Basis System

Dieses Kapitel enthält eine Beschreibung aller Module, die am Ende der Installation verfügbar sind. Alle weiteren, hier nicht genannten Module Müssen über das Paket-Management package_manager-section installiert werden (einschließlich backup und Benutzerunterstützung).

Übersicht

Die Übersicht Seite ist die Startseite nach einer erfolgreichen Anmeldung.. Hier ist der Status status und die Konfiguration des Systems ersichtlich.

Festplattennutzung

Das Werkzeug Festplattennutzung macht die Belegung der Festplatte optisch erkennbar . Ein einfach bedienbares Diagramm ermöglicht durch Klick und Doppelklick eine Navigation in der Ordnerstruktur.

Nach dem Ende der Installation kann man im Bereich Fetplattennutzung der Übersicht den Punkt Update auswählen um eine Katalogisierung des Verzeichnisbaums auszulösen und im Anschluss das Diagramm anzeigen zu lassen. Je nach Datenmenge kann dies mehrere Minuten dauern.

Bekannte Verzeichnisse sind:

  • Freigegebene Verzeichnisse: /var/lib/nethserver/ibay
  • Benutzerhomes: /var/lib/nethserver/home
  • Windows roaming profiles: /var/lib/nethserver/profile
  • Mail: /var/lib/nethserver/vmail
  • Faxes: /var/lib/nethserver/fax
  • MySQL Datenbanken: /var/lib/mysql

Netzwerk

Die Seite Netzwerk legt fest, wie der Server mit dem lokalen Netzwerk (LAN) und anderen Netzen (z.B. Internet) verbunden ist.

Falls der Server als Firewall und Gateway arbeitet, so wird er spezielle Netze verwalten, wie zum Beispiel eine DMZ (Entmilitarisierte Zone) und ein Gästenetz.

NethServer unterstützt eine belibige Anzahl von Netzwerkkarten. Jedes Netzwerk muss folgenden Anforderungen genügen:

  • Netzwerke müssen physikalisch getrennt sein (keine verbindung mit dem gleichen Switch/Hub)
  • Netzwerke müssen logisch getrennt sein (unterschiedliche Adressbereiche)
  • Private Netzwerke (wie LANs) müssen den Adresskonventionen nach RFC1918 folgen. Siehe Addressen für private Netzwerke (RFC1918)

Jede Netzwerkkarte hat eine bestimmte Rolle (Funktion), die ihr Verhalten festlegt. Die Rolle wird durch eine Farbkodierung beschrieben, die einer Zone mit bestimmten Regeln gehört:

  • grün: Lokales Netzwerk. Rechner in diesem Netz können auf alle anderen Netze zugreifen.
  • blau: Gast Netzwerk. Rechner in diesem Netz können auf das rote und orange Netz zugreifen. Das grüne Netz ist nicht erreichbar.
  • orange: DMZ Netzwerk. Rechner in diesem Netz können auf das rote Netzwerk zugreifen. Blau, Grün und Orange sind nicht erreichbar.
  • rot: Öffentliches Netzwerk. Rechner in diesem Netz können nur auf den Server zugreifen.

Siehe Richtlinien für weitere INformationen zu Rollen und Firewallregeln.

Bemerkung

Der Server benötigt immer mindestens eine Netzwerkkarte. Wenn nur eine Netzwerkkarte vorhanden ist, muss diese im grünen Netz sein.

Falls der Server auf einem öffentlichen Server (Virtual Private Server) installiert wird, so muss er mit einem grünen Netz konfiguriert werden. Alle kritischen Dienste sollten über die Konfigurationsoberfläche Netzwerk Dienste deaktiviert werden.

Alias IPs

Mit Hilfe von Alias IPs können einer Netzwerkkarte mehrere IP-Adressen zugeordnet werden.

Beim typischsten Szenario werden einer roten Netzwerkkarte mehrere Adressen zugeordnet. Dies kann sinnvoll sein, wenn der ISP mehrere Adressen aus dem gleichen Subnet anbietet. Von diesen können dann mehrere (oder alle) an diese Netzwerkkarte gebunden werden. Auf diese Weise kann man individuelle Konfigurationen erstellen (z.B. im Bereich Port-Forwarding).

Der Menüpunkt zum Erstellen eine Alias IP befindet sich im Dropdown Menü der entsprechenden Netzwerkkarte (Erstelle IP Alias).

Logische Metzwerkkarten

Im Bereich Netzwerk den Knopf Neue Schnittstelle anklicken, um eine logische Netzwerkkarte zu erstellen.

