The old Server Manager

This chapter describes the old Server Manager web interface. Since NethServer 7.9 it must be installed from the Software center page as it is not included in the default installation procedure.

Avvertimento

New features of NethServer are not available in this web interface. Backward compatibility may break at any time. It is recommended to use the new Server Manager. See Accesso al Server Manager and Base system.

Getting started

You need a web browser like Mozilla Firefox or Google Chrome to access the old Server Manager web interface using the address (URL) https://a.b.c.d:980 or https://server_name:980 where a.b.c.d and server_name respectively are the server IP address and name configured during installation.

If the Web server module is installed, you can also access the web interface using the address https://server_name/server-manager.

The Server Manager uses self-signed SSL certificates. You should explicitly accept them the first time you access the server. The connection is safe and encrypted.

Login

The login page allows selecting an alternative language among those already installed on the system. After logging in, additional language packs can be installed from the Software center page under the Languages category.

The login page will give you a trusted access to the web interface. Log in as root and type the password chosen during NethServer installation.

Nota

The unattended install procedure sets the root password to the default Nethesis,1234.

Change the current password

You can change the root password from the web interface by going to the root@host.domain.com label on the upper right corner of the screen and clicking on Profile.

Logout

Terminate the current Server Manager session by going to the root@host.domain.com label on the upper right corner of the screen and by clicking on Logout.

Session timeouts

By default (starting from NethServer 7.5.1804), a Server Manager session terminates after 60 minutes of inactivity (idle timeout) and expires 8 hours after the login (session life time).

The following shell command sets 2 hours of idle timeout, and 16 hours of maximum session life time. Time is expressed in seconds:

config setprop httpd-admin MaxSessionIdleTime 7200 MaxSessionLifeTime 57600

To disable the timeouts

config setprop httpd-admin MaxSessionIdleTime '' MaxSessionLifeTime ''

The new timeout values will affect new sessions. They do not change any active session.

Dashboard

La pagina mostrata di default dopo il login è la Dashboard; qui viene visualizzato un riepilogo dello stato del sistema e delle sue impostazioni.

Analizzatore disco

Questo strumento è usato per visualizzare l”utilizzo del disco in un semplice grafico in cui è possibile interagire con click e doppio click per navigare nelle cartelle.

Dopo l’installazione andare nella pagina Dashboard e poi nella scheda Utilizzo disco, quindi cliccare su Aggiorna per indicizzare la directory root e mostrare il grafico. Questo processo può durare diversi minuti in base allo spazio occupato su disco.

Alcune cartelle note sono:

  • Cartelle condivise: /var/lib/nethserver/ibay
  • Home degli utenti: /var/lib/nethserver/home
  • Mail: /var/lib/nethserver/vmail
  • Fax: /var/lib/nethserver/fax
  • Database MySQL: /var/lib/mysql

Rete

La pagina Rete consente di stabilire in quale modo il server è collegato alla rete locale (LAN) oppure alle reti pubbliche (Internet).

Se il server svolge la funzionalità di firewall e gateway, sarà in grado di gestire reti aggiuntive con funzionalità speciali come DMZ (DeMilitarized Zone) o rete ospiti.

NethServer supporta un numero illimitato di schede di rete. Le reti gestite devono sottostare alle regole seguenti:

  • le reti devono essere fisicamente separate (non possono essere collegate allo stesso switch/hub)
  • le reti devono essere logicamente separate (essere configurate su sotto-reti differenti)
  • private networks, like LANs, must follow address’s convention from RFC1918 document

Ogni interfaccia di rete ha un ruolo specifico che ne determina l’utilizzo e il comportamento. I ruoli sono indicati tramite colori. Ogni colore indica la zona di appartenenza della scheda di rete e le regole ad essa applicate:

  • green: rete locale. I computer su questa rete possono accedere a qualsiasi altra rete configurata sul server
  • blue: rete ospiti. I computer su questa rete possono accedere alle reti orange e red, ma non possono accedere alla zona green
  • orange: rete DMZ. I computer su questa rete possono accedere alle reti red, ma non possono accedere alle zone blue e green
  • red: rete pubblica. I computer in questa rete possono accedere solo al server stesso

Si veda Policy per maggiori informazioni sull’uso dei ruoli nelle regole del firewall.

