Inhaltsverzeichnis Vorwort ................. bersicht ..............Inbetriebnahme ............Installation Softwareversion ..........Bedienung des LCD ..............Voreinstellungen ..............Administration .............. Web-Oberfläche ..............Erste Schritte ................. Konfiguration ................. Assistenten ................Benutzungsrichtlinien ........... Einführung ................Vordefinierte Gruppen ............Berechtigungen ..............Gruppenplanung ..............Schritt für Schritt : Anlegen einer Gruppe ....... GUI-Referenz: Richtlinien ............
Seite 6
Inhaltsverzeichnis Netzwerke ..............153 Einführung ................Schritt für Schritt : Einrichten des lokalen Netzes ....GUI-Referenz: Netze ............... GUI-Referenz: Links ............... Schritt für Schritt : Internetzugang einrichten ......Schritt für Schritt : Einwahllink für VPN ........Schritt für Schritt : Aufbau eines VPN-Tunnels ......Schritt für Schritt : Einwahllink für PPTP ........
Seite 7
Inhaltsverzeichnis Webproxy ..............397 12.1 Einführung ................12.2 Schritt für Schritt : Webproxy einrichten ......... 12.3 GUI-Referenz: Webproxy ............12.4 Schritt für Schritt : Webfilter einrichten ........12.5 GUI-Referenz: Web Security ........... E-Mail ................433 13.1 Einführung ................13.2 Filtermechanismen ..............13.3 Schritt für Schritt : Mailserver aktivieren .........
Seite 8
Inhaltsverzeichnis 15.3 Virtuelle Webserver ..............15.4 Webserver-Module ..............15.5 Schritt für Schritt : Aktivieren des Webservers ......15.6 GUI-Referenz: Webserver ............15.7 Schritt für Schritt : Virtueller Webserver ......... 15.8 GUI-Referenz: Virtuelle Hosts ..........Datensicherung ............. 591 16.1 Bacula Datensicherung - Einführung ........16.2 Schritt für Schritt : Datensicherung auf Windows-Freigabe einrichten ................
Vorwort Vielen Dank, dass Sie sich für den Collax Server entschieden ha- ben, die Linux-basierte Serverlösung für kleine und mittelständische Unternehmen. Der Collax Server integriert die Kontrolle über alle Ihre Serveran- wendungen und -funktionen in eine grafische Benutzeroberfläche. So können Sie Kommunikation, Sicherheit und Netzwerkinfrastruktur leichter verwalten.
Mit den Wurzeln dieser Software, die weit in die Unix-Welt reichen, eignet sich der Collax Server zudem besonders gut für alle verknüpften Dienste wie Mail, Webserver und VPN. Auch hier liegt das Augenmerk auf einem möglichst sicheren Betrieb der jeweiligen Dienste.
Seite 14
Übersicht seltenen oder zum Zeitpunkt der Drucklegung noch nicht vorhan- denen Funktionen finden sich in der Onlinehilfe des Systems. Die Onlinehilfe wird regelmäßig automatisch aktualisiert.
Hardware-Appliance-System. Für die Softwareversion wird ein Hardware-System mit x86_64-kompatibler CPU benötigt. Bei der Installation der Software wird die Festplatte vollständig gelöscht. Zum Testen des Collax Servers kann von der CD ein „Live-System“ gestartet werden. Dabei werden keinerlei automatische Änderungen an der Festplatte vorgenommen.
Inbetriebnahme 2.2 Bedienung des LCD Ältere Appliance-Systeme verfügen über ein LCD-Display. Darüber kann u. a. die voreingestellte IP-Adresse des Systems temporär ge- ändert werden. Die weitere Konfiguration wird anschließend über die Web-Oberfläche vorgenommen. Das LCD-Display besitzt zwei Modi: Im Statusmodus werden verschiedene Informationen über CPU- Auslastung, Festplattenbelegung, Schnittstellenkonfiguration usw.
IP-Adresse entweder mittels OK aktiviert oder mit No verworfen werden. Bei Aktivierung wird zusätzlich die interne Firewall abgeschaltet. Damit ist der Collax Server nur noch über die Administrationsoberfläche und über SSH unter der eingestellten IP- Adresse erreichbar. Alle anderen Verbindungen (Internet, Ping usw.) werden geblockt.
3 Administration 3.1 Web-Oberfläche Die Administration des Collax Servers erfolgt vollständig über eine Web-Oberfläche. Der Zugriff erfolgt immer verschlüsselt über HTTPS. Für die Administration wird ein separater Webserver verwendet, der Anfragen auf Port 8001 entgegennimmt. Die URL zum Zugriff lautet daher: „https: // 192.168.9.9:8001“.
3.1.1 Dashboard ber das Dashboard wird der Gesamtstatus auf einen Blick dargestellt. In mindestens vier grafischen Gruppierungen zeigt der Collax Server Auswertungen über die folgenden Informationsberei- che. Klicken Sie auf eines der Felder, um direkt weitere Informationen oder Einstellungen vorzunehmen.
Im Anschluss sollten Sie sich mit dem im Collax Server genutzten Gruppenmodell zur Steuerung der Zugriffsberechtigungen vertraut machen. Damit sind Sie in der Lage, jeden Dienst im Collax Server für einzelne Benutzer bzw. einzelne Computer freizugeben. Die folgende Liste soll Ihnen helfen, die ersten Schritte vorzuneh- men und die jeweils entsprechenden Stellen in der Dokumentation aufzufinden.
Seite 22
Folgen Sie dazu den Anweisungen zur Aktivierung (S. 15). • Wenn Sie die vorhergehenden Punkte bearbeitet haben, können Sie nun mit dem Collax Server ins Internet. Jetzt ist ein guter Zeitpunkt, um das System zu registrieren. Wechseln Sie dazu auf den seitlichen Reiter System, dort auf die Seite Systembetrieb –...
Konfiguration sen. Die weiteren Schritte sind nun davon abhängig, wie Sie Ihren Collax Server einsetzen möchten. Daher folgen hier nur einige Ver- weise auf häufig genutzte Dienste. • In jedem Fall ist es sinnvoll, sich mit dem Konzept der Gruppen im Collax Server zu beschäftigen.
Seite 24
Administration Im normalen Betrieb sollte die Konfiguration des Systems mit der in der Weboberfläche einsehbaren identisch sein. Sind beide jedoch durch Änderungen innerhalb der Weboberfläche verschieden, wird dies durch ein animiertes Symbol rechts oben in der Weboberfläche signalisiert. Das Anklicken dieses Symbols führt auf die Seite zur Konfigurationskontrolle.
Seite 25
Dies stellt eine einfache Mög- lichkeit zum Sichern der Systemkonfiguration dar. Der Mechanismus kann aber auch genutzt werden, um eine Konfiguration auf einen zweiten Collax Server zu übertragen. Diese Konfigurationsdateien beinhalten keinerlei Passwörter. Die Passwörter der beiden Systemkonten admin und root sind ebenfalls nicht enthalten.
Seite 26
Wählen Sie die gewünschte Datei auf Ihrer Festplatte aus und klicken Sie anschließend Importieren. • Die Konfiguration ist nun nur auf dem Collax Server gespeichert, aber weder in der Weboberfläche einsehbar noch aktiviert. • Im Kontextmenü der Konfigurationsdatei können Sie diese durch...
Seite 27
In diesem Dialog wird der Name der geladenen Konfiguration angezeigt. Die aktuell in der Weboberfläche sichtbare Konfiguration kann hier (innerhalb des Collax Servers) gespeichert werden. 3.3.3.1 Abschnitt In Bearbeitung Felder in diesem Abschnitt • Name der ursprünglich geladenen Konfiguration: Hier wird der Name der ursprünglich zur Bearbeitung geladenen Konfiguration...
Seite 28
Administration Aktionen für diesen Dialog • Undo: Diese Aktion macht die Änderungen stufenweise rückgän- gig. Es werden pro Stufe immer alle Änderungen in einem Dialog zurückgenommen. • Redo: Diese Aktion stellt zurückgenommene Änderungen wieder her. • Aktivieren: Diese Aktion aktiviert die Änderungen, die gerade in der aktuellen Konfiguration vorgenommen wurden.
3.3.4 GUI-Referenz: Konfigurationsdateien (Dieser Dialog befindet sich unter Konfiguration – Konfigurations- dateien) Dieser Dialog zeigt alle im Collax Server gesicherten Konfigura- tionen. Sie können hier exportiert, geladen und gelöscht werden. Zusätzlich ist der Import von Konfigurationen möglich. 3.3.4.1 Abschnitt Konfigurationen Hier werden alle vom System automatisch gespeicherten Konfi- gurationen aufgelistet.
Administration Spalten in der Tabelle • Name: Der Name der Konfiguration. Dies ist eine intern erzeugte Bezeichnung. • Kommentar: Hier wird ein kurzer Kommentartext mit dem exak- ten Namen der Konfigurationsdatei angezeigt. • Datum: Hier wird das Datum angezeigt, an dem die Konfiguration gespeichert wurde.
Konfiguration Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion wird die gespeicherte Konfiguration geladen. Dabei werden die Konfigurationseinstellungen in die Weboberfläche übernommen, jedoch nicht aktiviert. • Exportieren: Mit dieser Aktion kann die ausgewählte Konfigura- tion über das Webinterface heruntergeladen und auf dem lokalen Rechner gespeichert werden.
Seite 32
Administration • Ergebnis: Bei gestartetem Import wird hier die Ausgabe des Vorgangs angezeigt. Aktionen für diesen Dialog • Importieren: Mit dieser Aktion wird der Import gestartet. Diese Konfiguration wird unter dem Namen conf_upload mit angehäng- tem Datum und Uhrzeit abgespeichert. Um die Konfiguration zu übernehmen, muss sie mit Bearbeiten in die Weboberfläche geladen und dann aktiviert werden.
Konfiguration 3.3.6 GUI-Referenz: Benutzerdaten exportieren 3.3.6.1 Export von Benutzerdaten ber diesen Dialog kann eine PDF- oder CSV-Datei mit den Daten der Benutzer erstellt werden. In dem erstellten PDF-Dokument stehen der FQDN dieses Systems sowie Login und Passwort der ausgewählten Benutzer. Für jeden Benutzer wird dabei eine eigene Seite erstellt, die ihm ausgehändigt werden kann.
Seite 34
Administration 3.3.7 GUI-Referenz: Konfigurationsreport 3.3.7.1 Konfigurationsreport ber diesen Dialog kann ein Report der aktuellen Server-Konfi- gurationsdatei erstellt werden. Der Report wird in der gewählten Sprache generiert und als PDF-Dokument zur Verfügung gestellt. In dem erzeugten Report sind aufbereitete Informationen über die Serverkonfiguration beinhaltet.
Felder werden durch Komma getrennt. Es werden der Reihe nach folgende Werte erwartet: Login, Titel, Vorname, Nachname, Passwort und Telefonnummer. Weitere Einstellungen wie Mail-Aliase oder Fax- Nummer müssen über die Oberfläche des Collax Servers vorgenom- men werden. 3.4 Assistenten Die grundlegende Konfiguration des Collax Servers kann mit Hilfe von Assistenten durchgeführt werden.
Abschnitt „Konfiguration“ ist technisch anspruchsvoller und erläu- tert, welche Konfigurationsänderungen der Assistent im Einzelnen durchführt. Mit diesen Informationen ist es möglich, die Änderungen am Collax Server durch einen Assistenten nachzuvollziehen und anzupassen. Da manche Assistenten teilweise Konfigurationen löschen bzw. bei mehrfachem Aufruf manuelle Anpassungen teilweise verwerfen, sollte nur die erste Installation des Systems über die Assistenten...
Lizenz sowie später bei der Erstellung von Zertifikaten notwendig. 3.4.2.1 Ablauf Dieser Assistent fragt die Adresse des Unternehmens ab. Bei mehreren Collax Server innerhalb eines Unternehmens sollte die Abteilung bzw. der Standort passend zu jedem System gesetzt werden. Weiterhin erfragt der Assistent die Einstellungen für das Telefon-...
Falls Daten des Kunden vorhanden sind, werden diese nachfolgend zur berprüfung angezeigt. Gegebenenfalls ist eine E-Mail-Adresse anzugeben. Wenn keine Daten vorhanden sind, kann die Registrie- rung mit einem Collax Web Account-Login oder mit der Eingabe von Kundendaten erfolgen. Im Anschluss werden die Daten zur Kontrolle angezeigt.
(Dieser Dialog befindet sich unter Assistenten – Intranet) Mit Hilfe dieses Assistenten wird das lokale Netzwerk eingerichtet. Zudem wird die Konfiguration als DNS- oder DHCP-Server abgefragt. Für den Collax Server wird ein Serverzertifikat erzeugt, welches von einer eigenen CA signiert wird. 3.4.4.1 Ablauf Dieser Assistent fragt den Hostnamen des Collax Servers ab.
Seite 40
Aus den Daten des Standort wird ein zehn Jahre gültiges CA-Zer- tifikat erzeugt. Das CA-Zertifikat wird mit der Passphrase gesichert. Ein weiteres Zertifikat wird zur Verwendung durch die Serverdien- ste im Collax Server erstellt. Dieses ist von der CA signiert und ebenfalls zehn Jahre gültig. Abschließend werden die Konfigurationsänderungen aktiviert.
Verbindung mit dem Router und die eigene IP-Adresse mit Netzmaske für den Collax Server auf dieser Schnittstelle abge- fragt. Soll der Collax Server eine IP-Adresse per DHCP vom Router beziehen, muss das Feld für die eigene IP-Adresse leer bleiben.
Seite 42
Administration Anschließend fragt der Assistent, ob Kanalbündelung oder Amtsho- lung aktiviert werden sollen. Nach Angabe der Rufnummer des Providers sowie der Benutzerkennung und des Passworts sind die Angaben zu ISDN vollständig. Zur Konfiguration der Firewall können mehrere Dienstgruppen aus- gewählt werden, die jeweils verschiedene Dienste zusammenfassen: •...
