Novell OES Linux paedml Novell 3.2.3 für schulische Netzwerke

Novell OES Linux paedml Novell 3.2.3 für schulische Netzwerke Installationsanleitung: Einrichten des Fernzugriffs zur Ferndiagnose und Fernwartung für die paedml Novell 3.2.3 Stand: 11.06.2013

Inhaltsverzeichnis 0. Inhaltsverzeichnis 1. Einführung 2 1.1. Begriffsklärung: Ferndiagnose, Fernwartung und Fernzugriff 2 1.2. Voraussetzungen 3 1.2.1. Voraussetzungen für die Ferndiagnose 3 1.2.2. Voraussetzungen für die Fernwartung 3 1.3. Internetanbindung 3 1.3.1. Statische IP-Adresse 4 1.3.2. Dynamische IP-Adresse 4 1.3.3. Allgemeines zu Dynamischem DNS 5 1.3.4. Einrichtung eines DynDNS-Accounts 6 1.3.5. Einrichtung eines DynDNS-Hostnames 8 2. Einrichten des Fernzugriffs für die Hotline 11 2.1. Einrichten von Benutzerkonten 11 2.1.1. Remoteadmin für die Diagnose und Wartung des Servers und Novell spezifische Dienste einrichten 12 2.2. Remoteadmin für die Astaro Wartung 13 2.3. Firewall-Regeln anpassen 14 2.3.1. Regeln für SSH einrichten 14 2.3.2. Regeln für RDP (Remote Desktop Protocol) einrichten 15 2.3.3. Sicherheitseinstellungen für RDP 18 3. Weitere Vorgehensweise 20 4. Anhang 21 4.1. Links 21 4.2. Astaro aktualisieren 21 paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013 1

1 Einführung 1. Einführung 1.1. Begriffsklärung: Ferndiagnose, Fernwartung und Fernzugriff Im Rahmen der neuen paedml Leistungspakete bietet das Support-Netz am Landesmedienzentrum Baden-Württemberg die Dienstleistungen Ferndiagnose (paedml Standard-Paket) sowie Fernwartung (paedml Plus-Paket) an. Damit Sie diese Dienste in Anspruch nehmen können, müssen zuerst die technisch notwendigen Voraussetzungen auf Ihrem System geschaffen werden. Dies ist in beiden Fällen ein entsprechend eingerichtetes Benutzerkonto für den Fernzugriff durch die Hotline des Support-Netzes. Die vorliegende Anleitung führt schrittweise durch den Installationsprozess und richtet sich an EDV- Fachbetriebe sowie erfahrene Netzwerkberater. Die vorgenannten Begriffe Ferndiagnose, Fernwartung sowie Fernzugriff sind in diesem Kontext wie folgt definiert: Ein Fernzugriff bezeichnet das durch den Kunden autorisierte Aufschalten eines Hotline-Mitarbeiters des Support-Netzes auf ein Kundensystem mittels einer abgesicherten Netzwerkverbindung über das Internet. Die Ferndiagnose bezeichnet einen ausschließlich lesenden Zugriff durch die Support-Netz-Hotline auf das Kundensystem zum Zwecke einer Fehleranalyse. Die Ferndiagnose ist hierbei immer problembezogen, das heißt sie wird vom Kunden durch eine Störungsmeldung initiiert und dann von der Hotline bei Bedarf zur Diagnose des Problems durchgeführt. Für die Ferndiagnose ist ein eingerichteter Fernzugriff Voraussetzung. Wie die Einrichtung erfolgt wird im Kapitel 2 dieser Anleitung erläutert. Die Ferndiagnose ist ein optionaler Bestandteil des paedml Standard-Paketes und kann über das paedml Anmeldeformular zugebucht werden. Die Fernwartung stellt den schreibenden oder verändernden Zugriff auf das Kundensystem durch die Hotline des Support-Netzes dar. Für die Fernwartung ist ein eingerichteter Fernzugriff Voraussetzung. Dadurch kann die Hotline im Fehlerfall nach Absprache mit dem Kunden selbständig die Ursache eines Problems beheben und ist nicht zwingend auf die Anwesenheit eines Netzwerkberaters angewiesen. Die Fernwartung kann nur von Kunden in Anspruch genommen werden, die das paedml Plus-Paket gebucht haben. 2 paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013

