Използване на корпоративния сървър на Univention (UCS) като домашен сървър

В една по-ранна статия прегледахме Univention Corporate Server (UCS). Тази версия беше по-фокусирана върху корпоративните клиенти. Въпреки това, UCS може да се използва и като домашен сървър.

Ingo Steuwer, ръководител на професионалните услуги в UCS, отдели известно време, за да обясни подробно тази процедура. Ако сте DIY хоби, ще намерите тази статия интересна.

Универсален корпоративен сървър (UCS) като домашен сървър

Univention Corporate Server (UCS) се използва основно от професионални ИТ потребители като система, която е лесна за настройка и лесна за поддръжка. И все пак частните потребители могат да се възползват и от тази концепция. В тази статия бих искал да ви представя как можете да създадете собствен сървър за електронна поща, групова работа и споделяне на файлове само с няколко стъпки, като използвате UCS и приложенията Nextcloud и Kopano - което ви позволява да създадете алтернатива на услуги като GMail и Dropbox - всички под свой собствен контрол.

Купете хардуера или наемете сървър?

Първият въпрос е, разбира се: Къде да стартирам сървъра? По принцип, частните потребители имат същите опции като компаниите: или на техния собствен хардуер, в собствения си "ИТ център" (или в склада), или на наета система, хоствана някъде другаде, например "специален сървър" с облак доставчик на услуги или като Amazon Image [//aws.amazon.com/marketplace/pp/B071GDRQ3C]. Когато вземате решение, е важно да обмислите как възнамерявате да използвате сървъра.

Наеманата система включва минимална първоначална инвестиция и обикновено не е свързана със значителни ограничения на честотната лента, както и че е по-лесно да бъде разширена, за да отговаря на вашите изисквания. Този вид система е практична в случаи на много достъпи от различни места, например когато сървърът се използва от членове на асоциация.

Стартирането на система в собствената ви мрежа не само предлага пълен контрол върху собствените си данни, но и поддържа допълнителни сценарии за приложения, като например стандартен файлов сървър или стрийминг на музика и видеоклипове към местни медийни плейъри. Въпреки това, зависимостта от частна интернет връзка често представлява пречка, когато системата е достъпна отвън; дори най-новите VDSL връзки идват със сравнително нисък капацитет на качване. Някои интернет доставчици изобщо не поддържат достъп отвън. Ако се съмнявате, най-доброто решение е да направите някои тестове, преди да инвестирате пари в нов хардуер.

Посочените по-долу стъпки по принцип са еднакво приложими и за двата варианта.

Ако купувате собствен хардуер - какво ви е необходимо?

UCS поставя само минимални изисквания към хардуера, което означава, че имате голям избор, от който да избирате, когато става въпрос за възможни системи. По принцип по-старият настолен хардуер също може да бъде подходящ, въпреки че често се свързва с недостатъци по отношение на надеждността и консумацията на енергия, когато системата работи денонощно. Ако решите да инвестирате в съвсем нова система, съществуват редица производители, които предлагат хардуер за този сегмент, системи, които са подходящи за работа 24/7 (често наричани „SOHO NAS“) \ t ) системи). Примерите включват системите на HP в гамата на MicroServer и ниско енергийните сървъри от Thomas-Krenn.

Правилният размер

Следващият въпрос е въпросът за размера на системата. Представената тук настройка работи на система с по-малък процесор и 4 GB RAM без никакви проблеми. Решаващият фактор е броят на едновременните достъп. С нарастването на броя на потребителите или приложенията в крайна сметка ще има нужда от повече капацитет. Облачните оферти могат лесно да се разширяват. Ако закупите системата, си струва да започнете с 8 или 16 GB RAM и CPU с 4 ядра.

Необходимото пространство на твърдия диск за UCS е незначително - 10 GB е достатъчно, за да поддържа операционната система добре доставена за дълго време. Решаващият фактор тук е предназначената употреба, по-специално, обаче, количеството данни, които трябва да бъдат записани в системата. При закупуването на хардуер е важно също да се помисли за резервиране чрез огледални дискове (RAID). Допълнителна информация за този аспект може да бъде намерена също в HowTos на Debian, свързан по-долу.

Дизайн: IP и DNS конфигурация

За достъп до системата от Интернет са необходими публичен IP адрес и съответстващ DNS запис. Ако наемате сървърни ресурси, ще получите поне един IP адрес и често публичен домейн.

Общественият IP обикновено се присвоява на частния рутер в домашните мрежи. Тя трябва да бъде конфигурирана така, че да може да предава заявки към локалната UCS система. Как се прави това зависи от самия рутер и евентуално от интернет доставчика. HowTos са достъпни в мрежата за по-голямата част от маршрутизаторите и защитните стени. Ако частният рутер няма публичен IP, може да се окаже трудно или невъзможно да се стартира публично достъпен сървър зад него. В случай на съмнение, най-добре е да се свържете с вашия интернет доставчик или да потърсите допълнителна информация в мрежата.