Nota

Il server deve avere almeno un’interfaccia di rete. Quando il server ha una sola scheda di rete, tale scheda deve avere il ruolo green.

If the server is installed on a public VPS (Virtual Private Server), it should must be configured with a green interface. All critical services should be closed using Servizi di rete panel.

Alias IP

Per assegnare più indirizzi IP alla stessa scheda è possibile utilizzare gli alias IP.

In tal modo è possibile ad esempio associare alla stessa red più indirizzi IP della stessa classe e gestirli in modo indipendente (ad esempio con dei port forward che discriminano in base allo specifico IP di destinazione).

L’alias è configurabile cliccando nel menu a tendina della specifica scheda di rete e avrà lo stesso ruolo della scheda fisica associata.

Nota

L’alias IP su interfaccia PPPoE in alcuni casi potrebbe non funzionare correttamente a causa di differenze nella fornitura del servizio tra i vari provider internet.

Interfacce logiche

Nella pagina Network premere il pulsante Nuova interfaccia per creare una interfaccia logica. I tipi di interfacce logiche supportate sono:

  • bond: combina due o più interfacce, garantisce bilanciamento del traffico e tolleranza ai guasti
  • bridge: collega due reti distinte, è spesso utilizzata per le VPN in bridge e le macchine virtuali
  • VLAN (Virtual Local Area Network): crea due o più reti fisicamente separate usando una singola interfaccia fisica
  • PPPoE (Point-to-Point Protocol over Ethernet): collegamento a Internet attraverso un modem DSL

I bond consentono di aggregare banda o tollerare guasti. I bond posso essere configurati in varie modalità.

Modalità che supportano aggregazione di banda e tolleranza ai guasti:

  • Balance Round Robin (raccomandato)
  • Balance XOR
  • 802.3ad (LACP): richiede il supporto nel driver della scheda di rete ed uno switch in cui sia abilitata la modalità IEEE 802.3ad Dynamic link
  • Balance TLB: richiede il supporto nel driver della scheda di rete
  • Balance ALB

Modalità che supportano solo tolleranza ai guasti:

  • Active backup (raccomandato)
  • Broadcast policy

I bridge hanno la funzione di collegare segmenti di rete differenti, per esempio consentendo ai client collegati in VPN o macchine virtuali di accedere alla rete locale (green).

Quando non è possibile separare fisicamente due reti diverse, è possibile utilizzare le VLAN con tag. Il traffico delle due reti può essere trasmesso sullo stesso cavo ma sarà trattato come se fosse inviato e ricevuto da due schede separate. L’utilizzo delle VLAN necessita di switch adeguatamente configurati.

Avvertimento

All’interfaccia logica PPPoE deve essere assegnato il ruolo di red, quindi richiede la funzionalità di gateway. Vedi Firewall per i dettagli.

Servizi di rete

Un sistema remoto può connettersi ad un servizio di rete, che è un software in esecuzione sullo stesso NethServer.

Each service has a list of «open» ports on which it answers to connections. Connections can be accepted from selected zones. More fine-grained control of access to network services can be configured from the Firewall rules page.

Reti fidate

Le reti fidate sono reti speciali (locali, VPN o remote) a cui è garantito l’accesso a servizi speciali del server.

Ad esempio, i computer sulle reti fidate possono accedere a:

  • Server Manager
  • Cartelle condivise (SAMBA)

If the remote network is reachable using a router, remember to add a static route inside Rotte statiche page.

Rotte statiche

Il pannello consente di specificare instradamenti particolari (rotte statiche) che non facciano uso del default gateway (ad esempio per raggiungere reti private collegate tramite linee dedicate o simili).

Remember to add the network to Reti fidate, if you wish to allow remote hosts to access local services.

Indirizzo dell’organizzazione

I campi della pagina Indirizzo dell’organizzazione sono utilizzati come valori di default nella creazione degli utenti. Inoltre il nome dell’organizzazione e l’indirizzo sono mostrati nella pagina di login del vecchio Server Manager.

Certificato del server

La pagina Certificato del server mostra i certificati X.509 attualmente installati e il certificato di default fornito dal sistema per cifrare le comunicazioni TLS/SSL.

