Usando o Univention Corporate Server (UCS) como um servidor doméstico

Em um artigo anterior, analisamos o Univention Corporate Server (UCS). Essa versão foi mais focada em clientes corporativos. No entanto, o UCS também pode ser usado como um servidor doméstico.

Ingo Steuwer, Chefe de Serviços Profissionais da UCS, levou algum tempo para explicar este procedimento em detalhes. Se você é um amador de bricolage, você achará este artigo interessante.

Univention Corporate Server (UCS) como um servidor doméstico

O Univention Corporate Server (UCS) é usado principalmente por usuários de TI profissionais como um sistema fácil de configurar e de manter. No entanto, os usuários privados também podem colher os benefícios desse conceito. Neste artigo, gostaria de fornecer uma introdução sobre como você pode configurar seu próprio servidor para e-mail, groupware e compartilhamento de arquivos em apenas algumas etapas usando o UCS e os aplicativos Nextcloud e Kopano - permitindo que você construa um alternativa a serviços como GMail e Dropbox, tudo sob seu próprio controle.

Compre o hardware ou alugue um servidor?

A primeira pergunta é claro: onde eu executo o servidor? Em princípio, os usuários privados têm as mesmas opções que as empresas: em seu próprio hardware, em seu próprio "centro de TI" (ou almoxarifado) ou em um sistema alugado hospedado em outro local, por exemplo, um "servidor dedicado" com uma nuvem provedor de serviços ou como uma Amazon Image [//aws.amazon.com/marketplace/pp/B071GDRQ3C]. Ao tomar a decisão, é importante considerar como você realmente pretende usar o servidor.

Um sistema alugado envolve um investimento inicial mínimo e geralmente não está associado a restrições significativas de largura de banda, além de ser mais fácil de ser expandido para atender às suas necessidades. Esse tipo de sistema é prático em casos de muitos acessos de diferentes locais, por exemplo, quando o servidor é usado por membros de uma associação.

A execução de um sistema em sua própria rede não apenas oferece controle total sobre seus próprios dados, mas também oferece suporte a cenários de aplicativos adicionais, como um servidor de arquivos padrão ou a transmissão de músicas e vídeos para players de mídia locais. No entanto, a dependência de uma conexão privada com a Internet geralmente representa um gargalo quando o sistema é acessado de fora; até mesmo as mais recentes conexões VDSL vêm com uma capacidade de upload comparativamente baixa. Alguns provedores de Internet não suportam acesso de fora. Em caso de dúvida, a melhor solução é, portanto, executar alguns testes antes de investir dinheiro em novo hardware.

Os passos descritos abaixo são, em princípio, igualmente aplicáveis ​​para ambas as opções.

Se comprar seu próprio hardware - o que você precisa?

O UCS coloca apenas requisitos mínimos no hardware, o que significa que você tem uma grande seleção para escolher quando se trata de possíveis sistemas. Em princípio, o hardware de desktop mais antigo também pode ser adequado, embora frequentemente associado a desvantagens em relação à confiabilidade e ao consumo de energia quando o sistema está funcionando 24 horas por dia. Se você decidir investir em um sistema totalmente novo, há uma gama de fabricantes que oferecem hardware para esse segmento, sistemas que são adequados para funcionar 24 horas por dia, 7 dias por semana (geralmente chamado de “SOHO NAS”). ) sistemas). Os exemplos incluem os sistemas HP na linha MicroServer e os servidores Low Energy da Thomas-Krenn.

O tamanho certo

A próxima pergunta é a questão do tamanho do sistema. A configuração apresentada aqui é executada em um sistema com uma CPU menor e 4 GB de RAM sem problemas. O fator decisivo é o número de acessos simultâneos. À medida que o número de usuários ou aplicativos aumenta, haverá necessidade de mais capacidade. As ofertas na nuvem podem ser facilmente expandidas. Se comprar o sistema, vale a pena começar com 8 ou 16 GB de RAM e uma CPU com 4 núcleos.

