Leggendo tutte le notizie horror di oggi su attacchi informatici e malware, hai mai desiderato configurare il tuo server per avere finalmente il massimo controllo possibile sui tuoi dati? Se sì, sei sulla strada giusta! Nei nostri articoli precedenti Introduzione a Univention Corporate Server e Installazione e configurazione di Univention Corporate Server , abbiamo parlato della soluzione di gestione dei server e dell'IT Univention Corporate Server e come installarlo per uso aziendale. Questa volta adottiamo un approccio leggermente diverso e creiamo un pacchetto software attorno a UCS che soddisfa molto bene requisiti di sicurezza più elevati ed è quindi l'ideale per ogni "amministratore domestico" per creare il proprio server privato.
Configura un server privato con ownCloud, Kopano e crittografiamo su Unvention Corporate Server
Nei passaggi seguenti, ti mostreremo come configurarlo in pochi passaggi e includere software di gruppo, e-mail e scambio di file. ovvero le app ownCloud e Kopano. Le soluzioni proprietarie di posta e groupware diventeranno quindi ridondanti, se lo desideri. E con l'installazione di Let's Encrypt anche le connessioni al tuo server UCS saranno ben protette.
Prima domanda:dove eseguo il server?
Fondamentalmente, gli utenti privati si confrontano con le stesse domande delle imprese:"Devo eseguire il server sul mio hardware, nel mio "centro IT" (o ripostiglio) o devo farlo funzionare su un sistema noleggiato, ospitato da qualche parte, ad es. “server dedicato” con un provider di servizi cloud. Prima di decidere, è importante chiedersi come si intende effettivamente utilizzare il server.
Noleggiare o non affittare
Un sistema noleggiato comporta un piccolo investimento iniziale e di solito non è associato a significative restrizioni di larghezza di banda. Inoltre, è più facile adattarlo alle tue esigenze. Un sistema noleggiato è pratico quando devi accedere da luoghi diversi, ad esempio quando il server è utilizzato da tutti i membri della tua organizzazione che potrebbero lavorare da qualche altra parte.
Gestire la tua rete
Se esegui un sistema sulla tua rete, ti offre innanzitutto il controllo completo sui tuoi dati e supporta anche scenari applicativi aggiuntivi come un file server standard o lo streaming di musica e video su lettori multimediali locali. Tuttavia, dipendere da una connessione Internet privata è spesso un collo di bottiglia quando si desidera accedere al sistema dall'esterno; anche le più recenti connessioni VDSL hanno una capacità di upload relativamente bassa. Alcuni provider Internet impediscono qualsiasi accesso dall'esterno. Consiglio quindi di eseguire alcuni test prima di investire in nuovo hardware.
I passaggi descritti di seguito sono generalmente applicabili per entrambe le opzioni.
Di quale hardware avrei bisogno?
UCS ha solo requisiti minori sull'hardware, quindi la scelta è tua. In linea di principio, anche l'hardware desktop più vecchio può essere adatto. Tuttavia, sono spesso legati a svantaggi in termini di affidabilità e consumo di energia se il sistema funziona senza interruzioni. Se decidi di investire in un sistema molto nuovo, ci sono produttori che offrono sistemi adatti per essere utilizzati 24 ore su 24, 7 giorni su 7 (spesso indicati come sistemi "SOHO NAS" (Small or Home Office Network Attached Storage). I sistemi HP della gamma MicroServer ei server Low Energy di Thomas-Krenn sono qui esempi.
Lo scopo determina la taglia giusta per te
La prossima cosa a cui devi pensare è la questione delle dimensioni del sistema. Il setup che presentiamo qui gira su un sistema con una CPU più piccola e 4 GB di RAM senza alcun problema. Il numero di accessi simultanei è la parte critica. Se il numero di utenti o applicazioni aumenta, alla fine avrai bisogno di più capacità. Le offerte cloud possono sempre essere ampliate facilmente. Nel caso in cui acquisti il sistema, vale quindi la pena iniziare già con 8 o 16 GB di RAM e una CPU con 4 core.
Lo spazio su disco rigido richiesto per UCS è trascurabile:10 GB è più che sufficiente per mantenere il sistema operativo funzionante per lungo tempo. Il fattore decisivo qui è cosa intendi farne, in particolare la quantità di dati che salvi sul sistema. Si prega di considerare anche la ridondanza tramite i dischi con mirroring (RAID) al momento dell'acquisto di hardware.
