Univention Corporate Server(UCS)をホームサーバーとして使用する

以前の記事で、Univention Corporate Server(UCS)について説明しました。 そのバージョンはエンタープライズクライアントにもっと焦点を当てていました。 ただし、UCSはホームサーバーとしても使用できます。

UCSのプロフェッショナルサービス責任者であるIngo Steuwerは、この手順を詳細に説明するために少し時間がかかりました。 あなたがDIYの趣味人であれば、あなたはこの記事を面白いと思うでしょう。

ホームサーバーとしてのUnivention Corporate Server(UCS)

Univention Corporate Server(UCS)は、セットアップが簡単で保守が簡単なシステムとして、プロのITユーザーによって主に使用されています。 それでも、個人ユーザーもこの概念の恩恵を受けることができます。 この記事では、UCSとNextcloudおよびKopanoアプリを使用して、ほんの数ステップで、Eメール、グループウェア、およびファイル共有用に独自のサーバーをセットアップする方法を紹介します。 GMailやDropboxなどのサービスに代わるものはすべて自分の管理下にあります。

ハードウェアを購入するか、サーバーを借りますか?

最初の質問はもちろんです:私はどこでサーバを動かしますか? 原則として、個人ユーザーは企業と同じ選択肢があります。自分のハードウェア上、自分の「ITセンター」(または倉庫)、または他の場所でホストされているレンタルシステム、たとえばクラウド付きの「専用サーバー」のいずれかです。サービスプロバイダーまたはAmazon Imageとして[//aws.amazon.com/marketplace/pp/B071GDRQ3C]。 決定を下す際には、サーバーを実際にどのように使用するつもりかを検討することが重要です。

レンタルシステムは、初期投資が最小限で済み、通常、大きな帯域幅制限とは関係ありません。さらに、要件に合わせて拡張する方が簡単です。 この種のシステムは、たとえばサーバーが協会のメンバーによって使用されている場合など、さまざまな場所からのアクセスが多い場合に実用的です。

自分のネットワーク上でシステムを実行すると、自分のデータを完全に制御できるだけでなく、標準のファイルサーバーやローカルメディアプレーヤーへの音楽やビデオのストリーミングなどの追加のアプリケーションシナリオもサポートされます。 ただし、プライベートインターネット接続への依存は、システムが外部からアクセスされるときにしばしばボトルネックになります。 ごく最近のVDSL接続でさえ、比較的低いアップロード容量を備えています。 一部のインターネットプロバイダは、外部からのアクセスをまったくサポートしていません。 疑問がある場合、最善の解決策は、新しいハードウェアに投資する前にいくつかのテストを実行することです。

以下に説明されるステップは、原則として、両方の選択肢に等しく適用可能である。

あなた自身のハードウェアを買うなら - あなたは何が必要ですか?

UCSはハードウェアに最小限の要件しか課しません。つまり、可能なシステムに関しては幅広い選択肢があります。 原則として、古いデスクトップハードウェアも適していますが、システムが24時間稼働しているときの信頼性と消費電力に関するデメリットはよくあります。 あなたが真新しいシステムに投資することを決心するならば、24/7を実行するのに適しているシステム、この分野のためのハードウェアを提供する製造業者の範囲があります。 )システム)。 例としては、MicroServerシリーズのHPシステムやThomas-KrennのLow Energyサーバーがあります。

正しいサイズ

次の問題はシステムの規模の問題です。 ここに提示されたセットアップは問題なく小さなCPUと4 GBのRAMを持つシステム上で動作します。 決定的な要因は同時アクセス数です。 ユーザーまたはアプリケーションの数が増えるにつれて、最終的には容量を増やす必要が生じます。 クラウドオファーは簡単に拡張できます。 システムを購入するなら、8または16 GBのRAMと4つのコアを持つCPUから始める価値があります。

UCSに必要なハードディスク容量はごくわずかです。10GBで、オペレーティングシステムを長期間安定して供給するのに十分です。 ここでの決定的な要素は意図された用途、特にシステムに保存されるデータの量です。 ハードウェアを購入するときは、ミラーディスク(RAID)を介した冗長性を考慮することも重要です。 この点に関するさらなる情報は、以下にリンクされているDebian HowTosにもあります。

設計:IPとDNSの設定

インターネットからシステムにアクセスするには、パブリックIPアドレスとそれに対応するDNSエントリが必要です。 サーバーリソースを借りる場合は、少なくともIPアドレスと、多くの場合はパブリックドメインも提供されます。

