Installationsanleitung

Transkript

1 Beratung und Support Technische Plattform Support-Netz-Portal paedml stabil und zuverlässig vernetzen Installationsanleitung Filr Stand paedml Novell Version: 3.3.4

2 Impressum Herausgeber Landesmedienzentrum Baden-Württemberg (LMZ) Support-Netz Rotenbergstraße Stuttgart Autoren der Zentralen Expertengruppe Netze (ZEN), Support-Netz, LMZ Stefan Falk Ulrich Frei Carl-Heinz Gutjahr Friedrich Heckmann Hubert Bechthold Uwe Labs Alfred Wackler Endredaktion Dr. Cornelia Glaser Bildnachweis Titelbilder: Thinkstock Weitere Informationen Veröffentlicht: 2014 Landesmedienzentrum Baden-Württemberg

3 Inhaltsverzeichnis 1. Vorwort 3 2. Voraussetzungen und Planung 3 3. Vorbereitung auf dem GServer Im edirectory und im Filesystem Im DNS-System Internetsperre modifizieren Browser für Zugriff auf Filr konfigurieren Im Groupwise-System Bereitstellung unter VMware ESXi Installationsdateien herunterladen Filr OVF einlesen Umgebung einrichten Automatisches Starten/Herunterfahren des Filr im ESXi Hochfahren des Filr Konfiguration Konfiguration Teil Konfiguration Teil Konfiguration Teil Konfiguration Teil Zugriff von außen auf Filr Zugriff von außen bei mehrfach genutzter IP Adresse Zugriff von außen bei eigener Filr IP Adresse Aufruf von innen und außen über denselben Domain-Namen TrueType-Fonts Vertrauenswürdiges Zertifikat für den Filr 69 paedml Novell / Filr / Installationsanleitung /

4 9. Filr Desktop Aktualisierung auf Filr-Desktop Installationsdatei herunterladen Download von Filr-Desktop von einem Webserver Filr-Desktop installieren Schluss 83 Hinweis: Bitte erschrecken Sie nicht über den Seitenumfang dieses Dokuments. Die eigentliche Filr- Installation kann in an einem Nachmittag erledigt werden. Der Umfang dieses Dokuments ergibt sich aus der Vielzahl der Bilder, die Ihnen die Installation anschaulich verdeutlichen soll. paedml Novell / Filr / Installationsanleitung /

5 1. Vorwort Novell Filr ist die sichere Alternative zu cloudbasierten File-Sharing Diensten wie beispielsweise DropBox. Statt auf solche unsicheren Dienste zu setzen, haben wir unsere eigene Cloud auf unseren Schulservern. Angefangen mit der Collaboration-Software Novell Vibe auf dem KServer erweitern wir nun unsere Schul- Cloud mit Novell Filr, mit dem leichter Zugriff und Teilen von Daten auf dem schulischen Fileserver realisiert wird. Novell Filr arbeitet mit dem edirectory zusammen, benötigt aber keine Neuanlage von Zugriffsrechten. Filr verwendet die bereits vorhanden Rechte auf unseren NSS-Volumes des GServer03, so dass der Zugriff von außen mit denselben in der paedml Novell konfigurierten Rechten wie im Intranet erfolgt. Dabei behält der Netzwerkberater die volle Kontrolle über das Teilen von Dateien. Dateien werden auch nicht zwischen Filr und GServer03 hin- und herkopiert, sondern bleiben an ihrem Ursprungsort, beispielsweise im Homeverzeichnis. Novell Filr ist natürlich von überall aus erreichbar: von Ihrem Desktop aus, über einen Browser und natürlich von mobilen Geräten, wie Tablets oder Smartphones. Es gibt auch kostenlose Apps für ios und Android im jeweiligen App-Store. Der Zugriff erfolgt selbstverständlich verschlüsselt. Novell selbst wirbt für den Filr mit dem Spruch: Feels like DropBox, acts like Fort Knox Fühlt sich an wie DropBox, agiert aber wie Fort Knox. Mit Novell Filr und auch Vibe haben wir eine wirklich substantielle Erweiterung unserer paedml-novell erreicht. 2. Voraussetzungen und Planung Novell Filr wird von Novell als eine sogenannte virtuelle Appliance geliefert, muss also auf einem Virtualisierungshost installiert werden. Es gibt Versionen für VMware, XEN und Hypervisor. In diesem Dokument beschränken wir uns auf VMware ESXi 5.x. Der Filr wird auf zwei virtuellen Platten installiert. Dabei liegt auf der ersten Platte nur das eigentliche System, während auf der zweiten Platte sämtliche Konfigurations- und eigene Daten liegen. Durch diese Aufteilung vereinfacht sich ein Update-Prozess! Bei neuen Filr-Versionen wird einfach nur das System, also die erste Platte, ausgetauscht. Alle eigenen Daten und die Konfiguration bleiben dabei erhalten. Aufgrund dieses neuen Verfahrens ergibt es daher keinen Sinn, seitens des LMZ einen kompletten virtuellen Filr auszuliefern. Stattdessen ist es besser, den Filr vor Ort an der Schule mithilfe der von Novell gelieferten Filr-OVF-Datei zu installieren und einmal zu konfigurieren. Bei späteren Updates wird dann nur noch das System ausgetauscht. Novell erlaubt eine Filr-Installation für kleinere bis sehr große Systeme. Für Schulen ist das sogenannte Small Deployment sicher mehr als ausreichend. Damit laufen Filr, MySQL und die Suchmaschine alle auf einem Server. paedml Novell / Filr / Installationsanleitung /

