Поиск по сайту:

Настройте частный сервер с ownCloud, Kopano и Let's Encrypt On UCS

Читая сегодня все ужасающие новости о кибератаках и вредоносных программах, хотелось ли вам когда-нибудь настроить собственный сервер, чтобы, наконец, иметь максимально возможный контроль над своими собственными данными? Если да, то вы на правильном пути! В наших предыдущих статьях Введение в Univention Corporate Server и Установка и настройка Univention Corporate Server мы говорили о сервере и решении для управления ИТ Univention Corporate Server. > и как его установить для использования в бизнесе. На этот раз мы применили немного другой подход и собрали пакет программного обеспечения для UCS, который очень хорошо отвечает более высоким требованиям безопасности и, таким образом, идеально подходит для каждого «домашнего администратора», который может создать свой собственный частный сервер.

Настройте частный сервер с ownCloud, Kopano и Let’s Encrypt на корпоративном сервере Univention

На следующих шагах мы покажем вам, как настроить это за несколько шагов и включить программное обеспечение для групповой работы, почты и обмена файлами. то есть приложения ownCloud и Kopano. Поэтому, если хотите, проприетарные решения для почты и групповой работы станут ненужными. А с установкой Let's Encrypt соединения с вашим сервером UCS также будут хорошо защищены.

Первый вопрос: где мне запустить сервер?

По сути, частные пользователи сталкиваются с теми же вопросами, что и предприятия: «Должен ли я запустить сервер на своем собственном оборудовании, в своем собственном «ИТ-центре» (или складском помещении), или я должен запустить его на арендованной системе, размещенной где-нибудь, например, на «выделенный сервер» у поставщика облачных услуг. Прежде чем принять решение, важно спросить себя, как вы на самом деле собираетесь использовать сервер.

Арендовать или не арендовать

Арендованная система требует небольших первоначальных инвестиций и обычно не связана со значительными ограничениями пропускной способности. Кроме того, его легче настроить под свои требования. Арендованная система удобна, когда вам нужен доступ из разных мест, например, когда сервером пользуются все члены вашей организации, которые могут работать где-то еще.

Запуск собственной сети

Если вы запускаете систему в собственной сети, она сначала предлагает вам полный контроль над вашими собственными данными, а также поддерживает дополнительные сценарии приложений, такие как стандартный файловый сервер или потоковую передачу музыки и видео на локальные медиаплееры. Однако зависимость от частного подключения к Интернету часто является узким местом, когда вы хотите получить доступ к системе извне; даже самые последние соединения VDSL имеют сравнительно низкую пропускную способность. Некоторые интернет-провайдеры запрещают любой доступ извне. Поэтому я рекомендую провести несколько тестов, прежде чем инвестировать в новое оборудование.

Описанные ниже шаги обычно применимы для обоих вариантов.

Какое оборудование мне понадобится?

У UCS лишь незначительные требования к аппаратному обеспечению, поэтому выбор за вами. В принципе, старое настольное оборудование тоже может подойти. Однако они часто связаны с недостатками с точки зрения надежности и энергопотребления, если система работает без остановок. Если вы решите инвестировать в совершенно новую систему, есть производители, предлагающие системы, которые подходят для круглосуточной работы (часто называемые «SOHO NAS» (системы хранения данных, подключенные к сети для малого или домашнего офиса). В качестве примеров можно привести системы HP серии MicroServer и серверы Low Energy от Thomas-Krenn.

Цель определяет, какой размер подходит именно вам.

Следующее, о чем вам нужно подумать, — это размер системы. Представленная здесь установка без проблем работает в системе с меньшим процессором и 4 ГБ оперативной памяти. Количество одновременных доступов является критической частью. Если количество пользователей или приложений увеличится, вам в конечном итоге потребуется больше емкости. Облачные предложения всегда можно легко расширить. Таким образом, если вы покупаете систему, стоит начать с уже 8 или 16 ГБ ОЗУ и 4-ядерного процессора.