Assistenten für ISDN vorliegt. Diese wird nicht modifiziert, ggf. nur neu angelegt. Danach wird überprüft, ob die angegebene MSN bereits angelegt ist. Gegebenenfalls wird diese neu angelegt und auf die ISDN-Karte gebunden. Nun wird der Link für die Internetverbindung mit den Zugangsdaten und der Rufnummer des Providers eingerichtet.
Er konfiguriert und startet die Serverdienste für E-Mail (SMTP, POP3 und IMAP). 3.4.7.1 Ablauf Der Assistent fragt zunächst ab, wie E-Mail zu dem Collax Server gelangt. Entweder nimmt ein Provider die E-Mail an, und sie muss vom Collax Server von dort abgeholt werden, oder der Collax Server nimmt die E-Mail selbst per SMTP direkt aus dem Internet an.
Seite 45
Als Mitglieder werden die ausgewählten Netzwerke und Benutzer aufgenommen. Soll der Collax Server E-Mails direkt per SMTP aus dem Internet annehmen, wird geprüft, ob die Gruppe Internet vorhanden ist. Ist dies nicht der Fall, werden die Gruppe angelegt, das Netzwerk Internet als Mitglied aufgenommen und die Zugriffsberechtigung auf den SMTP-Dienst gewährt.
Administration Abschließend werden die Änderungen der Konfiguration aktiviert. 3.4.8 Assistent für den Webproxy (Dieser Dialog befindet sich unter Assistenten – Webproxy) Mit einem Webproxy lässt sich neben dem ursprünglichen Zweck des schnelleren Surfens eine zusätzliche Sicherheitsbarriere instal- lieren. Diese Barriere lässt nur HTTP-Traffic passieren und kann zudem die übertragenen Daten auf Viren filtern.
Assistenten wird die Gruppe neu angelegt. In den Berechtigungen werden Keine Authentifizierung erforderlich und Regel ‚All‘ anwenden aktiviert. Zu- sätzlich werden die Rechte für DNS-Connect und Webadmin aktiviert. Alle Proxy-Berechtigungen werden in der Gruppe „WebProxyUsers“ entfernt. In der Firewallmatrix werden alle Regeln zum Dienst HTTP für das Zielnetz Internet entfernt.
Seite 48
Administration 3.4.9.1 Ablauf Als erstes erfragt der Assistent den Namen des Verzeichnisses. Unter diesem Namen wird es im Netzwerk exportiert. Im nächsten Schritt kann der Dienst ausgewählt werden, über den das Verzeichnis exportiert wird. Dabei können auch mehrere Dienste ausgewählt werden. Wird das Verzeichnis über SMB / CIFS für Windows exportiert, wird der Name der Arbeitsgruppe abgefragt.
(Dieser Dialog befindet sich unter Assistenten – Datensicherung) Mit Hilfe dieses Assistenten richten Sie Sicherungspläne für Datensicherungen ein. Diese Sicherungspläne sind gleichermaßen für Sicherungen Ihres Collax Servers wie für Client-Rechner gültig und notwendig. Im Allgemeinen genügen diese generierten Siche- rungspläne auch fortgeschrittenen Anwendungsfällen. Detaillierte, manuelle Modifikationen dieser Pläne sind möglich.
Seite 50
Administration cherung gewählt werden. Ergänzende Inkrementelle Sicherungen werden zu einem späteren Zeitpunkt konfiguriert. Danach wählen Sie genauere Spezifikationen Ihrer Sicherungszeit- punkte. Im dritten Schritt fragt der Assistent nach der Backup-Strategie. Hierbei kann zwischen „Lineare Sicherung“, „Einfache Rotation“ und, abhängig von der Wahl der Periode, zwischen „Türme von Hanoi“ und „Großvater, Vater, Sohn“...
Assistenten 3.4.11.2 Konfiguration Der Assistent erstellt einen Sicherungsplan, für den automatisch ein Name, der auf den konfigurierten Eigenschaften basiert, gewählt wird. Weiterhin wird eine Zuordnung erstellt, die den neuen Plan mit dem lokalen Default-Ziel und dem lokalen System verbindet. Dies gescheit nur, wenn das Default-Ziel existiert und in der vorangegan- genen Maske die Checkbox „Benutze diesen Sicherungsplan für eine lokale Sicherung“...
Angabe eines Logins mit zugehörigem Passwort. Ein Computersystem benutzt im Netzwerk eine IP-Adresse (mehr dazu im Abschnitt Netzwerke (S. 153)). Diese IP-Adresse sieht der Collax Server als Iden- tifikation, wenn er Pakete von dem Computer empfängt. In einem lokalen Netz werden IP-Adressen aus einem zusammenhängenden Bereich vergeben, dieser Bereich wird als „Netz“...
Seite 54
Fall würde die Firewall den Zugriff des Rechners abblocken, so dass keinerlei Kommunikation zwischen E-Mail-Client und Mail- Dienst im Collax Server zustande kommt. Je nach Einstellung protokolliert die Firewall erfolgreiche und fehlgeschlagene Zugriffe in der Logdatei. Dies kann bei fehlschlagen-...
Vordefinierte Gruppen den Zugriffen auf Dienste, die im Collax Server selbst laufen, dazu verleiten, in der Firewallmatrix (S. 309) Berechtigungen zu setzen. Dies wäre jedoch falsch. Für Zugriffe auf Dienste im Collax Server sind immer die Rechte in den Benutzungsrichtlinien ausschlaggebend.
Firewall für die zugehörigen Netze oder Rechner geöffnet. Im Abschnitt RAS werden die Berechtigungen zur Einwahl auf den Collax Server vergeben, u. a. ist hier mit SSH die verschlüsselte Konsolenverbindung auf den Collax Server selbst einstellbar. Im Collax Server besteht die Möglichkeit, einzelnen Benutzern die gesamte oder Teile der Administration freizuschalten.
Benutzungsrichtlinien 4.4 Gruppenplanung Mit den vordefinierten Gruppen können bereits viele Konfigura- tionen abgedeckt werden. Es empfiehlt sich jedoch, für bestimmte Aufgaben bedarfsweise eigene Gruppen anzulegen und in den Grup- pen Users bzw. LocalNet nur den Zugriff auf die Basisdienste (DNS, NTP usw.) zu regeln, bei denen keine Zugriffsbeschränkungen zu erwarten sind.
Benutzungsrichtlinien zu einem Dienst(-bereich) zentral in einer Gruppe vorgenommen werden. Oft werden beide Methoden gemischt genutzt. Bei gut angeleg- ten Gruppenstrukturen ist dies auch bei größeren Installationen übersichtlich. 4.4.1 Beispiel: Benutzerbezogene Gruppen Als Beispiel für benutzerbezogene Gruppen soll eine Schule be- trachtet werden.
Seite 59
Trennung der Klassenräume von dem Bereich Leh- rerzimmer / Verwaltung durch eine Firewall. Solch ein Konzept kann mit dem Collax Server umgesetzt werden, Details dazu finden sich im Abschnitt DMZ (S. 311). In diesem Fall würden unterschiedliche IP-Bereiche für die beiden Netzwerke eingerichtet.
Benutzungsrichtlinien Nun wird eine Laufwerksfreigabe für die Lehrer angelegt, auf die die Gruppe „Lehrer“ Schreib- und Lesezugriff erhält. Auf die gleiche Freigabe erhält auch die Gruppe „Verwaltung“ Schreib- und Leseberechtigung. So ist ein Datenaustausch möglich. Abschließend wird eine eigene Laufwerksfreigabe für die Verwal- tung eingerichtet, auf die nur die Gruppe „Verwaltung“...
Unternehmen erhält seine eigene E-Mail-Adresse und darf über den Webproxy ins Internet zugreifen. Die PCs im Unternehmen sollen über NTP ihre Uhrzeit mit dem Collax Server abgleichen. Die einzelnen Abteilungen erhalten alle einen eigenen E- Mail-Verteiler und eine eigene Laufwerksfreigabe (Share) zur...
Seite 62
Benutzungsrichtlinien In jeder Abteilung gibt es einige wenige Benutzer, die den Fax- Dienst nutzen dürfen. Im Unternehmen wird E-Mail auf Spam und Viren geprüft. Jede Abteilung benennt dazu zwei „Mailadministrato- ren“, die Zugriff auf die Quarantäne-Verzeichnisse erhalten. Grundsätzlich ist es möglich, für dieses Unternehmen eine rein benutzerbezogene oder eine rein dienstbezogene Gruppenstruktur zu erstellen.
Seite 63
Für die Nutzung des Fax-Dienstes bietet sich eine dienstbezogene FaxGruppe an. Da die Fax-Berechtigung nicht über Authentifizierung erfolgt, müssen die Computer der befugten Nutzer als Hosts im Collax Server angelegt sein. Diese Hosts werden als Mitglieder der Gruppe zugeordnet. In den Berechtigungen der Gruppe wird der Fax-Connect erlaubt.
4.5 Schritt für Schritt: Anlegen einer Gruppe Im folgenden wird exemplarisch eine Gruppe eingerichtet, die die Fernwartung des Collax Servers erlaubt. Obwohl dies eine konkrete Aufgabenstellung ist, ist das Vorgehen allgemeingültig und lässt sich analog für jede andere Gruppe nachvollziehen.
Seite 65
• In den Feldern Quota können Sie Beschränkungen des Festplat- tenspeichers vornehmen. Da diese Gruppe nur dem Konfigurati- onszugriff auf den Collax Server dient und keine weitere Funktion bieten soll, nehmen Sie hier keine Einstellungen vor. • Speichern Sie die Gruppe.
Seite 66
Benutzungsrichtlinien • In dieser Ansicht sind alle angelegten Netze sichtbar. Fügen Sie durch das Aktivieren von LocalNet das Netz der Gruppe als Mitglied hinzu. • Um einzelne Rechner als Mitglied in eine Gruppe aufzunehmen, müssen Sie sie zunächst als Host bekannt machen. Danach können Sie sie unter Rechner der Gruppe hinzufügen.
Seite 67
öffnen Sie die zugehörigen Berechtigungen. • Klicken Sie auf Firewall. Dadurch werden die internen Dienste des Collax Servers aufgelistet. • In der Liste befindet sich der Dienst Webadmin. Aktivieren Sie diesen für die Gruppe, indem Sie ihn anklicken. Hinter Webadmin...
Seite 68
Mitglied in die Gruppe aufgenommen wird. Es ist die Mitgliedschaft eines Netzes oder eines konkreten Rechners notwendig, um die IP- Verbindung zu einem Dienst im Collax Server aufbauen zu können. Zusätzlich muss ein Benutzer Mitglied werden, um sich an dem Dienst anmelden zu können.
Seite 69
• In den folgenden Feldern geben Sie den Namen des Benutzers, eventuelle Mail-Alias-Adressen und Telefonnummern an. Teil- weise haben diese Einstellungen noch zusätzlich in weiteren Diensten des Collax Servers eine Funktion. Beispielsweise wird über die Faxnummer die interne Zustellung eingehender Fax- Mitteilungen vorgenommen.
Seite 70
Benutzungsrichtlinien • Unter dem Reiter Gruppenzugehörigkeit können Sie die Gruppen aktivieren, zu denen der Benutzer gehören soll. • Wählen Sie die neu angelegte WartungsGruppe aus. • Nach dem Speichern der Einstellungen und Aktivieren der ge- samten Konfiguration kann sich der neu angelegte Benutzer aus dem lokalen Netz auf der Administrationsoberfläche anmelden und hat Zugriff auf die dort für ihn freigeschalteten Bereiche.
(Dieser Dialog befindet sich unter Benutzungsrichtlinien – Richtlinien – Gruppen) ber die Gruppen wird der Zugriff auf alle Dienste im Collax Server geregelt. In diesem Dialog werden Gruppen angelegt und deren Rechte verwaltet. Eine Gruppe kann dabei aus Benutzern, Rechnern und Netzwerken bestehen.
Benutzungsrichtlinien • Benutzer: Mit dieser Aktion werden alle Benutzer und ihre Mit- gliedschaft in der Gruppe angezeigt. Der Mitgliedschaftsstatus kann geändert werden. In eine importierte Netzwerkgruppe können keine Benutzer aufgenommen werden. Diese Aktion wird daher nur für lokal angelegte Gruppen angezeigt. •...
Seite 73
GUI-Referenz: Richtlinien • Importierte Gruppe: Mit dieser Option wird angegeben, dass die Gruppe auf einem anderen System verwaltet wird. Dies kann beim Anlegen einer Gruppe festgelegt, jedoch später nicht mehr geändert werden. • Name der Gruppe: Hier wird der Name der Gruppe angegeben. Der Name darf nicht mit einer Ziffer beginnen und darf auch keine Leerzeichen enthalten.
Seite 74
Mitglied sind, gilt die größte aller Quota-Einstellungen. Wenn ein Benutzer zu keiner derjenigen Gruppen gehört, für die Benutzer-Quotas gesetzt wurden, darf er unbegrenzt Daten speichern. Abschnitt Windows-Gruppen Zuordnung Dieser Abschnitt wird eingeblendet, wenn der Collax Server mit dem Authentifizierungs-Modus PDC aktiviert ist.
Seite 75
GUI-Referenz: Richtlinien Felder in diesem Abschnitt • Vordefinierte Windows-Gruppe: Hier kann die Microsoft Windows- Gruppe angegeben werden, deren Rechte auf die Systemgruppe vererbt werden soll. 4.6.1.3 Berechtigungen (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Richtlinien – Gruppen) Abschnitt Gruppe Felder in diesem Abschnitt •...
Seite 76
Benutzungsrichtlinien Felder in diesem Abschnitt • Berechtigungen: In dieser Liste werden alle Berechtigungen angezeigt. 4.6.1.4 Benutzer (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Richtlinien – Gruppen) In diesem Dialog sind alle angelegten Benutzer sichtbar. Benutzer, die zu der bearbeiteten Gruppe gehören, sind markiert. In diesem Dialog werden die Mitglieder der Gruppe ausgewählt.