Einführung 1.2. Voraussetzungen 1.2.1. Voraussetzungen für die Ferndiagnose - Verwendung des Serverbetriebssystems Novell Open Enterprise Server (paedml Novell 3.2.3 und höher) - Musterlösungskonforme Installation der Server - Konfigurierter Fernzugriff laut Kapitel 2 dieser Anleitung - Statische IP-Adresse oder im Falle einer dynamischen IP-Adresse einen konfigurierten DynDNS-Alias für Ihren Server - ständige Internetverbindung - externer Router - Buchung des paedml Standard-Paketes mit Option Ferndiagnose 1.2.2. Voraussetzungen für die Fernwartung - Verwendung des Serverbetriebssystems Novell Open Enterprise Server (paedml Novell 3.2.3 und höher) - Musterlösungskonforme Installation des Servers - Konfigurierter Fernzugriff laut Kapitel 2 dieser Anleitung - Statische IP-Adresse oder im Falle einer dynamischen IP-Adresse einen konfigurierten DynDNS-Alias für Ihren Server - ständige Internetverbindung - externer Router - Buchung des paedml Plus-Paketes - vorhandene Backup-Lösung 1.3. Internetanbindung Die Einrichtung der technischen Voraussetzungen zur Durchführung eines Fernzugriffs ist grundsätzlich für die beiden nachfolgend genannten Internet-Anbindungsarten möglich: 1) Permanente Internetanbindung über Statische IP-Adresse (z.b. durch Provider BelWü ) => im Folgenden kurz Statische IP-Adresse genannt. 2) Permanente Internetanbindung über Dynamische IP-Adresse (z.b. Telekom DSL-Flatrate) => im Folgenden kurz Dynamische IP-Adresse genannt. paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013 3

1 Einführung 1.3.1. Statische IP-Adresse Ist Ihr paedml-firewall-server mit der externen Netzwerkkarte über eine statische IP-Adresse direkt an das Internet angebunden, so müssen Sie bei Ihrem ISP (Internet Service Provider) eingehende Verbindungen für die nachfolgend genannten Protokolle und Ports für Ihre externe IP-Adresse (sogenannte Public IP ) freischalten lassen: - TCP an Port 51222 - TCP an Port 50443 - TCP an Port 51444 Die Freischaltung des Protokolls beziehungsweise Ports ist erforderlich, um die Herstellung einer Remote- Desktop-Verbindung oder einer SSH-Verbindung zu Ihrem Server zu ermöglichen. Die nächsten drei Abschnitte zu den Themen dynamische IP-Adressen und DynDNS können Sie überspringen, wenn Ihre Firewall über eine statische IP-Adresse an das Internet angebunden ist. In diesem Falle fahren Sie bitte direkt mit der Bearbeitung des Kapitels 2 Einrichten des Fernzugriffs für die Hotline fort. 1.3.2. Dynamische IP-Adresse Ist Ihr paedml-server beispielsweise über eine Telekom-DSL-Flatrate mit dem Internet verbunden, so bekommt er in regelmäßigen Zeitabständen (spätestens über Nacht) zwangsweise dynamisch eine neue IP-Adresse von Ihrem Provider zugeteilt. Ihre Musterlösungsinstallation könnte somit nicht konstant über eine gleichbleibende Adresse von außen angesprochen werden. Somit würde ein Fernzugriff durch die Hotline des Support-Netzes nicht zuverlässig funktionieren, da diese vom Wechsel Ihrer IP-Adresse nichts mitbekommen würde. Dieser Umstand lässt sich durch Registrierung eines Dynamischen DNS-Namen (DynDNS-Alias) beheben. Der in der Anleitung beschriebene Service des DynDNS-Anbieters dyndns.org ist inzwischen kostenpflichtig. Die Einrichtung wird weiterhin exemplarisch am Beispiel von dyndns.org beschrieben. Sofern Sie kostenlose Anbieter bevorzugen, nehmen Sie bitte Kontakt mit Ihrem Dienstleister auf. Wir empfehlen ausdrücklich, den Internetzugang der Schule über BelWü herzustellen. Ein BelWü Anschluss bietet, neben einer festen IP-Adresse, noch weitere Vorzüge (vgl. http://www.belwue.de/produkte.html). Auch andere Internetprovider bieten die Möglichkeit eine statische IP-Adresse zu erwerben. Hinweise zur Konfiguration des Routers: Da Ihre Firewall mit der externen Netzwerkkarte in der Regel. über einen DSL-Router an das Internet angebunden sein wird, müssen Sie an diesem Router eine Portfreigabe (Port-Forwarding) für eingehende Verbindungen über die Ports 50443, 51444 und 51222 TCP einrichten. Dies ist notwendig, um den Ser- 4 paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013

