmessage" %)
++(((
++(% style="font-size:16px" %)__**Wichtig**__(%%)
++Diese Art der Verzeichnisdienst-Freigabe wird von SBE nicht empfohlen, da hier die Freischaltung ohne zertifikatsgesicherte Transportverschlüsselung erfolgt.
++Wir empfehlen Ihnen stattdessen, dieser [[Anleitung >>doc:Main.LD Server.Puppet-Version.1\.3\.22\.14.Geändert\: LDAP Admin-Benutzer und ReadOnly-Benutzer im logosrv.WebHome||target="_blank"]]zu folgen, um den LDAP-Dienst auf sichere Art mit Lets' Encrypt SSL-Zertifikaten freizugeben!
++)))
--(% style="color:#000000" %)Wenn Sie den OpenLDAP direkt und nicht über den rev-proxy im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
++----
--=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ===
++(% style="color:#000000" %)Wenn Sie den Verzeichnisdienst des Samba4-Containers direkt (d.h. nicht über einen Tunnel via (% style="color:#2980b9" %)**rev-proxy**(% style="color:#000000" %) / (% style="color:#27ae60" %)**nginx**(% style="color:#000000" %)) im Internet freigeben wollen, folgen Sie bitte dieser Anleitung.
++{{toc start="4" numbered="true"/}}
--(% style="color:#000000" %)Öffnen Sie die die Datei /etc/nano/shorewall/rules mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
--Da der Port 636  intern schon vergeben ist wird mit diesem Eintrag der Port intern auf einen anderen Port umgemappt.
++==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)ldhost(%%) ====
++
++
++(% style="color:#000000" %)Öffnen Sie die die Datei {{box}}/etc/nano/shorewall/rules{{/box}} mit einem Editor Ihrer Wahl und fügen Sie am Anfang folgende Zeile hinzu.
++Da der LDAPS Port 636  schon durch den OpenLDAP-Dienst belegt ist, wird mit nachfolgendem Shorewall-Eintrag der Port serverintern zunächst auf einen anderen Port umgemappt.
++
  (% class="box" %)
  (((
++(% style="color:#16a085" %)### TCP-Port 636 vom Internet-Router entgegennehmen und auf benutzerdefiniertem Port 1636 zum LXC-Container logosrv weiterleiten##(%%)
  (% style="color:#000000" %)##DNAT        ext        dmz:172.28.29.2:1636   tcp        636##
  )))
--(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu
++(% style="color:#000000" %)Im Anschluß daran starten Sie mit folgendem Befehl die Shorewall neu:
  (% class="box" %)
  (((
@@ -23,11 +23,10 @@
  )))
--=== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ===
++==== (% style="color:#000000" %)Schritte im Container (% style="color:#2980b9" %)logosrv(%%) ====
--(% style="color:#000000" %)Erstellem Sie die Datei /usr/sbin/ldfirewall.custom mit einem Editor Ihrer Wahl.
--Sollte die Datei schin exitieren öffnen Sie sie.
++(% style="color:#000000" %)Erstellen Sie die Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} mit einem Editor Ihrer Wahl.
  (% class="box" %)
  (((
@@ -35,9 +35,14 @@
  )))
--(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei. Wichtig sollte sich schon Inhalt in der Datei befinden fügen sie folgenden Text hinzu.
--Wie Sie dem Asbchnitt unter// ipaddr// sehen können wird hier der Port zurückhemappt:
++(% style="color:#000000" %)Kopieren Sie nun folgenden Text in die Datei.
++(% class="box infomessage" %)
++(((
++(% style="color:#000000; font-size:12px" %)**Hinweis:** Sollte die Datei schon mit anderweitigen Regeln existieren, bearbeiten Sie stattdessen den Inhalt in geeigneter Form und fügen Sie die relevanten Regeln darin ein. Es handelt sich um die rot & orange markierten Zeilen.