O espaço em disco rígido necessário para o UCS é insignificante - 10 GB é suficiente para manter o sistema operacional bem fornecido por um longo tempo. O fator decisivo aqui é o uso pretendido, em particular, no entanto, a quantidade de dados a serem salvos no sistema. Ao adquirir hardware, também é importante considerar a redundância por meio de discos espelhados (RAID). Mais informações sobre este aspecto também podem ser encontradas no HowTos Debian, abaixo.

Design: configuração de IP e DNS

Para acessar o sistema a partir da Internet, são necessários um endereço IP público e uma entrada de DNS correspondente. Se você aluga recursos do servidor, você receberá pelo menos um endereço IP e, muitas vezes, também um domínio público.

O IP público é geralmente atribuído ao roteador privado nas redes domésticas. Ele precisa ser configurado para que possa passar solicitações para o sistema UCS local. Como isso é feito depende do próprio roteador e, possivelmente, do provedor de Internet. Os HowTos estão disponíveis na Web para a maioria dos roteadores e firewalls. Se o roteador privado não tiver um IP público, pode ser difícil ou impossível executar um servidor publicamente acessível por trás dele. Em caso de dúvida, é melhor entrar em contato com seu provedor de Internet ou procurar mais informações na Web.

O próximo requisito é uma entrada de DNS publicamente solucionável, que pode ser obtida de provedores de “DNS dinâmico”, se você não tiver domínio público. O roteador cuida de toda a comunicação com o provedor de DNS. Como tal, é importante prestar atenção à compatibilidade aqui. O seguinte usa o domínio “my-ucs.dnsalias.org” como um exemplo.

Na maioria das redes domésticas, o DCHP é usado para atribuir endereços IP automaticamente. Mas, como vimos, o endereço IP do servidor precisa ser configurado no roteador (veja a próxima seção para as portas compartilhadas no exterior), então o servidor UCS sempre precisa receber o mesmo endereço IP. Isso pode ser feito salvando o sistema UCS ou o endereço MAC na configuração DHCP do roteador. Alternativamente, um endereço IP fixo também pode ser especificado durante a instalação do UCS. Neste caso, no entanto, deve-se garantir que o roteador não o atribua a nenhum outro dispositivo. Ao usar um IP fixo, certifique-se sempre de que as especificações do gateway padrão e do servidor de nomes estejam corretas. Na maioria dos casos, o IP do roteador é ambos.

Ativar acesso a portas de serviço

Para os serviços descritos aqui, é necessário disponibilizar externamente as portas 80 (HTTP) e 443 (HTTPS), bem como 587 (envio de SMTP para emails de entrada). Uma vez que o HTTP tenha sido configurado, isso pode ser reduzido para a porta criptografada 443. Um acesso à porta 22 para SSH pode ser prático para administração remota, especialmente em sistemas que não estão em redes domésticas. Portas adicionais podem ser necessárias para cenários de aplicativos adicionais. Por exemplo, se o IMAPS / SMTPS também deve ser usado para clientes de email junto com o ActiveSync. Embora essas portas possam ser ativadas ativamente no roteador local em uma configuração doméstica, a configuração de um sistema operado externamente por meio de um provedor deve ser configurada de tal forma que todas as outras portas sejam desativadas.

Configuração do UCS

Para a instalação, a imagem ISO do UCS é baixada da Univention e gravada em um DVD ou transferida para um pendrive. O sistema deve então ser inicializado a partir desse meio (configuração do BIOS). A instalação começa e, ao lado de uma série de etapas diferentes, como a configuração do idioma, os discos rígidos montados são particionados. Em muitos casos, a sugestão de particionamento pode simplesmente ser adotada. Se você quiser aumentar a segurança de falha do armazenamento em disco com um software RAID ou particionamento expandido, isso pode ser configurado manualmente. Para detalhes, por favor consulte a documentação Debian, pois o UCS utiliza seu processo de instalação aqui.