Seite 77
GUI-Referenz: Richtlinien Felder in diesem Dialog • Name der Gruppe: Hier wird der Name der Gruppe angezeigt. 4.6.1.6 Netzwerke (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Richtlinien – Gruppen) In diesem Dialog sind alle angelegten Netzwerke sichtbar. Netze, die zu der bearbeiteten Gruppe gehören, sind markiert. Felder in diesem Dialog •...
Benutzungsrichtlinien 4.6.2.1 Liste der importierbaren Gruppen Die Liste zeigt Gruppen an, die Benutzer beinhalten. Der Benutzer Administrator wird nicht als Benutzer gelistet. Enthält eine Gruppe nur den Benutzer Administrator wird dieses Gruppe ebenfalls nicht gelistet. Abschnitt Hinweis Felder in diesem Abschnitt •...
GUI-Referenz: Richtlinien • Aus lokalen Gruppen entfernen: Wurde eine AD-Gruppe der lokalen Richtlinienverwaltung zur Verfügung gestellt und ab sofort nicht mehr benötigt, kann diese mit dieser Aktion entfernt werden. 4.6.2.2 Mitglieder der entfernten Gruppe In diesem Dialog werden alle Benutzer einer entfernten Gruppe angezeigt.
Seite 80
Benutzungsrichtlinien 4.6.3.1 Berechtigungen (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Richtlinien – Berechtigungen) Hier werden alle im System definierten Berechtigungen aufgelistet. Statische und dynamische Berechtigungen können bearbeitet und den verschiedenen Gruppen zugewiesen werden. Prinzipiell werden statische oder dynamische Berechtigungen immer durch das System vordefiniert.
GUI-Referenz: Richtlinien 4.6.3.2 Berechtigung In diesem Formular werden Systemberechtigungen angezeigt. Nur die Gruppenzuweisung kann verändert werden, die Berechtigung selbst kann nicht geändert werden. AbschnittGrundeinstellungen Felder in diesem Abschnitt • Service: Hier wird der Service der Berechtigung angezeigt. • ID: Hier wird die interne ID der Berechtigung angezeigt. •...
Benutzungsrichtlinien 4.6.4 Benutzer (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Richtlinien – Benutzer) In diesem Dialog werden die Benutzer des Systems verwaltet. 4.6.4.1 Benutzer auswählen (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Richtlinien – Benutzer) Hier werden alle auf dem System angelegten Benutzer angezeigt. Neue Benutzer können hier angelegt, bestehende Benutzer können hier bearbeitet oder gelöscht werden.
Tab Grundeinstellungen, Abschnitt Grundeinstellungen Felder in diesem Abschnitt • Login-Name: Der Login-Name des Benutzers wird zur Authenti- fizierung bei den verschiedenen Diensten des Collax Servers eingesetzt. Der Login-Name sollte in Kleinbuchstaben angegeben werden. Erlaubt sind nur die Buchstaben „a“ bis „z“ (keine Umlaute o.
Seite 84
Benutzungsrichtlinien Das Eingabefeld erscheint nur, wenn ein neues Benutzerkonto angelegt wird. • Login-Name: Hier wird der Login-Name des Benutzerkontos an- gezeigt. Wenn ein Benutzerkonto bearbeitet wird, kann der Name nicht geändert werden. • Account deaktiviert: Mit dieser Option kann ein Benutzerkonto zeitweilig deaktiviert werden.
Seite 85
GUI-Referenz: Richtlinien Hinweis: Wird eine Adresse in einer Domain angegeben, die nicht zu einer der lokal verwalteten Maildomains des Systems gehört, erscheint die Adresse zwar im LDAP-Verzeichnis, E-Mails an diese Adresse werden jedoch nicht zugestellt. • E-Mail-Zustellung an: In diesem Feld kann die E-Mail-Adresse eines lokalen Benutzers, eines Verteilers, ein Alias eines Benut- zers oder eine externe E-Mail-Adresse angegeben werden.
Benutzungsrichtlinien Wird auf diesem System der Fax-Dienst genutzt und gehen Faxe auf einer der hier angegebenen Nummern ein, wird diesem Benutzer das Fax zugestellt. • Passwort: Das Passwort des Benutzers. Hinweis: Bei einigen Sonderzeichen im Passwort kann es vorkommen, dass das Webmailinterface dieses nicht akzeptiert. Dann erhält der Benutzer beim Aufrufen des Webmailers eine Fehlermeldung, obwohl er sich zuvor an der Web-Access-Seite anmelden konnte.
Seite 87
GUI-Referenz: Richtlinien Felder in diesem Dialog • Benutzer importieren: Mit diesem Dialog kann eine bestehende Liste von Benutzerkonten importiert werden. Diese müssen in einer Datei im CSV-Format gespeichert sein. Dabei wird pro Zeile ein Benutzerkonto angegeben, die einzelnen Werte sind in einer festgelegten Reihenfolge durch Kommas getrennt abgelegt.
Seite 88
Benutzungsrichtlinien Formulare der Collax-Administrationsoberfläche. Sie können flexibel definiert werden, Zugriff auf nur ein einzelnes oder auf mehrere Formulare zu gewähren ist möglich. Felder in diesem Formular • Name: Hier wird der Name der Admin-Rolle angezeigt. Dieser wird frei definiert und erscheint auch im Formular der Gruppen- berechtigungen zur Auswahl.
Seite 89
GUI-Referenz: Richtlinien TabGrundeinstellungen, AbschnittBerechtigung Felder in diesem Abschnitt • Bezeichnung: In dieses Feld wird die Namensbezeichnung der neuen Berechtigung eingegeben. • Beschreibung: Hier wird eine spezifizierte Beschreibung der neuen Berechtigung eingegeben. TabFormulare Zugewiesene Formulare Felder in diesem Abschnitt • Zugewiesene Formulare: Hier werden die Formulare ausgewählt, die verwaltet werden dürfen.
Benutzungsrichtlinien 4.6.6 Zeiträume In diesem Dialog werden Zeiträume verwaltet. Auf diese Zeiträume wird in anderen Dialogen zurückgegriffen, etwa bei der Konfiguration von Filtern oder Mailabholaufträgen. Vordefiniert ist der Zeitraum always, der rund um die Uhr gilt, also „24 / 7 / 365“. Weitere Zeiträume, etwa für die Arbeitszeiten, können angelegt werden.
Seite 91
GUI-Referenz: Richtlinien Aktionen für diesen Dialog • Neuer Zeitraum: Mit dieser Aktion wird ein neuer Zeitraum festgelegt. 4.6.6.2 Zeitraum bearbeiten (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Richtlinien – Zeiträume) In diesem Dialog wird der Zeitraum bearbeitet. Ein Zeitraum besteht aus einem oder mehreren Zeitabschnitten, die wiederum aus einer Angabe für den Beginn und das Ende sowie einer Liste von Wochentagen bestehen.
Anfangszeit (die Endzeit kann auf den Folgetag fallen). Aktionen für jeden Tabelleneintrag • Löschen: Hiermit wird der markierte Zeitabschnitt gelöscht. 4.7 GUI-Referenz: Umgebung In diesem Abschnitt werden globale Einstellungen für den Admi- nistrator und den Standort des Collax Servers vorgenommen.
GUI-Referenz: Umgebung 4.7.1 Administrator (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Umge- bung – Administrator) In diesem Dialog kann das Administrator-Passwort für die Ober- fläche geändert und die E-Mail-Adresse für E-Mails des Systems selbst eingetragen werden. 4.7.1.1 Abschnitt Angaben Felder in diesem Abschnitt •...
Benutzungsrichtlinien 4.7.1.2 Abschnitt SSH Felder in diesem Abschnitt • Secure Shell aktivieren: Mit dieser Option wird der SSH-Dienst auf dem System aktiviert. Welche Rechner und Netze eine SSH- Verbindung aufbauen dürfen, kann innerhalb der Gruppen in den Benutzungsrichtlinien konfiguriert werden. 4.7.1.3 Abschnitt Administrations-Web-Server Felder in diesem Abschnitt •...
GUI-Referenz: Umgebung 4.7.2 Standort (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Umge- bung – Standort) In diesem Dialog werden verschiedene Angaben zum Standort des Systems und des Unternehmens eingegeben. Die Angaben hier dienen als Vorgabewerte für andere Stellen im System. 4.7.2.1 Abschnitt Firma/Organisation Die Felder in diesem Abschnitt werden im LDAP-Verzeichnis ein- getragen.
Benutzungsrichtlinien 4.7.2.2 Abschnitt Telefonie Die Angaben in diesem Abschnitt dienen dazu, Telefonnummern in eine einheitliche Form umzusetzen und später aus dieser Form die zu wählende Rufnummer zu ermitteln. Felder in diesem Abschnitt • Landesvorwahl: Hier wird die Landesvorwahl der eigenen Tele- fonnummer angegeben.
Seite 97
GUI-Referenz: Umgebung 4.7.3 GUI-Referenz: Passwort-Richtlinien (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Authen- tifizierung – Passwort-Richtlinien Passwort-Richtlinien bestehen aus einer Liste von Regeln, die die Sicherheit auf dem Server und im Unternehmen erhöhen. Dies wird dadurch erreicht, dass Benutzer aufgefordert werden starke Passwörter im Unternehmen zu verwenden, oder dass Passwörter der Benutzer nur einen begrenzten Zeitraum gültig sind.
Benutzungsrichtlinien Aktionen für dieses Formular • Hinzufügen: Diese Aktion öffnet den Dialog, um eine neue Richt- linie hinzuzufügen. 4.7.3.2 GUI-Referenz: Passwort-Richtlinie editieren Tab Allgemein Felder in diesem Abschnitt • Name: Hier wird eine kurze Bezeichnung für die Richtlinie ein- gegeben oder angezeigt. •...
Seite 99
GUI-Referenz: Umgebung • Minimale Passwort Länge: Das Passwort muss mindestens die hier angegebene Anzahl von Zeichen aufweisen. • Passwort-Qualität prüfen: Durch diese Option können weitere Kriterien angegeben werden, welche bei der Definition eines neuen Passworts überprüft werden. • Standard: Gibt an, ob diese Richtlinie standardmäßig für Benut- zer angewendet werden soll.
Seite 100
Benutzungsrichtlinien Aktionen für dieses Formular • Als Standard setzen: Diese Aktion setzt die gewählte Richtlinie als Standardrichtlinie, diese gilt dann für alle Benutzer, für die keine spezielle Richtlinie angegeben wurde. • Löschen: Löscht die gewählte Richtlinie. • Abbrechen: Beendet den Dialog, die Änderungen werden verworfen.
Resourcen in einem Netzwerk. Eine spezialisierte Form eines Verzeichnisdienstes ist „Active Directory“. Im Collax Server wird „OpenLDAP“ eingesetzt, eine Implementie- rung von Version 3 des LDAP. Es wird genutzt, um Benutzer, deren Passwörter, Telefonnummer, Mailadressen usw. zu speichern. Dabei handelt es sich um Konfigurationseinstellungen, die von den ver- schiedenen beteiligten Diensten im Collax Server abgefragt werden.
Seite 102
• st: Bundesland (State) • o: Organisation • ou: Abteilung (Organisation Unit) Wird bereits ein LDAP im Unternehmen eingesetzt, kann der Collax Server so konfiguriert werden, dass er auf dieses LDAP zugreift. Dann können vorhandene Benutzer und Gruppen verwendet werden.
Seite 103
LDAP wird. Es ändert sich lediglich die Art der Datenhaltung und die Art des Datenaustauschs. Im Modus „Lokaler Master“ werden die Daten lokal im LDAP- Verzeichnis verwaltet. Durch entsprechende Gruppenberechti- gungen können diese von einer LDAP-Replik oder von einem LDAP-Proxy benutzt werden. Im Modus „Replik“...
Seite 104
Authentifizierung • Wurzel der Hierarchie: Hier muss die Wurzel des Namensrau- mes für das LDAP-Verzeichnis angegeben werden. Als Vorgabe erscheint die Umsetzung der DNS-Domain, die unter Netzwerk – DNS eingetragen ist. Die DNS-Domain muss jedoch nicht zwin- gend als Base-DN für das LDAP-Verzeichnis verwendet werden. Wenn dieses System der Master für das Verzeichnis ist, wer- den die meisten Daten aus der lokalen Konfiguration erzeugt.
Seite 105
LDAP • Serverzertifikat: Hier kann für den LDAP-Server ein Zertifikat ausgewählt werden. In der Liste sind alle installierten Zertifikate enthalten, die für den Server geeignet sind. Wird das LDAP nur innerhalb dieses Systems verwendet, ist kein Zertifikat notwendig. 5.1.1.2 Tab Berechtigungen Felder in diesem Abschnitt •...
Fileserver. Ist bereits ein Windows-Server vorhanden, der eine Domäne bereitstellt, kann der Collax Server ein Mitglied in dieser Domäne werden. Bei einem NT4-Server ist weitreichender Zugriff auf die Domäne möglich. Bei Servern auf der Basis von Active Directory (ADS) geht die Integration noch nicht ganz so weit.
Seite 107
Unterstützung von Windows-Domänen Das „CIFS“ („Common Internet File System“) stellt eine erweiter- te Version von SMB dar und wird ebenfalls vom Collax Server unterstützt. 5.2.1.1 Windows-Support – Allgemein (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Windows- Support – Allgemein) In diesem Abschnitt wird die Unterstützung für Windows-Netzwer- ke konfiguriert.
Seite 108
Authentifizierung Tab Berechtigungen Felder in diesem Abschnitt • Unterstützung für diese Gruppen: Rechner und Netze, die zu einer aktivierten Gruppe gehören, erhalten Zugriff, damit sie sich an der Windows-Umgebung authentifizieren können. Rechner und Netze, die eine Zugriffsberechtigung auf über SMB exportierte Freigaben haben, dürfen auf die Windows- Dienste dieses Systems ohnehin zugreifen.