パブリックIPは通常、ホームネットワークのプライベートルーターに割り当てられています。 ローカルUCSシステムに要求を渡すことができるように設定する必要があります。 これがどのように行われるかは、ルーター自体、そしておそらくインターネットプロバイダーに依存します。 ハウツーは、ルーターやファイアウォールの大部分についてWeb上で入手できます。 プライベートルーターにパブリックIPがない場合、その背後にパブリックアクセス可能なサーバーを実行するのは困難または不可能です。 疑問がある場合は、インターネットプロバイダに連絡するか、Webでさらに情報を探すのが最善です。

次の要件は公に解決可能なDNSエントリです。パブリックドメインがない場合は、「動的DNS」のプロバイダから入手できます。 ルータはDNSプロバイダとのすべての通信を処理します。 そのため、ここでは互換性に注意を払うことが重要です。 以下は、例としてドメイン「my-ucs.dnsalias.org」を使用します。

大多数のホームネットワークでは、DCHPはIPアドレスを自動的に割り当てるために使用されます。 しかし私達が見たように、サーバーのIPアドレスはルーターで設定される必要があります(外部に共有されるポートについては次のセクションを見てください)、従ってUCSサーバーは常に同じIPアドレスを受け取る必要があります。 これは、UCSシステムまたはMACアドレスをルータのDHCP設定に保存することで実現できます。 あるいは、UCSのインストール中に固定IPアドレスを指定することもできます。 ただしこの場合、ルータが他のデバイスに割り当てないようにする必要があります。 固定IPを使用する場合は、必ずデフォルトゲートウェイとネームサーバーの指定が正しいことを確認してください。 ほとんどの場合、ルーターのIPは両方です。

サービスポートへのアクセスを有効にする

ここで説明しているサービスでは、ポート80(HTTP)と443(HTTPS)、および587(受信メールのSMTP送信)を外部で利用可能にする必要があります。 HTTPが設定されると、これは暗号化されたポート443に減らすことができます。SSH用のポート22へのアクセスは、特にホームネットワーク上にないシステムでのリモート管理に実用的です。 追加のアプリケーションシナリオでは追加のポートが必要になる場合があります。 たとえば、IMAPS / SMTPSをActiveSyncと共にメールクライアントにも使用する必要がある場合です。 これらのポートはホームセットアップのローカルルータでアクティブに有効にすることができますが、他のすべてのポートが無効になるように、プロバイダを介して外部で操作されるシステムの設定をセットアップする必要があります。

UCSの設定

インストールのために、UCS ISOイメージはUniventionからダウンロードされ、DVDに焼き付けられるか、USBスティックに転送されます。 システムはこのメディアから起動されます(BIOS設定)。 インストールが始まり、言語の設定など、さまざまな手順に沿って、マウントされたハードディスクがパーティション分割されます。 多くの場合、パーティショニングの提案は単純に採用できます。 ソフトウェアRAIDまたは拡張パーティショニングを使用してディスクストレージの障害セキュリティを強化したい場合は、これを手動で設定できます。 UCSはこちらのインストールプロセスを利用しているので、詳細はDebianのドキュメントを参照してください。

実際のUCS設定は基本インストールの後に始まります。

以下のデータは計画されたセットアップには実用的です。

  • ドメイン設定:UCS環境に最初の(そしておそらく唯一の)システムをインストールしているので、「Create a new domain」を選択します。 次に、有効なEメールアドレスを入力するように求められます。このEメールアドレスに、後で必要なキーが送信されます。
  • PC設定:UCSシステムの完全修飾ドメイン名を求められます。 この最初の部分は、将来のシステムとそのDNSドメインに付けられる名前です。 UCSシステムのサービスの多くの基本設定は、この設定によって異なります。 後で変更することは非常に困難です。 この例では、内部DNSドメインを定義しました。 以前に導入されたパブリックDNSエントリは、後で追加することができます。 この例の「ucs.myhome.intranet」のように、パブリックDNSでは実際には解決できないドメインを使用することもお勧めします。
  • ソフトウェア設定:ここでインストールする最初のサービスを選択できます。 内部ネットワークでは、後でネットワークにファイル共有を設定できるように、Active Directory互換のドメインコントローラをインストールするのが実用的です。

インストールの完全なドキュメントは製品マニュアルにあります。

インストール後、インターネットブラウザ//でシステムにアクセスできます。 [システムとドメインの設定]リンクを使用すると、Univention管理コンソール(UMC)にアクセスできます。ここで、インストール中に指定したパスワードを使用して[管理者]としてログインできます。 セットアップの残りの部分はそこで実行されます。

Nextcloudの設定

最初のステップは、必要なサービスをインストールして基本セットアップを実行することです。 これは、最初にアクティブ化する必要があるApp Centerを介して行われます。 これは、インストール中に(指定されたEメールアドレスに)送信されたキーを使用して行われます。 これは、インストール後にグリーティングダイアログで直接アップロードするか、続いてUMCのメニュー(右上の[Burger]アイコン)で[License]と[Import new license]ポイントを介してアップロードできます。