Configurazione IP e DNS
Per accedere al sistema da Internet è necessario un indirizzo IP pubblico e la relativa voce DNS. Se noleggi risorse del server, ti forniscono almeno un indirizzo IP e spesso anche un dominio pubblico.
Nelle reti domestiche, l'IP pubblico è generalmente assegnato al router privato. Questo deve essere configurato in modo che possa passare le richieste al sistema UCS locale. Il modo in cui ciò avviene dipende dal router stesso e possibilmente dal provider Internet. Puoi trovare HowTo per questo sul Web per la maggior parte dei router e dei firewall. Se il router privato non ha un IP pubblico, potrebbe essere difficile o addirittura impossibile eseguire dietro di esso un server accessibile pubblicamente. In caso di dubbio, contatta il tuo provider Internet o cerca ulteriori informazioni sul Web.
Il prossimo requisito è una voce DNS risolvibile pubblicamente, che può essere acquistata da fornitori di DNS dinamico .
Il router si occupa di tutte le comunicazioni con il provider DNS. utilizziamo il dominio "my-ucs.dnsalias.org" come esempio in questa guida.
Per i servizi qui descritti, è necessario rendere disponibili esternamente le porte 80 (HTTP) e 443 (HTTPS) e 587 (Invio SMTP per e-mail in arrivo). Dopo la configurazione, HTTP può essere ridotto alla porta crittografata 443. Per l'amministrazione remota, in particolare per i sistemi che non sono nella rete domestica, l'accesso alla porta 22 per SSH ha senso. Ulteriori porte possono derivare da ulteriori applicazioni, ad esempio se IMAPS / SMTPS deve essere utilizzato per client di posta oltre ad ActiveSync. Mentre nella configurazione domestica queste porte sono attivamente abilitate nel router locale, la configurazione di un sistema gestito da un provider dovrebbe essere progettata per bloccare tutte le altre porte.
Nella maggior parte delle reti domestiche, DCHP viene utilizzato per assegnare automaticamente gli indirizzi IP. Tuttavia, poiché l'indirizzo del server deve essere impostato nella configurazione del router per il rilascio delle porte verso l'esterno, il server deve ottenere sempre lo stesso indirizzo. Per ottenere ciò, è possibile salvare il sistema UCS o l'indirizzo MAC nella configurazione DHCP del router. In alternativa, è possibile determinare un indirizzo IP fisso durante l'installazione di UCS. In questo caso, però, bisogna assicurarsi che il router non lo assegni a nessun altro dispositivo. Quando si utilizza un IP fisso, assicurarsi sempre che le specifiche per il gateway predefinito e il server dei nomi siano corrette. Nella maggior parte dei casi, entrambi lo sono
l'IP del router.
Come configurare Unvention Corporate Server
Per l'installazione, l'immagine ISO di UCS viene scaricata dal link per il download ufficiale e masterizzato su un DVD o trasferito su una chiavetta USB. Il sistema dovrebbe quindi essere avviato da questo supporto (impostazione BIOS). L'installazione
inizia e insieme a una serie di passaggi diversi come la configurazione della lingua, i dischi rigidi montati vengono partizionati. In molti casi, puoi semplicemente adottare il suggerimento di partizionamento. Se desideri aumentare la sicurezza in caso di errore con un RAID software o un partizionamento esteso, configuralo manualmente. Per i dettagli, fare riferimento alla documentazione Debian poiché UCS utilizza il suo processo di installazione qui.
Dopo l'installazione di base inizia la configurazione UCS effettiva.
Le seguenti informazioni sono pratiche per la configurazione pianificata.
- Impostazioni dominio: Mentre stai installando il primo (e forse l'unico) sistema in un ambiente UCS, seleziona "Crea un nuovo dominio". Viene quindi richiesto di inserire un indirizzo e-mail funzionante a cui verrà inviata la chiave richiesta successivamente.