Einführung ver über den Router erreichbar zu machen. Bei einem Linksys-Router sehen die Einstellungen für die Portfreigaben wie folgt aus: 1.3.3. Allgemeines zu Dynamischem DNS Über diese Technologie ist es möglich, einen Rechner trotz dynamisch wechselnder IP-Adressen über einen gleichbleibenden Klartextnamen (DynDNS-Alias) über das Internet erreichbar zu halten. Streng technisch gesprochen handelt es sich hierbei um die Einrichtung einer DNS-Zone mit sehr kurzer TTL (Time To Live)-Zeit, weitere Infos hierzu finden Sie unter http://de.wikipedia.org/wiki/dyndns bei Wikipedia. Heutzutage gibt es einige Anbieter im Netz, bei denen man sich kostenlos einen dynamischen DNS- Namen für seinen Rechner reservieren lassen kann. Einer der bekanntesten Anbieter eines solchen Dienstes ist derzeit DynDNS.org. Hier kann man sich beispielsweise für seinen Server einen dynamischen DNS-Namen wie Mein-paedML-Server.dyndns.org einrichten. Damit die Maschine auch tatsächlich trotz IP-Wechsel über diesen Namen konstant erreichbar bleibt, muss die Zuordnung dieses DNS-Namens zu der aktuellen dynamischen IP-Adresse ständig aktuell gehalten werden. Um dies zu erreichen, muss auf dem betreffenden Server ein Update-Client (sogenannter DynDNS-Client) installiert werden, der im Falle eines IP-Wechsels die aktuelle IP-Adresse an DynDNS.org übermittelt. Weitere Details zur Einrichtung eines dynamischen DNS-Namens am Beispiel DynDNS.org finden Sie in den beiden nachfolgenden Abschnitten. paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013 5

1 Einführung 1.3.4. Einrichtung eines DynDNS-Accounts Um bei DynDNS.org einen DNS-Namen für Ihren Server registrieren zu können, müssen Sie sich zunächst über die Website des Anbieters einen sogenannten Account anlegen. Öffnen Sie einen Browser und geben Sie die nachstehend genannte Adresse in die Adresszeile ein: https://www.dyndns.com/account/create.html Im nachfolgend gezeigten Formular müssen Sie sich mit dem gewünschten Username und einer gültigen E-Mail-Adresse registrieren. Die Angabe, wie Sie zu DynDNS gekommen sind, ist freiwillig und kann weggelassen werden: Scrollen Sie nun im Formular weiter nach unten, setzen Sie den Haken bei I agree to the AUP, hiermit nehmen Sie die AGB des Anbieters an. Des Weiteren setzen Sie bitte den Haken bei I will only create one (1) free account, hiermit versichern Sie, dass Sie nur einen kostenlosen Account für Ihre Zwecke nutzen werden. Dies ist wichtig, da der Anbieter nur einen kostenfreien Account pro Person gestattet. Im Mißbrauchsfalle behält es sich der Anbieter laut seinen AGB vor, alle in Frage kommenden Accounts ggf. zu löschen: 6 paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013

Einführung Scrollen Sie nun im Formular weiter nach unten, optional können Sie sich von DynDNS.org einen Newsletter sowie sonstige Informationen an Ihre oben angegebene E-Mail-Adresse schicken lassen, setzen Sie im Bedarfsfalle die Haken entsprechend. Ansonsten können Sie den Registrierungsprozess direkt durch Klicken des Buttons Create Account anstoßen: Im Normalfall erhalten Sie nun in den nächsten Minuten eine Bestätigungs-E-Mail von DynDNS.org an die oben angegebene E-Mail-Adresse. Diese E-Mail enthält einen Link zur Login-Seite über die Sie sich binnen der nächsten 48 Stunden einloggen müssen, da ansonsten der soeben eingerichtete Account verfällt. Bitte klicken Sie den oberen der beiden Links (https), um sich bei DynDNS einzuloggen um Ihren Account zu bestätigen: paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013 7

1 Einführung Wie Sie sich nach dem Login einen dynamischen DNS-Namen einrichten, beschreibt der folgende Abschnitt. 1.3.5. Einrichtung eines DynDNS-Hostnames Bitte loggen Sie sich mit Ihren Zugangsdaten auf der DynDNS-Website ein: Zur Einrichtungen eines dynamischen DNS-Namens für Ihren Server klicken Sie bitte in der linken Spalte My Services den Menüpunkt Add Host Services: 8 paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013