Seite 109
Wird ein WINS-Server im Netz betrieben, kann hier Client ein- gestellt und die IP-Adresse des WINS-Servers angegeben werden. Wenn der Collax Server selbst als WINS-Server arbeiten soll, sollte hier Server eingestellt werden. Mit der Einstellung Proxy ist es möglich, Anfragen von einem Subnetz an einen WINS-Server in einem anderen Netzwerkseg- ment weiterzureichen.
Authentifizierung ob die Heimatverzeichnisse der eingerichteten Benutzer expor- tiert werden sollen, wenn das System nicht selbst als PDC konfiguriert ist. 5.2.1.2 System für ADS-Domäne vorbereiten (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Windows- Support – Für ADS vorbereiten) Die Vorbereitung für ADS-Domäne soll helfen, die notwendigen Ein- stellungen vorzunehmen und zu prüfen, damit das System erfolgreich in eine ADS-Domäne aufgenommen werden kann.
Seite 111
Unterstützung von Windows-Domänen Felder in diesem Abschnitt • Name des Systems: Hier wird der Name des Systems angegeben. Dieser Name wird zusammen mit der ADS-Domäne verwendet, um den FQDN des Systems festzulegen. • Domäne: Hier wird die Domäne eingetragen. Diese Einstellung beeinflusst den Namen der DNS-Domäne, den FQDN dieses Systems, die Kerberos-Realm und den abgekürzten Namen der ADS-Domäne.
Authentifizierung • DNS-Zone: In der Regel verwaltet der AD-Server die DNS-Zone, die zur ADS-Domäne gehört. Auf dem Collax Server sollte eine Weiterleitung dieser DNS-Zone zum ADS-Controller eingerichtet sein. Hinweis: Eine Weiterleitung aller DNS-Anfragen an den ADS- Controller ist in den meisten Fällen nicht sinnvoll.
Seite 113
Diese Tabelle dient als bersicht der zugeordneten Windows- Gruppen. Jeder Eintrag kann hier ebenso bearbeitet werden, eine Vererbung der Rechte findet nur dann statt, wenn der Collax-Server als PDC aktiviert ist. Spalten in der Tabelle • Vordefinierte Windows-Gruppe: In dieser Spalte werden die von Microsoft Windows vordefinierten NT-Domänengruppen...
Authentifizierung Zuordnung bearbeiten Felder in diesem Formular • Vordefinierte Windows-Gruppe: Hier wird die Windows-Gruppe angezeigt, deren Berechtigungen auf eine lokale Gruppe vererbt werden soll. • Lokale Gruppe: In dieser Auswahl stehen alle bestehenden lokalen Gruppen für die Zuordnung zur Auswahl. Es kann nur eine Gruppe ausgewählt werden.
Seite 115
Unterstützung von Windows-Domänen Felder in diesem Dialog • Benutzerdatenbank: Hier wird angezeigt, ob die Benutzerdaten- bank lokal oder auf einem PDC abgelegt ist. • Hinweis: In diesem Feld erscheint ein Hinweis, wenn ein Domä- nenbeitritt nicht möglich ist. Meistens wurden in diesem Fall noch nicht alle Einstellungen passend vorgenommen.
Authentifizierung 5.2.2 GUI-Referenz: Kerberos (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Authen- tifizierung – Kerberos) Kerberos ist ein komplexes Verfahren zur Authentifizierung von Benutzern und Servern in einem ungesicherten TCP/ IP-Netzwerk. Benutzer und Dienste werden mit Hilfe eines speziellen Netzwerk- dienstes, des KDC (Key Distribution Center), authentifiziert.
Seite 117
Unterstützung von Windows-Domänen • UDP verwenden: Wenn diese Option aktiviert ist, werden bei der Authentifizierung UDP-Datenpakete anstelle von TCP-Paketen verwendet. Ist diese Option nicht aktiviert, werden TCP-Pakete genutzt, um mögliche Probleme mit bestimmten KDCs zu vermeiden, die zu große Antwortpakete verschicken. Dies kann zum Beispiel geschehen, wenn ein Windows ADS-Server Tickets für Benutzer herausgibt, die in sehr vielen Gruppen Mitglied sind.
Seite 118
Authentifizierung 5.2.2.2 Tab Berechtigungen Felder in diesem Abschnitt • Authentifizierung über KDC: Alle Rechner und Netze, die zu einer der aktivierten Gruppen gehören, dürfen auf den KDC zugreifen. Benutzer sind von dieser Einstellung nicht betroffen. Diese Berechtigung ist die Voraussetzung dafür, dass sich Benutzer und Server gegenseitig authentifizieren können.
Seite 119
Unterstützung von Windows-Domänen 5.2.3.1 PDC/ADS (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Windows- Support – PDC / ADS) Felder in diesem Dialog • Benutzerdatenbank: Zur Authentifizierung von Benutzern können verschiedene Server befragt werden. Mit der Einstellung Lokal wird die Benutzerdatenbank auf diesem System verwendet.
Seite 120
• Serverseitige Benutzerprofile: Mit dieser Option kann gewählt werden, ob die Profile von Benutzern, die sich am lokalen PDC anmelden, auf dem Collax Server gespeichert werden. Das Feld ist nur sichtbar, wenn das System als PDC konfigu- riert ist.
Seite 121
Problemen führen. Aus Sicherheitsgründen sollte eine Aktivierung dieser Option gründlich geprüft werden. • Active Directory-Proxy aktivieren: Ist ein Collax Server Mitglied eines Active Directory kann mit dieser Option die Funktion gestartet werden, um benutzerbezogene Daten aus dem Active Directory ins lokale Benutzerverzeichnis zu kopieren.
Seite 122
Authentifizierung • Windows LDAP-Administrator: Hier muss der Benutzer angegeben werden, der Leseberechtigung auf das Active Directory hat. • Passwort: Hier wird das Passwort des Benutzers eingegeben.
6 Verschlüsselung 6.1 Einführung Verschlüsselung dient der sicheren bertragung von Informati- on. Bereits im Altertum wurden erste Verschlüsselungsverfahren eingesetzt. Dabei wurden Ersetzungsvorschriften verwendet, die geheimgehalten werden mussten. Ende des 19. Jahrhunderts formu- lierte ein Wissenschaftler den Grundsatz, dass die Sicherheit eines kryptographischen Verfahrens allein auf dem Schlüssel basiert.
Seite 124
Verschlüsselung derselbe „Chiffrierschlüssel“ für die Verschlüsselung und später für die Entschlüsselung verwendet wird. Der offensichtliche Schwach- punkt dieses Verfahrens ist, dass der Austausch des Chiffrierschlüs- sels zum Kommunikationspartner gesichert erfolgen muss. Nachteilig ist zudem, dass mit jedem neuen Partner ein neuer Schlüssel aus- gehandelt werden muss, was die Anzahl der Schlüssel schnell in die Höhe treibt.
Seite 125
Einführung Um zwischen zwei Teilnehmern eine Information verschlüsselt auszutauschen, benötigt der Absender den öffentlichen Schlüssel des Empfängers. Mit diesem verschlüsselt er den Ursprungstext und überträgt den Chiffretext an den Empfänger. Jeder, der diesen Chif- fretext abfängt, sollte nur Zugriff auf den öffentlichen Schlüssel des Empfängers haben.
Verschlüsselung 6.1.1 Zertifikate Zertifikate sind in diesem Zusammenhang eine Art Transporthülle für asymmetrische Schlüssel und Informationen über den Besitzer des Schlüsselpaares. Beim Einlesen eines Zertifikats mit öffentlichem Schlüssel werden Name, Anschrift und weitere Informationen über den Inhaber des Zertifikats angezeigt. So kann sichergestellt werden, dass der Schlüssel des richtigen Kommunikationspartners verwendet wird.
Einführung ein symbolisches Schloss. Achtung: In solchen Browsern können weitere CA-Zertifikate nachinstalliert werden. Der PC im Strandcafé von St. Tropez kann sich so schnell als falscher Freund erweisen. Steht keine CA zur Verfügung, können auch „selbstsignierte“ Zertifikate erstellt werden. Auch solche Zertifikate können nicht automatisch auf ihre Vertrauenswürdigkeit hin überprüft werden.
Seite 128
Verschlüsselung Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:c6:a5:4f:6b:cd:c3:b6:63:3f:6f:eb:a8:7c:13: 3f:25:7e:ce:a1:45:09:cb:3c:23:33:c6:0f:3c:b1: 7c:68:19:02:ab:80:7c:f9:e2:e4:fc:a1:1f:c5:ae: 6f:76:fe:f8:e7:90:16:4b:3a:ab:d4:24:16:18:24: 7a:bf:da:1f:45:d0:18:1a:1c:5e:b2:00:02:d2:e8: 77:2e:99:c9:01:b8:a0:33:ed:77:ed:6b:47:ad:97: 33:ae:97:18:f3:3e:cd:72:2b:bc:84:ad:cf:69:22: d1:f8:15:11:f0:29:bc:c2:6d:20:5c:6c:fa:d3:c0: 79:7c:bd:4e:7c:df:d6:28:db Exponent: 65537 (0x10001) X509v3 extensions: Netscape Comment: Zertifikat fuer den Webserver der Firma Britzel X509v3 Basic Constraints: CA:FALSE X509v3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment...
Seite 129
Einführung S/MIME signing : No S/MIME signing CA : No S/MIME encryption : No S/MIME encryption CA : No CRL signing : No CRL signing CA : No Any Purpose : Yes Any Purpose CA : Yes OCSP helper : Yes OCSP helper CA : No Ein Zertifikat nach X.509 ist nach dem Schema Zertifikatsinhalt (Data), Signaturalgorithmus und Signatur aufgebaut.
Seite 130
Verschlüsselung • Subject Public Key Info: Der öffentliche Schlüssel. Der private Schlüssel ist in einem Serverzertifikat nicht enthalten. • IssuerUniqueID: Ein optionaler, eindeutiger Identifikator des Zertifikatsausstellers, mit Version 2 eingeführt. • SubjectUniqueID: Ein optionaler, eindeutiger Identifikator des Zertifikatsinhabers, mit Version 2 eingeführt. •...
Seite 131
Einführung • ExtendedKeyUsage: Erweiterung zu „KeyUsage“, ist als Erwei- terungsmöglichkeit für Einrichtungen gedacht, die weitere Einsatzzwecke zur Nutzung dieses öffentlichen Schlüssels ange- ben wollen. • PrivateKeyUsagePeriod: Hiermit kann eine von der Gültigkeits- dauer des Zertifikats abweichende Gültigkeitsdauer für den privaten Schlüssel angegeben werden. •...
Seite 132
Verschlüsselung • PolicyConstraints: Hier können Beschränkungen der Richtlinien für nachfolgende Zertifikate erwirkt werden. • CrlDistributionPoints: ber dieses Feld wird angegeben, wo die Sperrlisten (CRLs) abgerufen werden können, die dieses Zertifikat für ungültig erklären können. • FreshestCRL: Analog zu der Definition der Sperrlisten kann hier angegeben werden, wo die letzten Änderungen zu einer CRL abgerufen werden können.
Einführung systemen werden daher zum Austausch von Daten bevorzugt sym- metrische Algorithmen wie AES eingesetzt. Asymmetrische Verfahren bieten hingegen eine höhere Sicherheit bezüglich des Schlüsselaus- tauschs. Sie werden daher eingesetzt, um beim Verbindungsbeginn eine gesicherte bertragung aufzubauen. Dann wird ein zufällig generierter symmetrischer Schlüssel erzeugt und verschlüsselt zur Gegenseite übertragen.
Zertifikat in der Sperrliste auftaucht. Auch wenn dies durch Software durchgeführt werden kann, geschieht es in der Praxis nur selten. Im Collax Server wird diese berprüfung bei gleichzeitigem Einsatz als CA und als VPN-Einwahlpunkt immer durchgeführt.
Seite 135
Einführung Verschlüsselung können diese Zugangsdaten sicher übermittelt wer- den. Auch hierfür muss für den Server ein Zertifikat erstellt und eingebunden werden. Solchen durch Verschlüsselung verbesserten Protokollen wird eine neue Bezeichnung zugewiesen (in diesem Beispiel POP3S). Achtung: Hier wird jeweils nur die Anmeldung am Server gesichert.
Seite 136
6.2 Schritt für Schritt: Erstellen eines Serverzertifikats Um bestimmte Dienste durch Verschlüsselung abzusichern, muss für den Collax Server ein eigenes Zertifikat erzeugt werden. Dies geschieht in den Benutzungsrichtlinien unter Zertifikate. Hier können Zertifikate nach X.509-Standard und einfache RSA-Schlüssel verwaltet werden. Für die Serverdienste werden X.509-Zertifikate benötigt.
Schritt für Schritt: Erstellen eines Serverzertifikats • In den Feldern Name und Kommentar sollte ein möglichst spre- chender Name eingegeben werden, da diese später nicht mehr geändert werden können. • Unter Gültigkeit wird die Lebensdauer der CA festgelegt. Da alle mit dieser CA erzeugten Zertifikate maximal so lange wie die CA gültig sind, sollte hier eine ausreichene Zeitspanne gewählt werden.
Seite 138
Verschlüsselung Ist das Zertifikat erzeugt, kann es in den Konfigurationsdialogen der jeweiligen Dienste zur Verschlüsselung ausgewählt werden, für den Webserver beispielsweise unter Serverdienste – Webserver – Allgemein – Serverzertifikat.
Verschlüsselung 6.3 GUI-Referenz: X.509-Zertifikate In diesen Dialogen werden im Collax Server Zertifikate nach dem X.509-Standard verwaltet. Es können neue Zertifikate erzeugt oder importiert werden. Ebenso ist der Aufbau und Betrieb einer Certifi- cate Authority möglich. 6.3.1 Vorhandene Zertifikate (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Zertifikate –...
Das Zertifikat wird gelöscht und in die CRL (Certificate Revoca- tion List) für die CA eingetragen. Ab diesem Zeitpunkt ist das Zertifikat auf dem Collax Server gesperrt. Es können nur solche Zertifikate zurückgezogen werden, die mit einer lokalen CA signiert wurden. Dies sind nur die Zertifi-...