6 Wie aus dem Gesagten hervorgeht, ist der Filr also ein eigener Server. Er benötigt CPUs/Kerne, Arbeitsspeicher und Festplattenplatz. Für unsere Zwecke sollte dem Filr zugeordnet werden: 4 CPUs (besser 2CPUs mit je zwei Kernen) 12 GB RAM Erste Festplatte ist voreingestellt auf maximal 40 GB Zweite Festplatte: Je nachdem, ob es auf dem Filr zusätzliche persönliche Arbeitsbereiche geben soll oder nicht, sollte die Größe folgendermaßen abgeschätzt werden: 100 GB + geplante Speicherplatzgröße pro Benutzer Auf einem ESXi-System kann die Anzahl der den virtuellen Maschinen zugewiesenen CPUs bzw. Kernen die Anzahl der tatsächlichen vorhandenen physikalischen CPUs und Kerne überschreiten. So können bei beispielsweise zwei vorhanden XEON-Prozessoren mit je 6 Kernen durchaus 20 CPUs an alle virtuellen Maschinen verteilt sein. ESXi verteilt die Last selbstständig. Dies macht normalerweise keine Probleme, zumal ja nicht immer alle vorhandenen virtuellen Maschinen gleich belastet sind. Anders beim Arbeitsspeicher. Hier ist ein Überbuchen nicht möglich. Die Summe des an alle virtuellen Maschinen zugeteilten Arbeitsspeichers darf die tatsächlich physikalisch vorhandene Menge an RAM nicht überschreiten. Für die beiden im Filr eingebauten Festplatten verwenden wir (siehe unten) das Thin-Modell. Das heißt, die tatsächlich belegte Datenmenge auf den Festplatten wächst erst nach und nach je nach Nutzung an. So ist die Systemplatte des Filr auf die maximale Größe von ca. 40 GB ausgelegt, belegt aber nach der Installation nur ungefähr 4 GB. Falls Sie jedoch bei der Installation das Thick-Modell wählen, dann werden die Festplatten direkt in ihrer Maximalgröße fest angelegt. Idealerweise wird der Filr aus Sicherheitsgründen in der DMZ betrieben. Dazu ist es aber erforderlich, dass eine Firewall (normalerweise die Astaro ASG bzw. Sophos UTM) oder wenigstens ein Router vorhanden ist, die zwischen der DMZ und dem GServer03 im internen Netz routen kann. Von diesem Fall gehen wir in diesem Dokument aus. Unser Filr bekommt die IP-Adresse Eine weniger technische Planung ist die Überlegung, wer Zugriff auf den Filr haben soll. Zu Beginn schlagen wir vor, die Benutzung des Filr zunächst den Lehrern zu ermöglichen, um Erfahrungen zu sammeln. Soll der Filr auch Schülern zur Verfügung stehen, sollten einige Überlegungen vorangestellt werden. Zum einen könnten dies nicht-technische Überlegungen sein: Wird die Schule möglicherweise zum Provider? Welche Konsequenzen könnten sich daraus ergeben? Ist der Zugriff auf das Homeverzeichnis oder auf Projektverzeichnisse gewünscht? usw... Zum anderen sollten dies auch technische Überlegungen sein: Gibt es die Internetanbindung der Schule überhaupt her, wenn viele Schüler beispielsweise nachmittags und abends diese Leitung stark beanspruchen? usw Vorbereitung auf dem GServer Im edirectory und im Filesystem Damit der Filr einerseits die Benutzer des edirectory per LDAP auslesen kann, wird ein spezieller lpaduserfilr benötigt. Um andererseits allgemeinen Zugriff auf die NSS-Volumes zu haben, wird ein proxyuserfilr benötigt. Beide brauchen spezielle Rechte. paedml Novell / Filr / Installationsanleitung /

7 Starten Sie an einer als admin eingeloggter Arbeitsstation die ConsoleOne und markieren links die OU Server.DIENSTE.ml3. Erzeugen Sie nun den ldapuserfilr: Nach dem Klick auf OK, müssen Sie ein Passwort eingeben. Bitte nehmen Sie ein starkes Passwort und notieren sich dieses an sicherer Stelle. Das Passwort wird später bei der Konfiguration des Filr benötigt. Öffnen Sie jetzt die Eigenschaften von ldapuserfilr, z.b. mit Doppelklick auf ldapuserfilr. Beschränken Sie die erlaubten Netzwerkadressen, wie folgt: paedml Novell / Filr / Installationsanleitung /

8 Und geben Sie die IP-Adresse ein: paedml Novell / Filr / Installationsanleitung /

9 Erzeugen Sie nun mit den gleichen Schritten einen Benutzer proxyuserfilr, geben ihm ein sicheres Passwort (notieren sich dies an sicherer Stelle; es wird später noch einmal benötigt) und schränken die Netzwerkadresse ein. Im Folgenden geben wir den beiden Benutzern ldapuserfilr und proxyuserfilr bestimmte Rechte. Klicken Sie mit der rechten Maustaste auf SCHULBAUM03 und wählen wie im Bild gezeigt: paedml Novell / Filr / Installationsanleitung /

10 Dann wird dem SCHULBAUM03 als Trustee der ldapuserfilr zugeordnet paedml Novell / Filr / Installationsanleitung /

11 und Rechte wie folgt zugewiesen: paedml Novell / Filr / Installationsanleitung /

12 Klicken Sie nun mit der rechten Maustaste auf gserver03_docs.server.dienste.ml3 und wählen im Kontextmenu Trustees dieses Objekts. Klicken Sie auf Trustee hinzufügen paedml Novell / Filr / Installationsanleitung /

13 und fügen den proxyuserfilr hinzu. Markieren Sie die Rechte, wie folgt: Schließen Sie mit Anwenden und Schließen ab. paedml Novell / Filr / Installationsanleitung /

14 Öffnen Sie nun auf der Arbeitsstation den Explorer, markieren in der Netzwerkumgebung das Volume DOCS und wählen über die rechte Maustaste dessen Eigenschaften. Setzen Sie nun die Rechte für den proxyuserfilr auf RWECMFA wie folgt: paedml Novell / Filr / Installationsanleitung /

15 Falls in Ihrem System folgende Abfrage erscheint diese mit Ja bestätigen Wollen Sie im Filr auch auf das DATA-Volume zugreifen, z.b. auf den Ordner Projekte, so müssen Sie die gleiche Prozedur auch für gserver03_data.server.dienste.ml3 durchführen Im DNS-System Die Verwendung des Filr im Intranet ergibt in der Regel keinen Sinn, da im Intranet alle Ressourcen direkt erreichbar sind. Zu Konfigurations- und auch Schulungszwecken ist es aber durchaus sinnvoll, den Filr auch im Intranet anzusprechen zu können. Ohne zusätzliche Konfiguration erfolgt ein Zugriff auf Filr aus dem Intranet lediglich über die IP-Adresse, also Wenn Sie auch über zugreifen möchten, gehen Sie folgendermaßen vor: An der Konsole des GServer03 oder in einem Terminalfenster oder einer SSH-Sitzung (z.b. per PuTTY) wechseln Sie als root in das Verzeichnis /var/lib/named/master. Dort gibt es eine Datei oes.mlbw.de. Editieren Sie diese mit einem Editor. In der paedml-novell sieht diese so aus: $TTL IN SOA gserver03.oes.ml-bw.de. root.gserver03.oes.ml-bw.de. ( ; serial 3H ; refresh 1H ; retry 1W ; expiry 1D ) ; minimum oes.ml-bw.de. IN NS gserver03.oes.ml-bw.de. gserver03 IN A zenwsimport IN CNAME gserver03 ngwnameserver IN CNAME gserver03 wpad IN CNAME gserver03 zserver IN A kserver IN A vibe IN CNAME kserver Ergänzen Sie als letzte Zeile: filr IN A paedml Novell / Filr / Installationsanleitung /