A configuração real do UCS começa após a instalação básica.

Os dados a seguir são práticos para a configuração planejada.

  • Configurações do domínio: Ao instalar o primeiro (e possivelmente único) sistema em um ambiente UCS, selecione “Criar um novo domínio”. Em seguida, você será solicitado a inserir um endereço de e-mail ativo, para o qual a chave solicitada posteriormente será enviada.
  • Configurações do PC: Agora, você é solicitado a fornecer um nome de domínio totalmente qualificado para o sistema UCS. A primeira parte disso é o nome que será dado ao futuro sistema e seu domínio DNS. A configuração básica de muitos serviços do sistema UCS depende dessa configuração. É muito difícil mudá-lo mais tarde. Em nosso exemplo, definimos um domínio DNS interno. A entrada de DNS público introduzida anteriormente pode ser adicionada posteriormente. Também é recomendável usar um domínio que, na verdade, não pode ser resolvido pelo DNS público, como em nosso exemplo “ucs.myhome.intranet”.
  • Configuração de software: Você pode selecionar os primeiros serviços para instalação aqui. Em uma rede interna, é prático instalar um controlador de domínio compatível com o Active Directory para poder configurar os compartilhamentos de arquivos em sua rede em um momento posterior.

A documentação completa da instalação pode ser encontrada no manual do produto.

Após a instalação, o sistema pode ser acessado pelo navegador da Internet em //. O link “Configurações do Sistema e do Domínio” permite que você alcance o UMC (Univention Management Console), onde você pode efetuar login como o “Administrador” usando a senha especificada durante a instalação. O restante da configuração é executado lá.

Configurando o Nextcloud

O primeiro passo é instalar os serviços necessários e executar a configuração básica. Isso é feito através do App Center, que primeiro precisa ser ativado. Isso é feito usando a chave enviada (para o endereço de e-mail especificado) durante a instalação. Isso pode ser carregado diretamente no diálogo de saudação após a instalação ou subseqüentemente no UMC no menu (ícone “Burger” no canto superior direito) através dos pontos “Licença” e “Importar nova licença”.

O primeiro aplicativo a ser instalado é o Nextcloud, que é recomendado como um local de armazenamento geral para arquivos de PCs e dispositivos móveis. Isso é feito abrindo o módulo “App Center” no UMC e pesquisando “Nextcloud”. Esta instalação do Nextcloud pode então ser iniciada diretamente. Para fazer isso, siga os prompts na interface da web.

Quando a instalação estiver concluída, o Nextcloud estará acessível em /// nextcloud. Este link também está disponível na página de visão geral do servidor UCS. No entanto, quando aberto, ainda há avisos sobre o certificado SSL e o link para o Nextcloud. Isto será resolvido posteriormente através da instalação de “Let's Encrypt”.

Configurando correio e groupware

O segundo passo diz respeito às funções de mail e groupware. Aqui, estamos usando o Kopano, que pode ser usado gratuitamente para nossos propósitos.

Isso é feito instalando os seguintes componentes do Kopano do módulo App Center do UMC, um após o outro: “Kopano Core”, “Kopano WebApp” e “Z-Push for Kopano”.

Um domínio de correio para o Kopano deve então ser registrado antes de prosseguir com o restante da configuração. Até esta etapa, apenas o domínio de correio “interno” foi configurado, o que foi especificado durante a instalação do UCS (no nosso exemplo “ucs.myhome.intranet”). No entanto, ele não é conhecido externamente e não pode ser usado para contas de email. Os domínios de correio disponíveis são configurados através do módulo UMC “E-Mail”. Este módulo pode ser encontrado na área “Domínios” do UMC ou através da função de busca. Ao fazer isso, é importante observar que, após o registro de um domínio de email, o UCS assume que todos os endereços nesse domínio também serão configurados no UCS. Assim, é recomendável adotar os domínios aqui que posteriormente serão utilizados também para os acessos externos ao servidor, neste exemplo, portanto, “my-ucs.dnsalias.org”.