Пространство на жестком диске, необходимое для UCS, незначительно – 10 ГБ более чем достаточно, чтобы операционная система работала в течение длительного времени. Решающим фактором здесь является то, что вы собираетесь с ним делать, в частности, объем данных, которые вы сохраняете в системе. При покупке оборудования также учитывайте резервирование с помощью зеркальных дисков (RAID).

Конфигурация IP и DNS

Для доступа к системе из Интернета вам потребуется общедоступный IP-адрес и соответствующая запись DNS. Если вы арендуете ресурсы сервера, они предоставят вам как минимум IP-адрес, а часто и общедоступное доменное имя.

В домашних сетях общедоступный IP-адрес обычно назначается частному маршрутизатору. Его необходимо настроить так, чтобы он мог передавать запросы в локальную систему UCS. Как это сделать, зависит от самого роутера и, возможно, от интернет-провайдера. В Интернете вы можете найти инструкции по этому вопросу для большинства маршрутизаторов и брандмауэров. Если у частного маршрутизатора нет общедоступного IP-адреса, может быть сложно или даже невозможно запустить за ним общедоступный сервер. В случае сомнений обратитесь к своему интернет-провайдеру или поищите дополнительную информацию в Интернете.

Следующее требование — общедоступная запись DNS, которую можно получить у поставщиков динамического DNS.

Маршрутизатор берет на себя всю связь с провайдером DNS. в этом руководстве в качестве примера мы используем домен my-ucs.dnsalias.org.

Для описанных здесь служб необходимо сделать порты 80 (HTTP) и 443 (HTTPS), а также 587 (отправка SMTP для входящей почты) доступными извне. После настройки HTTP можно свести к зашифрованному порту 443. Для удаленного администрирования, особенно для систем, не находящихся в домашней сети, имеет смысл доступ к порту 22 для SSH. Дополнительные порты могут быть результатом других приложений, например, если IMAPS/SMTPS должны использоваться для почтовых клиентов в дополнение к ActiveSync. Хотя при домашней настройке эти порты активно включены на локальном маршрутизаторе, конфигурация системы, управляемой провайдером, должна быть спроектирована таким образом, чтобы блокировать все остальные порты.

В большинстве домашних сетей протокол DCHP используется для автоматического назначения IP-адресов. Однако, поскольку адрес сервера необходимо задать в конфигурации маршрутизатора для освобождения портов на внешние, сервер всегда должен получать один и тот же адрес. Для этого вы можете сохранить систему UCS или MAC-адрес в конфигурации DHCP маршрутизатора. Альтернативно, вы можете определить фиксированный IP-адрес во время установки UCS. Однако в этом случае необходимо убедиться, что маршрутизатор не назначит его какому-либо другому устройству. При использовании фиксированного IP-адреса всегда проверяйте правильность спецификаций шлюза по умолчанию и сервера имен. В большинстве случаев и то и другое
IP роутера.

Как настроить корпоративный сервер Univention

Для установки ISO-образ UCS загружается по официальной ссылке и записывается на DVD или переносится на USB-накопитель. Затем система должна загрузиться с этого носителя (настройка BIOS). Установка
начинается, и наряду с рядом различных шагов, таких как настройка языка, смонтированные жесткие диски разбиваются на разделы. Во многих случаях вы можете просто принять предложение по разбиению. Если вы хотите повысить безопасность сбоев с помощью программного RAID или расширенного разделения на разделы, настройте его вручную. Подробную информацию см. в документации Debian, поскольку UCS использует процесс установки здесь.

После базовой установки начинается фактическая настройка UCS.

Следующая информация полезна для запланированной установки.

  • Настройки домена. При установке первой (и, возможно, единственной) системы в среде UCS выберите «Создать новый домен». Затем вам будет предложено ввести рабочий адрес электронной почты, на который будет отправлен необходимый впоследствии ключ.
  • Настройки компьютера. Вам будет предложено указать F QDN для системы UCS. Первая часть — это имя, которое будет присвоено будущей системе и ее DNS-домену. От этого параметра зависит базовая конфигурация многих сервисов в системе UCS. Очень сложно потом измениться. В нашем примере мы используем одно из полных доменных имен "server.my-ucs.dnsalias.org". Таким образом, сервер чувствует себя ответственным за домен my-ucs.dnsalias.org. Мы можем выбрать эту процедуру, поскольку в этом примере предполагаем, что все услуги этого домена предоставляются UCS.
  • Конфигурация программного обеспечения. Здесь вы можете выбрать первые службы для установки. Для внутренней сети установите «Контроллер домена, совместимый с Active Directory», чтобы иметь возможность настроить общие файловые ресурсы в вашей сети. Более подробную информацию см. в предыдущем руководстве Установка и настройка UCS и официальном руководстве UCS.