Einführung Im ersten Eingabefeld der nachfolgenden Seite können Sie einen Namen für Ihren Server frei wählen. Dieser wird dann, durch einen Punkt getrennt, einer sogenannten Second-Level-Domain (z.b. dyndns.org ) des Anbieters vorangestellt, welche Sie im zweiten Eingabefeld (Dropdown-Box) auswählen können. Beim Radio-Button Service Type lassen Sie bitte die Option Host with IP address ausgewählt. Das Feld IP Address befüllen Sie bitte vorerst durch Klicken des direkt darunter stehenden Links Use auto detect IP address, diese Information wird später durch den auf Ihrem Server zu installierenden DynDNS-Client mit den tatsächlichen dynamischen IP-Adressen Ihres Servers aktualisiert. Klicken Sie abschließend den Button Create Host, um Ihren DynDNS-Namen anzulegen: Tipp: Allen Kunden, die bei uns registriert sind, ist eine eindeutige Installations-ID zugeordnet. Wir empfehlen Ihnen daher diese ID als Servernamen zu verwenden. Auf diese Art und Weise können unsere Hotline- Mitarbeiter Ihren Server bei einem Störungsfall leichter identifizieren, wodurch Ihnen schneller geholfen werden kann. Die Installations-ID Ihrer paedml sofern Sie sie nicht kennen können Sie per E-Mail anfordern. Schreiben Sie dazu eine E-Mail an hotline@lmz-bw.de mit mindestens folgenden Angaben: Name der Schule Anschrift der Schule Name der Kontaktperson (Netzwerkberater) E-Mail-Adresse oder die Telefonnummer der Kontaktperson Öffentliche IP-Adresse des Servers beziehungsweise der Firewall Falls keine öffentliche IP-Adresse verfügbar, der Klartextnamen bei DynDNS paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013 9

1 Einführung Auf der nachfolgenden Seite wird der soeben erzeugte Hostname angezeigt: Sie können sich nun von der DynDNS-Website ausloggen (Link im Fenster ganz oben rechts Log Out). Hinweis: Die Installation und die Konfiguration des DynDNS-Update-Clients (DynDNS-Updater) werden im Kapitel 3 Abschnitt 3.3 der Installationsanleitung zur Fernüberwachung behandelt. Falls Sie zur Ferndiagnose beziehungsweise - Wartung auf einen DynDNS-Alias angewiesen sind, installieren Sie bitte den DynDNS- Updater nach der Installationsanleitung zur Fernüberwachung. 10 paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013

Einrichten des Fernzugriffs für die Hotline 2. Einrichten des Fernzugriffs für die Hotline In diesem Kapitel wird beschrieben, wie Sie den Benutzer remoteadmin und die Firewall-Regeln einrichten. Damit ermöglichen Sie dem Benutzer remoteadmin, das heißt unseren Hotline-Mitarbeiter, die Störungsursache aus der Ferne zu finden und gegebenenfalls zu beheben - streng genommen handelt es sich hierbei um drei unterschiedliche Benutzerkonten. Mehr dazu erfahren Sie im Abschnitt 2.1. Folgende Schritte sind daher notwendig: 1. Einrichten des Benutzers remoteadmin 2. Firewall-Regel für die Verbindungsart über das Netzwerkprotokoll Secure Shell (SSH) 3. Firewall-Regel für die Verbindungsart über das Netzwerkprotkoll Remote Desktop Protocol (RDP) Die oben genannten Schritte gelten dabei in erster Linie für die Kunden der paedml Novell 3.2.3. Zur Vorbereitung eines PCs für einen Fernzugriff beziehungsweise für eine Ferndiagnose lesen Sie bitte die HowTo-Anleitung Remote-Zugriff von außen von Herrn Stefan Falk. Sie können sie unter http://www.lmz-bw.de/technische-unterstuetzung/kundenportal/novell/howtos/remote-zugriff-vonaussen.html herunterladen. Wichtiger Hinweis: Obwohl sich die Anleitung Remote-Zugriff von außen in erster Linie an Kunden der Novell-Musterlösung 2.6 oder höher richtet, ist sie für die paedml Novell 3.2.3 ebenso gültig. Sie müssen allerdings auf folgende Unterschiede achten: Im Kapitel 3 wird der Leser aufgefordert, den Port für das Netzwerkprotokoll RDP von 3389 auf 51444 zu ändern, so dass der PC für den Fernzugriff künftig über den Port 51444 erreicht werden kann. Diese Änderung ist für die paedml Novell 3.2.3 nicht notwendig. Haben Sie die Portänderung dennoch bereits durchgeführt, sollten Sie sie rückgängig machen. Da in der paedml Novell nicht mehr BorderManager, sondern Astaro als Firewall zum Einsatz kommt, brauchen Sie die in der Anleitung beschriebenen Änderungen in BorderManager, der Firewall der Novell Musterlösung, nicht umzusetzen. 2.1. Einrichten von Benutzerkonten Für den Fernzugriff sowie Ferndiagnose und -wartung müssen noch drei Benutzerkonten eingerichtet werden: Eines zur Diagnose und Wartung des Servers und Ein weiteres zur Diagnose und Wartung des edirectory sowie weiterer Novell spezifischen Serverdienste. Ein drittes zu Diagnose und Wartung der Astaro. Alle drei Benutzer tragen der besseren Übersicht halber denselben Namen: remoteadmin. Um den Aufwand, der für die Einrichtung der Benutzerkonten notwendig wäre, so gering wie möglich zu halten, ist im Installationspaket ein Skript enthalten, das zwei der insgesamt drei Benutzerkonten automatisch anlegt und die Passwörter synchronisiert. Den Benutzer zur Wartung der Astaro müssen Sie allerdings manuell einrichten. paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013 11