As contas de usuário podem então ser configuradas. O “endereço de e-mail principal” é o endereço de e-mail que o usuário utilizará no Kopano. Em outras palavras, ele deve usar o domínio público (por exemplo, [protegido por email]).

Toques finais para e-mail

O serviço de e-mail agora é capaz de receber e-mails enviados para o domínio de e-mail publicamente acessível (ou seja, my-ucs.dnsalias.org). Para que o envio funcione sem problemas e os e-mails não sejam bloqueados diretamente pelos filtros de spam de outros servidores de e-mail, esse nome também deve ser usado como “helo”. Isso pode ser feito configurando a variável UCR “mail / smtp / helo / name” para o FQDN acessível publicamente - neste exemplo: my-ucs.dnsalias.org. A configuração das variáveis ​​UCR (“Univention Configuration Registry”) pode ser realizada no módulo UMC com o mesmo nome ou na linha de comando com o comando

ucr set mail/smtp/helo/name=“my-ucs.dnsalias.org” 

Se possível, também é recomendável usar um host de retransmissão SMTP (um servidor externo autorizado a enviar nossos emails). Isso se aplica especialmente quando o endereço IP do remetente difere do domínio público. Um guia pode ser encontrado aqui.

O correio de entrada é encaminhado de acordo com as entradas de DNS do seu domínio público. Quando um email é destinado ao seu domínio (my-ucs.dnsalias.org), o endereço IP do registro MX é usado. Se o registro MX não for especificado, o endereço IP base do próprio domínio será usado como o destino. O último é o caso em nossa configuração: O domínio de e-mail corresponde ao endereço IP público do servidor UCS, com o resultado de que nosso sistema pode ser encontrado por outros sistemas e contatado para a entrega dos e-mails.

A porta 25 é especificada no firewall do UCS por padrão. No entanto, a porta 587 é preferida para a troca direta entre servidores de email. Isso pode ser aprovado pelo UCR no firewall. Isto é feito ajustando a variável “security / packetfilter / package / manual / tcp / 587 / all” para “ACCEPT” - como acima para a string “helo”, isto também é possível aqui através do módulo UMC ou da linha de comando.

Após as alterações, os serviços “postfix” e “univention-firewall” precisam ser reiniciados. Isso pode ser feito por meio da linha de comando (“reinício do postfix do serviço; reinício do serviço univention-firewall”) ou reinicializando o servidor.

Portal da Univenção

A página de visão geral do servidor UCS, o “Univention Portal”, fornece uma boa introdução aos serviços disponíveis. Agora está facilmente disponível via “//my-ucs.dnsalias.org”. No entanto, ainda existem duas coisas que causam problemas: Avisos de certificado no navegador e "links errôneos" na página do portal. Ambos podem ser resolvidos facilmente:

Vamos criptografar certificados TLS

Por padrão, o servidor da Web do UCS usa um certificado autoassinado, que resulta em avisos no navegador. A instalação de um certificado via “Let's Encrypt” ajuda aqui; nós publicamos uma integração correspondente como uma "solução legal". É recomendável especificar o domínio externo no UCR antecipadamente. Isso é feito configurando a variável UCR “letsencrypt / domains”, em nosso exemplo para “my-ucs.dnsalias.org”. Além disso, para que o certificado seja adotado diretamente pelo servidor web e de e-mail, “letsencrypt / services / apache2” e “letsencrypt / services / postfix” precisam ser configurados para “yes”. Todas as etapas necessárias são descritas no artigo wiki vinculado.

