KMU-Server Howto

Dokumentation

• Weiterführende Dokumentationen zu ...
• Remote Support
• Benutzerverwaltung für Dateizugriff
• Benutzerverwaltung für E-Mail Zugriff
• Einen Windows XP Rechner in die Domäne aufnehmen
• Groupware Client Konfiguration
• VPN Zugriff von aussen
• WLAN Einrichtung
• Backup entschlüsseln
• USB Stick, Externe Harddisk anschliessen
• OnStream DI-30GB Backup Integration
• Server ausschalten

Weiterführende Dokumentationen zu ...

Ihr KMU Server hat über alle installierten Pakete weiterführende Informationen. Sie finden diese am einfachsten über unsere Linkseite. Sie finden aber auch unter Details nützliche Links.

Remote Support

Sie haben ein Problem oder Fragen auf Ihrem Computer und wissen nicht weiter? Gerne helfen wir Ihne durch unseren kostenpflichtigen Remote Support weiter. Die Funktionsweise ist folgendermassen:

• Sie kontaktieren uns und schildern die Problematik
• Sie laden dieses Programm auf Ihren Computer (1.4 mb) und starten es
• Daraufhin können wir auf Ihren Computer zugreifen (Windows) und Ihnen helfen

Dies funktioniert auch ohne Firewall Einstellungen bei Ihnen, da Ihr Computer die Verbindung initialisiert. Sie können während des Supportes sämtliche Aktivitäten mitverfolgen und auch Eingreifen. Vielfach ist es sinnvoll dass wir simultan während des Eingriffes mit Ihnen in telefonischen Kontakt bleiben.

Das Programm kann nach dessen Benutzung Problemlos gelöscht werden, da keine Installation oder andersweitige Systemänderung stattfindet und somit auch keine de-installation notwendig ist.

Benutzerverwaltung für Dateizugriff

Sie können dies z.B. mit webmin erledigen. Öffnen Sie dazu Ihren Browser und den Link https://commserver:10000. Mit dem Benutzer admin und dessen Passwort navigieren Sie zu [System] / [Benutzer und Gruppen]. Sie können hier bequem einen Benutzer löschen oder ändern. Ändern Sie nur Benutzer mit User-ID grösser als 1000 und kleiner als 2000. Alle andere sind Serverintern (ausser Ihre Rechner mit einem $ am Schluss).

Gehen Sie auf den Link [Neuen Benutzer erstellen]. Geben Sie einen Benutzernamen ein. Die Shell sollte /bin/false bleiben (ausser bei FTP Zugang /bin/ftp). Markieren Sie Klartextpasswort und definieren ein sinnvolles Passwort. Alle anderen Einstellungen am besten so belassen. Nachher haben Sie einen Benutzer der sich z.B. an einem Windows XP Client mit diesen Usersettings anmelden kann.

Benutzerverwaltung für E-Mail Zugriff

Öffnen Sie den Link https://commserver/admin/ in ihrem Webbrowser und melden sich mit dem Username manager und dessen Passwort an. Gehen Sie dann zu [Users] und klicken auf [Create New User]. Alle Felder mit Required werden zwingend benötigt. Unter Email Aliases können Sie noch weitere E-Mail Accounts einrichten (die jedoch auch mit fetchmail heruntergeladen werden müssen).

Einen Windows XP Professional Rechner in die Domäne aufnehmen

Windows XP Home, Windows 95, Macintosh und Linux Rechner können keiner Domäne beitreten. Diese Clients sind aber normal als Workgroup anschliessbar. Hauptvorteil bei einer Domäne sind Servergespeicherte Profile. Somit kann ein Benutzer sich irgendwo im Firmennetz anmelden und findet immer seine persönliche Desktop Umgebung vor.

Als erstes definieren Sie den Netzwerkzugang. Unter [Start] / [Netzwerkverbindungen] gehen Sie auf [Eigenschaften] bei Ihrem LAN Adapter. Ändern Sie bei Internetprotokoll (TCP/IP) alles auf "automatisch beziehen".

Ändern Sie auch unter [Erweitert] / [Erweiterte Einstellungen] / [Reihenfolge der Anbieter] die Reichenfolge so, dass Microsoft Windows-Netzwerk an erster Stelle steht (aus Performancegründen).

Gehen Sie dann zu [Erweitert] / [Netzwerkidentifikation] / [Ändern]. Hier darf jetzt nicht bei Arbeitsgruppe DOMAIN stehen. Falls dem so ist definieren Sie dies zuerst in TEST um und starten dass System neu, um fortzufahren. Gehen Sie jetzt zu [Domäne] und geben DOMAIN ein. Sie werden dann nach Benutzername gefragt wo sie root und dessen Passwort eingeben.

Nach einem Neustart melden Sie sich an der Domäne mit einem gültigen Useraccount an. Evtl. müssen Sie an der Windows-Anmeldung unter [Optionen] bei [Anmelden an] umschalten auf DOMAIN.

Nach dem Anmelden werden die Rechnerzeit abgeglichen und die Netzwerklaufwerke verbunden.

Um den Proxy Server zu verwenden muss man bei den Browser Einstellungen die Proxy Einstellungen ändern auf: Adresse=commserver, Port=3128. Dies kann man auch Systemweit mit mmc einstellen. Der KMU Server kann auch so konfiguriert (redirect port in der firewall) werden dass alle http Anfragen nur über den Proxy Server laufen (ideal für Schulen usw.)