2 Einrichten des Fernzugriffs für die Hotline 2.1.1. Remoteadmin für die Diagnose und Wartung des Servers und Novell spezifische Dienste einrichten Hierbei werden ein Linux- und ein edirectory-benutzerkonto eingerichtet. Abgesehen vom Kontotyp unterscheiden sich die beiden Benutzer in den folgenden Punkten: Der Linux-User kommt immer dann zum Einsatz, wenn eine Diagnose oder eine Wartung direkt auf dem Server notwendig ist, zum Beispiel: DHCP, WebProxy(squid) oder Imaging-Server. Der edirectory-user kommt in der Regel nur dann zum Einsatz, wenn eine Diagnose oder Wartung im Zusammenhang mit dem Verzeichnisdienst edirectory notwendig ist. Dazu zählen zum Beispiel fehlerhaft eingerichtete Benutzerkonten oder ein falsch konfiguriertes Anwendungsobjekt, das sich nicht im Netzwerk verteilen lässt. Hinweis: Erfahrene Anwender der paedml Novell werden sich nun fragen, warum wir dafür keinen sogenannten LUM-Benutzer (LUM enabled User) anlegen. Denn dadurch wäre statt zweier Benutzerkonten nur noch eines notwendig. Der Einwand ist zwar berechtigt, hat aber einen Haken: Was tun, wenn ausgerechnet der Verzeichnisdienst edirectory nicht funktioniert und damit die potenzielle Ursache einer aufgetretenen Störung bildet? Ein LUM-Benutzer kann sich nämlich nur dann anmelden, wenn der Verzeichnisdienst für einen Anmeldevorgang störungsfrei zur Verfügung steht. Führen Sie bitte die nachfolgenden Schritte aus, um die beiden Benutzer einrichten zu können. Wichtiger Hinweis: Linux beziehungsweise Linux-basierte Systeme unterscheiden zwischen Groß- und Kleinschreibung. Achten daher bitte auf die Schreibweise in unseren Beispielen. 1. Melden Sie sich nun als Benutzer root am GServer03 an. 2. Falls Ihr GServer03 in Runlevel 5 startet, damit Sie sich grafisch anmelden können, müssen Sie noch ein Terminalfenster starten. 3. Erstellen Sie zuerst einen temporären Ordner, zum Beispiel /tmp/fernzugriff: mkdir /tmp/fernzugriff 4. Kopieren Sie die Archivdatei paedml_nov_323_fernzugriff.tgz nach /tmp/fernzugriff: cp /Pfad_zu_Archivdatei/paedML_Nov_323_Fernzugriff.tgz /tmp/fernzugriff 5. Wechseln Sie in den Ordner /tmp/fernzugriff: cd /tmp/fernzugriff 6. Entpacken Sie die Datei: tar zxvf paedml_nov_323_fernzugriff.tgz 7. Wechseln Sie in den Unterordner remoteadmin/install_dir: cd remoteadmin/install_dir 12 paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013