16 Speichern Sie ab und starten den DNS-Server mit rcnamed restart neu. Wollen Sie auch von außen und innen mit derselben URL, z.b. (natürlich mit Ihrem Domainnamen), aufrufen, so beachten Sie das Kapitel 6 Zugriff von außen auf Filr weiter unten Internetsperre modifizieren Der Filr liegt mit seiner IP in der DMZ. Er soll innerhalb der Schule per Browser erreichbar sein. Allerdings soll er beispielsweise während einer Klassenarbeit bei gesperrtem Internet nicht erreichbar sein zumindest, wenn der Filr auch Schülern zugänglich gemacht ist. Um dies zu realisieren, ist zunächst eine kleine Änderung erforderlich. Editieren Sie mit einem Editor (z.b. mcedit) auf dem GServer03 die Datei /etc/squid/squid.conf. Suchen Sie dort die Zeile http_access allow DMZ, setzen ein Kommentarzeichen voran, also # http_access allow DMZ und starten Squid neu: rcsquid restart Browser für Zugriff auf Filr konfigurieren Damit der Filr bei gesperrtem Internet im Browser nicht erreichbar ist, darf er in den Proxyausnahmen des Browsers NICHT aufgeführt sein. Darin darf also weder * noch vorkommen, genauso wenig Filr (falls Sie einen Domainnamen verwenden). Für Novell Vibe sind jedoch oder Vibe einzutragen. Überprüfen Sie dies beim Internet-Explorer unter Internetoptionen/Verbindungen/LAN-Einstellungen im Abschnitt Proxyserver unter Erweitert und beim Firefox unter Einstellungen/Netzwerk/Einstellungen unter Kein Proxy. Da diese Einstellungen für den Internet-Explorer zentral (über eine Gruppenrichtlinie) verwaltet werden, ist diese vom admin oder Schuladmin der jeweiligen Schule zu modifizieren. Um die Änderung für die Lehrer durchzuführen, öffnen Sie die Datei DATA:\<Schule>\richtlinien\benutzer\lehrer\WXP_GPol\User\Microsoft\IEAK\install.ins mit einem Editor und ändern ggf. die Zeile Proxy_Override. Für die anderen Benutzergruppen müssen Sie dies entsprechend durchführen. Die Richtlinie für den admin finden Sie unter DATA:\Zentral\richtlinien\verwalter. Verwenden Sie einen Domainnamen für Vibe oder GServer03 usw., so müssen Sie diese ebenfalls eintragen. Die entsprechende Zeile könnte also etwa so aussehen: Proxy_Override=" ; ; ; ; ; server.meineschule.xystadt.de;kserver.meineschule.xystadt.de;;localhost;<local>" paedml Novell / Filr / Installationsanleitung /

17 Für Vibe ist hier die , NICHT aber die des Filr enthalten. Statt meineschule.xystadt.de müssen Sie natürlich Ihren echten Schul-Domainnamen einsetzen und ggf. nach Ihren Bedürfnissen erweitern. Entsprechendes gilt für den Firefox. Hier kann die Proxy-Einstellung nicht über Richtlinien erfolgen. Seit der paedml-novell ist aber die WPAD-Technologie eingeführt, die ggf. keine weiteren Einstellungen erfordert. Prüfen Sie dies folgendermaßen nach: Gibt es auf dem GServer03 im Verzeichnis /srv/www/htdocs die Datei wpad.dat? Wenn ja: Der Inhalt dieser Datei sollte so aussehen: function FindProxyForURL(url, host) { if (isplainhostname(host) dnsdomainis(host, ".oes.ml-bw.de")) return "DIRECT"; else if (host==" ") return "DIRECT"; else if (isinnet (host, " ", " ")) return "DIRECT"; else if (host==" ") return "DIRECT"; else return "PROXY :3128; DIRECT"; } Eventuell haben Sie eine verkürzte Version der wpad.dat. Fügen Sie die fehlenden Teile mit einem Texteditor (z.b. mcedit) exakt ein und starten sie den DHCP neu mit: rcdhcpd restart Damit die WPAD-Technik mit Firefox funktioniert, muss die Proxy-Einstellung im Firefox auf Automatische Proxy-Konfigurations-URL gestellt sein zusammen mit dem Eintrag Dazu müssen in der Datei prefs.js in allen Firefox-Profilen folgende Einträge stehen: user_pref("network.proxy.autoconfig_url", " user_pref("network.proxy.type",2); Falls die Datei prefs.js des Firefox-Profils aber in allen Homeverzeichnissen liegt, also z.b. in L:\LFB\home\schueler\klasse1a\GrossA-LFB\Firefox\prefs.js usw., können Sie dies mit dem Programm Changetext erledigen. Dieses Programm (und wie es eingesetzt wird) finden Sie hier (wenn auch in anderem Zusammenhang). paedml Novell / Filr / Installationsanleitung /

18 Suchen Sie mit einem Editor (am besten Notepad) in einer solchen von Ihnen verwendeten prefs.js den Eintrag user_pref("network.proxy.type", 1); Vielleicht steht bei Ihnen auch eine andere Nummer als 1. Übernehmen Sie diesen Eintrag in die Zwischenablage, um sie gleich in die Darin wird der Text -Eingabe im TextChanger wieder exakt einzusetzen. Die Eingabe für unser Beispiel im Fenster TextChanger müsste also etwa so aussehen: Darin wird der Text: user_pref("network.proxy.type", 1); geändert in: user_pref("network.proxy.autoconfig_url", " user_pref("network.proxy.type",2); Achtung: Bei geändert in alles in eine(!) Zeile. Hinweis: Gibt es in Ihren prefs.js-dateien keine Zeile user_pref("network.proxy.type", 1);, dann funktioniert dieses Verfahren nicht und Sie müssen eine andere Technik verwenden, z.b. Verteilung per ZenWorks. Wenn nein: Schauen Sie in der Updateanleitung der paedml Novell im Kapitel (BOOTP und WPAD) nach und richten Sie WPAD ein. Ergänzen Sie ggf. die fehlenden Zeilen, wie im Wenn-ja-Teil (s.o.) beschrieben. Falls Sie kein WPAD einrichten wollen, müssen Sie stattdessen die Datei prefs.js in allen Firefox- Profilen ändern. So muss (falls die erforderlichen Eintragungen noch nicht vorhanden sind) die Zeile user_pref("network.proxy.no_proxies_on", "localhost, , /16"); zu user_pref("network.proxy.no_proxies_on", "localhost, , /16, ,.meineschule.xystadt.de "); geändert werden. Falls die Datei prefs.js des Firefox-Profils aber in allen Homeverzeichnissen liegt, also z.b. in L:\LFB\home\schueler\klasse1a\GrossA-LFB\Firefox\prefs.js usw., können Sie dies mit dem Programm Changetext erledigen. Dieses Programm (und wie es eingesetzt wird) finden Sie hier wenn auch in anderem Zusammenhang. Suchen Sie mit einem Editor (am besten Notepad) in einer solchen von Ihnen verwendeten prefs.js den Eintrag user_pref("network.proxy.no_proxies_on", "localhost, , /16"); Vielleicht steht bei Ihnen darin noch mehr. Übernehmen Sie diesen Eintrag in die Zwischenablage, um sie gleich in die Darin wird der Text -Eingabe im TextChanger wieder exakt einzusetzen. Die Eingabe für unser Beispiel im Fenster TextChanger müsste also etwa so aussehen: Darin wird der Text: user_pref("network.proxy.no_proxies_on", "localhost, , /16"); geändert in: user_pref("network.proxy.no_proxies_on", "localhost, , /16, ,.meineschule.xystadt.de "); paedml Novell / Filr / Installationsanleitung /

19 Achtung: Bei geändert in alles in eine(!) Zeile. Hinweis: Sollten Sie bei den Ausnahmen (in IE bzw. Firefox) Eintragungen vom ESXi-Managementnetz haben, belassen Sie diese natürlich. Überprüfen Sie, ob der Filr unter der Intersperre erreichbar bzw. nicht erreichbar ist Im Groupwise-System Filr kann s versenden. Wenn Sie dies weiter unten im Filr konfigurieren, muss wenn Sie diese Eigenschaft nutzen wollen- allerdings auch ein Eintrag in GroupWise erfolgen. Öffnen Sie dazu auf der graphischen GServer03-Oberfläche die ConsoleOne. (Warnung: Benutzen Sie nicht die Windows-ConsoleOne!). Loggen Sie sich in der ConsoleOne als admin ein und wählen Properties im Kontextmenü (Rechtsklick) von GWIA.Domain.Mail.DIENSTE.ml3. Beantworten Sie den Hinweis, dass Sie nicht mit dem GroupWise-System verbunden sind mit Yes. Über den Reiter Access Control wählen Sie SMTP Relay Settings. Wählen Sie Prevent message relaying und klicken auf den Create-Button. paedml Novell / Filr / Installationsanleitung /