GUI-Referenz: X.509-Zertifikate • CRL: Bei einem CA-Zertifikat selbst kann mit dieser Aktion die Certificate Revocation List (CRL) über einen Download auf das zur Administration genutzte System exportiert werden. Zudem bietet diese Aktion die Möglichkeit, eine CRL zu erzeugen. • Löschen: Mit dieser Aktion wird das Zertifikat gelöscht. Es kön- nen jedoch keine Zertifikate gelöscht werden, die von einer CA signiert wurden.
6.3.2.1 Tab Zertifikat Felder in diesem Abschnitt • Name des Zertifikats: Hier wird der Name angezeigt, unter dem das Zertifikat im Collax Server abgelegt ist. Dabei handelt es sich meist nicht um den Common Name, der im Zertifikat selbst gespeichert ist.
GUI-Referenz: X.509-Zertifikate beim Einsatz eines offiziellen Webservers mit Verschlüsselung). Au- ßenstehende Personen werden selbst erzeugten Zertifikaten meist nicht vertrauen. Innerhalb der eigenen Organisation können selbst erstellte Zertifikate jedoch problemlos verwendet werden (etwa für eine sichere Anmeldung am eigenen Mailserver). Wenn eigene Zertifikate erstellt werden, ist es meist sinnvoll, zu- nächst ein eigenes CA-Zertifikat anzulegen.
Seite 144
Verschlüsselung • Schlüssel: Hier kann gewählt werden, ob ein neues Schlüsselpaar für das Zertifikat generiert oder ein vorhandener Schlüsselsatz in das Zertifikat importiert werden soll. • Schlüssellänge: Die gewünschte Schlüssellänge wird hier vorge- geben. Die Sicherheit des Schlüssels ist von seiner Länge abhängig.
GUI-Referenz: X.509-Zertifikate 6.3.3.2 Abschnitt Identität In diesem Abschnitt werden Angaben zur Identität des Inhabers für das Zertifikat gemacht. Felder in diesem Abschnitt • Passphrase: Hier kann eine Passphrase angegeben werden, mit der der private Schlüssel des Zertifikats gesichert wird. Dies ist nützlich, wenn ein Clientzertifikat erzeugt wird, bei dessen späterer Benutzung jedes Mal die Passphrase abgefragt werden soll.
Seite 146
Verschlüsselung Sonderzeichen aus speziellen Zeichensätzen verwendet werden. • Abteilung / Sektion: Hier kann innerhalb der Einrichtung genauer spezifiziert werden, für welche Abteilung oder Sektion das Zer- tifikat erzeugt wird. • Ort: Hier wird der Ort angegeben, an dem das Unternehmen bzw. die Organisation den Sitz hat.
(Dieser Dialog befindet sich unter Benutzungsrichtlinien – Zertifikate – X.509-Zertifikate) Damit Zertifikate auch für Clients oder VPN-Verbindungen genutzt werden können, müssen sie vom Collax Server heruntergeladen werden. Dazu stehen verschiedene Exportformate zur Verfügung. 6.3.4.1 Felder in diesem Dialog • Zertifikat: In diesem Feld wird der Name des Zertifikats angezeigt.
Seite 148
Verschlüsselung Schlüssel getrennt exportiert und auf der Gegenseite eingelesen werden. PKCS12-Zertifikate werden von einigen Webbrowsern und Mailprogrammen verwendet (Netscape / Mozilla, Internet Explo- rer, Outlook). Dieses Format kann nur gewählt werden, wenn ein privater Schlüssel zum Zertifikat existiert. Der private Schlüssel wird in jedem Fall mit exportiert.
GUI-Referenz: X.509-Zertifikate sphrase gesichert, muss hier zum Exportieren diese Passphrase angeben werden. • Exportpasswort: Wird ein Zertifikat im PKCS#12-Format expor- tiert, muss hier ein Passwort angegeben werden. Mit diesem wird die Exportdatei verschlüsselt. Das Passwort wird später beim Importieren des Zertifikats auf den Client wieder benötigt. •...
Seite 150
Verschlüsselung im DER-Format vor, müssen die einzelnen Teile separat angegeben werden. Das Zertifikat einer CA muss nur einmal auf dem System installiert werden. Wurde bereits ein Zertifikat installiert, das von der gleichen CA unterschrieben wurde, muss das CA-Zertifikat nicht nochmals installiert werden.
GUI-Referenz: X.509-Zertifikate • Privater Schlüssel: Wird das Zertifikat für einen Serverdienst oder für ein VPN verwendet, kann hier eine Datei ausgewählt werden, die den privaten Schlüssel für das Zertifikat enthält. Ist das Zertifikat im PKCS#12-Format oder als kombiniertes PEM-Zertifikat gespeichert, bleibt dieses Feld leer. •...
Seite 152
Verschlüsselung gung festgelegt. Wird ein CA-signiertes Zertifikat zur Authentifizierung (z. B. für VPN-Einwahl) benutzt, ist es nicht ausreichend, das Zerti- fikat zu löschen. ber die CA-Signatur und seine Restlaufzeit ist es weiterhin gültig. Um Zertifikate vor Ablauf des Verfallsdatums für ungültig zu erklären, werden diese in eine Liste (die Certificate Revocation List CRL) eingetragen.
Seite 153
GUI-Referenz: X.509-Zertifikate 6.3.7 CRL verwalten (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Zertifikate – X.509-Zertifikate) Eine CRL (Certificate Revocation List) ist eine Sperrliste von Zer- tifikaten, die von einer CA unterschrieben wurden, aber vor Ende der Laufzeit zurückgezogen wurden. Für eine CA, die auf diesem System verwaltet wird, kann die CRL mit diesem Dialog erzeugt werden.
Verschlüsselung werden. Zertifikate können nur auf dem System mit der CA gesperrt werden. Um andere Systeme über diese Sperrungen zu informieren, muss die CRL exportiert und auf den beteiligten Systemen importiert werden. • Log: Während des Vorgangs erscheint ein Fenster mit der Aus- gabe der aufgerufenen Programme.
GUI-Referenz: Certificate Signing Requests (CSR) 6.4.1 Certificate Signing Request wählen 6.4.1.1 Spalten in der Tabelle • Name: Hier wird der Name eines erstellten CSR angezeigt. • Distinguished Name (DN): Zeigt den DN des erstellten CSR an. 6.4.1.2 Aktionen für jeden Tabelleneintrag •...
Seite 156
Verschlüsselung 6.4.2.1 Abschnitt CSR erzeugen Felder in diesem Abschnitt • Name des Zertifikats: Unter diesem Namen wird das Zertifikat im System abgelegt. Er dient dazu, das Zertifikat in der Admini- strationsoberfläche aufzufinden. Der Name muss nicht mit den Inhaberinformationen im Zertifikat identisch sein. Es sollte je- doch ein möglichst aussagekräftiger Name für den Einsatzzweck des Zertifikats gewählt werden.
GUI-Referenz: Certificate Signing Requests (CSR) 6.4.2.2 Abschnitt Identität Felder in diesem Abschnitt • Passphrase (privater Schlüssel): Hier kann eine Passphrase an- gegeben werden, mit der der private Schlüssel des Zertifikats gesichert wird. Dies ist nützlich, wenn ein Clientzertifikat erzeugt wird, bei dessen späterer Benutzung jedes Mal die Passphrase abgefragt werden soll.
Verschlüsselung • Ort: Hier wird der Ort angegeben, an dem das Unternehmen bzw. die Organisation den Sitz hat. • Bundesland oder Region: Hier wird das Bundesland oder die Provinz innerhalb des Landes angegeben. • Land: Hier wird das Land ausgewählt. •...
Seite 159
GUI-Referenz: Certificate Signing Requests (CSR) • Challenge Passwort (CSR): Hier kann ein optionales Challenge Passwort angegeben werden. Erkundigen Sie sich jedoch vorher bei Ihrer Zertifizierungsstelle, ob diese Angabe möglich ist. 6.4.2.4 Aktionen für dieses Formular • Zurück: Diese Aktion führt zurück in die Zertifikatsübersicht. •...
Stattdessen muss der reine RSA-Schlüssel verwendet werden. In diesem Dialog können öffentliche Schlüssel solcher Gegenstellen importiert werden. Als Schlüsselpaar für den Collax Server wird immer ein X.509- Zertifikat verwendet. Der öffentliche RSA-Schlüssel dieses Zertifikats kann jedoch in der Zertifikatsansicht gespeichert und auf die Gegen- stelle geladen werden.
GUI-Referenz: RSA-Schlüssel 6.5.1.1 Felder in diesem Dialog • Name des RSA-Schlüssels: Name, unter dem der Schlüssel abge- legt wird. • Kommentar: Ein Kommentartext zu diesem Schlüssel. 6.5.1.2 Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion kann der öffentliche Schlüssel bearbeitet werden.
Seite 162
Verschlüsselung abgelegt, wird der Name des Schlüssels nur angezeigt und kann nicht geändert werden. • Kommentar: Ein Kommentartext zu diesem Schlüssel. • Schlüssel: In dieses Eingabefeld wird der öffentliche RSA-Schlüs- sel eingefügt. Der Schlüssel kann entweder als Hexadezimalzahl oder Base64-kodiert eingegeben werden.
7 Netzwerke 7.1 Einführung Computer müssen ein gemeinsames Protokoll verwenden, um miteinander kommunizieren zu können. In der Vergangenheit kamen verschiedene, teils herstellerspezifische Protokolle zum Einsatz. Heutzutage setzt der Großteil der Systeme auf TCP/ IP. Grundlage ist das „Internet Protocol“ IP, auf dem weitere Protokol- le basieren.
Netzwerke ungleich verteilt sind (in Asien besteht großer Bedarf, aber die Mehrheit der IP-Adressen sind Europa und Nordamerika zugeordnet). Daher steht als Nachfolger bereits Version 6 („IPv6“) bereit, hier werden Adressen einer Größe von 128 Bit verwendet. Daraus ergeben sich Billiarden von IP-Nummern pro Quadratmillimeter Erdoberfläche, was nach heutigem Ermessen eine ganze Zeit ausreichen wird.
Netzwerke Das „Transmission Control Protocol“ TCP ist im Gegensatz zu UDP ein verbindungsorientiertes Protokoll. Zwischen den beiden beteiligten Systemen wird mittels eines Drei-Wege-Handshakes eine Verbindung aufgebaut. Gelingt dies, ist die Verbindung etabliert („established“). In diesem Zustand werden alle gesendeten Daten- pakete durchnummeriert.
Seite 167
Einführung Dieses Gateway ist normalerweise das System mit der Internet- verbindung und schickt die Datenpakete weiter zu seinem Default- Gateway beim Provider. Von dort aus läuft das Datenpaket über weitere Gateways und Router bis zum Zielsystem. Das Antwortpaket läuft den umgekehrten Weg zurück – es kann auch einen anderen Weg nehmen, da der genaue Weg im Internet nicht festgelegt ist und auch abhängig von Last und Ausfällen umgeschaltet wird.
Seite 168
Netzwerke Das Herausfiltern des Netzwerkanteils geschieht mit Hilfe der Netzmaske über eine logische UND-Verknüpfung. Dabei werden alle in der Netzmaske gesetzten Bits „stehen“ gelassen. Da der Netzanteil links und der Hostanteil rechts notiert ist, kann der Netzanteil (von links) 8 Bit, 9 Bit, 10 Bit, 11 Bit bis 32 Bit betragen. Daraus ergibt sich die heute verbreitete Schreibweise „...
Seite 169
Einführung IP-Adressräume Netzwerkadresse Netzmaske Verwendung _ ___________________________________________________________________________________ _ ___________________________________________________________________________________ 10.0.0.0 255.0.0.0 Für den privaten Ge- brauch reservierter Block, darf im Internet nicht geroutet werden. _ ___________________________________________________________________________________ 14.0.0.0 255.0.0.0 Für „Public Data Net- works“ reservierter Block. _ ___________________________________________________________________________________ 24.0.0.0 255.0.0.0 1996 für Kabelmodem- Anbieter reservierter Block, inzwischen freigegeben.
Seite 170
IP-Paketen die Quell- bzw. Ziel-Adresse ausgetauscht wird. Abhängig von der modifizierten Adresse werden SNAT („Source NAT“) und DNAT („Destination NAT“) unterschieden. Im Collax Server ist es auch möglich, NAT für ganze Netze durchzuführen („Netmap“). Dabei wird nur der Netzanteil ersetzt, der Hostanteil der IP-Adresse bleibt unverändert.
Seite 171
Einführung Eins-zu-Eins-Umsetzung von Adressen erfolgt. Beispielsweise muss der Provider vier öffentliche IP-Adressen bereitstellen, damit diese auf vier interne, private IP-Adressen umgesetzt werden können. Da die Menge an IP-Nummern begrenzt ist und ein Administrator nicht immer genügend öffentliche IP-Nummern für alle Systeme in seinem Netz bekommen kann, wird das sogenannte „Masquerading“...
Seite 172
HTTPS-Webserver (Port 443) zuzugreifen. 7.1.5 Links Ein „Netzwerklink“ stellt im einfachsten Fall eine Verbindung zwischen zwei Computern dar. Im Collax Server ist das Konzept der Links auf grundsätzlich jede Netzwerkverbindung ausgeweitet. So kann ein Link auch zwei oder mehr Netze miteinander verbinden.
Seite 173
Maskieren ausgewählten Netze aus der Quell-IP- Adresse der Pakete entfernt und durch die eigene IP-Adresse des Collax Servers auf dem jeweiligen Link ersetzt. Die Konfiguration von SNAT/ DNAT hingegen erfolgt in der Firewallmatrix (S. 328). Auf einem Link können ein oder mehrere Port-Weiterleitungen eingerichtet werden.
Seite 174
Netzwerke sicher funktioniert, müssen die Datenpakete eine Mindestgröße haben (so dass die bertragung eine minimale „Sendezeit“ nicht unterschreitet). Diese Betriebsart wird Halbduplex genannt, d. h., bei der ber- tragung zwischen zwei Stationen kann nur eine Station senden. Bei Vollduplex hingegen können beide beteiligten Stationen gleichzeitig senden und empfangen, was den Datendurchsatz erhöht.