Как получить доступ к ПСК

После установки вы можете получить доступ к системе через интернет-браузер по адресу http:// или http://. Нажав на ссылку «Настройки системы и домена», вы попадаете в Консоль управления Univention (UMC), где можете войти в систему как «Администратор», используя пароль, указанный вами в процессе установки. Остальная часть настройки выполняется там.

Разблокируйте Центр приложений

Первое, что вам нужно сделать после установки и прежде чем вы сможете установить и настроить необходимые службы, — это разблокировать Центр приложений. Это делается с помощью «ключа», который отправляется на указанный адрес в процессе установки. Загрузите ключ непосредственно из диалогового окна приветствия, которое появится после установки, или зайдите позже в UMC, щелкните значок меню «Бургер» в правом верхнем углу и выберите пункт «Лицензия», а затем «Импортировать новую лицензию».

Настройка решения для синхронизации и обмена файлами ownCloud

Первое приложение, которое будет установлено здесь, — ownCloud, которое является общим местом хранения файлов с ПК и мобильных устройств. Откройте модуль App Center в UMC и найдите «ownCloud». Установку ownCloud можно запустить напрямую. Просто следуйте инструкциям в веб-интерфейсе.

После завершения установки доступ к ownCloud можно получить через https:///ownCloud. Эту ссылку также можно найти на обзорной странице сервера UCS. Однако когда вы туда зайдете, сначала появится предупреждающее сообщение о сертификате SSL, которое мы собираемся устранить позже, установив Let's Encrypt.

Настройка почты и групповой работы Kopano

Для следующей установки почты и групповой работы мы используем Kopano. Для наших целей вы можете использовать его бесплатно. Чтобы настроить почту и программное обеспечение для совместной работы Kopano, установите компоненты «Kopano Core», «Kopano WebApp» и «Z-Push for Kopano» из Центра приложений. Во время установки Kopano в UCS также будет создан почтовый домен. С помощью модуля UMC «Почта» из категории «Домен» вы можете убедиться в корректной настройке почтового домена. В нашем примере он называется «my-ucs.dnsalias.org».

После установки вы можете настроить учетные записи пользователей. «Основной почтовый адрес» — это почтовый адрес, который пользователь будет использовать в Копано. Таким образом, он должен использовать общедоступный домен, например name@my-ucs.dnsalias.org.

Тонкая настройка электронной почты

Почтовая служба теперь может принимать почту, отправленную на общедоступный почтовый домен здесь: my-ucs.dnsalias.org. Чтобы убедиться, что отправка писем работает без проблем и что письма не будут напрямую блокироваться спам-фильтрами других почтовых серверов, это имя также следует использовать как «helo». Для этого установите для переменной UCR «mail/smtp/helo/name» общедоступное полное доменное имя – в этом примере: my-ucs.dnsalias.org. Установку переменных UCR («Univention Configuration Registry») можно выполнить в одноименном модуле UMC или в командной строке командой:

ucr set mail/smtp/helo/name=“my-ucs.dnsalias.org“

Если возможно, мы также рекомендуем использовать хост ретрансляции SMTP. В частности, если IP-адрес отправителя отличается от общедоступного. Более подробную информацию можно найти в этом руководстве.

Входящие письма маршрутизируются в соответствии с текущим статусом реализации общедоступной записи DNS сервера: если письма должны отправляться на адреса домена «my-ucs.dnsalias.org», IP назначенной записи MX домен или IP-адрес самого домена используется в DNS и используется в качестве пункта назначения. Последнее имеет место в нашей конфигурации: почтовый домен соответствует общедоступному имени сервера, поэтому другие почтовые серверы находят нашу систему и связываются с ней для доставки почты.