Следващото изискване е публично разрешима DNS запис, който може да бъде доставен от доставчици на „динамичен DNS“, ако нямате обществено достояние. Маршрутизаторът се грижи за цялата комуникация с доставчика на DNS. Поради това е важно да се обърне внимание на съвместимостта тук. Следното използва домейна „my-ucs.dnsalias.org“ като пример.

В повечето домашни мрежи DCHP се използва за автоматично присвояване на IP адреси. Но както видяхме, IP адресът на сървъра трябва да бъде конфигуриран в маршрутизатора (вижте следващия раздел за портовете, споделени отвън), така че сървъра на UCS винаги трябва да получава същия IP адрес. Това може да се постигне чрез запазване на UCS системата или MAC адреса в DHCP конфигурацията на маршрутизатора. Алтернативно, по време на инсталацията на UCS може да се определи и фиксиран IP адрес. В този случай, обаче, трябва да се гарантира, че рутерът не го присвоява на друго устройство. Когато използвате фиксиран IP адрес, винаги се уверете, че спецификациите за шлюза по подразбиране и сървъра за имена са правилни. В повечето случаи IP на рутера е и двете.

Активиране на достъпа до сервизните портове

За описаните тук услуги е необходимо да се направят външни налични портове 80 (HTTP) и 443 (HTTPS), както и 587 (SMTP подаване за входящи писма). След като HTTP е създаден, това може да се намали до шифрован порт 443. Достъпът до порт 22 за SSH може да бъде практичен за отдалечено администриране, особено в системи, които не са в домашните мрежи. За допълнителни сценарии на приложение могат да се изискват допълнителни портове. Например, ако IMAPS / SMTPS също трябва да се използва за пощенски клиенти заедно с ActiveSync. Докато тези портове могат да бъдат активирани активно в локалния рутер в домашна настройка, конфигурацията на системата, която се работи външно чрез доставчик, трябва да бъде настроена по такъв начин, че всички останали портове да бъдат деактивирани.

Настройка на UCS

За инсталацията ISO образът на UCS се изтегля от Univention и се записва на DVD или се прехвърля на USB устройство. След това системата трябва да се стартира от тази среда (настройка на BIOS). Инсталацията започва и заедно с редица различни стъпки, като конфигурацията на езика, монтираните твърди дискове се разделят. В много случаи предложението за разделяне може просто да бъде прието. Ако искате да увеличите сигурността на повредата на дисковото хранилище със софтуерен RAID или разширено разделяне, това може да се настрои ръчно. За подробности вижте документацията на Debian, тъй като UCS използва инсталационния си процес тук.

Действителната UCS конфигурация започва след основната инсталация.

Следните данни са практични за планираната инсталация.

  • Настройки на домейни: Когато инсталирате първата (и вероятно само) система в UCS среда, изберете „Създаване на нов домейн“. След това ще бъдете подканени да въведете работен имейл адрес, към който ще бъде изпратен впоследствие необходимия ключ.
  • Настройки на компютъра: Сега се иска пълно квалифицирано име на домейн за UCS системата. Първата част от това е името, което ще бъде дадено на бъдещата система и нейния DNS домейн. Основната конфигурация на много от услугите на UCS системата зависи от тази настройка. Много е трудно да го промените в по-късен момент. В нашия пример дефинирахме вътрешен DNS домейн. Публичният DNS запис, въведен преди, може след това да бъде добавен в по-късен момент. Също така е препоръчително да използвате домейн, който всъщност не може да бъде разрешен от публичния DNS, както е в примера ни “ucs.myhome.intranet”.
  • Софтуерна конфигурация: Можете да изберете първите услуги за инсталиране тук. Във вътрешна мрежа е практично да инсталирате домейн контролер, съвместим с Active Directory, така че да можете да настроите споделянето на файлове във вашата мрежа по-късно.

Пълната документация на инсталацията може да се намери в ръководството за продукта.

След инсталацията системата може да бъде достигната чрез интернет браузъра в //. Връзката „Настройки на системата и домейна“ ви позволява да достигнете до конзолата за управление на Univention (UMC), където можете да влезете като „администратор“, като използвате паролата, посочена по време на инсталацията. Останалата част от настройката се изпълнява там.

Настройка на Nextcloud

Първата стъпка е да инсталирате необходимите услуги и да извършите основната настройка. Това става чрез App Center, който първо трябва да бъде активиран. Това става с помощта на ключа, изпратен (на посочения имейл адрес) по време на инсталацията. Това може да се качи директно в диалога за поздрав след инсталацията или впоследствие в UMC в менюто (иконата "Burger" в горния десен ъгъл) чрез точките "Лиценз" и "Импортиране на нов лиценз".