Seite 175
Einführung Die Kabel werden entsprechend ihrer Qualität und Abschirmung in verschiedene Kategorien unterteilt. Anfangs wurden von den vier Aderpaaren nur zwei zur bertragung genutzt, zunächst wurden mit CAT-3-Kabeln Datenraten von 10 MBit / s erreicht (10Base-T), später auf CAT-5-Kabeln 100 MBit / s (100-Base-T) und heute ist 1 GBit / s möglich (dann werden allerdings vier Adernpaare genutzt).
Seite 176
Netzwerke Glasfaser Glasfaserkabel oder Lichtwellenleiter (LWL) sind flexible Kabel, deren Kern aus Glasfasern besteht. Diese sind jeweils mit einem Glas mit niedrigem Brechungsindex ummantelt. An der Grenzfläche zwischen Mantel und Faser kommt es zur Totalreflexion des Lichts. Eingespeistes Licht kann daher nahezu verlustfrei über große Ent- fernungen übertragen werden und ermöglicht gleichzeitig hohe bertragungsraten bis in den Terabit-Bereich.
Seite 177
Netzwerkkarte entsprechend umgesetzt werden. Sobald die Netzwerkkarte vom Collax Server mit einem Treiber unterstützt wird, steht die Schnittstelle in der Weboberfläche zur weiteren Konfiguration zur Verfügung. Auf einem Ethernet-Link wird die IP-Adresse gesetzt, die der Collax...
Seite 178
Netzwerke Server bekommen soll. Bleibt das Feld leer, wird er versuchen eine Adresse per DHCP zu beziehen. Dazu werden die erreichbaren Netze angegeben, meist die Bereiche, aus denen seine eigene IP-Adresse stammt. 7.1.5.2 Datenverkehr ins Internet Die Verbindung zum Internet (manchmal auch als „Uplink“ be- zeichnet) kann über verschiedene Medien und Protokolle hergestellt werden.
Seite 179
IP-Nummer, die IP-Nummer des Gateways auf der Gegenseite sowie die IP-Nummern von Nameservern. Im Collax Server muss ein Modem zunächst in der Hardware- Konfiguration angelegt werden, bevor es bei der Konfiguration eines Links genutzt werden kann.
Seite 180
Netzwerke „Digital Subscriber Line“ (DSL) ist eine Technik, die eine Internet- anbindung mit hohen Datenraten ermöglicht. Das Problem des normalen Telefonnetzes ist, dass die Bandbreite nur auf Sprache ausgelegt ist und hohe sowie tiefe Frequenzen abgeschnitten wer- den. Damit ist das technisch Mögliche mit aktuellen 56k-Modems weitgehend ausgereizt.
Seite 181
Bei DSL werden die IP-Pakete mit einem speziellen Protokoll transportiert, typischerweise kommen hier PPPoE („PPP over Ether- net“) und PPTP („Point-to-Point Tunneling Protocol“) zum Einsatz. Beide Varianten werden vom Collax Server unterstützt und können in der Konfiguration des Links ausgewählt werden. 7.1.5.3 Tunnel...
Seite 182
„IPsec“ („IP Security“), welches von vielen Systemen unterstützt wird. Leider sprechen verschiedene Systeme teilweise unterschiedliche Dialekte, so dass die Konfiguration eines IPsec- Tunnels mitunter schwieriger ist. Im Collax Server wird eine freie Softwarelösung eingesetzt, um eine möglichst hohe Kompatibilität zu erreichen.
Seite 183
Unter Netzwerk – Links – Allgemein finden Sie in der Oberfläche des Collax Servers eine für VPN relevante Option. Durch Aktivieren von NAT-Traversal wird bei jedem Tunnelaufbau geprüft, ob die Gegenseite hinter einem maskierenden Router angeschlossen ist (NAT). Ist dies der Fall, werden die IPsec-Pakete in UDP-Pakete eingepackt und verschickt.
Seite 184
„Quality of Service“ (QoS) bezeichnet Verfahren, bei denen ein- zelnen Diensten eine bestimmte Verbindungsqualität garantiert wird. Solche Verfahren sind mit zunehmender Nutzung von Echtzeit- Datenverbindungen immer wichtiger. Collax Server bietet mit seinem integrierten Bandbreitenmanagement die Möglichkeit, solches QoS umzusetzen. Die Implementierung arbeitet unidirektional, d. h., es ist keinerlei Unterstützung durch die Gegenstelle notwendig bzw.
Seite 185
Verbindungen bevorzugt zu behandeln und so bestimmte Garantien oder Begrenzungen für Bandbreite und Latenz durchzusetzen. Bandbreitenmanagement wird im Collax Server auf einem Link aktiviert. Dies ist nur auf Links möglich, die direkt auf einer Netz- werkschnittstelle aufsetzen. Bei einem Internetzugang über einen Router ist dies auf dem „RouterLink“...
• Bearbeiten Sie das LocalNet, welches bereits in der Grundein- stellung vorhanden ist. • Tragen Sie unter Netzwerkadresse die Basisadresse Ihres lokalen IP-Bereichs ein. Dies ist nicht die IP-Adresse, die der Collax Server später verwenden wird. • Prüfen Sie die Netzwerkmaske.
Seite 187
Netz wird der Collax Server üblicherweise über ein Netzwerkka- bel verbunden, die entsprechende Einstellung ist daher Ethernet. • Die IP-Adresse des Collax Servers tragen Sie unter IP-Adresse des Systems ein. Diese IP-Adresse muss unbedingt zu dem Netz- werkbereich des LocalNets gehören.
Netzwerke LocalNet markiert, das Internet ist auf dem Netzwerkkabel an eth0 nicht erreichbar. • Speichern Sie Ihre Änderungen. 7.3 GUI-Referenz: Netze (Dieser Dialog befindet sich unter Benutzungsrichtlinien – Richtlinien – Netze sowie unter Netzwerk – Netze ) In diesem Dialog werden alle angelegten Netzwerke angezeigt. Ein Netzwerk umfasst einen IP-Bereich, der in den Dialogen zu den Links auf Interfaces oder Routen geschaltet werden kann.
GUI-Referenz: Netze • Netzmaske: ber die hier angezeigte Netzmaske ergibt sich die Größe des Netzwerkbereichs. 7.3.1.2 Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion können die Einstellungen für ein Netzwerk geändert werden. • Löschen: Mit dieser Aktion wird das angezeigte Netzwerk gelöscht.
Seite 190
Netzwerke 7.3.2.1 Tab Grundeinstellungen, Abschnitt Grundeinstellungen Felder in diesem Abschnitt • Bezeichnung des Netzwerks: Hier wird die Bezeichnung für das Netzwerk angegeben. Unter diesem Namen wird das Netzwerk in verschiedenen anderen Dialogen zur Auswahl angeboten. Diese Bezeichnung kann nachträglich nicht mehr geändert werden.
DMZ. Wird seine IP-Adresse dabei nicht geändert, ist er für die anderen Systeme „unsichtbar“ (da Ethernet-Pakete nicht über Router weitergeleitet werden). Durch das Aktivieren von Proxy-ARP erkennt der Collax Server ARP-Anfragen auf einem Segment für ein System, welches auf einem anderen Segment angeschlossen ist, und beantwortet diese.
Genauso ist es über Links möglich, Routen zu setzen, eine Internet- Einwahl über DSL einzurichten oder Datentunnel aufzubauen. 7.4.1 Links – Allgemein (Diese Option befindet sich im Zusatzmodul Collax Gatekeeper) (Dieser Dialog befindet sich unter Netzwerk – Links – Allgemein) In diesem Dialog werden allgemeine Einstellungen für die Links vorgenommen.
GUI-Referenz: Links Felder in diesem Abschnitt • NAT-Traversal aktivieren: NAT-Traversal ist eine Technik, mit der ein VPN-Client hinter einem maskierenden Router einen VPN- Tunnel aufbauen kann. Dazu werden die IPsec-Pakete in UDP- Pakete eingepackt, die gefahrlos maskiert werden können. Dies ist eine globale Option, die bei ihrer Aktivierung für jeden Ver- bindungsaufbau einzeln geprüft und ggf.
Seite 194
Einstellungsmöglichkeiten der Traffic-Klassen eines Links mit Bandbreiten-Management. 7.4.2 Link-Konfiguration In diesen Dialogen werden die Netzwerkverbindungen des Collax Servers konfiguriert. Solche Verbindungen werden als Links bezeichnet. 7.4.2.1 Link wählen (Dieser Dialog befindet sich unter Netzwerk – Links – Link) In dieser bersicht werden alle vorhandenen Links angezeigt. Hier können weitere Links angelegt oder vorhandene Links bearbeitet...
Seite 195
GUI-Referenz: Links • Kommentar: Hier wird ein Kommentartext zum Link angezeigt. Aktionen für jeden Tabelleneintrag • Link bearbeiten: Mit dieser Aktion können die Einstellungen eines Links bearbeitet werden. • Traffic-Klassen: Mit dieser Aktion können die auf dem Link verfügbaren Traffic-Klassen verwaltet werden. Diese Aktion ist nur verfügbar, wenn in der Konfiguration des Links Bandbreiten- management aktiviert und die maximale Bandbreite des Links gesetzt wurde.
Seite 196
Netzwerke Felder in diesem Dialog für Typ Ethernet • Bezeichnung: Hier muss eine eindeutige Bezeichnung für den Link angegeben werden. Unter diesem Namen steht der Link in verschiedenen anderen Dialogen zur Verfügung. • Kommentar: Hier kann ein Kommentartext zu diesem Link ange- geben werden.
Seite 197
GUI-Referenz: Links • Bandbreite: Hier wird die Bandbreite des Links angegeben. Für die Bandbreite von indirekten Links (Typ Route, Tunnel, VPN usw.) ist die Bandbreite des benutzten Links entscheidend. Wenn sich mehrere Links eine Hardwareschnittstelle teilen (z. B. LocalNetLink1 und LocalNetLink2 jeweils über eth0), darf die Summe der Bandbreiten der Links die Bandbreite der Hard- wareschnittstelle selbst nicht überschreiten.
Seite 198
Hinweis: Vor dem Aktivieren dieser Option müssen die Syste- me im lokalen Netz und allen anderen direkt angeschlossenen Ethernet-Segmenten im Collax Server angelegt und bestätigt werden. Zudem ist der Sicherheitsgewinn nicht sehr groß, da eine MAC-Adresse ohne großen Aufwand per Software geändert...
Seite 199
GUI-Referenz: Links Felder in diesem Dialog für Typ Route • Bezeichnung: Hier muss eine eindeutige Bezeichnung für den Link angegeben werden. Unter diesem Namen steht der Link in verschiedenen anderen Dialogen zur Verfügung. • Kommentar: Hier kann ein Kommentartext zu diesem Link ange- geben werden.
Seite 200
Netzwerke (z. B. LocalNetLink1 und LocalNetLink2 jeweils über eth0), darf die Summe der Bandbreiten der Links die Bandbreite der Hard- wareschnittstelle selbst nicht überschreiten. In diesem Feld wird als Eingabe eine Dezimalzahl, optional mit Dezimalpunkt, optional gefolgt von Leerzeichen und abschlie- ßend einer Einheit erwartet.
Seite 201
Netze liegen. Felder in diesem Dialog für Typ Analoges Modem (Diese Option befindet sich im Zusatzmodul Collax Gatekeeper) • Bezeichnung: Hier muss eine eindeutige Bezeichnung für den Link angegeben werden. Unter diesem Namen steht der Link in verschiedenen anderen Dialogen zur Verfügung.
Seite 202
Netzwerke • Neustart erzwingen: Diese Option ermöglicht einen gezielten Neustart der Verbindung, um u. U. die Erreichbarkeit des Servers zu erhöhen. • Uhrzeit: Der Zeitpunkt, zu dem die entsprechende Verbindung neu gestartet wird. • Inaktive Verbindung abbauen nach: Werden Verbindungen bei Bedarf aufgebaut, sollen sie normalerweise möglichst schnell wieder abgebaut werden.
Seite 203
GUI-Referenz: Links Option wird der Collax Server der Gegenstelle als erster DNS- Server zugewiesen. • 1. DNS-Server: Alternativ kann hier die IP-Adresse eines anderen Nameservers angegeben werden, der als erster DNS-Server zu- gewiesen wird. • 2. DNS-Server: Hier wird die IP-Adresse des zweiten DNS-Servers eingetragen.
Seite 204
Netzwerke • Zusätzliche Hayes-Befehle: Bei einem Link vom Typ Modem kön- nen hier zusätzliche Hayes-Kommandos eingegeben werden, die bei der Initialisierung an das Modem geschickt werden. Oft müssen spezielle Optionen gesetzt werden, um ein Modem an einer Telefonanlage zu betreiben. •...
Seite 205
GUI-Referenz: Links In diesem Feld wird als Eingabe eine Dezimalzahl, optional mit Dezimalpunkt, optional gefolgt von Leerzeichen und abschlie- ßend einer Einheit erwartet. Folgende Einheiten sind möglich: „k“ für Kilo, „M“ für Mega und „G“ für Giga. Abschließend wird die Einheit als „bps“ für 8 bit / s oder „bit“ für bit / s angegeben. Beispiele: „15.7 kbit“, „100 Mbit“...
Seite 206
Netze liegen. Felder in diesem Dialog für Typ ISDN synchron (Diese Option befindet sich im Zusatzmodul Collax Gatekeeper) • Bezeichnung: Hier muss eine eindeutige Bezeichnung für den Link angegeben werden. Unter diesem Namen steht der Link in verschiedenen anderen Dialogen zur Verfügung.
Seite 207
GUI-Referenz: Links • Neustart erzwingen: Diese Option ermöglicht einen gezielten Neustart der Verbindung, um u. U. die Erreichbarkeit des Servers zu erhöhen. • Uhrzeit: Der Zeitpunkt, zu dem die entsprechende Verbindung neu gestartet wird. • Inaktive Verbindung abbauen nach: Werden Verbindungen bei Bedarf aufgebaut, sollen sie normalerweise möglichst schnell wieder abgebaut werden.