++)))
++
++
  (% class="box" %)
  (((
  (% style="color:#000000" %)###!/bin/bash
@@ -51,64 +51,66 @@
  }
  run()
  {
-- if [ "$VERBOSE" = "yes" ]; then
--   echo "$@"
-- fi
-- if [ "$DRYRUN" = "no" ]; then
--   "$@"
-- fi
++  if [ "$VERBOSE" = "yes" ]; then
++    echo "$@"
++  fi
++  if [ "$DRYRUN" = "no" ]; then
++    "$@"
++  fi
  }
  \\case "$1" in
--  start|restart)
--   # Zugelassene externe IP-Adressen
--   # (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
--   # ~-~-~-~-~-~--
--   # - BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
--   # - Webuntis Server in Österreich IP: 213.208.138.146
--  ##(% style="color:#e74c3c" %)## SOURCEIP="213.23.76.144 213.23.76.123 195.34.83.83 87.130.28.26"
--   IP_LOGOSRV_DMZ=172.28.29.2
--   IP_SAMBA4_SERVERNET=172.28.28.30##(%%)
--\\(% style="color:#000000" %)##   for ipaddr in $SOURCEIP
--   do
--     echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
--     $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636
--     $ipt -t mangle -I mark_from_internet_check_ports -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed
--     echo "OK"
--   done
--    ;;
++  start|restart)##(%%)
++(% style="color:#16a085" %)##    # Zugelassene externe IP-Adressen (falls mehrere IP-Adressen nötig, diese per Leerzeichen trennen)
++    # ~-~-~-~-~-~--
++    # Beispiele:
++    # * BelWue-Moodle-Server IPs: 129.143.69.1 129.143.232.18 129.143.255.2
++    # * Webuntis Server in Österreich IP: 213.208.138.146##(%%)##
++(% style="color:#e74c3c" %)    SOURCEIP="129.143.69.1 129.143.232.18 129.143.255.2 213.208.138.146"
++    IP_LOGOSRV_DMZ=172.28.29.2
++    IP_SAMBA4_SERVERNET=172.28.28.30(%%)##
++\\(% style="color:#e67e22" %)##    for ipaddr in $SOURCEIP
++    do
++      echo -n "Adding custom rules to allow ldaps connections (tcp/1636) from host '${ipaddr}' and redirect to 'samba4-ad:636'... "
++      $ipt -t nat -I PREROUTING -i dmz -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -j DNAT ~-~-to-destination ${IP_SAMBA4_SERVERNET}:636
++      $ipt -t mangle -I mf_internet_cp -p tcp -s ${ipaddr} -d ${IP_LOGOSRV_DMZ} ~-~-dport 1636 -g mark_from_internet_allowed
++      echo "OK"
++    done##(%%)
++(% style="color:#000000" %)##    ;;
    stop)
      ;;
    *)
--   echo "Benutzung: $0 {start|restart}"
--   exit 1
++    echo "Benutzung: $0 {start|restart}"
++    exit 1
      ;;
  esac##
  )))
++(% style="color:#000000; font-size:12px" %)**Info:** Durch die letzte iptables-Regel wird der temporär verwendete, benutzerdefinierte TCP-Port 1636 serverintern wieder auf Port 636 zurückgemappt, bevor die Verbindung zum LXC-Container samba4-ad weitergeleitet wird. An diesen Port ist der Samba4 Verzeichnisdienst gebunden.
--(% style="color:#000000" %)Hier müssen nun folgende Werte angepasst werden:
++(% style="color:#000000" %)In der Datei {{box}}/usr/sbin/ldfirewall.custom{{/box}} müssen nun folgende Werte an die eigene Umgebung angepasst werden:
++
  (% class="box" %)
  (((
--(% style="color:#000000" %)##SOURCEIP=" 87.130.28.26"                      ##(% style="color:#e74c3c" %)##   <- SBE IP, da wird eine zusätzliche gewhitelistet, die öffentliche ip der moodle Instanz##(%%)
--(% style="color:#000000" %)##IP_LOGOSRV_DMZ=172.28.29.2                 ##(% style="color:#e74c3c" %)##<- (ifconfig in logosrv und Eintrag "DMZ" anschauen##(%%)