Einrichten des Fernzugriffs für die Hotline 8. Führen Sie das Skript setup.sh aus:./setup.sh 9. Kurz nach dem Beginn des Setup-Vorgangs wird ein Zufallspasswort eingeblendet. Schreiben Sie es bitte auf. Sie brauchen dieses Passwort noch ein weiteres Mal. 10. Folgen Sie den weiteren Hinweisen des Skripts, bis beide Benutzer erfolgreich eingerichtet sind. 2.2. Remoteadmin für die Astaro Wartung Falls Sie sich Unterstützung beim Konfigurieren der Astaro Firewall wünschen, müssen Sie auf der Astaro einen zusätzlichen User remoteadmin einrichten und zu den SuperAdmins hinzufügen 1. Starten Sie WebAdmin der Astaro und melden Sie sich als Admin an, indem Sie einen Browser Ihrer Wahl starten und die Seite https://10.1.1.30:4444 aufrufen. 2. Klicken Sie auf den Menüpunkt Users in der linken Spalte. 3. Öffnen Sie die Seite zur Benutzerverwaltung, indem Sie auf den Link Users klicken. 4. Klicken Sie auf den Button New user, um einen neuen Benutzer aufnehmen zu können. 5. Übernehmen Sie die in der Abbildung dargestellten Werte. Als Passwort tragen Sie jenes Passwort ein, das Ihnen während des Setupvorgangs aus dem vorherigen Abschnitt vom Setupskript mitgeteilt wurde. paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013 13

2 Einrichten des Fernzugriffs für die Hotline 6. Schließen Sie den Vorgang mit Save ab. 7. Klicken Sie im WebAdmin auf den Link Benutzer Gruppen. 8. Drücken Sie anschließend auf die Schaltfläche Edit bei SuperAmins. 9. Öffnen Sie den Objektbrowser mit einem Klick auf dem Ordnersymbol. 10. Suchen Sie nach dem Benutzer remoteadmin und ziehen Sie das Benutzerobjekt in das Feld Statische Mitglieder hinein. 11. Speichern Sie die Änderung mit Save. 2.3. Firewall-Regeln anpassen Mit der Aufnahme des Benutzers remoteadmin und der Aktivierung des Benutzerportals haben wir nun die ersten Voraussetzungen für einen Fernzugriff erfüllt. In diesem Abschnitt werden wir die restlichen Voraussetzungen ergänzen, indem wir Ihre Firewall um die für den Fernzugriff notwendigen Regeln erweitern. Dabei stehen folgende Protokolle im Vordergrund: SSH RDP (Remote Desktop Protocol) Wichtiger Hinweis: Die hier beschriebenen Regeln basieren auf der Standardkonfiguration der Astaro, die am 20.11.2007 veröffentlicht wurde. Falls die Konfiguration Ihrer Astaro-Firewall älter ist, finden Sie im Anhang eine Kurzanleitung, wie Sie sie aktualisieren können. 2.3.1. Regeln für SSH einrichten 1. Starten Sie den WebAdmin der Astaro und melden sich als Admin an. 2. Wählen Sie aus dem Menü Network Security das Untermenü NAT aus. 3. Klicken Sie auf die Registerkarte DNAT/SNAT. 4. Suchen Sie dort nach der Regel mit dem Namen DNAT [ASG-51222] und aktivieren Sie sie. 5. Klicken Sie nun auf den Link Packet Filter unter dem Menü Network security. 6. Suchen Sie nach der Regel für das Netzwerkprotokoll SSH und aktivieren sie sie (die zweite Regel aus der Abbildung.) 14 paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013

Einrichten des Fernzugriffs für die Hotline Existiert die dargestellte Regel nicht, definieren Sie eine neue Regel mit den Werten aus der nachfolgenden Abbildung. Speichern Sie sie mit Save und aktiveren Sie diese abschließend. 2.3.2. Regeln für RDP (Remote Desktop Protocol) einrichten 1. NAT-Regel Wenn Sie die Standardkonfiguration der paedml Novell 3.2.3 für die Astaro verwenden, ist eine passende NAT-Regel des Typs Full-NAT bereits vorhanden. Kontrollieren Sie daher, ob die Regel mit dem Namen ASG-51444 unter Network Security NAT DNAT/SNAT aktiviert ist. paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013 15

