Base system

Nota

Documentation about the old Server Manager is available here.

Questo capitolo descrive tutti i moduli disponibili al termine dell’installazione. Tutti i moduli al di fuori di questa sezione possono essere installati dalla pagina del Software center.

L’installazione predefinita include i seguenti moduli principali:

L’utente root può visualizzare tutte le pagine di configurazione ma l’accesso a ciascuna sezione e applicazione può anche essere delegato ad altri utenti. Vedi la sezione Delega.

Diverse applicazioni nel Server Manager utilizzano netdata per visualizzare utili grafici. Netdata non è presente di default, è possibile installarlo attraverso il Software center.

Sistema

La pagina Sistema è la sezione che viene visualizzata a seguito di un login riuscito. La pagina visualizzerà lo status e la configurazione del sistema.

Dalla dashboard di sistema, l’amministratore può:

  • modificare il nome FQDN del server ed i relativi Alias
  • configurare i server DNS upstream
  • configurare Data e ora
  • personalizzare l’anagrafica della azienda

Il sistema basa include inoltre:

Rete

Oltre a tutte le funzionalità disponibili nel vecchio Server Manager (vedi Rete), questa pagina consente di:

  • controllare lo stato della rete con strumenti diagnostici integrati come ping, trace route e risoluzione dei nomi
  • creare un’interfaccia di rete logica senza un ruolo: tale interfaccia può essere utilizzata in seguito da altri moduli come l’hotspot Dedalo

Servizi

Un sistema remoto può connettersi ad un servizio di rete, che è un software in esecuzione sullo stesso NethServer.

Ogni servizio può avere un elenco di porte «aperte» che accettano connessioni locali o remote. Per controllare quali zone o host possano accedere a un servizio di rete, consultare la sezione Firewall e gateway.

I servizi esistenti possono essere avviati e arrestati direttamente dalla pagina Servizi.

Storage

La sezione storage consente di configurare e monitorare i dischi. L’amministratore può montare nuovi dischi locali o remoti, gestire array RAID e volumi LVM.

SSH

La pagina SSH mostra il numero di connessioni SSH attive. Da questa sezione l’amministratore può modificare la porta di ascolto OpenSSH, disabilitare l’accesso root e l’autenticazione della password.

By default, SSH access is limited to root user and all users inside the designated administrative group (Domain Admins). It is possible to selectively grant SSH and SFTP access to some groups, while administrators are always granted access to SSH and SFTP.

SSH and SFTP permissions are available once the System > Settings > Shell policy > Override the shell of users has been enabled. If Override the shell of users is disabled, only users with Shell option can access the Server Manager, and delegation is not required any more.

Impostazioni

La pagina impostazioni consente la configurazione di alcune opzioni che potrebbero avere un impatto su più applicazioni di sistema.

Smart host

Molte applicazioni di sistema, come cron, possono generare notifiche via mail. Se il server non dovesse essere in grado di recapitare direttamente questi messaggi, l’amministratore può configurare un server di inoltro SMTP. Quando lo smarthost è abilitato, tutti i messaggi di posta verranno recapitati attraverso il server configurato.

Notifiche email

Per impostazione predefinita, le notifiche vengono inviate alla maildir locale di root. L’amministratore può cambiare l’indirizzo di inoltro a root aggiungendo uno o più indirizzi di posta elettronica nel campo Destinazione.

È buona pratica impostare un Indirizzo mittente personalizzato: i messaggi dell’utente root (come le notifiche cron) verranno inviati usando l’indirizzo specificato. Una buona scelta potrebbe essere: no-reply@<domain> (in cui <domain> è il dominio del server). Se non impostato, i messaggi verranno inviati usando root@<fqdn> come indirizzo mittente.

Server Manager

Per impostazione predefinita, l’accesso al Server Manager è autorizzato da tutte le zone del firewall. Da questa sezione l’amministratore può limitare l’accesso al Server Manager solo a un elenco di indirizzi IP affidabili.

File di log

Tutti i file di log sono gestiti da logrotate. Logrotate è progettato per facilitare l’amministrazione di un gran numero di file di log. Consente la rotazione, la compressione e la rimozione automatica dei log. Ogni file può essere gestito giornalmente, settimanalmente, mensilmente.

L’amministratore può impostare la configurazione predefinita di logrotate da questa pagina. La configurazione si applicherà a tutte le applicazioni. Tuttavia, alcune applicazioni possono ignorare tale configurazione per rispondere ad esigenze specifiche.

Suggerimenti di configurazione

La maggior parte delle pagine del Server Manager possono visualizzare alcuni suggerimenti per aiutare l’amministratore ad adottare una migliore configurazione del sistema. I suggerimenti sono solo dei consigli e possono essere disabilitati da questo menu.

Cambio password

La pagina delle impostazioni include anche un pannello per consentire agli utenti, incluso l’utente root, di cambiare la propria password.

Criteri shell

Questa impostazione può essere utilizzata per abilitare o disabilitare la shell, necessaria per utilizzare il nuovo Server Manager e il servizio SSH. Se questa opzione è attiva, la shell è considerata sempre abilitata e la relativa impostazione per l’utente nella pagina Utenti e gruppi viene ignorata.

Pagina impostazioni utente

Quando l’opzione Abilita pagina impostazioni utente è abilitata, gli utenti possono modificare la propria password e altre impostazioni del profilo attraverso una pagina Web esterna a Cockpit (sulla porta 443). La pagina predefinita è / user-settings. Questa funzione può essere abilitata solo se è attiva l’opzione Criteri Shell.

L’accesso alla pagina può essere limitato alle sole reti fidate.