--(% style="color:#000000" %)##IP_SAMBA4_SERVERNET=172.28.28.30   ##(% style="color:#e74c3c" %)## <- ifconfig in Sambacontainer und Eintrag "servernet" anschauen##
++(% style="color:#e74c3c" %)##SOURCEIP="87.130.28.26"##(% style="color:#16a085" %)##               #  <- Öffentliche IP(s), von denen aus Verbindungen erlaubt werden. In der Regel handelt es sich um IPv4-Adressen von Webservern, z.B. eine extern gehostete Moodle-Instanz##(%%)
++(% style="color:#e74c3c" %)##IP_LOGOSRV_DMZ=172.28.29.2##(% style="color:#16a085" %)##            #  <- ifconfig im logosrv aufrufen, dort die IP-Adresse der Schnittstelle "dmz" anschauen und hier in der Variable eintragen##(%%)
++(% style="color:#e74c3c" %)##IP_SAMBA4_SERVERNET=172.28.28.30##(% style="color:#16a085" %)##      #  <- ifconfig im samba4-ad Container aufrufen, dort die IP-Adresse der Schnittstelle "servernet" anschauen und hier in der Variable eintragen##
  )))
--(% style="color:#000000" %)Danach müssen Sie die Datei als Skript für den Cronjob ausführbar gemacht werden und auch e ausfürhbar machen Skript muss für den Cronjob ausführbar gemacht werden und einmalig ausgeführt werden
++(% style="color:#000000" %)Danach müssen Sie das Skript noch ausführbar machen, damit sie im Zuge eines Firewall-Restarts automatisch verarbeitet wird:
  (% class="box" %)
  (((
--(% style="color:#000000" %)##chmod +x ldfirewall.custom##
++(% style="color:#000000" %)##chmod +x /usr/sbin/ldfirewall.custom##
  )))
--(% style="color:#000000" %)Führen Sie nun das Skript einmal aus
++(% style="color:#000000" %)Führen Sie nun das Skript einmal im Vordergrund aus und stellen Sie sicher, dass keine Fehlermeldungen an der Konsole ausgegeben werden (Syntaxkontrolle):
  (% class="box" %)
  (((
--(% style="color:#000000" %)##bash ldfirewall.custom##
++(% style="color:#000000" %)##bash /usr/sbin/ldfirewall.custom restart##
  )))
@@ -120,11 +120,11 @@
  )))
--(% style="color:#000000" %)Hier fügen Sie nun den Port 636 im Abschnitt //FromInternetAllowTCP// hinzu
++(% style="color:#000000" %)Hier fügen Sie nun den Port 1636 im Abschnitt //FromInternetAllowTCP// hinzu
  (% class="box" %)
  (((
--(% style="color:#000000" %)FromInternetAllowTCP 636
++(% style="color:#000000" %)##FromInternetAllowTCP 1636##
  )))
@@ -136,6 +136,14 @@
  )))
--(% style="color:#000000" %)Damit die Freigabe des samba4 funktioniert ist es wichtig die Portfreigabe (Port 636) im Router nichtzu vergessen:
++(% style="color:#000000" %)Damit die Freigabe des Samba4-LDAP im Internet funktioniert, ist es außerdem noch wichtig, die Portfreigabe (TCP-Port 636) am vorgeschalteten Router zum LogoDIDACT Server hinzuzufügen:
--(% style="color:#000000" %)[[image:Port_Router.png]]
++[[image:1653294111427-417.png||class="img-thumbnail"]]
++
++
++(% class="box successmessage" %)
++(((
++(% style="color:#000000" %)**__Hinweise:__**(%%)
++(% style="color:#000000" %)- Bei der IP-Adresse 192.168.1.254 in der Abbildung handelt es sich um die Schnittstelle p_extern des LogoDIDACT Servers(%%)
++- (% style="color:#000000" %)Neben dem Port 636 (LDAP-Freigabe wie im Artikel hier beschrieben) werden hier in der Abbildung außerdem noch die Ports 80+443 zur Freischaltung von LogoDIDACT Webdiensten durch den Router weitergeleitet
++)))

1653294111427-417.png

Author

...	...	@@ -1,0 +1,1 @@
	1	+XWiki.jonasmayer@sbede

Größe

...	...	@@ -1,0 +1,1 @@
	1	+27.9 KB

Inhalt