Първото приложение, което ще бъде инсталирано е Nextcloud, което се препоръчва като общо място за съхранение на файлове от компютри и мобилни устройства. Това става чрез отваряне на модула “App Center” в UMC и след това търсене на “Nextcloud”. След това инсталацията на Nextcloud може да бъде инициирана директно. За да направите това, следвайте указанията в уеб интерфейса.

След като инсталацията приключи, Nextcloud е достъпна в / / nextcloud. Тази връзка е достъпна и на страницата за преглед на сървъра на UCS. Въпреки това, когато се отвори, все още има предупреждения за SSL сертификата и връзката към Nextcloud. Това ще бъде решено впоследствие чрез инсталацията на “Let's Encrypt”.

Настройка на поща и групови програми

Втората стъпка се отнася до функциите за поща и групова работа. Тук използваме Kopano, който може да се използва безплатно за нашите цели.

Това става чрез инсталиране на следните компоненти на Kopano от модула на App Center на UMC едно след друго: “Kopano Core”, “Kopano WebApp” и “Z-Push for Kopano”.

След това пощенският домейн за Kopano трябва да бъде регистриран, преди да продължите с остатъка от конфигурацията. До тази стъпка е конфигуриран само „вътрешният“ пощенски домейн, който е посочен по време на инсталирането на UCS (в нашия пример „ucs.myhome.intranet“). Въпреки това, тя не е известна външно и не може да се използва за пощенски акаунти. Наличните пощенски домейни се конфигурират чрез модула UMC “E-Mail”. Този модул може да бъде намерен в областта “Домейни” на UMC или чрез функцията за търсене. При това е важно да се отбележи, че след регистрацията на пощенски домейн, UCS приема, че всички адреси в този домейн също ще бъдат конфигурирани в UCS. Затова е препоръчително да се приемат домейните тук, които по-късно ще се използват и за външните достъпи до сървъра, в този пример затова “my-ucs.dnsalias.org”.

След това потребителските акаунти могат да бъдат настроени. "Основен пощенски адрес" е пощенският адрес, който потребителят ще използва в Kopano. С други думи, той трябва да използва публичното пространство (напр. [Email protected]).

Довършителни докосвания до електронната поща

Пощенската услуга вече може да получава писма, изпратени до публично достъпния пощенски домейн (т.е. my-ucs.dnsalias.org). За да може изпращането да функционира без никакви проблеми и да не се блокира директно от спам филтрите на други пощенски сървъри, това име трябва да се използва и като „helo“. Това може да стане чрез задаване на UCR променливата “mail / smtp / helo / name” на публично достъпното FQDN - в този пример: my-ucs.dnsalias.org. Настройката на променливите на UCR („Univention Configuration Registry“) може да се извърши в модула на UMC със същото име или в командния ред с командата

ucr set mail/smtp/helo/name=“my-ucs.dnsalias.org” 

Ако е възможно, препоръчително е също да използвате SMTP релеен хост (външен сървър, упълномощен да изпраща нашите имейли). Това важи особено, когато IP адресът на изпращача се различава от този на публичния домейн. Тук можете да намерите пътеводител.

Входящата поща се пренасочва според записите в DNS на обществено достояние. Когато поща е предназначена за вашия домейн (my-ucs.dnsalias.org), се използва IP адресът на MX записа. Ако MX записът не е зададен, основният IP адрес на самия домейн се използва като дестинация. Последното е случаят в нашата конфигурация: Домейнът за поща съответства на публичния IP адрес на сървъра на UCS, в резултат на което нашата система може да бъде намерена от други системи и да се свърже с нея за доставката на писма.

Порт 25 е зададен по подразбиране в защитната стена на UCS. Но порт 587 е предпочитан за директния обмен между пощенските сървъри. Това може да бъде одобрено от UCR в защитната стена. Това става чрез задаване на променливата “security / packetfilter / package / manual / tcp / 587 / all” на “ACCEPT” - както по-горе за “helo” низ, това е възможно и тук чрез модула UMC или командния ред.

След промените, услугите "postfix" и "univention-firewall" трябва да бъдат рестартирани. Това може да бъде направено чрез командния ред ("рестартиране на постфикса на услугата; рестартиране на услугата-firewall") или чрез рестартиране на сървъра.