最初にインストールされるアプリはNextcloudで、これはPCやモバイル機器からのファイルの一般的な保存場所として推奨されています。 これは、UMCで[App Center]モジュールを開き、[Nextcloud]を検索して行います。 このNextcloudのインストールは直接開始することができます。 そうするには、ウェブインターフェースのプロンプトに従ってください。

インストールが完了すると、Nextcloudは/// nextcloudからアクセス可能になります。 このリンクは、UCSサーバの概要ページにもあります。 ただし、開いたときに、SSL証明書とNextcloudへのリンクに関する警告がまだあります。 これは「Let's Encrypt」をインストールすることで解決されます。

メールとグループウェアの設定

2番目のステップはメールとグループウェアの機能に関するものです。 ここでは、私たちの目的のために無料で使用できるKopanoを使用しています。

これは、UMCのApp CenterモジュールからKopanoの次のコンポーネント、つまり「Kopano Core」、「Kopano WebApp」、および「Z-Push for Kopano」を順にインストールすることによって行われます。

その後、Kopanoのメールドメインを登録してから、残りの設定を進めます。 このステップまでは、「内部」メールドメインのみが設定されています。これは、UCSのインストール中に指定されたものです(この例では「ucs.myhome.intranet」)。 ただし、外部的には知られておらず、メールアカウントには使用できません。 利用可能なメールドメインは、UMCモジュールの「E-Mail」を介して設定されます。 このモジュールは、UMCの「ドメイン」エリアまたは検索機能を介して見つけることができます。 その際、メールドメインの登録後、UCSはこのドメイン内のすべてのアドレスもUCSで設定されることを前提としていることに注意することが重要です。 したがって、この例では「my-ucs.dnsalias.org」のように、後でサーバーへの外部アクセスにも使用されるドメインをここで採用することをお勧めします。

その後、ユーザーアカウントを設定できます。 「プライマリメールアドレス」は、ユーザーがKopanoで使用するメールアドレスです。 言い換えれば、パブリックドメインを使用する必要があります(例:[email protected])。

Eメールを仕上げる

メールサービスは現在、公にアクセス可能なメールドメイン(すなわち、my-ucs.dnsalias.org)に送信されたメールを受信することができます。 問題なく送信でき、メールが他のメールサーバーのスパムフィルターによって直接ブロックされないようにするには、この名前も「helo」として使用する必要があります。 これは、UCR変数「mail / smtp / helo / name」を公的にアクセス可能なFQDNに設定することで実現できます。 UCR( "Univention Configuration Registry")変数の設定は、同じ名前のUMCモジュール内、またはコマンドを使用したコマンドラインで実行できます。

ucr set mail/smtp/helo/name=“my-ucs.dnsalias.org” 

可能であれば、SMTPリレーホスト(電子メールの送信を許可された外部サーバー)を使用することもお勧めします。 これは、送信者のIPアドレスがパブリックドメインのIPアドレスと異なる場合に特に当てはまります。 ガイドはここにあります。

受信メールは、パブリックドメインのDNSエントリに従ってルーティングされます。 メールがドメイン(my-ucs.dnsalias.org)に向けられている場合は、MXレコードのIPアドレスが使用されます。 MXレコードが指定されていない場合は、ドメイン自体のベースIPアドレスが宛先として使用されます。 後者は私達の設定の場合です:メールドメインはUCSサーバのパブリックIPアドレスに対応します、その結果私達のシステムは他のシステムによって見つけられ、メールの配達のために連絡されることができます。

デフォルトでは、ポート25がUCSファイアウォールで指定されています。 ただし、ポート587はメールサーバー間の直接交換に適しています。 これは、ファイアウォール内のUCRによって承認されます。 これは、変数「security / packetfilter / package / manual / tcp / 587 / all」を「ACCEPT」に設定することで行われます。「helo」文字列の場合と同様です。これは、UMCモジュールまたはコマンドラインからも可能です。

変更後は、 "postfix"と "univention-firewall"サービスを再起動する必要があります。 これはコマンドライン(“ service postfix restart; service univention-firewall restart”)またはサーバを再起動することで行えます。

Univentionポータル

UCSサーバの概要ページである「Univention Portal」は、利用可能なサービスの優れた紹介を提供します。 今では「//my-ucs.dnsalias.org」から簡単に入手できます。 ただし、問題を引き起こす原因は2つあります。ブラウザでの証明書の警告と、ポータルページの「誤ったリンク」です。 どちらも簡単に解決できます。