NethServer controlla la validità del certificato e invia una email all’utente root se il certificato sta per scadere.

Il pulsante Imposta default consente di scegliere il certificato di default. Quando viene scelto un nuovo certificato, tutti i servizi che utilizzano TLS/SSL vengono riavviati e i client di rete devono accettare il nuovo certificato.

Quando NethServer è installato viene automaticamente generato un certificato RSA auto-firmato. Dovrebbe essere modificato inserendo dei valori appropriati prima di utilizzarlo dai client di rete. Quando il certificato auto-firmato sta per scadere ne viene creato automaticamente uno nuovo con la stessa chiave RSA e gli stessi attributi.

La pagina Certificato del server permette anche di:

  • caricare un certificato esistente e la chiave privata RSA/ECC. In aggiunta può essere specificato anche un chain file. Tutti i file devono essere codificati nel formato PEM.

  • richiedere un nuovo certificato di Let’s Encrypt [1]. Questo è possibile se sono rispettati i seguenti requisiti:

    1. il server deve essere raggiungibile dall’esterno alla porta 80. Assicurarsi che la porta 80 è aperta alle connessioni da Internet (si può effettuare un test da siti come [2]);

    2. i domini che si vogliono associare al certificato devono essere domini pubblici, associati all’indirizzo IP pubblico del server. Assicurarsi di avere un nome registrato nel DNS pubblico che punta correttamente al proprio server (si può effettuare un test da siti come [3]).

      I certificati wildcard (es. *.nethserver.org) non sono supportati.

    Il campo Invia notifiche a verrà usato da Let’s Encrypt per inviare notifiche sul certificato.

    Il certificato Let’s Encrypt viene automaticamente rinnovato 30 giorni prima della scadenza.

Nota

Per evitare problemi di importazione certificato con Internet Explorer, si consiglia di configurare il campo CN (Common Name) o Nome Comune in modo che corrisponda al FQDN del server.

[1]Sito web di Let’s Encrypt https://letsencrypt.org/
[2]Sito web http://www.canyouseeme.org/
[3]Sito web http://viewdns.info/

Disattivare Let’s Encrypt

Il certificato Let’s Encrypt può essere disabilitato seguendo questi passi:

  1. Accedere alla pagina Server certificate, impostare come predefinito il certificato autofirmato o uno caricato

  2. Aprire la shell ed eseguire i seguenti comandi:

    rm -rf /etc/letsencrypt/*
    config setprop pki LetsEncryptDomains ''
    

Arresto

La macchina su cui è installato NethServer può essere riavviata o spenta dalla pagina Arresto. Selezionare l’opzione Riavvia oppure Spegni e fare click su Arresta il sistema.

Al fine di evitare danni al sistema, utilizzare sempre questo modulo per effettuare una corretta procedura di riavvio o spegnimento del server.

Visualizza Log

Tutti i servizi registrano le operazioni svolte all’interno di file detti log. L’analisi dei log è lo strumento principale per individuare malfunzionamenti e problemi. Per visualizzare i file di log fare clic su Visualizza Log.

Questo modulo consente di:

  • effettuare ricerche all’interno di tutti i log del server
  • visualizzare un singolo log
  • seguire in tempo reale il contenuto di un log

Data e ora

Al termine dell’installazione, assicurarsi che il server sia configurato con il corretto fuso orario. L’orologio della macchina può essere configurato manualmente o automaticamente usando server NTP pubblici (consigliato).

La corretta configurazione dell’orologio è importante per il funzionamento di molti protocolli. Per evitare problemi, tutti gli host della LAN possono essere configurati per usare il server stesso come server NTP.

Aiuto in linea

Tutti i pacchetti che sono configurabili attraverso il Server Manager contengono un manuale in linea che spiega l’utilizzo base e tutti i campi contenuti nella pagina.

Il manuale in linea è consultabile in tutte le lingue in cui è tradotto il Server Manager.

Una lista di tutti i manuali installati nel sistema è disponibile all’indirizzo:

https://<server>:980/<language>/Help

Esempio

Se il server ha indirizzo 192.168.1.2 e si desidera visualizzare la lista dei manuali in italiano, usare il seguente indirizzo:

https://192.168.1.2:980/en/Help