2 Einrichten des Fernzugriffs für die Hotline Öffnen Sie anschließend das Eigenschaftsfenster der NAT-Objekts ASG-51444, indem Sie auf den Button Edit klicken. Drücken Sie danach auf das Ordnersymbol rechts vom Eingabefeld Traffic Service, um das Auswahlfenster für Netzwerkobjekte öffnen zu können. Ziehen Sie den Mauszeiger über die beiden Objekte Microsoft Remote Desktop. WebAdmin zeigt daraufhin in einem kleinen Fenster eine Zusammenfassung über die verwendeten Ports. Markieren das Netzwerkobjekt, das wie in der nachfolgenden Abbildung dargestellt als Zielport den Wert 51444 anzeigt. Halten Sie die linke Maustaste gedrückt und ziehen es über das Eingabefeld Source Service. Lassen Sie die Taste erst dann los, wenn der Rahmen des Eingabefeldes grün leuchtet. Übernehmen Sie die Änderung mit einem Klick auf die Schaltfläche Save. 16 paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013

Einrichten des Fernzugriffs für die Hotline 2. Paketfilter aktivieren Der passende Paketfilter ist ebenfalls vordefiniert. Suchen Sie unter Network Security Paket Filter nach dem Paketfilter für das Protokoll Microsoft Remote Desktop (RDP) und aktivieren Sie ihn gegebenenfalls. 3. Paketfilter anpassen Der unter dem Punkt 2 aktivierte Paketfilter enthält unter anderem IP-Adressen des PCs, der zur Ferndiagnose verwendet wird. Da er statische IP-Adressen trägt, muss der Paketfilter noch in diesem Punkt angepasst werden. Drücken Sie dazu auf die Schaltfläche Edit. Öffnen Sie mit einem Doppelklick auf das Objekt Internal MS-Remote-Desktop das Dialogfenster zur Bearbeitung der Objekteigenschaften. paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013 17

2 Einrichten des Fernzugriffs für die Hotline Ersetzen Sie die in der Abbildung dargestellte IP-Adresse durch die IP-Adresse des Remote-PCs. Drücken Sie zweimal auf die Schaltfläche Save, um die Änderungen übernehmen zu können. 2.3.3. Sicherheitseinstellungen für RDP RDP bietet die Möglichkeit den Datenverkehr während einer RDP-Sitzung zu verschlüsseln. Bedauerlicherweise ist die Standardeinstellung dafür Nicht konfiguriert (siehe Abbildung). In diesem Abschnitt werden wir Ihnen zeigen, wie der Datenkanal gehärtet werden kann. 1. Melden Sie sich als lokaler Administrator an dem Remote-PC an (siehe Anleitung Remote-Zugriff von Außen unter http://www.lmz-bw.de/technische-unterstuetzung/kundenportal/novell/howtos/remotezugriff-von-aussen.html). 2. Starten Sie über Start Ausführen das Programm gpedit.msc. (Editor für Richtlinien). 3. Öffnen Sie den Ordner Verschlüsselung und Sicherheit. 4. Doppelklicken Sie auf die Zeile Verschlüsselung der Clientverbindung festlegen. 5. Aktivieren Sie die Verschlüsselungsoption und setzen Sie die Verschlüsselungsstufe auf Höchste Stufe. 18 paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013

Einrichten des Fernzugriffs für die Hotline 6. Drücken Sie danach zuerst auf den Button Übernehmen und dann auf OK. 7. Doppelklicken Sie anschließend auf die Zeile Clients bei der Verbindung immer zur Kennworteingabe auffordern. 8. Aktivieren Sie diese Option ebenfalls und speichern Sie die Änderung. Tipp: Damit die beiden Sicherheitsanpassungen nach einem Imaging-Vorgang weiterhin gelten, empfehlen wir das Image für den Remote-PC zu aktualisieren. paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013 19

3 Weitere Vorgehensweise 3. Weitere Vorgehensweise Nach erfolgreicher Abarbeitung der vorangegangenen Abschnitte sind auf Ihrem System die technischen Voraussetzungen zur Inanspruchnahme der Ferndiagnose bzw. der Fernwartung geschaffen. Nehmen Sie bitte nun mit der Novell-Hotline des Support-Netzes Kontakt auf. Bitte halten Sie hierzu die folgenden Informationen bereit: Die Einwahladresse des Servers, das heißt die öffentliche IP-Adresse der externen Netzwerkkarte oder den entsprechenden DynDNS-Alias, falls die Schule keine feste IP-Adresse hat Den Namen des festen "ersten" Ansprechpartners in Ihrem Hause für technische Rückfragen der Novell-Hotline Zusammen mit der Hotline wird dann der zuvor eingerichtete Fernzugriff getestet und Ihre Daten im Ticketsystem des Support-Netzes werden ergänzt. Des Weiteren wird die Hotline das Kennwort des Benutzers RemoteAdmin ändern. 20 paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013