По умолчанию в брандмауэре UCS указан порт 25. Однако порт 587 предпочтителен для прямого обмена между почтовыми серверами. Это может быть одобрено UCR в брандмауэре. Это можно сделать, установив для переменной «security/packetfilter/package/manual/tcp/587/all» значение «ACCEPT» – как указано выше для строки «helo». , здесь это также возможно через модуль UMC или командную строку. После изменений необходимо перезапустить службы «postfix» и «univention-firewall». Это можно сделать либо из командной строки («перезапуск службы постфикса; перезапуск службы univention-firewall»), либо путем перезагрузки сервера.

Обзорная страница портала Univention

Обзорная страница UCS, «Портала Univention», предоставляет хорошее представление обо всех доступных услугах. Теперь вы можете легко получить к нему доступ через "https://my-ucs.dnsalias.org". Однако в браузере все еще есть предупреждение о сертификате, которое мы уже видели во время установки ownCloud. Эту проблему можно легко решить с помощью Let's Encrypt.

И последнее, но не менее важное: установка Let’s Encrypt.

По умолчанию веб-сервер UCS использует самозаверяющий сертификат, что приводит к появлению предупреждений в браузере. Эту проблему можно решить, установив сертификат с помощью Let’s Encrypt. Соответствующее приложение можно найти в Центре приложений.

После установки откройте маску конфигурации, нажав "Настройки приложения": введите сюда домены
(my-ucs.dnsalias.org и server.my-ucs.dnsalias.org), разделенные пробелами, и отметьте галочками службы, которые должны использовать сертификат. В нашем примере сертификат должен использоваться в Apache и Postfix. При нажатии на «Применить изменения» сертификат будет создан и интегрирован в сервисы. Поскольку веб-сервер Apache также перезапускается, вам также необходимо один раз перезагрузить веб-интерфейс.

Создание пользователей

Теперь пользователей можно добавлять в систему. Для каждой учетной записи пользователя, созданной в UCS, автоматически создается соответствующая учетная запись в ownCloud, а также, если указан основной почтовый адрес, в Kopano. Затем пользователь может войти в обе службы с паролем учетной записи. Сменить пароль можно через меню портала Univention.
Синхронизация почты, контактов и встреч Kopano и ownCloud также можно использовать на смартфонах. Для синхронизации электронной почты, контактов и встреч с Kopano на смартфоне настраивается учетная запись Exchange, подробности см. на странице документации Kopano.

ownCloud предлагает собственное приложение для Android и iOS, которое позволяет вам обмениваться файлами со смартфоном и автоматически сохранять снятые изображения и видео на сервер.

Какие еще услуги мы можем порекомендовать?

Эта настройка является хорошей основой для интеграции дополнительных сервисов из множества приложений, предлагаемых для UCS:

  • Чтобы продолжать получать сообщения с предыдущих существующих адресов электронной почты, можно использовать интеграцию Fetchmail. Сервер UCS автоматически загружает почту от других провайдеров и отправляет ее в почтовый ящик Копано.
  • Общедоступные серверы часто подвергаются автоматическим атакам. Если доступ к SSH в брандмауэре разрешен, этот доступ следует ограничить. Для получения более подробной информации перейдите по этой ссылке.
  • Если количество пользователей увеличивается, может быть полезно разрешить им самостоятельно сбросить пароль. Для этого установите приложение Self Service из Центра приложений.
  • ownCloud можно расширить с помощью множества плагинов. Особенно полезным при работе с большим количеством документов является плагин "Collabora", который позволяет редактировать офисные файлы прямо в браузере.

Заключение

Если вы внимательно следовали этому подробному руководству (и всем справочным ссылкам), то к настоящему моменту вы: успешно настроили частный сервер с ownCloud, Kopano и Let's Encrypt на корпоративном сервере Univention. Как видите, настроить домашний сервер на UCS не так уж и сложно. Также стоит отметить, что официальные руководства UCS чрезвычайно хорошо документированы и предлагают очень точное и эффективное решение всех возможных проблем.

Статьи по данной тематике