20 Tragen Sie die Filr-IP in der From-Zeile und ein * in der To-Zeile ein. Bestätigen Sie mit OK. Überprüfen Sie das Ergebnis, klicken dann auf Apply und abschließend auf Close. Verlassen Sie ConsoleOne. Ein GroupWise-Neustart sollte nicht nötig sein. 4. Bereitstellung unter VMware ESXi 4.1. Installationsdateien herunterladen Aus dem Novell Customer Center (NCC) erhalten Sie die nötigen Dateien zur Installation. Loggen Sie sich also mit Ihrem Account im NCC an. Zur Zeit der Entstehung dieses Dokuments geht es im NCC dann so weiter: Wählen Sie Meine Produkte und klicken Sie bei den Produkten auf Novell Filr. (Es dauert u.u. geraume Zeit bis sich dieser Punkt öffnet.) paedml Novell / Filr / Installationsanleitung /

21 Klicken Sie bei Novell Filr auf den Link Media und im nächsten Fenster auf proceed to download. Laden Sie sich die Datei Filr.x86_ ovf.zip herunter. Ggf. können Sie mit Hilfe der weiter unten auf der Download-Seite stehenden MD5-Checksumme kontrollieren, ob der Download fehlerfrei gelungen ist. Jetzt benötigen Sie noch die Lizenzdatei, die aber nicht unter Novell Filr steht, sondern unter Novell Filr 1.0. Klicken Sie dort ganz rechts auf das Pfeil-Symbol und im nächsten Fenster ganz unten auf den Link License. Damit können Sie die Lizenzdatei NV- FilrUnlimited.xml herunterladen. (Beim Wechsel von Fenster zu Fenster müssen Sie manchmal etwas Geduld aufbringen). Packen Sie die gezippte Datei Filr.x86_ ovf.zip aus. Dabei entsteht ein Ordner Filr , in dem die Dateien Filr.x86_ mf Filr.x86_ ovf Filr.x86_ disk1.vmdk paedml Novell / Filr / Installationsanleitung /

22 liegen. Speichern Sie sich die Datei NV-FilrUnlimited.xml und den Ordner Filr z.b. auf eine USB-Platte oder direkt auf die Arbeitsstation, von der aus Sie den Filr in die ESXi-Umgebung einspielen wollen. Auf Ihrer Arbeitsstation, auf der natürlich der VMware-vSphere-Client installiert sein muss, geht es nun weiter. Hinweis: Je nachdem, ob Sie die kostenfreie ESXi-Version verwenden oder die Essential Plus, haben Sie eine einfachere Version des VMware-vSphere-Client oder greifen mit diesen auf das VCenter zu. Die folgenden Bilder wurden mit dem VCenter erzeugt. Der Unterschied zur einfacheren Version besteht aber in den Bildern nur in der Hauptnavigation ganz oben links: ohne VCenter mit VCenter Im linken Bild steht oben im Navigationsbereich die IP-Adresse des ESXi-Hosts, im rechten Bild dagegen die Adresse des VCenter im Management-Netz (im rechten Bild sind außerdem die persönlichen Schuldaten des Autors unkenntlich gemacht). Darüber hinaus kann es je nach Version des ESXi noch kleine Abweichungen gegenüber den unten dargestellten Bildern geben Filr OVF einlesen Starten Sie den vsphere-client auf der Arbeitsstation. Über das Menü Datei/OVF-Vorlage bereitstellen beginnen wir diesen Prozess. paedml Novell / Filr / Installationsanleitung /

23 Wählen Sie dann als Quelle die Datei Filr.x86_ ovf, die Sie weiter oben auf einer USB-Platte oder auf Ihrer Arbeitsstation abgelegt hatten. Weiter Weiter paedml Novell / Filr / Installationsanleitung /

24 Vergeben Sie im nächsten Fenster den Namen Filr. Genauso erscheint dann später dieser Servernamen in der Navigationsspalte. Weiter Wählen Sie im nächsten Schritt einen passenden Data-Store aus. (Das Bild sieht bei Ihnen vermutlich nur so ähnlich aus.) Weiter Festplattenformat: paedml Novell / Filr / Installationsanleitung /

25 Es gibt unterschiedliche Formate, die ESXi zur Verfügung stellt: a) Thick-Provision Lazy Zeroed : Speicher wird sofort zugeteilt. Wenn keine Snapshots vorhanden sind, kann der Festplattenspeicher problemlos erweitert werden! b) Thick-Provision Eager Zeroed : Speicher wird sofort zugeteilt und mit Nullen aufgefüllt. Wenn keine Snapshots vorhanden sind, kann der Festplattenspeicher problemlos erweitert werden! c) Thin-Bereitstellung : Die Festplattengröße wächst nach Bedarf langsam an. Auch hier kann der Speicher noch erweitert werden, der Speicherplatz ist aber nicht sofort verbraucht! Wir empfehlen dieses Festplattenformat. Wählen Sie das gewünschte Festplattenformat aus und fahren Sie fort mit Weiter. paedml Novell / Filr / Installationsanleitung /

26 Bei der Netzwerkzuordnung gibt es hier nicht viel zu tun. Sie erfolgt später. Weiter Es wird eine Zusammenstellung angezeigt und der Prozess wird mit Beenden abgeschlossen. paedml Novell / Filr / Installationsanleitung /

27 Jetzt können Sie einen Fortschrittsbalken beobachten, sowohl in einem extra Fenster, als auch in der Statuszeile. Am Ende des Einlesens kommt noch ein Abschlussfenster, das bestätigt werden muss. Damit ist der Filr auf dem ESXi-Host angekommen. Starten Sie den Filr jetzt auf keinen Fall!!! 4.3. Umgebung einrichten Im Folgenden richten wir die Umgebung des Filr ein, also die Arbeitsspeichergröße, die CPU-Anzahl, die Netzwerkzuweisung und die zweite Festplatte. Dies wird in den VM-Einstellungen des Filr vorgenommen: paedml Novell / Filr / Installationsanleitung /

28 Arbeitsspeicher auf 12 GB OK 4 CPUs, am besten als 2 virtuelle Sockets und 2 Kerne je Socket. OK paedml Novell / Filr / Installationsanleitung /

29 Netzwerkzuordnung des Netzwerkadapters auf das DMZ-Netzwerk, denn der Filr soll in der DMZ stehen. OK (Unter Netzwerkverbindung Netzwerkbezeichnung steht in Ihrem System eventuell auch paedml_dmz.) Im Folgenden wird eine zweite Festplatte (hier mit 200 GB, Thin-Provision) erzeugt. Diese Festplatte wird als unabhängig deklariert. Auf dieser Platte speichert Filr alle Daten und auch die Filr-Konfiguration. Wird später einmal ein Filr-Update eingespielt, so muss wieder eine von Novell gelieferte neuere Filr-Appliance eingespielt werden. Allerdings bleibt dabei diese zweite Platte erhalten. Nur die erste, die Filr-Platte, wird ausgetauscht. Durch diesen Trick vereinfacht sich ein Update-Vorgang deutlich gegenüber einem klassischen Update. paedml Novell / Filr / Installationsanleitung /

