Server-Appliance

Hi!

Es gibt eine aktualisierte Version der Server-Appliance auf Basis von Ubuntu Server 18.04.2.

VG, Thomas

1 Like

Wow, besten Dank für die klasse Arbeit! Habe gestern gedacht, ich warte mal mit dem Download noch bis heute… :hugs:

VG, Josef

Hallo Thomas,

prima! Eine Frage: Könntet ihr bei Gelegenheit in der Doku

Beim LDAP-Bind ergänzen,

  • welche Möglichkeiten der LDAP-Abfrage der Server bereitstellt (LDAPs Port 636, LDAP mit TLS Port 389, LDAP Plain 389)?
  • Was man in der Firewall tun muss, damit externe Dienste das nutzen können.

Strukturell: Sollte man LDAP Plain auf dem Server abschalten?

VG

Frank

Hallo Frank,

generell sollte die Abfrage des AD natürlich über Port 389 TLS oder 636 LDAPS erfolgen. Ob da noch zusätzlich was in der smb.conf konfiguriert werden muss um das zu beschränken weiß evtl. @Maurice?

VG, Thomas

Moinsen!

Musste die Server-Appliance nochmal nachbessern, da die Hardwarekonfiguration nicht so konfiguriert war wie sie sein sollte (nur 2G RAM und 1 Proz.). Aktuelles Release jetzt 20190312. Kein Grund neu aufzusetzen. Einfach die HW-Konfiguration der VM anpassen, falls es eh nicht schon gemacht wurde.

VG, Thomas

Tag auch,

Kann man daraus schliessen, dass die 7er LML auf 18.04 basieren wird? Das waere fein, dachte da waere “old school” 16.04 am Start.

Gruss Harry

Yep. lmn7 hat schon immer auf 18.04 basiert.

VG, Thomas

Hi,

das kann sicher beschränkt werden aber ich sehe hier keinen Handlungsbedarf. Dienste sollten wie von dir Thomas beschrieben ohnehin immer TLS bzw. LDAPS verwenden. Bei MS-Server ist es so, dass nur mit TLS oder LDAPs auch alle Atribute abgefragt werden können. Bei Samba 4 sollte das gleich sein. Müsste ich aber testen.

VG, Maurice

Hallo,

Da hast du recht, ich fände es aber besser, wenn wir auf Serverseite sicherstellen würden, dass eine unverschlüsselte Kommunikation ausgeschlossen ist, um Fehlkonfigurationen zu verhindern.

Ich erinnere mich, dass die ersten Versionen den Linux-Clients für die 62 die LDAP-Anmeldung ohne Verschlüsselung abgewickelt haben, bis das zufällig mal jemand gemerkt hat.
Und soweit ich das durchschaut habe, hat der docker-mailserver in der Konfiguration von Thomas bislang auch einfach ldap ohne TLS und SSL gemacht – ausser wenn der Server Verbindungen auf Port 398 automatisch auf TLS upgradet und unverschlüsselt ablehnt - aber das müsste eben sichergestellt werden.

Kurz: Unser Server sollte IMHO möglichst keine unverschlüsselten Protokolle anbieten.

VG

Frank

Nur wenn man in der smb.conf
ldap server require strong auth = Yes
setzt, werden keine unverschlĂĽsselten LDAP-Abfragen mehr erlaubt.

Setzen wir dann als Standard, oder?

VG, Thomas

Hi Thomas,

fĂĽr mich ok. Ich sehe hierdurch keinen nachteil. Wir sollten es aber vorher testen.

VG, Maurice

Hi!

Allerdings funktioniert nach der Ă„nderung das Mailsystem erst dann wieder, wenn man in den Konfigs ĂĽberall die Server-IP gegen den FQDN austauscht.

Umso mehr wird dann ein richtig konfiguriertes DNS wichtig. Außerdem ist es wohl empfehlenswert, wenn man extern Authentifizieren oder über den Mailserver Mails in die Welt schicken will, dass man beim Aufsetzen die extern gültige Internetdomäne mit Letsencrypt-Zertifikaten verwendet. Nur mal so angedacht.

In linuxmuster-mail 0.4.1 habe ich Vorlagen und Skript entsprechend mit FQDN angepasst.

VG, Thomas

Hallo!

Woran liegt das? Liegt das am Server oder am Client - hast du auf den Server ein Letsencrypt Zertifikat oder Selfsigned?
VG

Frank

Self signed. Keine Ahnung warum, konnte mich aber erst wieder am Mailserver anmelden als ich statt der IP den FQDN eingetragen habe.

Das ist irgendwie komisch, das wĂĽrde ja heiĂźen, dass der Server das erzwingt, weil die ldap.conf mit der ReqCert Never Einstellung ja nicht hilft.
Wobei natĂĽrlich ein passender Name und selfsigned immer noch ein winziges minmales Bisschen mehr wert ist, als eine IP und Self signed, weil du den Common Name ja immerhin bei der Erzeugung des Zertifikats angibst. Aber naja.

So isses. Deshalb lassen wir es jetzt einfach so.

1 Like

Hi,
mir liegt das ja auch immer auf der Leber und ich sehe, der defaultzustand und die zugehörigen Änderungen zu einem richtigen DNS sind noch nicht in Stein gemeißelt.
Falls da in KA schon irgendwas gesagt werden kann, zumindest, was wir jetzt dokumentieren sollen (“grundsätzlich SSL-verschlüsselt mit self-signed zertifikaten”) wäre es super.
Ansonsten lavieren wir wie bisher… und erklären wenn nötig.

Vg, Tobias

Hallo Tobias,

für das einfache Mailserversetup mit Smartrelayhost reicht das, was wir jetzt haben völlig. Letsencrypt ist für die Kommunikation zwischen AD, Mailserver, Smarthost und Clients nicht unbedingt nötig. Clientseitig muss halt das selbstsignierte Serverzertifikat akzeptiert werden, was nicht unbedingt sauber ist. Möglich ist es allerdings, dass das Rootzertifikat des Servers auf den Schulclients installiert und ins Image aufgenommen wird.
Wer einen exponierten Mailserver benötigt, der auch von extern genutzt werden kann, muss eh andere Lösungen suchen. Die wenigsten Schulen werden das selbst hosten wollen.

VG, Thomas

Hallo Thomas,

schön wäre ein von außen erreichbarer Mailserver schon. Ansonsten ist es für viele Standarduser schwierig, von extern Mails mit der Schuladresse als Absender zu versenden.

Insofern wäre es toll, wenn der Mailserver so vorkonfiguriert wäre, dass sowohl IMAP als auch SMTP von außen leicht aktivierbar ist - sauber abgesichert und natürlich verschlüsselt.

Den Versand wird man vermutlich trotzdem per Relay machen, damit die Mails auch von allen Providern akzeptiert werden.

Ich sehe es aber wie Du, dass eine Vorkonfiguration mit selbstsigniertem Zertifikat reicht, wer will, kann es ja leicht gegen eins von Let’s Enscrypt austauschen.

Beste GrĂĽĂźe

Jörg

Hallo,

da kann man ja dann dokumemtieren, wie man den macht, möglich ist das ohne Probleme.

Als Auslieferungszustand macht ein “didaktischer Mailserver” in grün mehr sinn, weil für die externe Nutzung viel mehr Voraussetzungen erfüllt sein müssen, die von uns nicht beeinflussbar sind.

Und die Mailports einfach nach grün zu öffnen, halte ich nicht für akzeptabel.

Kurz: Das wird möglich sein, wir müssen nur noch genau überlegen, wies am besten klappt.

Vg

Frank