TLS証明書を暗号化しましょう

デフォルトでは、UCS Webサーバは自己署名証明書を使用するため、ブラウザに警告が表示されます。 「Let's Encrypt」による証明書のインストールはここで役に立ちます。 対応する統合を「クールなソリューション」として公開しました。 UCRで外部ドメインを事前に指定することをお勧めします。 これは、UCR変数「letsencrypt / domains」をこの例では「my-ucs.dnsalias.org」に設定することによって行われます。 さらに、証明書がWebおよびメールサーバーによって直接採用されるようにするには、「letsencrypt / services / apache2」および「letsencrypt / services / postfix」をそれぞれ「yes」に設定する必要があります。 必要なステップはすべて、リンクされたWiki記事に記載されています。

ポータル最適化

UCSシステムのWebインターフェイスにアクセスするときの最初のページであるUniventionポータルのショートカットは、インストール中に指定された内部ドメインを引き続き使用します。 これはインターネットからのアクセスでは解決できないため、アドレスを調整する必要があります。 これらのショートカットアドレスはLDAPで設定されています。 これらは、UMCの「LDAPディレクトリ」モジュールの「ドメイン」領域にあります。 表示されているツリーで、エントリ "nextcloud"と "kopano-webapp"は "univention / portal"の下にあります。

開いた後、外部ドメインの正しいパスをそれぞれ「リンク」の下に入力できます。この例では、Nextcloudに//my-ucs.dnsalias.org/nextcloud/を、//my-ucs.dnsalias.org/を使用しました。コパノ/コパノ用。

ネクストクラウドの完成

ただし、パブリックドメインを介したNextcloudへの最初のアクセスではエラーメッセージが表示されます。 Nextcloudは、UCSがインストールされたドメインを内部的に登録し、セキュリティ上の理由から他のドメインを介したアクセスを拒否します。 パブリックドメインは、設定ファイルを介して、またはNextcloudエラーメッセージに示されたリンクを介して承認することができます。 このリンクをたどると、UCSのインストール中に指定したパスワードを使用して「管理者」としてログインし、外部ドメインを有効にできます。

シナリオによっては、このワークフローに問題があります。共有のリンクが内部ドメインを参照しているため、ここで説明したホスティングシナリオではIPアドレスに解決できません。 ここで「hosts」ファイルのエントリ(Linuxの場合は/ etc / hosts)を使用すると、UCSサーバの内部FQDNをパブリックIPアドレスに解決できます。 この構成では、Nextcloudが提供するパブリックDNSドメインの有効化は問題なく機能します。

あるいは、コマンドラインの「univention-app shell nextcloud」コマンドでNextcloudのdockerコンテナに変更し、「apt install vim」でエディタをインストールし、ファイル「/ var / www / html / config / config」を編集することもできます。 Nextcloud HowToに従って。

ユーザー

これでユーザーはシステム上に作成できます。 UCSで作成されたアカウントごとに、対応するアカウントもNextcloudで自動的に作成されます。プライマリメールアドレスが指定されている場合は、Kopanoでも自動的に作成されます。 その後、ユーザーはアカウントのパスワードを使用して両方のサービスにログインできます。 パスワードの変更はUniventionポータルのメニューから可能です。

KopanoとNextcloudはスマートフォンでも使用できます。 メール、連絡先、および予定をKopanoと同期するための「Exchange」アカウントが設定されています。 これに関するさらなる情報は、Kopanoのドキュメントにあります。 Nextcloudは独自のAndroidまたはiOSアプリを提供しており、これを介してスマートフォンとファイルを交換したり、電話で撮影した写真やビデオを自動的にサーバーに保存したりできます。

見通し

このセットアップは、UCSで利用可能な多くのアプリから追加のサービスをマウントするための優れた基盤を提供します。

  • Fetchmail統合は、既存のEメールアドレスを便利に受信し続けるために使用することができます。 その後、UCSサーバーは自動的に他のプロバイダからメールをダウンロードし、それらをKopanoの受信トレイに表示します。
  • 公にアクセス可能なサーバーは、しばしば自動攻撃の標的になります。 ファイアウォールでSSHにアクセスできる場合は、このアクセスを制限する必要があります。 例はこちらから入手できます。
  • ユーザー数が増えた場合は、自分でパスワードをリセットするオプションを選択すると便利です。 これは、App Centerの「Self Service」アプリを使用して実行できます。
  • Nextcloudはあらゆる種類のプラグインで拡張できます。 ブラウザで直接Officeファイルを編集することを可能にする“ Collabora”プラグインは、多数のドキュメントを扱うときに特に役立ちます。

推奨されます

Atraci:Linux用のYouTubeベースのストリーミングミュージックプレーヤー
2019
マイクロソフトオープンソース推論.NET AIフレームワーク
2019
あなたはこのbashスクリプトパズルを解くことができますか?
2019