30 Fügen Sie nun die zweite Platte hinzu: paedml Novell / Filr / Installationsanleitung /

31 paedml Novell / Filr / Installationsanleitung /

32 Jetzt muss alles bestätigt werden. OK Zur Kontrolle können Sie nochmals die VM-Einstellungen aufrufen. paedml Novell / Filr / Installationsanleitung /

33 4.4. Automatisches Starten/Herunterfahren des Filr im ESXi Damit die Gäste (GServer03, KServer, Filr, ZServer) beim Start oder beim Herunterfahren des Hosts automatisch hoch- bzw. heruntergefahren werden, sind folgende Einstellungen mit Hilfe von vsphere nötig: Klicken Sie im Reiter Konfiguration und in der mittleren Spalte auf VM starten/herunterfahren und gehen Sie dann auf Eigenschaften. Es erscheint das Fenster Starten und Herunterfahren von virtuellen Maschinen. Klicken Sie Automatisches Starten und Herunterfahren... an. Wählen Sie beim Herunterfahren die Aktion Herunterfahren des Gastes aus. Markieren Sie den Filr und klicken Sie auf die Nach oben-taste, um das Automatische Starten zu aktvieren. paedml Novell / Filr / Installationsanleitung /

34 Diese Funktion ist jedoch erst verfügbar, wenn die VMware-Tools installiert werden (siehe weiter unten) Hochfahren des Filr Bevor Sie die nachfolgenden Schritte ausführen, schauen Sie sich zunächst die folgenden drei Bilder an, denn bei der Eingabe wird eine schnelle Reaktion von Ihnen gefordert werden. Starten des Filr über rechte Maustaste, auf FilrKonsole öffnen klicken und dort über den Start-Button den Filr starten paedml Novell / Filr / Installationsanleitung /

35 und beim Starten des Filr schnellstmöglich in das Konsolenbild hineinklicken und unverzüglich die F4- Taste drücken, um die Tastatursprache German auszuwählen. Enter-Taste. paedml Novell / Filr / Installationsanleitung /

36 5. Konfiguration 5.1. Konfiguration Teil 1 Die Initialisierung der Filr-Konfiguration startet: paedml Novell / Filr / Installationsanleitung /

37 Im nächsten Schritt wird die Tastatur-Sprache auf Deutsch gestellt Accept Es folgt die Novell Filr Appliance Configuration paedml Novell / Filr / Installationsanleitung /

38 Beachten Sie dabei Folgendes: Obwohl die Tastatursprache im vorhergehenden Schritt auf Deutsch gestellt ist, ist dies hier noch nicht wirksam! (Insofern ist das obige Abfangen mit der F4-Taste auch fragwürdig.) Sie haben also hier noch ein amerikanisches Tastatur-Layout. Wenn Sie also Sonderzeichen oder ein z in den Passworten verwenden, so müssen Sie beachten, wo diese auf der amerikanischen Tastatur liegen (z.b. vertauschtes y und z). Der Filr verwendet drei administrative Benutzer, nämlich root (für den Server selbst), vaadmin (für grundlegende Filr-Verwaltung und den admin für den Rest der Filr-Verwaltung. (Dieser admin ist ein lokaler Filr-Benutzer und hat nichts mit dem edirectory-admin auf dem GServer03 zu tun!) Vergeben Sie starke Passworte!!! In der 3. Zeile geben Sie filr kombiniert mit dem Domainnamen ein, also etwa filr.meineschule.xystadt.de. Ersetzen Sie dabei meineschule.xystadt.de durch Ihren echten Schul-Domainnamen. Falls Sie keinen solchen haben, setzten Sie filr.oes.ml-bw.de. paedml Novell / Filr / Installationsanleitung /

39 Weiter geht s mit und: paedml Novell / Filr / Installationsanleitung /

40 Danach startet der Filr in seine Konsole: paedml Novell / Filr / Installationsanleitung /

41 5.2. Konfiguration Teil 2 Der Filr greift auf das NSS-Dateisystem des GServer03 zu. Dies geschieht mit dem Novell Core Protokoll (NCP). Der Filr steht mit seiner IP in der DMZ, könnte also theoretisch direkt auf den GServer03 über dessen 2. IP (eth1) zugreifen, aber eben nicht mit dem NCP-Protokoll, da NCP an eth1 nicht konfiguriert ist. (NCP dafür einzurichten, ist nicht ohne weiteres möglich). Tatsächlich will der Filr aber per NCP auf die (eth0 des GServer03) zugreifen, und würde dabei versuchen über das Gateway , also die Astaro zu gehen. Infolgedessen würden wir eine Regel auf der Astaro benötigen, die dies bewerkstelligt. Es geht aber auch anders, indem wir eine entsprechende direkte Route direkt auf dem Filr einrichten. Melden Sie sich als root an und rufen Sie direkt auf der Konsole des Filr YaST auf. Wählen Sie mit Hilfe der Cursor-Pfeiltasten bzw. der TAB-Taste Network Devices / Network Settings dann Routing editieren mit ALT + u paedml Novell / Filr / Installationsanleitung /

42 [Add] mit ALT + d Als Route tragen Sie ein: Destination Device eth0 Gateway Netmask OK (ALT + o) paedml Novell / Filr / Installationsanleitung /

43 Anschließend sehen Sie das Ergebnis und geben OK (ALT + o) ein. Jetzt wird die neue Konfiguration geschrieben und Sie können YaST mit QUIT (ALT + q) verlassen. Ein Neustart des Systems ist nicht nötig. Hinweis: Bei zukünftigen Filr-Updates wird, wie bereits weiter oben erwähnt, die Platte 1 der Filr- Appliance (System) ausgetauscht. Da sich der Route-Eintrag im System befindet, muss er dann nach einem Update erneut gesetzt werden Konfiguration Teil 3 Von einer Arbeitsstation starten Sie im Browser die Filr-Administration mit und loggen sich als vaadmin ein. paedml Novell / Filr / Installationsanleitung /

44 Automatisch erscheinen nun nacheinander einige Fenster, die so ausgefüllt werden müssen, wie in den folgenden Bildern zu sehen: Mit root im folgenden Bild ist der Benutzer root vom MySQL gemeint, also inzwischen ein vierter Benutzer. Geben Sie ein starkes Passwort ein. paedml Novell / Filr / Installationsanleitung /

45 Danach dauert es bisschen für das Update der Datenbank: paedml Novell / Filr / Installationsanleitung /

46 Abschließend erscheint eine Zusammenfassung: Wir konfigurieren über die Navigation links noch ein bisschen weiter. Zunächst vermeiden wir für die Zukunft, dass der Filr mit der Portnummer 8443 aufgerufen werden muss und erzwingen, dass kein HTTP, sondern nur noch HTTPS für den Filr möglich ist: paedml Novell / Filr / Installationsanleitung /

