Server-Appliance

Hallo Jörg,

genau für diesen Anwendungsfall habe ich das auch konzipiert. Es reicht ein Portforwarding für die IP des Relay auf Port 25, imap und Submission sind nur aus den LAN erlaubt.

VG, Thomas

1 „Gefällt mir“

Hi Thomas,

ja damit kann man sicher leben.
Clientseitig heißt ja manchmal auch dass wir von den Servern reden, z.B. wenn ein Moodle/nextcloud/XYZ-server auf den AD zugreifen will und daher ein CERTREQ=never irgendwo benötigt, weil das Serverzertifikat sich nicht in php importieren lassen will.

Ist vllt. aus der Luft gegriffen, aber ich hoffe du verstehst, was ich meine.

Es sollte halt irgendwie klar sein an welchen Stellen ich schrauben muss, wenn ich z.B. von selbstsigniert auf LE-Zertifikate übergehe, so dass z.B. der Mailserver (oder irgendein anderer) nicht weiterhin irgendwo ein CERTREQ=never drinstehen hat, wenn es dort eigentlich nicht hingehört, z.B. weil er jetzt auch nach außen SSL-Anfragen macht, die er gefälligst nicht mit unsauberem Zertifikat akzeptieren soll.

VG, Tobias

Hallo,

das kann man bei Docker Apps mit selbstgebauten Images für die Apps leicht auf Clientseite abfangen, indem man eine Option

LMN_ALLOW_SELFSIGNED=Yes/No

In die docker-compose.yml einbaut und den Entrypoint des Images entprechend anpasst. Man muss die offiziellen Docker Images dass eben selbst machen, aber das ist fast keinAufwand.

Z.B.Mailserver. Ich kann eben nicht mehrdirelt das Image von tvial nehmen, sonder mache ein eigenes, linuxmuster/mail, das nimmt tvials Image als From, womit ich all seine Möglichkeiten erbe und erweiter jetzt nur das Entrypoint Skript so, dass es die Konfigurationsoption auswertet und wenn nötig vor Startbder Dienste die ldap.conf und/pder weitere Optionen im Container anpasst.

VG

Frank

Moin!

Ein neues Release 20190320 der Server-Appliance liegt vor. @Tobias Vorschläge sind darin umgesetzt:

  • Serielle Konsole ist aktiviert.
  • Name des Netzwerkinterfaces ist auf eth0 gepinnt, sodass die Netzwerkverbindung beim ersten Start auf allen Hypervisoren funktionieren sollte.

Mit älteren Releases aufgesetzte Server müssen nicht neu aufgesetzt werden. So bringt man den Server auf den neuesten Stand:

  • dist-upgrade durchführen
  • in /etc/samba/smb.conf:
    • alle Zeilen mit ‚id map‘ entfernen
  • Dienst samba-ad-dc neu starten

Bitte in diesem Thread nur Beiträge posten, die die Server-Appliance betreffen.

VG, Thomas

2 „Gefällt mir“

Hi.

Kann nicht nach do-it-like-babo mit meiner eigenen Domäne wechseln.
Schritte:

  • appliance import (KVM) opnsense & server
  • opnsense - IP auf 10.16.1.254/12 gestellt. i-Net verbindung steht.
  • server:
linuxmuster-prepare -s -d meine-schule.de -o -p server
...
reboot
...
linuxmuster-setup ... alles durchgeklickt, kein Mailserver
...
failed bei krb5 provisioning

Vermutlich sinnlos, aber wenn ich denselben Befehl linuxmuster-setup nochmal laufen lasse, dann geht alles scheinbar glatt…

Was mache ich falsch?

Vg, Tobias

Und noch was: Das per **** eingegebene Passwort bei der Dialogabfrage wird auf der Konsole im Klartext ausgegeben. Hoffentlich landet das in keinen Logs?
VG, Tobias

hui. Mir fällt gerade nach den folgenden Tests: „server.asdf.asdf.asdf.de“ und „server.linuxmuster.lan“ die beide weiterkamen als krb5 provisioning, dass „server.meine-schule.de“ evtl. deswegen fehlschlägt, weil meine-schule.de eine externe Adresse auflöst (nämlich belwue). ALso in wirklichkeit ist es ja humboldt-gymnasium.ka.schule-bw.de und die subdomain „server.“ zeigt auf mich, während die domain selbst auf einen webserver bei belwue zeigt.
Könnte es daran liegen? oder etwa an der Länge? oder an den zwei minuszeichen?

VG, Tobias

Hi @tobias,

Wäre möglich. Ich weiß, dass diese AD/Kerberos-Geschichte sehr allergisch auf unsaubere DNS-Konfigurationen reagiert.