Seite 208
Netzwerke Option wird der Collax Server der Gegenstelle als erster DNS- Server zugewiesen. • 1. DNS-Server: Alternativ kann hier die IP-Adresse eines anderen Nameservers angegeben werden, der als erster DNS-Server zu- gewiesen wird. • 2. DNS-Server: Hier wird die IP-Adresse des zweiten DNS-Servers eingetragen.
Seite 209
GUI-Referenz: Links mehrere IP-Adressen auf einen Netzwerkanschluss zugewiesen werden (IP-Alias), muss für jede IP-Adresse ein eigener Link angelegt werden. Dabei wird jedes Mal die gleiche Schnittstelle angegeben. Ist der Link vom Typ auf Einwahl warten und bleibt das Feld leer, wird eine zufällig ausgewählte IP-Adresse als lokale IP- Adresse verwendet.
Seite 210
Netzwerke Verbindungen auf bestimmte Rufnummern beschränkt werden. In dem Feld können durch Leerzeichen getrennt auch mehrere MSNs eingegeben werden. Nur bei Anrufen von diesen MSNs aus wird eine Verbindung angenommen. Bleibt das Feld leer, werden alle Anrufe angenommen. Um diese Funktion nutzen zu können, muss das anrufende System seine Rufnummer übermitteln.
Seite 211
GUI-Referenz: Links die MTU hingegen verbessern die Antwortzeiten für interaktive Anwendungen und Echtzeitdatenübertragung (etwa VoIP). Wird hier kein Wert eingetragen, wird abhängig von der Art des Links ein geeigneter Wert gewählt. Für Ethernet-Verbindungen wird typischerweise eine MTU von 1500 Byte verwendet. •...
Seite 212
Netze liegen. Felder in diesem Dialog für Typ DSL mit PPPoE (Diese Option befindet sich im Zusatzmodul Collax Gatekeeper) • Bezeichnung: Hier muss eine eindeutige Bezeichnung für den Link angegeben werden. Unter diesem Namen steht der Link in verschiedenen anderen Dialogen zur Verfügung.
Seite 213
GUI-Referenz: Links • Verbindungsaufbau: Bei Verbindungen, für die eine Einwahl stattfindet oder die eine Einwahl annehmen können, wird in diesem Feld ausgewählt, wie genau die Einwahl erfolgen soll: Immer bedeutet, dass der Link beim Aktivieren der Konfigu- ration bzw. beim (Neu-)Start des Systems sofort versuchen wird, sich auf der Gegenstelle einzuwählen.
Seite 214
Netzwerke Durch das Aktivieren dieser Option werden einkommende Pakete von der Gegenstelle nicht als Datenverkehr „gezählt“. Dies ist im Normalfall unkritisch, da bei Verbindungen Pakete in beide Richtungen ausgetauscht werden (mit Ausnahme einiger Medien- Streaming-Protokolle). • IP-Adresse des Systems: Hier wird die lokale IP-Adresse für den Link angegeben.
Seite 215
GUI-Referenz: Links • Bandbreitenmanagement: Mit dieser Option wird das Bandbrei- tenmanagement für den Link aktiviert. Für indirekte Links, die auf einen anderen Link aufsetzen (Typ Route, Tunnel, VPN usw.) muss auf dem untergeordneten Link bereits das Bandbreitenma- nagement aktiviert sein. •...
Seite 216
Netze liegen. Felder in diesem Dialog für Typ DSL mit PPTP (Diese Option befindet sich im Zusatzmodul Collax Gatekeeper) • Bezeichnung: Hier muss eine eindeutige Bezeichnung für den Link angegeben werden. Unter diesem Namen steht der Link in verschiedenen anderen Dialogen zur Verfügung.
Seite 217
GUI-Referenz: Links Immer bedeutet, dass der Link beim Aktivieren der Konfigu- ration bzw. beim (Neu-)Start des Systems sofort versuchen wird, sich auf der Gegenstelle einzuwählen. Die Verbindung besteht also quasi permanent. Bei Bedarf wartet mit dem Einwahlvorgang, bis wirklich Pakete vom lokalen System oder aus dem lokalen Netz zur Gegenseite übertragen werden sollen.
Seite 218
Netzwerke ist im Normalfall unkritisch, da bei Verbindungen Pakete in beide Richtungen ausgetauscht werden (mit Ausnahme einiger Medien- Streaming-Protokolle). • IP-Adresse des Systems: Hier wird die lokale IP-Adresse für den Link angegeben. Bleibt das Feld leer, versucht das System, eine dynamische IP-Adresse per PPP oder DHCP zu beziehen.
Seite 219
PPTP-Protokoll Daten austauschen zu können, wird ein IP- Transfernetz benötigt. In diesem Feld wird die IP-Adresse des Collax Servers in diesem Netz angegeben. Bleibt das Feld leer, wird die Adresse „10.0.0.140“ benutzt. • SNAT/ Masquerading: SNAT und Masquerading dienen dazu, ganze...
Seite 220
Netzwerke diese Option aktiviert, scheinen alle abgehenden Verbindungen von diesem System zu stammen und nicht vom wirklichen Absender. Diese Option muss aktiviert werden, wenn auf dem Internet- Link vom Provider nur eine einzelne IP-Adresse bereitgestellt wird und wenn Systeme aus dem lokalen Netz IP-Verbindungen aufbauen müssen.
Seite 221
GUI-Referenz: Links Felder in diesem Dialog für Typ VPN (Diese Option befindet sich im Zusatzmodul Collax Gatekeeper) • Bezeichnung: Hier muss eine eindeutige Bezeichnung für den Link angegeben werden. Unter diesem Namen steht der Link in verschiedenen anderen Dialogen zur Verfügung.
Seite 222
Netzwerke stem auf der Verbindung wie ein „Roadwarrior“, es ist nur unter einer IP-Adresse sichtbar. Alle Netze auf anderen lokalen Links sind für die Gegenstelle auf diesem Link nicht sichtbar. Diese lokalen Netze können jedoch bei aktivierten Masquerading auf die Gegenseite zugreifen. Host-zu-Netz-Verbindungen sind sinnvoll, wenn das System außerhalb des lokalen Netzes steht (z.
Seite 223
GUI-Referenz: Links gegeben werden, zu der der VPN-Verbindungsaufbau erfolgt. Hier kann entweder eine IP-Adresse oder ein Hostname angegeben werden. Der Name wird erst beim Verbindungsaufbau aufgelöst, die Verwendung sogenannter DynDns-Namen ist daher möglich. Für die Annahme von Verbindungen kann das Feld leer blei- ben, dann werden Verbindungen von einer beliebige IP-Adresse angenommen.
Seite 224
Netzwerke Der angegebene Wert wird normalerweise als IP-Adresse oder Hostname betrachtet (und muss in diesem Fall über DNS auflös- bar sein). Soll ein anderer Wert angegeben werden, muss als erstes Zeichen ein @-Zeichen eingegeben werden. • Passphrase für Verschlüsselung: Hier muss die Passphrase für die PSK-Verbindung angegeben werden.
Seite 225
GUI-Referenz: Links • Komprimierung: ber diese Option kann die Kompression der übertragenen Daten im Tunnel aktiviert werden. • Verschlüsselung für Schlüsselaustausch (IKE): In dieser Liste stehen verschiedene Algorithmen zur Auswahl, die für die Verschlüsse- lung beim Schlüsselaustausch verwendet werden können. Die Voreinstellung ist 3DES, ein Verfahren, das von den meisten Gegenstellen unterstützt wird.
Seite 226
Netzwerke Große Werte für die MTU verbessern den Durchsatz, da we- niger Verwaltungsdaten übertragen werden. Kleine Werte für die MTU hingegen verbessern die Antwortzeiten für interaktive Anwendungen und Echtzeitdatenübertragung (etwa VoIP). Wird hier kein Wert eingetragen, wird abhängig von der Art des Links ein geeigneter Wert gewählt.
Seite 227
GUI-Referenz: Links Link vom Provider nur eine einzelne IP-Adresse bereitgestellt wird und wenn Systeme aus dem lokalen Netz IP-Verbindungen aufbauen müssen. Die Unterscheidung zwischen SNAT und Masquerading erfolgt automatisch, abhängig davon, ob eine IP-Adresse für den Link angegeben wurde oder nicht. Hinweis: SNAT/ Masquerading für Routen und VPN-Netze funktioniert nur, wenn auf dem unterliegenden Link kein Mas- querading aktiviert ist.
Seite 228
Bei einer Internetverbindung ist dies die öffentliche IP-Adresse. Dies führt dazu, dass Rechner aus den erreichbaren Netzen nicht erreichbar sind, wenn der Collax Server nicht gleichzeitig das Default-Gateway für diese Rechner ist. Normalerweise wird hier eine IP-Adresse aus einem der als „lokalen Netze“...
Seite 229
GUI-Referenz: Links angelegt werden. Dabei wird jedes Mal die gleiche Schnittstelle angegeben. Ist der Link vom Typ auf Einwahl warten und bleibt das Feld leer, wird eine zufällig ausgewählte IP-Adresse als lokale IP- Adresse verwendet. Andernfalls wird die eingetragene IP-Adresse als lokale IP-Adresse genutzt.
Seite 230
Netzwerke Dezimalpunkt, optional gefolgt von Leerzeichen und abschlie- ßend einer Einheit erwartet. Folgende Einheiten sind möglich: „k“ für Kilo, „M“ für Mega und „G“ für Giga. Abschließend wird die Einheit als „bps“ für 8 bit / s oder „bit“ für bit / s angegeben. Beispiele: „15.7 kbit“, „100 Mbit“...
Seite 231
Bei einer Internetverbindung ist dies die öffentliche IP-Adresse. Dies führt dazu, dass Rechner aus den erreichbaren Netzen nicht erreichbar sind, wenn der Collax Server nicht gleichzeitig das Default-Gateway für diese Rechner ist. Normalerweise wird hier eine IP-Adresse aus einem der als „lokalen Netze“...
Seite 232
Netzwerke • 1. DNS-Server: lokales DNS benutzen: Durch das Aktivieren dieser Option wird der Collax Server der Gegenstelle als erster DNS- Server zugewiesen. • 1. DNS-Server: Alternativ kann hier die IP-Adresse eines anderen Nameservers angegeben werden, der als erster DNS-Server zu- gewiesen wird.
Seite 233
GUI-Referenz: Links ausgewählte IP-Adresse übermittelt. Dann kann sich jedoch zu einem Zeitpunkt immer nur ein System einwählen. • Verschlüsselungsalgorithmus: Hier werden die unterstützten Schlüssellängen für den Algorithmus der PPTP-Verbindung aus- gewählt. Zur Auswahl stehen 40, 56 und 128 Bit. Grundsätzlich bietet eine größere Schlüssellänge eine höhere Sicherheit.
Seite 234
Einheit als „bps“ für 8 bit / s oder „bit“ für bit / s angegeben. Beispiele: „15.7 kbit“, „100 Mbit“ und „1 Gbit“. 7.4.2.3 Traffic-Klassen (Diese Option befindet sich im Zusatzmodul Collax Net Security) (Dieser Dialog befindet sich unter Netzwerk – Links – Konfiguration) ber die Traffic-Klassen können im Bandbreitenmanagement be- stimmte Garantien bzw.
Seite 235
GUI-Referenz: Links Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion wird eine Traffic-Klasse bearbeitet. • Löschen: Diese Aktion löscht die Klasse. Abschnitt Traffic-Klasse bearbeiten Felder in diesem Abschnitt • Name: Hier wird der Name für die Klasse angegeben. • Kommentar: Hier kann ein Kommentartext zu der Klasse ange- geben werden.
Seite 236
Netzwerke geben, für die eine Latenzgarantie gewünscht wird. Im Falle des normalen Netzwerkverkehrs ist dies die MTU (inklusive der Größe des Ethernet-Headers bei Ethernet-Links). Für eine Audio- oder Video-Klasse sollte eine Frame-Größe benutzt werden. Falls kein Wert angegeben ist, wird die MTU zuzüglich der Größe des Headers benutzt.
Seite 237
GUI-Referenz: Links die Einheit als „bps“ für 8 bit / s oder „bit“ für bit / s erwartet. Beispiele: „15.7 kbit“, „100 Mbit“ und „1 Gbit“. • Maximale Rate (in Prozent oder absolut): Hier wird bei H-FSC die maximale Bandbreite angegeben, die die Klasse benutzen darf. Eingaben werden in dem gleichen Format akzeptiert, das für die garantierte Rate verwendet wird.
• Traffic-Klassen speichern: Bearbeiten der Traffic-Klassen beenden. Die Änderungen werden gespeichert. 7.4.3 Zuordnung Unter Zuordnung wird die „Routingtabelle“ des Collax Servers angezeigt. Da intern Policy-Routing genutzt wird, existiert keine starre Routingtabelle. Vielmehr können zu einem Zielnetz alternative Wege (Links) bestehen, die über Prioritäten gesteuert werden.
Seite 239
GUI-Referenz: Links 7.4.3.1 Prioritäten (Dieser Dialog befindet sich unter Netzwerk – Links – Zuordnung) In diesem Dialog wird die Zuordnung von Links und den jeweils erreichbaren Netzen dargestellt. ber einstellbare Prioritäten kann das Routing gesteuert werden. In diesem Dialog können neue Zu- ordnungen angelegt und vorhandene gelöscht werden.
• Link: Hier wird der zugehörige Link ausgewählt, über den das Netzwerk erreichbar sein soll. 7.4.4 Traffic-Policies (Diese Option befindet sich im Zusatzmodul Collax Net Security Advanced) Um die Funktionen Policy-Routing nutzen zu können, müssen Netzwerkpakete markiert werden. Für die Kennzeichnung werden hierzu die Traffic-Policies benutzt.