47 Der Filr arbeitet stark mit Java. Deswegen geben wir Java die Hälfte des Arbeitsspeichers von 12 GB (siehe oben), also 6 GB: Jetzt importieren Sie noch die Lizenzdatei NV-FilrUnlimited.xml, die Sie weiter oben auf dem NCC heruntergeladen hatten: paedml Novell / Filr / Installationsanleitung /

48 Damit aus dem Filr auch s versandt werden können, richten wir dies ein: Über den Test Connection-Button lässt sich die Verbindung prüfen. Hier wird GroupWise auf dem GServer03 vorausgesetzt. Den Usernamen kann man frei wählen, hier filr-admin gekoppelt mit Ihrer Schuldomain hinter paedml Novell / Filr / Installationsanleitung /

49 Schließlich wird noch bei Database das Passwort, des MySQL-root (siehe oben) eingegeben: Abschließend wird der Server neu konfiguriert: Woraufhin noch einmal die Zusammenfassung erscheint und man eine Zeitlang warten muss: paedml Novell / Filr / Installationsanleitung /

50 Damit ist dieser Konfigurationsteil abgeschlossen. Über das Home-Fenster des vaadmins können Sie jederzeit erneut in diese Konfiguration einsteigen (Novell Filr Appliance Configuration): Bei Bedarf können noch weitere Dinge konfiguriert werden (Appliance System Configuration): Loggen Sie sich aus. paedml Novell / Filr / Installationsanleitung /

51 5.4. Konfiguration Teil 4 Von einer Arbeitsstation starten Sie im Browser die Filr-Administration mit und loggen sich als admin ein. Das Passwort ist zunächst ebenfalls admin. Sofort danach werden Sie aufgefordert, ein neues admin-passwort einzugeben. Benutzen Sie ein starkes Passwort! Wechseln Sie in die Verwaltungskonsole und konfigurieren Sie nachfolgende Optionen. paedml Novell / Filr / Installationsanleitung /

52 Entscheiden Sie, ob Sie persönlichen Speicher direkt auf dem Filr zulassen wollen. Dies wäre dann ein Speicherplatz zusätzlich zum Home-, und eventuell Tausch- und Projektverzeichnis auf dem GServer03, der dann aber auch verwaltet und gesichert werden sollte. Für die Benutzer im Schulnetz ergibt dies in der Regel keinen Sinn. Hier wollen wir ja lediglich die im Filesystem unseres Servers liegenden Inhalte von außen verfügbar machen. Ein mögliches Einsatzszenario für persönlichen Speicher wäre etwa, eine Zusammenarbeit mit außen stehenden Personen. Ein solcher persönlicher Speicherplatz ließe sich bei Bedarf auch später einzelnen Benutzern zuweisen. In jedem Fall sollte man schon einmal eine Quota für persönliche Daten einrichten: paedml Novell / Filr / Installationsanleitung /

53 Begrenzen Sie die Größe von Datei-Uploads: Die User des Filr werden per LDAP aus dem edirectory auf dem GServer03 gelesen, z.b. aus der Lehrer- OU. Praktisch, wenn auch nicht zwingend erforderlich, ist es, wenn Sie edirectory-gruppen haben, in denen gewünschte User als Mitglieder liegen. Beispielsweise könnte eine Gruppe z.b. G_Lehrer im edirectory existieren, in der alle (gewünschten) Lehrer Mitglieder sind. Oder Sie richten z.b. Abteilungsgruppen ein, wie z.b. G_Lehrer-GYM, G_Lehrer-RS oder G_Lehrer_MATHE, usw... Ist dies nicht der Fall, kann auch eine Filr-interne alle Benutzer umfassende Gruppe verwenden werden (siehe weiter unten). Wir richten nun den LDAP-Zugriff auf das edirectory ein: paedml Novell / Filr / Installationsanleitung /

54 Weiter unten auf dieser Seite richten Sie ein, wer den Filr benutzen darf: hier beispielhaft die Lehrer und die in der Lehrer-OU vorhandenen Gruppen wenn Sie keine Gruppen haben, können Sie den Gruppenteil auch weglassen. Ersetzen Sie die im Bild gezeigte Schule S01 durch Ihr Schulkürzel. Hinweis: Sollen (eventuell später) auch Schüler den Filr benutzen dürfen, so ist im oberen Teil über den Butten Hinzufügen auch noch die Schüler-OU einzutragen. Wir empfehlen im ersten Schritt es erst einmal bei den Lehrern zu belassen, um Erfahrungen zu sammeln. paedml Novell / Filr / Installationsanleitung /

55 Setzen Sie den Rest der Seite wie folgt: Das Häkchen bei Sofort ausführen veranlasst das sofortige Einlesen aus den edirectory. Das sieht dann etwa so aus: paedml Novell / Filr / Installationsanleitung /

56 Falls Sie einen -Ausgang aktivieren wollen, konfigurieren Sie sich dies nach Ihren Wünschen: Entscheiden Sie weiter, ob Sie den mobilen Zugriff erlauben wollen und konfigurieren Sie nach Ihren Wünschen: Entscheiden Sie weiter, ob Sie außen stehenden Personen den Gastzugriff ermöglichen wollen und ob OpenID (siehe z.b. erlaubt werden soll. Unsere Empfehlung: Deaktivieren Sie dieses Feature. paedml Novell / Filr / Installationsanleitung /

57 Sehr interessant ist die Möglichkeit, auf den heimischen Computern das Programm Filr-Desktop zu installieren, um den Filr-Zugriff weiter zu vereinfachen. Dies wird über den Navigationspunkt Desktopanwendung konfiguriert. Hier ist jedoch einiges zu beachten. Deswegen wird diese Konfiguration weiter unten im Kapitel Filr-Desktop ausführlich beschrieben. Im Folgenden konfigurieren wir die Bereitstellung der Homeverzeichnisse und eventuell weitere Verzeichnissen vom GServer03 auf dem Filr. Beachten Sie die Bedeutung der Bezeichnungen für unsere Umgebung: Netzwerkordnerserver: die NSS-Volumes auf dem GServer03 Netzwerkordner: die Ordner(=Verzeichnisse) auf den NSS-Volumes Klicken Sie links in der Navigation auf Netzwerkordnerserver. Automatisch muss DOCS erkannt werden. Wenn dies nicht der Fall ist, so ist etwas in der vorangegangenen Konfiguration fehlerhaft. paedml Novell / Filr / Installationsanleitung /

58 Klicken Sie auf den Link DOCS, um den Netzwerkordnerserver zu konfigurieren: (vollständiger Proxyname: cn=proxyuserfilr,ou=server,ou=dienste,o=ml3) Passen Sie die Synchronisierungszeiten für sich passend an. Über den Button Verbindung testen prüfen Sie die Verbindung. Hier darf kein Fehler austreten! Das Thema Synchronisieren ist leider nicht ganz einfach, da bei ungünstiger Konfiguration eine große Last auf dem Filr-Server produziert werden kann. Beachten Sie hier die Tipps im Filr-Administrationshandbuch! Hier im Bild haben wir die geplante Synchronisation gewählt. (Eine Synchronisation kann auch manuell von Hand gestartet werden.) paedml Novell / Filr / Installationsanleitung /