VG, Thomas

Hi.

ich habe jetzt trial and error mehrere domänen durchprobiert

linuxmuster.net.lan - geht
dumboldt-gymnasium.ka.schule-bw.de - geht nicht
humboldtgymnasium.ka.schulebw.de - geht nicht
linuxmuster.lan.de - geht
linuxmuster.schule-bw.de - geht
linuxmuster.ka.schule-bw.de - geht
linuxmuster-gymnasium.ka.schule-bw.de - geht nicht
l-m.ka.schule-bw.de - geht
humboldt-gym.ka.schule-bw.de - geht
humboldt-gymnium.ka.schule-bw.de - geht nicht
irgendeine-domaene.ist-zulang.de - geht nicht
irgendeine-domaene.ist-lang.de - geht nicht
irgendeine-domene.is-zlang.de - geht nicht
irgendeine-domene.s-zlang.de
... und noch ein paar.. 

keine Muster erkennbar, also jedenfalls nicht die minuszeichen, und nicht mehrere punkte.
Ich lasse immer linuxmuster-prepare zwei mal identisch durchlaufen bevor ich reboote.
hm, kann ich das irgendwie debuggen, wie?
VG, Tobias

eventuell bin ich auch nur zu bescheuert zwei mal das gleiche PW einzugeben? Kann es das sein?

Hallo Tobias,

probier mal
humboltgymnasium.lan
dann
humboltgymnasium.de
dann
humbolt.lan
und
humbolt.de

Das zielt auf Länge und auf de oder lan

LG

Holger

Hi!

Ich denke nicht, dass bestimmte Domänennamen Fehler verursachen. Ich konnte z.B. mit meine-schule.de erfolgreich testen. Hast du bei einem erneuten Setuplauf auch immer mit einer frischen Appliance angefangen?

VG, Thomas

Hi Thomas,

ich habe mir das Zurücksetzen des LVM-Snapshots automatisiert und fange dann mit einer Appliance an (inkl. opnsense zurücksetzen), die noch kein linuxmuster-setup durchlaufen haben:

./host-snapshots.sh merge; ./host-snapshots.sh make; virsh start lmn7-opnsense; virsh start lmn7-server

Dann in der console des servers

linuxmuster-prepare -s -o -d test-domäne.de
linuxmuster-prepare -s -o -d test-domäne.de (ein zweites Mal)
reboot

Dann in der Konsole des servers linuxmuster-setup - nur enter mit HAken bei “no mailserver”, Passwort “Muster!”
Ich teste grade ob es die Länge der domäne ist.
Ich kann mir auch noch die Zeitsynchronisation vorstellen.

Wieso zwei Mal prepare?

VG, Thomas

Hi Thomas,

weil beim ersten Ausführen der Kommentar der in den ssh-keys auftaucht noch root@aktuelle-domäne.de ist statt der, die ich angegeben habe. Da dachte ich mir: lieber nochmal, dann sind nicht nur die root@… kommentare in den ssh-keys richtig.

wenn das Skript idempotent wäre (schön, dass ich so ein tolles Wort gelernt habe im Pfinztal), dann sollte das ja nichts ausmachen :slight_smile:

Darf ich es nicht zwei Mal ausführen?
VG, Tobias

Schon, aber es ist nicht notwendig. linuxmuster-setup erzeugt sowieso neue Keys. Außerdem wenn du nur die Domäne ändern willst und nicht auch noch die Netzwerkadresse, kannst du dir das linuxmuster-prepare sparen.

VG, Thomas

ok.
Es liegt an der Samba-Domäne. Logs anschauen ist viel ergiebiger als trial-and-error…

“HUMBOLDT-GYMNIUM” is not a valid NetBIOS name.

iund das ist tatsächlich die Länge:
https://docs.microsoft.com/en-us/previous-versions/ms853695(v=msdn.10)
"A NetBIOS name must contain 16 bytes. "
Stimmt eigentlich, außerdem braucht der Server höchstens 640kB an RAM.
es lebe die abwärtskompatibilität, oder was ist der Grund dafür?

was kann ich da machen?
VG, Tobias

Hallo Tobias,
bei NT 4.0 waren es 15 Zeichen …
Gruß Jürgen

Wahrscheinlich sind bei den 16 bytes ein abschließendes “Carriage return” dabei, dann wären es auch nur 15 Zeichen.
Stell die eine Schreibmaschine vor, die nicht nach dem Tippen der Domäne einen Zeilenvorschub macht, unglaublich!

Hallo Tobias,

jetzt wo das Problem gelöst ist ist mir aufgefallen, dass ich so etwas bei der Version 5 oder 6 auch mal hatte. Dummerweise wurde der zu lange Name ohne zu meckern angenommen, aber der Zugriff auf die Domäne funktionierte nicht.

Gruß und Sorry, dass mir das nicht früher eingefallen ist

Alois

Moin!

Sieht so aus, als könnte der Sambadomänenname nicht länger als 15
Zeichen sein (sic!). Kommt mir irgendwie bekannt vor.
Also darf der vordere Teil der Internetdomäne auch nicht länger als 15
Zeichen sein.
MS-DOS lässt grüßen!

VG, Thomas