Mögliche logische Netzwerkkarten sind:

  • Bond: Zusammenfassen von zwei oder mehr Netzwerkkarten, um Lastausgleich und Fehrertoleranz zu ermöglichen.
  • Bridge: Zwei verschiedene Netzwerke verbinden. Wird oft für bridged VPN und virtuelle Maschinen verwendet.
  • VLAN (Virtual Local Area Network): Erstellen von zwei oder mehr logisch getrennten Netzwerken auf einer Netzwerkkarte.
  • PPPoE (Point-to-Point Protocol over Ethernet): Internetverbindung über ein DSL-Modem

Bonds erlauben die Zusammenfassung von Bandbreite von zwei oder mehr Netzwerkkarten. Das System verwendet alle Netzwerkkarten gleichzeitig und verteilt den Verkehr auf die einzelnen Karten. Beim Auftreten von Fehlern wird die defekte Karte automatisch aus dem bond entfernt.

Eine bridge dient zur Verbindung zweier verschiedener Netzwerksegmente, zum Beispiel um virtuelle Maschinen zu verbinden oder einem Client via VPN eine Verbindung ins grüne Netz zu ermöglichen.

Wenn eine physikalische Trennung zweier Netze nicht möglich ist, kann ein tagged VLAN verwendet werden. Der Datenverkehr der beiden Netze läuft über das gleiche Kabel, wird aber behandelt, als käme er von getennten Netzwerkkarten. Die Verwendung von VLANs erfordert sauber konfigurierte Switche.

Warnung

Die logische PPPoE Netzwerkkarte muss dem roten Netz zugeordnet werden, da dies für die Funktion als Gateway benötigt wird. Siehe Firewall und Gateway für Details.

Addressen für private Netzwerke (RFC1918)

Private TCP/IP Netzwerke, die nicht direkt mit dem Internet verbunden werden, sollten spezielle Adressbereiche verwenden, die von der IANA (Internet Assigned Numbers Authority) dafür reserviert wurden:

Privates Netzwerk Subnetmaske IP Adressbereich
10.0.0.0 255.0.0.0 10.0.0.1 - 10.255.255.254
172.16.0.0 255.240.0.0 172.16.0.1 - 172.31.255.254
192.168.0.0 255.255.0.0 192.168.0.1 - 192.168.255.254

Netzwerk Dienste

Ein Netzwerkdienst ist ein Dienst, der direkt auf der Firewall läuft.

Diese Dienste sind für alle Rechner im grünen Netz (LAN) erreichbar. Zugriffsrichtlinien können über den Bereich Netzwerkdienste geändert werden.

Mögliche Richtlinien sind:

  • Zugriff nur aus dem grünen Netz (private): Alle Rechner aus dem grünen Netz und VPN-Clients.
  • Zugriff aus grün und rot (public): Jeder Rechner aus grün, VPN-Clients und externe Netzwerke. Zugriffe aus blau (Gäste) und orange (DMZ) sind nicht erlaubt.
  • Zugriff nur vom Server (lokal): Kein Rechner kann den Dienst verwenden.

Benutzerdefinierter Zugriff

Wenn die gewählte Richtlinie private oder public ist, so kann man Rechner oder Netzwerke hinzufügen, denen der Zugriff immer erlaubt (verboten) ist, indem man Erlaubte hosts oder Deny hosts wählt. Diese Regeln gelten auch für das blaue und orange Netz.

Beispiel

Gegeben ist folgende Konfiguration:

  • Oranges Netz: 192.168.2.0/24
  • Zugriff auf NTP Dienst ist privat

Wenn Rechner aus der DMZ auf den NTP Dienst zugreifen müssen, so fügt man das 192.168.2.0/24 Netz im Bereich Erlaubte Hosts hinzu.

Vertrauenswürdige Netzwerke

Vertrauenswürdige Netzwerke sind spezielle Netze (local, VPNs oder auch entfernt) denen der Zugriff auf spezielle Dienste des Servers erlaubt wird.

Zum Beispiel können Rechner in vertrauenswürdigen Netzen auf folgende Dienste zugreifen:

  • Server Manager
  • Freigegebene Verzeichnisse (SAMBA)

Wenn das entfernte Netzwerk über einen Router erreicht wird, so muss in Statische Route eine statische Route eingetragen werden.

Statische Route

Auf dieser Seite werden statische Routen erstellt Statische Route, die ein bestimmtes Gateway verwenden. Derartige Routen werden üblicherweise verwendet, um Verbindungen zu privaten Netzen aufzubauen.