59 OK oder Cancel, danach auf Schließen: Klicken Sie nun auf der Seite Netzwerkordnerserver verwalten oben links auf den Button Hinzufügen, um falls gewünscht auch das DATA-Volume zur Verfügung zu haben (z.b. für das Projektverzeichnis), und füllen Sie das Fenster wie folgt aus, testen die Verbindung, und klicken bei Erfolg auf OK. (Für die Synchronisierung gilt wieder das oben Gesagte, d.h. eine Synchronisation kann auch manuell gestartet werden) (vollständiger Proxyname: cn=proxyuserfilr,ou=server,ou=dienste,o=ml3) Klicken Sie nun links in der Navigation auf Netzwerkordner und dann oben links auf den Button Hinzufügen, um die gewünschten Verzeichnisse auf den Volumes zu konfigurieren. Beispielhaft zeigen wir dies am Projektverzeichnis und am Lehrertausch-Verzeichnis. Als Gruppe der Berechtigten können Sie die interne Filr-Gruppe Alle internen Benutzer verwenden. Eine Sicherheitslücke entsteht dadurch nicht, da der Filr sich ja nach den tatsächlichen edirectory- und Dateirechten richtet. Falls Sie eigene Gruppen im edirectory eingerichtet haben, wie z.b. G_Lehrer und sie per LDAP in den Filr eingelesen haben, können Sie natürlich auch diese verwenden. Den Beispiel-Schulnamen S01 ersetzen Sie natürlich durch Ihr Schulkürzel. paedml Novell / Filr / Installationsanleitung /

60 Beim dem Klick auf Hinzufügen öffnet sich ein Fenster, in dem die Karteireiter der Reihe nach durchlaufen werden müssen: Die Geplante Synchronisierung können Sie einschalten und nach Ihnen Wünschen gestalten. paedml Novell / Filr / Installationsanleitung /

61 Hinweis: Mit dieser Einstellung können Lehrer auf Projektordner für Projekte zugreifen, für die sie Projekteigentümer sind. So können Sie z.b. von zuhause für Ihr Projekt Dateien bereitstellen und bearbeiten. Sollen auch weitere Projektteilnehmer (Schüler, weitere Lehrer) die Projektverzeichnisse sehen, so wäre noch zusätzlich das Einlesen der Projektgruppen per LDAP durch den Filr nötig. Abschließend wird der Netzwerkordner erstellt, genauer gesagt, sichtbar gemacht: Danach kann der Netzwerkordner synchronisiert werden paedml Novell / Filr / Installationsanleitung /

62 ... und erscheint jetzt sichtbar gelistet: Als nächstes wird der Lehrertausch bearbeitet... und alles entsprechend wie oben bei den Projekten ausgefüllt. Hinweis: Wird hier statt S01\tausch\lehrer nur S01\tausch gesetzt, so können Lehrer auch auf die Klassentauschverzeichnisse zugreifen. Damit sind die wesentlichen admin-konfigurationen abgeschlossen. Loggen Sie sich als normaler Lehrer in den Filr ein, so sehen Sie nun das eigene Homeverzeichnis (unter Start), die Ihnen zugeordneten Projekte und das Lehrer-Tausch-Verzeichnis (unter Netzwerkordner). paedml Novell / Filr / Installationsanleitung /

63 6. Zugriff von außen auf Filr Um alle Möglichkeiten der Zusammenarbeit durch die Schul-Cloud ausschöpfen zu können, sollte Filr jederzeit und außerhalb der Schule erreichbar sein. Dazu ist eine Konfiguration der Firewall notwendig. Hinweis: Wenn Sie eine Astaro-Firewall als Software-Appliance benutzen, die als virtuelle Maschine unter ESXi läuft, stellen Sie bitte sicher, dass als Netzwerkkarten für diese Maschine die Intel E1000 konfiguriert sind. Sie könnten sonst Performance-Probleme beim Zugriff von außen auf das interne Netz bekommen. Überprüfen Sie die Netzwerkkonfiguration Ihrer virtuellen Maschine im vsphere-client (rechter Maus-Klick auf die virtuelle Maschine): Einstellungen bearbeiten, Reiter Hardware, indem Sie auf die Netzwerkadapter der Maschine klicken. Sie bekommen dann je einen Adaptertyp angezeigt (vgl. Screenshot). Wenn Sie hier nicht E1000 stehen haben, führen Sie bitte folgende Schritte durch: a) Loggen Sie sich auf der Astaro-Appliance als root ein. Achtung, das ist nur möglich, wenn Sie über das Astaro-Webinterface in Management/System Settings/ Shell user passwords zuvor ein Passwort für root gesetzt haben. Löschen Sie dann in der Datei /etc/udev/rules.d/70-persistentnet.rules alle Einträge, die mit SUBSYSTEM beginnen und speichern Sie sie wieder. Sie können dafür den vi benutzen. b) Fahren Sie dann die virtuelle Maschine herunter und entfernen Sie im vsphere-client die Netzwerkadapter der virtuellen Astaro-Appliance und fügen Sie sie neu hinzu, indem Sie dann als Typ E1000 auswählen. Danach starten Sie die Astaro-FW neu. Bitte beachten Sie bei den folgenden Bildern, dass die gezeigten nicht Filr-bezogenen Bilder nur ungefähr Ihrer Astaro (bzw. Sophos UTM) entsprechen. Die Farben einzelner Gruppen könnten bei Ihnen auch anders aussehen als hier gezeigt. Manche IP-Adressen sind aus datenschutzrechtlichen Gründen unkenntlich gemacht. paedml Novell / Filr / Installationsanleitung /

64 Loggen Sie sich im Web-Interface der Astaro als admin ein. Richten Sie über Definition & Users/Network Definition eine Definition DMZ Filr für den Filr ein: Hinweis: Je nach Ihrer Konfiguration entscheiden Sie sich für Kapitel 6.1 oder 6.2, um den Zugriff von außen umzusetzen! 6.1. Zugriff von außen bei mehrfach genutzter IP Adresse Wenn Sie dem Filr keine eigene öffentliche Adresse vergeben (können), ist ein Zugriff von außen nur über eine Portweiterleitung über die Astaro-Firewall möglich. In Ihrer Astaro-Firewall ist die Portnummer für das Intranet bereits eingerichtet. Sie dient dem Zugriff auf den GServer03. Für den externen Zugriff auf den KServer (Vibe) wurde von uns die Portnummer vorgeschlagen. Für Filr schlagen wir als Portnummer vor, also Astaro_oder_Domainname: Eine Netzwerkdefinition für den Filr haben wir bereits weiter oben angelegt. Loggen Sie sich an Ihrer Astaro-Firewall als admin ein. Für das HTTPS-Protokoll über den Port existiert schon eine Definition. Wählen Sie Definitions&Users/Service Definitions und klonen die Definition für HTTPS und modifizieren, wie folgt: Name: HTTPS Type of Definition : TCP Destination port: Source port: 1:65535 Comment:: https alternativ fuer Filr Für den Zugriff von außen existiert schon eine Regel in der Astaro-Firewall. Diese Regel ist für den GServer03-(Port 52443) vorkonfiguriert. Diese Regel können Sie in der Astaro klonen und als Ziel DMZ Filr angeben. Wählen Sie Network Protection/NAT/NAT und modifizieren Sie die DNAT-Regel ASG wie folgt: paedml Novell / Filr / Installationsanleitung /