Портал на Университета

Страницата за преглед на сървъра на UCS, „Univention Portal“, осигурява добро въведение в наличните услуги. Сега тя е лесно достъпна чрез “//my-ucs.dnsalias.org”. Въпреки това, все още има две неща, които причиняват проблеми: предупредителни сертификати в браузъра и "погрешни връзки" на страницата на портала. И двете могат да бъдат решени лесно:

Да шифроваме TLS сертификатите

По подразбиране уеб сървърът на UCS използва самоподписан сертификат, което води до предупреждения в браузъра. Инсталирането на сертификат чрез “Let's Encrypt” помага тук; публикувахме съответната интеграция като „хладно решение“. Препоръчително е да се посочи външният домейн в UCR предварително. Това става чрез задаване на променливата UCR “letsencrypt / domains” в нашия пример към “my-ucs.dnsalias.org”. Освен това, за да може сертификатът да бъде приет директно от уеб и пощенския сървър, “letsencrypt / services / apache2” и “letsencrypt / services / postfix” трябва да бъдат настроени на “да”. Всички необходими стъпки са описани в свързаната wiki статия.

Оптимизация на портала

Клавишните комбинации в Univention Portal, първата страница при достъп до уеб интерфейса на UCS системата, все още използват вътрешния домейн, който е посочен по време на инсталацията. Тъй като това не може да бъде разрешено за достъп от интернет, адресите трябва да бъдат адаптирани. Тези адреси за бърз достъп се конфигурират в LDAP. Те могат да бъдат намерени в областта “Домейн” в модула “LDAP Directory” в UMC. В показаното дърво, записите „nextcloud“ и „kopano-webapp“ могат да бъдат намерени в „univention / portal“.

След отварянето на правилния път за външния домейн може да се въведе съответно „Връзки“ - в примера използвахме //my-ucs.dnsalias.org/nextcloud/ за Nextcloud и //my-ucs.dnsalias.org/ kopano / за Kopano.

Завършване на Nextcloud

Въпреки това, първият достъп до Nextcloud чрез обществено достояние води до съобщение за грешка. Nextcloud регистрира вътрешно домейна, с който е инсталиран UCS, и отхвърля достъпа през други домейни от съображения за сигурност. Обществените домейни могат да бъдат одобрени или чрез конфигурационните файлове, или чрез връзката, дадена в съобщението за грешка Nextcloud. Ако следвате тази връзка, можете да влезете като „Администратор“, като използвате паролата, посочена по време на инсталирането на UCS и активирате външния домейн.

В някои сценарии този работен процес се доставя с прекъсване: Връзката за споделяне се отнася до вътрешния домейн, който не може да бъде решен до IP адрес в описания хостинг сценарий. Тук може да ви даде помощ във файла „hosts“ (под Linux: / etc / hosts), с който вътрешното FQDN на UCS сървърите може да бъде разрешено до публичния IP адрес. В тази конфигурация активирането на публичния DNS домейн, предлаган от Nextcloud, функционира без никакви проблеми.

Като алтернатива можете също да преминете към контейнера докер на Nextcloud чрез командата „univention-app shell nextcloud“ в командния ред, да инсталирате редактор чрез „apt install vim“ и да редактирате файла „/ var / www / html / config / config“ .php ”в съответствие с HowTo на Nextcloud.

Потребители

Сега потребителите могат да бъдат създадени в системата. За всеки акаунт, създаден в UCS, съответната сметка също се създава автоматично в Nextcloud и, ако е посочен първичен пощенски адрес, в Kopano също. След това потребителят може да влезе в двете услуги с паролата за профила си. Промените в паролите са възможни чрез менюто на Univention Portal.

Kopano и Nextcloud могат да се използват и на смартфони. Сметка „Exchange“ е настроена за синхронизиране на писма, контакти и срещи с Kopano. Повече информация за това можете да намерите в документацията на Kopano. Nextcloud предлага собствено приложение за Android или iOS, чрез което файловете могат да се обменят със смартфона, а снимките и видеоклиповете, направени по телефона, автоматично се запаметяват на сървъра.

перспектива

Тази настройка осигурява добра основа за монтиране на допълнителни услуги от многото налични приложения за UCS.

  • Интеграцията на Fetchmail може да се използва за удобно продължаване на получаването на съществуващи имейл адреси. След това сървърът на UCS автоматично изтегля писма от други доставчици и ги показва в пощенската кутия на Kopano.
  • Публично достъпните сървъри често са обект на автоматизирани атаки. Ако е възможно достъп до SSH в защитната стена, този достъп трябва да бъде ограничен. Тук можете да намерите примери.
  • Ако броят на потребителите се увеличи, може да е полезно да им се даде възможност сами да възстановят паролите си. Това може да стане с помощта на приложението „Самостоятелно обслужване“ в App Center.
  • Nextcloud може да бъде разширен с цял набор от плъгини. Приставката „Collabora“, която прави възможно редактирането на Office файлове директно в браузъра, може да се окаже особено полезна, когато се работи с голям брой документи.

Препоръчано

Как да се определи десен клик Touchpad не работи на Ubuntu 18.04
2019
Unity Gaming Engine пристига в Linux
2019
Как да използвате разширенията на GNOME Shell
2019