Log

Il sistema fornisce un registro indicizzato denominato journal. Il journal può essere sfogliato da questa pagina: i messaggi possono essere filtrati per servizio, gravità e data.

Applicazioni

La pagina Applicazioni elenca tutte le applicazioni installate. Una applicazione è un modulo del Server Manager generalmente composto da più pagine tra cui una dashboard, una o più sezioni di configurazione e l’accesso ai registri dell’applicazione. Un clic sul pulsante Impostazioni aprirà l’applicazione.

Esistono anche applicazioni più semplici che includono solo un collegamento a pagine Web esterne. Per accedere a tali applicazioni fare clic sul pulsante Apri.

Scorciatoie

L’amministratore può aggiungere dei collegamenti per le applicazioni utilizzate più di frequente. I collegamenti alle applicazioni saranno mostrati nel menu di sinistra.

Solo l’utente root ha accesso a questa funzionalità.

Aggiungi alla home page

Il Launcher è un’applicazione del nuovo Server Manager disponibile per tutti gli utenti su porte HTTPS e HTTP. Il launcher è accessibile tramite l’FQDN del server (ad es. https://my.server.com) e viene automaticamente abilitato se non esiste alcuna home page già configurata all’interno del server Web (nessuna index page nel percorso /var/www/html)

Le applicazioni installate possono essere aggiunte al launcher facendo clic sul pulsante Aggiungi alla home page. Tutti gli utenti saranno in grado di accedere al link pubblico dell’applicazione.

Solo l’utente root ha accesso a questa funzionalità.

Rimozione applicazioni

Per rimuovere un modulo installato, fare clic sul pulsante Rimuovi dell’applicazione corrispondente.

Avvertimento

Quando si disinstalla un modulo, è possibile che vengano rimossi anche altri moduli! Leggere attentamente l’elenco dei pacchetti interessati per evitare di rimuovere delle funzionalità necessarie.

Questa funzionalità non è supportata in NethServer Enterprise

Terminale

Eseguire una shell standard all’interno di un terminale direttamente accessibile dal browser. La shell e i processi verranno eseguiti con i privilegi dell’utente.

Delega

In ambienti struturati, l’utente root può :index: delegare l’accesso ad alcune sezioni a gruppi specifici di utenti locali.

Un utente locale può essere delegato ad accedere a:

  • una o più pagine della sezione Sistema
  • una o più applicazioni installate
  • una o più sezioni tra Subscription, Software Center

La delega si basa su gruppi locali, ogni utente appartenente ad gruppo ne erediterà le deleghe. Gli utenti appartenenti ai domain admins vengono automaticamente delegati a tutti i pannelli.

Per creare una nuova delega, accedere alla sezione gruppi nella pagina Utenti & Gruppi, quindi modificare un gruppo esistente - o crearne uno nuovo - selezionando uno o più elementi dai menu Viste sistema e Applicazioni.

Anche se un utente è stato delegato, gli deve essere concesso esplicitamente l’accesso alla shell prima di poter accedere a Server Manager.

Le sezioni seguenti sono sempre accessibili da tutti gli utenti:

  • dashboard
  • applicazioni
  • terminale

Autenticazione a due fattori (2FA)

L’autenticazione a due fattori (2FA) può essere utilizzata per aggiungere un ulteriore livello di sicurezza per l’accesso al nuovo Server Manager. Innanzitutto, gli utenti inseriranno nome utente e password, quindi dovranno fornire un codice di verifica temporaneo generato da un’applicazione in esecuzione sul proprio smartphone.

Il 2FA è disabilitato per impostazione predefinita. Ogni utente può abilitarlo accedendo alla sezione Autenticazione a due fattori sotto la pagina Impostazioni del proprio profilo, quindi seguendo questi passaggi:

  1. scaricare e installare nello smartphone l’applicazione 2FA preferita
  2. scansionare il QR code con l’applicazione 2FA
  3. generare un nuovo codice e copiarlo all’interno del campo Codice di verifica, quindi fare clic su Verifica codice
  4. se il codice di verifica è corretto, fare clic sul pulsante Salva

L’autenticazione a due fattori è attivabile per:

  • il nuovo Server Manager
  • SSH quando si utilizzano nome utente e password (l’accesso con chiave pubblica non richiederà mai il 2FA)

Codici di recupero

È possibile utilizzare i codici di ripristino anziché dei codici temporanei se l’utente non può accedere all’applicazione 2FA sullo smartphone. Ogni codice di ripristino è una one-time password e può essere utilizzato una sola volta.

Per generare nuovi codici di ripristino, disabilitare il 2FA, quindi riattivarlo registrando nuovamente l’applicazione, seguendo i passaggi precedenti.

Applicazioni per smartphone

Esistono diverse applicazioni, commerciali e open source, per il 2FA:

Disponibili sia per Android che per iOS:

  • FreeOTP: disponibile sia per Android che per iOS
  • Authenticator: disponibile solo per iOS
  • andOTP: disponibile sia per Android che per iOS

Ripristino d’emergenza

In caso di emergenza, il 2FA può essere disabilitato accedendo al server da una console fisica, come una tastiera e un monitor, un cavo seriale o una connessione VNC - o simili - per macchine virtuali:

  1. accedere al sistema con nome utente e password

  2. eseguire:

    rm -f ~/.2fa.secret
    sudo /sbin/e-smith/signal-event -j otp-save
    

Successivamente, l’utente root potrà ottenere i codici di recupero per un utente utilizzando il seguente comando, sostituendo <user> con il nome utente effettivo:

oathtool -w 4 $(cat ~<user>/.2fa.secret)

Esempio per l’utente goofy:

# oathtool -w 4 $(cat ~goofy/.2fa.secret)
984147
754680
540025
425645
016250