65 Group: ASG Position: <eine höher, als angezeigt> Rule Type: DNAT (Destination) For traffic from: Any (oder Any over External) Using service: HTTPS Going to: External (Address) Change the destination to: DMZ Filr And the service to: HTTPS Comment: ASG Filr IN Schalten Sie die Regel mit dem Schieberegler auf grün. paedml Novell / Filr / Installationsanleitung /

66 Außer der DNAT-Regel müssen Sie zwei Firewall-Regeln einrichten, um den Zugriff von außen nach innen und umgekehrt zu erlauben. Gehen Sie über Network Security/Firewall, klicken Sie auf New rule und legen Sie die zwei Regeln an, die Sie wie folgt konfigurieren: Speichern Sie die modifizierten Regeln mit Klick auf Save. Sie erhalten dann zwei Regeln, die Sie noch jeweils aktiv schalten, indem Sie auf den Schieberegler klicken. Der Schalter springt dadurch auf Grün. Den Port müssen Sie bei Ihrem Provider (Belwü) freischalten lassen. Wir haben hier darauf verzichtet, einen Zugriff von außen für den vaadmin über Port 9443 zu beschreiben, weil wir meinen, dieser Zugriff ist von außen nicht so wichtig und sollte besser innerhalb der Schule (oder über eine Remote-Verbindung auf einen Administrationscomputer) erfolgen. Wollen Sie dies trotzdem ermöglichen, so benötigen Sie ähnlich wie oben beschrieben eine HTTPS-9443-Definition und zusätzliche Regeln Zugriff von außen bei eigener Filr IP Adresse Mit Belwü als Provider stehen normalerweise mehrere offizielle IP-Adressen zur Verfügung. An der Belwütypischen Subnetzmaske erkennen Sie ein kleines Netz mit acht verfügbaren Adressen. paedml Novell / Filr / Installationsanleitung /

67 Davon entfällt eine Adresse für das Netz selbst, eine für den Belwü-Router (genauer: das Gateway), eine für Broadcast und eine für den GServer03, eventuell eine weitere für einen kaskadierten Belwü-KISS- Router. In der Regel stehen dann noch drei oder vier Adressen zur Verfügung (falls Sie schon Vibe einsetzen, eine weniger). Davon wählen Sie eine Adresse aus und bitten Belwü, dafür den DNS-Eintrag auf filr.<ihre Schuldomain> mit dem freigeschalteten Port 443 zu setzen. Auf der Astaro, als admin eingeloggt, erweitern wir zunächst eth1 mit der neuen IP-Adresse. Unter Interfaces&Routing/Interfaces/Additional Adresses /New Additional Address klonen Sie External [SRV] und modifizieren Sie, wie folgt: Name: Filr On interface: External IPv4 Address: <Ihre offizielle IP-Adresse für Filr> Netmask: /29 ( ) Comment: x.ip mit DNAT auf Filr (x durch passende Ziffer ersetzen) Schalten Sie den neuen Eintrag mit dem Schieberegler aktiv. Für den Zugriff von außen existiert schon eine Regel in der Astaro-Firewall. Diese Regel ist für den Webserver vorkonfiguriert. Diese Regel können Sie in der Astaro klonen und als Ziel DMZ Filr angeben. Wählen Sie Network Protection/NAT/NAT und modifizieren Sie die geklonte DNAT-Regel ASG-443 wie folgt: Group: Position: Rule Type: For traffic from: Using service: Going to: Change the destination to: And the service to: Comment: ASG <eine höher, als angezeigt> DNAT (Destination) Any (oder Any over External) HTTPS External [Filr](Address) DMZ Filr HTTPS ASG-443-Filr IN Schalten Sie den neuen Eintrag mit dem Schieberegler aktiv. paedml Novell / Filr / Installationsanleitung /

68 Außer der DNAT-Regel müssen Sie zwei Firewall-Regeln einrichten, um den Zugriff von außen nach innen und umgekehrt zu erlauben. Gehen Sie über Network Security/Firewall, klicken Sie auf New rule und legen Sie die zwei Regeln an, die Sie wie folgt konfigurieren: Speichern Sie die modifizierten Regeln mit Klick auf Save. Sie erhalten dann zwei Regeln, die Sie noch jeweils aktiv schalten. Wir haben hier darauf verzichtet, einen Zugriff von außen für den vaadmin über Port 9443 zu beschreiben, weil wir meinen, dass dieser Zugriff von außen nicht so wichtig ist und besser innerhalb der Schule (oder über eine Remote-Verbindung auf einen Administrationscomputer) erfolgen sollte. Wollen Sie dies trotzdem ermöglichen, so benötigen Sie HTTPS-9443-Definition und zusätzliche Regeln und eine Portfreischaltung bei Ihrem Provider (z.b. Belwü). paedml Novell / Filr / Installationsanleitung /

69 6.3. Aufruf von innen und außen über denselben Domain-Namen Es wäre schön, wenn auch nicht zwingend nötig, wenn man mit ein und derselben URL, die Ihre Schul- Domäne enthält, sowohl von innerhalb als auch von außerhalb der Schule auf Filr zugreifen könnte. Wer Filr nicht nur über eine offizielle IP-Adresse, sondern per URL mit der eigenen Schuldomain ansprechen will, sollte sich bei seinem Provider, z.b. Belwü, einen DNS-Eintrag setzen lassen. Wir schlagen vor: filr.<ihre Schuldomain> Beispiel: Angenommen, Ihre Schul-Domäne wäre meineschule.xystadt.de und Sie würden gerne mit von innen und von außen auf Filr zugreifen. Dann ist es notwendig, dass innerhalb der Schule entsprechende DNS-Einträge vorliegen. Dies ist recht einfach zu erreichen, wie bei den internen GServer03-DNS-Einstellungen weiter unten beschrieben. Etwas schwieriger ist dies für den Zugriff von außen zu erreichen. Vielleicht haben Sie schon eine Zugriffsmöglichkeit auf Ihr Intranet per oder In diesem Fall haben Sie sich einen entsprechenden DNS-Eintrag bei Ihrem Provider, z.b. Belwü, setzen lassen. Wollen Sie keine Portnummer verwenden, benötigen Sie mehrere offizielle IP-Adressen, was in der Regel bei Belwü gegeben ist (siehe oben). Jetzt zu den internen GServer03-DNS-Einstellungen: Wechseln Sie als root in das Verzeichnis /var/lib/named/master. Falls Sie schon Vibe mit einem offiziellen Domainnamen einsetzen, haben Sie dort eventuell schon die Datei meineschule.xystadt.de (natürlich mit Ihrem Domainnamen). Falls nicht, kopieren (!) Sie dort die Datei oes.ml-bw.de auf eine Datei im gleichen Verzeichnis, die Ihrem echten Domain-Namen entspricht, am obigen Beispiel also: cp oes.ml-bw.de meineschule.xystadt.de Editieren Sie die Datei meineschule.xystadt.de jetzt mit einem Editor wie folgt: $TTL IN SOA meineschule.de. root.meineschule.de. ( ; serial 3H ; refresh 1H ; retry 1W ; expiry 1D ) ; minimum IN NS gserver03.meineschule.de. gserver03 IN A server IN CNAME gserver03 kserver IN A vibe IN CNAME kserver filr IN A ;www IN CNAME gserver03 www IN NS ; Astaro-DNS paedml Novell / Filr / Installationsanleitung /