- Impostazioni PC: Ti verrà chiesto un QDN F per il sistema UCS. La prima parte di questo è il nome che verrà dato al sistema futuro e al suo dominio DNS. La configurazione di base di molti servizi in un sistema UCS dipende da questa impostazione. È molto difficile cambiare in seguito. Nel nostro esempio, utilizziamo quello dell'FQDN "server.my-ucs.dnsalias.org" . Quindi il server si sente responsabile del dominio my-ucs.dnsalias.org. Possiamo scegliere questa procedura, poiché in questo esempio assumiamo che tutti i servizi di questo dominio siano forniti da UCS.
- Configurazione software: È possibile selezionare i primi servizi per l'installazione qui. Per una rete interna, installare il "controller di dominio compatibile con Active Directory" in modo da poter impostare condivisioni file nella rete. Per maggiori dettagli, fare riferimento alla guida precedente Installazione e configurazione di UCS e il manuale ufficiale dell'UCS .
Come accedere all'UCS
Dopo l'installazione, è possibile accedere al sistema tramite un browser Internet all'indirizzo http://
Sblocca l'App Center
La prima cosa che devi fare dopo l'installazione e prima di poter installare e configurare i servizi richiesti è sbloccare l'App Center. Questo viene fatto tramite la "chiave", che viene inviata all'indirizzo indicato durante il processo di installazione. Carica la chiave direttamente dalla finestra di benvenuto che appare dopo l'installazione o vai in seguito all'UMC, fai clic sull'icona del menu "Burger" in alto a destra e seleziona il punto "Licenza" e poi "Importa nuova licenza".
Configurazione della soluzione di sincronizzazione e condivisione file ownCloud
La prima app da installare qui è ownCloud, che è una posizione di archiviazione comune per i file da PC e dispositivi mobili. Apri il "Centro app" modulo nell'UMC e cerca "ownCloud". L'installazione di ownCloud può essere avviata direttamente. Segui semplicemente le istruzioni nell'interfaccia web.
Dopo aver completato l'installazione, è possibile raggiungere ownCloud tramite https://
Configurazione di Kopano mail e groupware
Per la successiva installazione di un mail e groupware stiamo usando Kopano. Per i nostri scopi puoi usarlo gratuitamente. Per configurare Kopano mail e groupware, installa i componenti "Kopano Core", "Kopano WebApp" e "Z-Push for Kopano" dall'App Center. Durante l'installazione di Kopano, verrà creato anche un dominio di posta in UCS. Utilizzando il modulo UMC "Mail" della categoria "Domain", puoi assicurarti che il dominio di posta sia configurato correttamente. Nel nostro esempio si chiama "my-ucs.dnsalias.org".
Dopo l'installazione, è possibile configurare gli account utente. L'"indirizzo e-mail principale" è l'indirizzo e-mail che l'utente utilizzerà in Kopano. Pertanto, dovrebbe utilizzare il dominio pubblico, ad esempio [email protected] .
Ottimizzazione delle e-mail
Il servizio di posta è ora in grado di ricevere le e-mail inviate al dominio di posta pubblicamente accessibile, qui:my-ucs.dnsalias.org . Per essere sicuri che l'invio delle mail funzioni senza problemi e che le mail non vengano bloccate direttamente dai filtri antispam di altri server di posta, questo nome dovrebbe essere utilizzato anche come “helo”. Per questo, imposta la variabile UCR "mail/smtp/helo/name" sull'FQDN pubblicamente accessibile, in questo esempio:my-ucs.dnsalias.org. L'impostazione delle variabili UCR ("Univention Configuration Registry") può essere eseguita nell'omonimo modulo UMC o nella riga di comando con il comando:
ucr set mail/smtp/helo/name=“my-ucs.dnsalias.org“
Se possibile, consigliamo anche di utilizzare un host di inoltro SMTP. In particolare se l'indirizzo IP del mittente è diverso da quello di pubblico dominio. Per maggiori dettagli, consulta questa guida .
Le e-mail in arrivo vengono instradate in base allo stato attuale dell'implementazione per l'ingresso DNS pubblico del server:Se le e-mail devono essere inviate a indirizzi del dominio "my-ucs.dnsalias.org", l'IP del record MX assegnato di il dominio o l'indirizzo IP del dominio stesso viene utilizzato nel DNS e contattato come destinazione. Quest'ultimo è il caso della nostra configurazione:il dominio di posta corrisponde al nome pubblico del server, in modo che il nostro sistema venga trovato da altri server di posta e contattato per la consegna della posta.