Anhang 4. Anhang 4.1. Links Installationsanleitung für Astaro Security Gateway für die paedml Novell, http://www.lmz-bw.de/technische-unterstuetzung/kundenportal/novell/dokumentation.html Wissensdatenbank (Knowledge Base) der Astaro AG, http://www.astaro.com/kb DynDNS.org, http://www.dyndns.com/ Dokumentation zu DynDNS, http://www.dyndns.com/support DynDNS auf Wikipedia, http://de.wikipedia.org/wiki/dyn-dns RDP auf Wikipedia, http://de.wikipedia.org/wiki/remote_desktop_protocol Remote-Zugriff von außen, ein HowTo von Stefan Falk http://www.lmz-bw.de/technische-unterstuetzung/kundenportal/novell/howtos/remote-zugriff-vonaussen.html 4.2. Astaro aktualisieren Die im Kapitel 2 beschriebenen Regeln für die Firewall Astaro gelten nur in Kombination mit unserer Standardkonfiguration, die am 20.11.2007 parallel zur Freigabe der paedml Novell 3.2.3 veröffentlicht wurde. In diesem Abschnitt möchten wir Ihnen daher zeigen, wie Sie gegebenenfalls Ihre Konfiguration austauschen können. Sie können sie auf unserer Seite http://www.lmz-bw.de/technischeunterstuetzung/kundenportal/novell/dokumentation.html herunterladen. Da unsere Standardkonfiguration als eine Backup-Datei erscheint, müssen Sie zuvor unbedingt folgende Vorbereitungen treffen: a) Notieren oder drucken Sie alle von Ihnen individuell erstellten Regeln, da sie bei der Wiederherstellung der Standardkonfigurationen überschrieben werden. b) Da die IP-Adresse der Schnittstelle External ebenfalls überschrieben wird, müssen Sie die IP- Adresse sowie die Netzwerkmaske und die IP des Gateways notieren. c) Halten Sie Ihre Lizenzdatei für Astaro bereit. Nach der Wiederherstellung der Standardkonfiguration ist es zwingend erforderlich, die Lizenzdatei erneut einzuspielen. Wichtiger Hinweis: Nach dem Entpacken der ZIP-Datei stehen zwei Backup-Dateien zur Verfügung. Die Datei für 3 NICs, also für drei Netzwerkkarten, ist nur dann von Bedeutung, wenn Sie über eine VLAN-fähige Netzwerkkarte verfügen. Wenn Sie nicht sicher sind, ob Ihr Firewall-Server dazu in der Lage ist, sollten Sie die Konfiguration für acht Netzwerkkarten wiederherstellen. paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013 21

4 Anhang 1. Starten Sie den WebAdmin der Astaro und melden sich als Benutzer admin an. 2. Klicken Sie auf das Menü Management. 3. Wählen Sie dann das Untermenü Backup / Restore aus. 4. Kontrollieren Sie, ob unter Available backups eine Backup-Datei mit dem Datum 2007-11-20 zu finden ist. Falls ja, brauchen Sie die nachfolgenden Schritte nicht durchzuführen und können direkt mit dem Punkt 9 fortfahren. Führen Sie Punkt 5. - 8. nur aus, wenn keine Backup-Datei hinterlegt ist. 5. Klicken Sie auf das Ordnersymbol bei Backup file. 6. Fügen Sie die zu Ihrem Firewall-Server passende Backup-Datei (zum Beispiel, asg.oes.mlbw.de_7.006_2007-11-20_00-24 8xNIC Ethernet ; singel external IP aktiv.abf) hinzu und klicken Sie auf Start Upload. 7. Nach einem erfolgreichen Upload - Sie erkennen es daran, dass im Eingabefeld Backup file die hinzugefügte Datei zu sehen ist - muss sie noch importiert werden. Klicken Sie dazu auf die Schaltfläche Import Backup. 8. Ist die Backup-Datei erfolgreich importiert worden, sollte sie nun in der Liste der Available Backups stehen. 22 paedml Novell 3.2.3 / Einrichtung des Fernzugriffs für die Ferndiagnose und Fernwartung / 11.06.2013