VPN Zugriff von aussen

Für die meisten Betriebssysteme finden Sie unter openvpn.net einen Client zum verbinden mit dem Server. Unter Windows XP haben wir diesen mit Erfolg getestet. Nach der Installation kopieren Sie die OpenVPN Zertifikate (befindet sich auf dem KMU-Server und beinhaltet die vorbereiteten OpenVPN Zertifikate) in das Verzeichnis C:\programme\openvpn\config. Installieren Sie mittels Doppelklick die Zertifikate ca.rt und vpnclt.crt. Kopieren Sie dann auch die client.ovpn in das Verzeichnis C:\programme\openvpn\config und passen Sie in dieser Datei mit einem Texteditor Ihre IP-Adresse an. Diese Erfahren Sie bei dynamischer IP Zuteilung hier.

Nach dieser Installation gehen Sie im Internet online und doppelklicken auf die client.ovpn Datei. Das Gui im Systemtray zeigt Ihnen dann die erfolgreiche Verbindung an.

Das war's auch schon. Sie können dann in Zukunft immer im Openvpn GUI auf connect gehen um eine abgesicherte Verbindung mit dem Server herzustellen. Sie haben dann Zugriff auf das Netzwerk als wären Sie noch im Büro angeschlossen. Aus Performancegründen läuft der Web Traffic nicht über den KMU Server (wurde nicht als redirect Gateway eingerichtet).

WLAN Einrichtung

Die derzeit sicherste WLAN Authentifizierung ist die Verwendung eines Radius Server. Diese Funktion ist im KMU Server integriert und Vorkonfiguriert. Man benötigt dazu einen Radius Client fähigen Accesspoint. Der kostengünstige Zyxel G560 bietet diese Option, es können jedoch auch andere verwendet werden. Als erstes ist dieser im Netzwerk anzuschliessen. Zum Einrichten definieren wir Ihn mit fixer IP Adresse auf 192.168.0.80.

Danach installieren wir auf dem Windows XP Clients die beiden Certifikate root.der und cert-clt.p12. Das Passwort ist das "Radius Passwort" für das Zertifikat zu installieren. Wir können die Zertifikate unter Windows XP mit dem Befehl certmgr.msc (bei Ausführen ... eingeben) kontrollieren.

Nachdem die WLAN Card auf Windows XP installiert wurde, verbinden wir diese mit dem KMU Server:

Fertig ist die Einrichtung.

Backup entschlüsseln

Um unerlaubten keine Zugriff auf die gesicherten Daten zu geben, wurde das DVD-Backup verschlüsselt. Der Schlüssel sollte immer separat an einem verschlossenen Ort aufbewahrt werden, da nur mit Ihm und dem dazugehörigen Passwort das Backup wieder entschlüsselt werden kann. Auf der Website von gnuPG finden sich Programm zum entschlüsseln für Win, Mac und Linux. Hier ein Beispiel wie man z.B. auf einem Windows Rechner an die verschlüsselten Daten kommt:

• gpg --list-keys (zeigt die installierten Schlüssel an)
• gpg --import mysecretkey (importiert ein Schlüssel)
• gpg --decrypt d:\backup.tar.gz.gpg > c:\backup.tar.gz (entschlüsselt das Backup auf Laufwerk C:\ )

USB Stick, Externe Harddisk anschliessen

Aus Sicherheitsgründen werden externe Disks nicht automatisch gemountet. Man kann dies jedoch einfach an der Konsole erledigen.

• login als root
• tail -f /var/log/messages (zeigt das zugewiese Drive an)
• USB Harddisk, Stick usw. anschliessen und das Drive merken
• CTRL+C (tail verlassen)
• mkdir /media/usb (Ein mountverzeichnis erstellen)
• mount -t vfat /dev/sdc1 /media/usb (vfat für fat32, sdc1 entspricht dem Drive)
• Laufwerk benutzen
• umount /media/usb (Laufwerk abmelden)
• Laufwerk wieder entfernen.

Für ein weiteres Mal muss man lediglich mount und umount benutzen für die Laufwerksverwendung.

OnStream DI-30GB Backup Integration

Diese Anleitung beschreibt die Installation eine IDE-Tape Backup Drive OnStream DI-30GB unter Debian Sarge.

• /boot/grub/menu.lst kernelaufruf ergänzen mit hdd=ide-scsi
• /etc/modutils/aliases ergänzen mit alias char-major-206 osst
• update-modules ausführen
• mknod /dev/osst0 c 206 0
• Rechner neustarten

Danach kann ein Backupscript erstellt werden:

• rmmod ide-tape #Modul entfernen falls geladen
• modprobe ide-scsi #Scsi Emulation laden
• mt -f /dev/osst0 erase #Band löschen
• sleep 10
• cd / #Sicherung starten
• tar cvzfp /dev/osst0 /root /var /etc /home --exclude="var/cache/apt/archives"

Zum zurücksichern:

• mt -f /dev/osst0 rewind #band zurückspulen
• cd /tmp #ab hier relativ entpacken
• tar xvzfp /dev/osst0

Server ausschalten

Wie bei allem gibt's auch hier mehrere Möglichkeiten. Am einfachsten man verbindet sich mittels ssh am Server.

• ssh commserver (verbinden mit ssh z.B. unter Windows putty)
• login als admin
• su (root rechte erlangen)
• shutdown -r now (system sofort neustarten)
• shutdown -h now (system sofort ausschalten)

Man kann jedoch dies auch bequem mit webmin erledigen. Unter [Sonstiges] [Kommandozeile] kann man direkt shutdown -h now eingeben.

©2005-2006 by activmedia. All Rights reserved.
activmedia® ist ein eingetragenes Markenzeichen von activmedia.
Linux® ist ein eingetragenes Markenzeichen von Linus Torvalds.