Otimização de portal

Os atalhos no Portal do Univention, a primeira página ao acessar a interface da Web do sistema UCS, ainda usam o domínio interno que foi especificado durante a instalação. Como isso não pode ser resolvido para acessos da Internet, os endereços precisam ser adaptados. Esses endereços de atalho são configurados no LDAP. Eles podem ser encontrados na área “Domínio” no módulo “Diretório LDAP” no UMC. Na árvore mostrada, as entradas “nextcloud” e “kopano-webapp” podem ser encontradas em “univention / portal”.

Após a abertura, o caminho correto para o domínio externo pode ser inserido em "Links", respectivamente - no exemplo, usamos //my-ucs.dnsalias.org/nextcloud/ para Nextcloud e //my-ucs.dnsalias.org/ kopano / para Kopano.

Conclusão do Nextcloud

No entanto, o primeiro acesso ao Nextcloud através do domínio público produz uma mensagem de erro. O Nextcloud registra internamente o domínio com o qual o UCS foi instalado e rejeita o acesso através de outros domínios por razões de segurança. Os domínios públicos podem ser aprovados pelos arquivos de configuração ou pelo link fornecido na mensagem de erro Nextcloud. Se você seguir este link, poderá efetuar login como "Administrador" usando a senha especificada durante a instalação do UCS e ativar o domínio externo.

Em alguns cenários, esse fluxo de trabalho apresenta um problema: o link para o compartilhamento se refere ao domínio interno, que não pode ser resolvido para um endereço IP no cenário de hospedagem descrito. Uma entrada no arquivo “hosts” (no Linux: / etc / hosts) pode fornecer ajuda aqui, com a qual o FQDN interno dos servidores UCS pode ser resolvido para o endereço IP público. Nessa configuração, a habilitação do domínio DNS público oferecido pela Nextcloud funciona sem problemas.

Alternativamente, você também pode mudar para o contêiner docker do Nextcloud através do comando “univention-app shell nextcloud” na linha de comando, instalar um editor via “apt install vim” e editar o arquivo “/ var / www / html / config / config .php ”de acordo com o HowCon.

Comercial

Os usuários agora podem ser criados no sistema. Para cada conta criada no UCS, uma conta correspondente também é criada automaticamente no Nextcloud e, se um endereço de email principal tiver sido especificado, também no Kopano. O usuário pode efetuar login nos dois serviços com a senha da conta. Alterações de senha são possíveis através do menu no Portal da Univenção.

O Kopano e o Nextcloud também podem ser usados ​​em smartphones. Uma conta “Exchange” está configurada para a sincronização de e-mails, contatos e compromissos com o Kopano. Mais informações sobre isso podem ser encontradas na documentação do Kopano. Nextcloud oferece seu próprio aplicativo Android ou iOS, através do qual os arquivos podem ser trocados com o smartphone e fotos e vídeos tirados no telefone automaticamente salvos no servidor.

Outlook

Essa configuração fornece uma boa base para a montagem de serviços adicionais dos muitos aplicativos disponíveis para o UCS.

  • A integração do Fetchmail pode ser usada para continuar recebendo endereços de e-mail existentes convenientemente. O servidor UCS, então, baixa automaticamente os e-mails de outros provedores e os exibe na caixa de entrada do Kopano.
  • Servidores publicamente acessíveis são frequentemente alvo de ataques automatizados. Se for possível acessar o SSH no firewall, esse acesso deve ser restrito. Exemplos estão disponíveis aqui.
  • Se o número de usuários aumentar, pode ser útil dar a eles a opção de redefinir suas próprias senhas. Isso pode ser feito usando o aplicativo "Self Service" no App Center.
  • Nextcloud pode ser expandido com toda uma gama de plug-ins. O plug-in “Collabora”, que possibilita a edição de arquivos do Office diretamente no navegador, pode ser particularmente útil ao lidar com um grande número de documentos.

Recomendado

Conferência de Código Aberto da Albânia está à procura de palestrantes
2019
Dois eventos de código aberto a serem realizados no Reino Unido
2019
Como criar um aplicativo da Web para o telefone do Ubuntu
2019