Es ist wichtig, dass das Netzwerk in Vertrauenswürdige Netzwerke als vertrauenswürdiges Netz eingetragen wird.

Firmenkontaktdaten

Die Felder der Organisation Seite liefert die Voreinstellungen für Benutzeraccounts. Der Name der Firme sowie die Adresse werden auch auf der Login-Seite angezeigt.

Server Zertifikate

Die Server Zertifikate Seite zeigt das aktuell installierte SSL-Zertifikat, das für alle Systemdienste gültig ist.

Der Knopf Neues zertifikat erlaubt die Erstellung eines neuen selbstsignierten SSL-Zertifikat. Wird ein neues Zertifikat erstellt, so werden alle Dienste neu gestartet. Alle Clients müssen dieses Zertifikat dann noch akzeptieren.

Bemerkung

Um Probleme beim Import des Zertifikates in den Internet Explorer zu vermeiden, sollte der Common Name (CN) dem FQDN des Servers entsprechen.

Installation eines Benutzerzertifikates

Benutzerzertifikate sollten in den den folgenden (üblichen) Verzeichnissen abgespeichert werden:

  • /etc/pki/tls/certs: public key
  • /etc/pki/tls/private: private key

Einstellen der Pfade für den privaten Schlüssel und das Zertifikat

db configuration setprop pki CrtFile '/path/to/cert/pem-formatted.crt'
db configuration setprop pki KeyFile '/path/to/private/pem-formatted.key'

Man kann auch ein SSL certificate chain file verwenden:

db configuration setprop pki ChainFile '/path/to/cert/pem-formatted-chain.crt'

Informieren der Dienste über das neue Zertifikat:

signal-event certificate-update

Sicherung eines Benutzerzertifikates

Benutzerzertifikate müssen explizit in das Konfigurationsbackup aufgenommen werden. Dafür müssen die Pfade in /etc/backup-config.d/custom.include eingetragen werden.

Wenn das Zertifikat beispielsweise hier zu finden ist /etc/pki/tls/certs/mycert.crt, so genügt die Ausführung von

echo "/etc/pki/tls/certs/mycert.crt" >> /etc/backup-config.d/custom.include

Benutzerkennwort ändern

Alle Benutzer können sich an der Konfigurationsoberfläche anmelden und auf ihr Benutzerprofil zugreifen.

Nach der Anmeldung kann ein Benutzer eine Kennwortädnerung vornehmen und folgende Informationen ändern:

  • Name und Vorname
  • External Mail-Addresse

Der Benutzer kann auch die vom Administrator voreingestellten Felder ändern:

  • Firme
  • Bereich
  • Addresse
  • Stadt

Herunterfahren

der Rechner, auf dem NethServer installiert ist kann von Herunterfahren ausgeschaltet oder neu gestartet werden. Man wählt die gewünschte Aktion an und klickt auf den Knopf mit der Aufschrift Das System herunterfahren.

Man sollte stets diesen Weg wählen, um den Computer herunterzufahren. Andere Methoden können zu inkonsistenten Daten führen.

Protokoll Betrachter (LogViwer)

Alle Dienste schreiben ihr Protokoll (Log) in die Dateien (logs).

Die Protokoll Analyse ist das Hauptwerkzeug um Probleme zu finden und zu lösen. Das Werkzeug findet man unter Log viewer.

Dieses Modul erlaubt:

  • Alle Logs durchsuchen
  • Eine einzelne Datei durchsuchen
  • Die Einträge in eine Logdatei in Echtzeit verfolgen

Datum und Zeit

Nach der Installation ist es wichtig, dass sich der Server in der richtigen Zeitzone befindet. Die Uhrzeit des Rechners kann manuell oder automatisch via NTP (bevorzugt) eingestellt werden.

Die Uhrzeit des Rechners ist für viele Protokolleinträge wichtig. Um Probleme zu vermeiden, sollten alle Rechner im LAN den Server als NTP-Server verwenden.

Inline Hilfe

Alle Programme im Server Manager enthalten eine inline help. Sie erklärt wie das Modul arbeitet und welche Optionen es besitzt.

Diese Hilfeseiten sind in allen Sprachen des Server Managers verfügbar.

Eine Liste aller verfügbaren Hilfeseitenfindet man unter

https://<server>:980/<language>/Help

Beispiel

Wenn der Server die Adresse 192.168.1.2 besitzt, so erhält man alle englischen Hilfeseiten durch

https://192.168.1.2:980/en/Help