Per impostazione predefinita, la porta 25 è specificata nel firewall UCS. Tuttavia, la porta 587 è preferita per lo scambio diretto tra i server di posta. Questo può essere approvato da UCR nel firewall. Questo può essere fatto impostando la variabile “security/packetfilter/package/manual/tcp/587/all” su "ACCETTO" – come sopra per la stringa "helo", anche qui è possibile tramite il modulo UMC o la riga di comando. A seguito delle modifiche è necessario riavviare i servizi “postfix” e “unvention-firewall”. Questo può essere fatto dalla riga di comando ("service postfix restart; service univention-firewall restart") o riavviando il server.
Pagina di panoramica del Portale Univention
La pagina panoramica in UCS, il "Portale dell'università", fornisce una buona introduzione a tutti i servizi disponibili. Ora puoi accedervi facilmente tramite "https://my-ucs.dnsalias.org" . Tuttavia, nel browser è ancora presente l'avviso del certificato, che abbiamo già visto durante l'installazione di ownCloud. Può essere risolto facilmente con Let's Encrypt.
Ultima ma non meno importante:installazione di Let's Encrypt
Per impostazione predefinita, il server Web UCS utilizza un certificato autofirmato, che genera avvisi nel browser. Tramite l'installazione di un certificato con "Let's Encrypt" puoi risolverlo. L'app corrispondente è disponibile nell'App Center.
Dopo l'installazione, apri una maschera di configurazione facendo clic su "Impostazioni app" :inserisci qui i domini
(my-ucs.dnsalias.org e server.my-ucs.dnsalias.org), separati da spazi, e spuntare i servizi che dovrebbero utilizzare il certificato. Nel nostro esempio il certificato dovrebbe essere utilizzato in Apache e Postfix. Con un clic su "Applica modifiche" verrà creato un certificato integrato nei servizi. Poiché anche il server Web Apache viene riavviato, è necessario ricaricare anche l'interfaccia Web una volta.
Creazione di utenti
Gli utenti possono ora essere aggiunti al sistema. Per ogni account utente creato in UCS, viene creato automaticamente un account corrispondente in ownCloud e, se è stato specificato un indirizzo di posta principale, anche in Kopano. L'utente può quindi accedere a entrambi i servizi con la password dell'account. È possibile modificare la password tramite il menu di Unvention Portal.
Sincronizzazione di Mail, Contatti e Appuntamenti Kopano e ownCloud possono essere utilizzati anche da smartphone. Per sincronizzare e-mail, contatti e appuntamenti con Kopano, sullo smartphone viene impostato un account "Exchange", per i dettagli vedere la pagina della documentazione di Kopano .
ownCloud offre la propria app Android iOS che ti consente di condividere file con il tuo smartphone e salvare automaticamente le foto e i video acquisiti sul server.
Quali altri servizi possiamo consigliare?
Questa configurazione è una buona base per integrare più servizi dalle numerose app offerte per UCS:
- Per continuare a ricevere da precedenti indirizzi e-mail esistenti, l'integrazione di Fetchmail può essere utilizzato. Il server UCS scaricherà automaticamente i messaggi di posta di altri provider e li fornirà nella casella di posta di Kopano.
- I server accessibili al pubblico sono spesso presi di mira da attacchi automatizzati. Se è consentito l'accesso a SSH nel firewall, questo accesso dovrebbe essere limitato. Fare riferimento a questo collegamento per maggiori dettagli.
- Se il numero di utenti aumenta, può essere utile consentire loro di reimpostare la password da soli. Per questo, installa il "Self Service" app dall'App Center.
- OwnCloud può essere esteso con molti plugin. Particolarmente utile quando si ha a che fare con molti documenti è la "Collabora" plug-in, che ti consente di modificare i file di Office direttamente nel browser.
Conclusione
Se hai seguito con attenzione questa guida completa (e tutti i link di riferimento), a questo punto hai:configurato correttamente un server privato con ownCloud, Kopano e Let's Encrypt su Univention Corporate Server. Come puoi vedere, configurare un server domestico su UCS non è così difficile. Vale anche la pena ricordare che i manuali ufficiali dell'UCS sono estremamente ben documentati e offrono una soluzione molto accurata ed efficace a tutti i possibili problemi.