Seite 241
GUI-Referenz: Links 7.4.4.1 Traffic-Policy wählen (Dieser Dialog befindet sich unter Netzwerk – Links – Traffic-Policies) • Name: Hier wird der Name der Traffic-Policy angezeigt. • Kommentar: Hier wird der Kommentar zur Traffic-Policy angezeigt. Aktionen für diesen Dialog • Bearbeiten: Hier kann die ausgewählte Traffic-Policy bearbeitet werden.
Seite 242
Netzwerke 7.4.4.3 Tab Lokale Dienste, Abschnitt Lokale Dienste Felder in diesem Abschnitt • Verwenden für: Hier wird die Dienstegruppe (Subsystem) ange- geben, die über einen bestimmte Verbindung (Link) geroutet werden soll. 7.4.4.4 Tab Firewall, Abschnitt Netzwerk → Netzwerk Regeln Felder in diesem Abschnitt •...
Seite 243
Link geroutet. Ansonsten werden die Netzwerkpa- kete über die normale Route versendet. 7.4.5 IPsec-Proposals (Diese Option befindet sich im Zusatzmodul Collax Gatekeeper) In diesem Formular werden Verschlüsselungsmethoden und Hash- Algorithmen für die verschiedenen Stufen von VPN-Verbindungen vordefiniert. Diese vordefinierten IPsec-Proposals können anschlie-...
Seite 244
Netzwerke 7.4.5.1 IPsec-Proposal wählen In der Tabelle werden alle vordefinierten Proposals gelistet. Infor- mationen werden in der Tabelle angezeigt, Aktionen können über das Kontextmenü oder den Aktionsknopf im Formular vorgenommen werden. (Dieser Dialog befindet sich unter Netzwerk – Links – IPsec- Proposals) Felder in diesem Formular •...
Seite 245
GUI-Referenz: Links 7.4.5.2 IPsec-Proposal bearbeiten Abschnitt Grundeinstellungen Felder in diesem Abschnitt • Bezeichnung: Hier wird die Bezeichnung des Proposals angezeigt oder eingegeben. • Kommentar: Zusätzliche Informationen werden in diesem Feld eingegeben. Abschnitt Schlüsselaustausch (IKE) Felder in diesem Abschnitt • Aggressive Mode: Der Aggressive Mode kann bei IPsec-Verbindun- gen mit PSK verwendet werden.
Seite 246
Netzwerke die Diffie-Hellmann-Gruppe, mit der entsprechenden Angabe der Primzahllänge in Bit, ausgewählt. • Lifetime: Nach Ablauf der eingestellten Zeit wird der Tunnel ge- trennt und die Verbindung mit der Gegenstelle neu ausgehandelt. • Perfect Forwarding Secrecy: Wird diese Option aktiviert, wird bei jedem Verbindungsaufbau ein neuer Schlüsselsatz für die bertragung ausgehandelt.
Seite 247
GUI-Referenz: Links 7.4.5.3 IPsec-Proposal anzeigen Mit dieser Aktion können die Werte eines definiertes IPsec-Propo- sal angezeigt werden. Felder in diesem Abschnitt • Bezeichnung: Hier wird die Bezeichnung des IPsec-Proposals angezeigt. • Kommentar: Ist ein Kommentar hinterlegt, wird dieser hier angezeigt. Abschnitt Schlüsselaustausch (IKE) Felder in diesem Abschnitt •...
Hauptformular. 7.5 Schritt für Schritt: Internetzugang einrichten Abhängig von der Leitungsart kann die Verbindung zum Internet auf verschiedenen Wegen erfolgen. In diesem Abschnitt werden die gängigsten Verbindungen vorgestellt. 7.5.1 Zugang über DSL (Diese Option befindet sich im Zusatzmodul Collax Gatekeeper)
Seite 249
ändern Sie den Wert auf Bei Bedarf. Lesen Sie hierfür die Erläuterungen zur Internetverbindung mit ISDN. • Die IP-Adressen Ihres Systems und der Gegenstelle können leer bleiben. Bei dynamischen (wechselnden) IP-Adressen müssen sie sogar leer bleiben. Diese Werte werden dem Collax Server beim Login vom Providersystem mitgeteilt.
• Die MTU ist bei DSL-Verbindungen kleiner als 1500. Beim Spei- chern der Einstellungen nimmt der Collax Server eine Korrektur vor, Sie können also den Wert 1500 zunächst so belassen. • Wählen Sie unter Schnittstelle aus, mit welchem Netzwerkan- schluss des Collax Servers Sie das DSL-Modem verbunden haben.
Seite 251
Schritt für Schritt: Internetzugang einrichten • Prüfen Sie, ob unter Systembetrieb – Hardware – Konfiguration – ISDN eine ISDN-Karte und eine passende MSN-Rufnummer vorhanden sind. Legen Sie andernfalls zunächst eine MSN an. • Bearbeiten Sie unter Netzwerk – Links – Konfiguration den aus der Grundeinstellung vorhandenen InternetLink.
Seite 252
• Die IP-Adressen von Ihrem System und der Gegenstelle können leer bleiben. Bei dynamischen (wechselnden) IP-Adressen müs- sen sie sogar leer bleiben. Diese Werte werden dem Collax Server beim Login vom Providersystem mitgeteilt. • Tragen Sie unter Benutzername und Passwort Ihre Zugangsdaten ein.
Link für die Verbindung zum Router anlegen. Darüber können Sie dann die Internetverbindung leiten. Existiert bereits eine Firewall im Netz und soll der Collax Server nur für spezielle Serverdienste (PDC, Fileserver usw.) verwendet werden, müssen Sie weder das Netz noch einen Link für einen Router anlegen.
Seite 254
Netzwerke • Wechseln Sie zu Netzwerk – Netze – Konfiguration und legen Sie ein neues RouterNetz an. • Verwenden Sie den IP-Bereich und die Netzmaske, die Ihr Pro- vider Ihnen mitgeteilt hat. • Speichern Sie das neu erstellte Netz.
Seite 255
RouterLink an. • Setzen Sie den Typ auf Ethernet. • Tragen Sie unter IP-Adresse die IP-Nummer für Ihren Collax Server ein. Diese muss zum IP-Bereich des Routernetzes gehören. Soll der Collax Server eine IP-Adresse per DHCP beziehen, lassen Sie das Feld leer.
Seite 256
Netzwerke • Bearbeiten Sie unter Netzwerk – Links – Konfiguration den aus der Grundeinstellung vorhandenen InternetLink. • Ändern Sie die Einstellung von Typ auf Route. • Unter IP-Adresse der Gegenstelle geben Sie die IP-Adresse des Routers ein. • Die MTU kann auf 1500 eingestellt bleiben. •...
Tunnel. • Wählen Sie unter Verbindungsaufbau die Einstellung „auf Einwahl warten“, um Verbindungen anzunehmen. • Wenn Sie das lokale Netz auf Seite des Collax Servers zugänglich machen möchten, lassen Sie die Option Host-zu-Netz-Verbindung deaktiviert. • Wenn Sie mit einem symmetrischen Schlüssel den Tunnelaufbau sichern wollen, wählen Sie unter Eigener Schlüssel „PSK“...
Seite 258
PFS (Perfect Forwarding Secrecy) ein. Achten Sie darauf, dass Sie exakt die gleichen Einstellungen auf beiden Systemen vornehmen. • Als Empfehlung für die Kopplung zweier Collax Server aktivieren Sie PFS. Benutzen Sie für IKE und ESP die Algorithmen „AES- 256Bit“ und „SHA2-256Bit“.
Schritt für Schritt: Aufbau eines VPN-Tunnels • Unter Absenderadresse wählen Sie die interne IP-Adresse des Collax Servers aus, unter der er von der anderen Tunnelseite aus erreichbar sein wird. • Vergessen Sie nicht, in den Benutzungsrichtlinien und in der Firewallmatrix für das neu angelegte Netz entsprechende Berech- tigungen zu vergeben.
• Wenn Sie nur einzelne Windows-Systeme einwählen lassen möchten, aktivieren Sie den ISP-Modus. Dann tragen Sie unter IP-Adresse des Systems eine IP-Adresse für den Collax Server ein. Unter IP-Adressen für Zuweisung an Gegenstelle können durch Leerzeichen getrennt ein oder mehrere IP-Adressen angegeben werden, die der Gegenseite zugewiesen werden.
PAP oder CHAP durchgeführt. L2TP selbst bietet jedoch keine Verschlüsselung. Um sie zu ermöglichen, kann es in Kombination mit IPsec eingesetzt werden. In dieser Anleitung erfahren Sie, wie Sie den Collax Server als Einwahlserver für solche L2TP-über-IPsec-Verbindungen einrichten. • ber ein VPN werden zwei Netze gekoppelt. Daher müssen Sie zunächst unter Netzwerk –...
Seite 262
über L2TP einwählen dürfen. Fügen Sie bei Bedarf weitere Benutzer hinzu. • ber die Benutzungsrichtlinien und die Firewallmatrix können Sie einstellen, welche Berechtigungen das neu angelegte Netzwerk erhält. • Nach Aktivieren der Konfiguration können sich Benutzer mit L2TP über IPsec auf den Collax Server einwählen.
8 SSL-VPN (Diese Option befindet sich im Zusatzmodul Collax SSL-VPN) 8.1 Einführung 8.1.1 Allgemein Die Bezeichnung SSL-VPN wird für die Beschreibung einer wachsenden Produkt-Kategorie verwendet, die viele verschiedene Technologien beinhaltet. Es gilt als Ziel des Einsatzes dieser Tech- nologien, ein VPN zur bertragung von privaten Daten durch ein öffentliches Netzwerk, das Internet als Beispiel, herzustellen.
Die Ressourcen verbinden auf unkomplizierte Weise einen Daten- strom verschlüsselt in ein Netzwerk mit unternehmenskritischen Daten. Für den Zugang über die Collax Benutzerseite ist daher ein strenges Passwort zu definieren. Nachfolgend ist darauf zu achten, sobald die Ressourcen nicht mehr benutzt werden, dass der Benutzer...
(Diese Option befindet sich im Zusatzmodul Collax SSL-VPN) 8.2.1 SSL-Tunnel Mit der Definition eines SSL-Tunnel wird ein beliebiger Dienste-Port vom lokalen Rechner durch den Collax Server auf einen Zielrechner und Ziel-Port getunnelt. Wenn der SSL-Tunnel aufgebaut ist, kann die Zielanwendung von dem lokalen Rechner aus mit „localhost:Ziel- Port“...
Seite 266
SSL-VPN Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion im Kontextmenü (rechter Mausklick oder Doppelklick) kann der ausgewählte SSL-Tunnel bearbeitet werden. • Löschen: Mit dieser Aktion im Kontextmenü (rechter Mausklick) kann das gewählte Element gelöscht werden. Aktionen für dieses Formular •...
Seite 267
GUI-Referenz: SSL-VPN werden. Die Erreichbarkeit dieses Dienste-Ports und die Authen- tifizierung an diesem Dienst obliegt der Einstellungen auf dem Zielrechner. Tab Berechtigungen Felder in diesem Abschnitt • Zugriff für ...: Die Benutzer und die Netzwerke der ausgewählten Gruppen haben authorisierten Zugriff auf den definierten SSL- Tunnel.
SSL-VPN 8.2.2.1 Anwendung auswählen (Dieser Dialog befindet sich unter Netzwerk – SSL-VPN – Anwendungen) Felder in diesem Formular • Name: In dieser Tabellenspalte werden die Namen der definierten Anwendung angezeigt. • Kommentar: In dieser Tabellenspalte werden weitere Informatio- nen der definierten Anwendung angezeigt. •...
GUI-Referenz: SSL-VPN 8.2.2.2 Anwendung bearbeiten (Dieser Dialog befindet sich unter Netzwerk – SSL-VPN – Anwendungen) Tab Grundeinstellungen Felder in diesem Abschnitt • Name: Hier wird der Name der Anwendung definiert, oder angezeigt. • Kommentar: Für weitere Informationen zur Anwendung kann hier ein Kommentar angegeben werden.
Seite 270
SSL-VPN Daten des Webaccess-Benutzers automatisch an die Fernzugriffs- anwendung übergeben. Der Benutzer muss sich daran nicht mehr authentifizieren. Diese Option kann für alle drei Protokolle benutzt werden. • Tastaturbelegung: Je nach verwendeter Tastatur ist erforderlich, die Belegung anzupassen. Hier können die entsprechenden Ländereinstellungen der Tastaturbelegung für die Anwendung angepasst werden.
Seite 271
GUI-Referenz: SSL-VPN des Web-Access. Die Einstellung kann auch leergelassen werden, dann erfolgt erfolgt die Authentifizierungsabfrage nach dem Aufbau der Verbindung. • Passwort: Hier wird das Passwort für die RDP-Verbindung ange- geben. Die Einstellung kann auch leergelassen werden, dann erfolgt erfolgt die Authentifizierungsabfrage nach dem Aufbau der Verbindung.
Seite 272
SSL-VPN Tab Native Optionen, Abschnitt Lokale Ressourcen Felder in diesem Abschnitt • Remoteaudio: Hier wird eingestellt, wo das Audio-Signal des Zielrechners ausgegeben werden soll. • Windows-Tastenkombinationen anwenden: Gibt an, wo Windows- Tastenkombinationen ausgeführt werden sollen. • Lokaler Drucker verwenden: Lokaler Drucker steht auf Zielrechner in der RDP-Verbindung zur Verfügung.
Seite 273
GUI-Referenz: SSL-VPN • Hintergrundbild blockieren: Hintergrundbild wird nicht übertragen. • Komprimierung anschalten: Die bertragung der Daten wird komprimiert. • Menü- und Fensteranimation blockieren: Animationen werden nicht übertragen. • Dauerhafte Bitmapzwischenspeicherung: Bitmaps werden dauer- haft zwischengespeichert. • Fensterinhalt beim Ziehen anzeigen: Fensterinhalt wird bei Ziehen des Fensters übertragen und angezeigt.
SSL-VPN Tab Berechtigungen Felder in diesem Abschnitt • Zugriff für ...: Die Benutzer der ausgewählten Gruppen haben authorisierten Zugriff, um die definierte Anwendung zu benutzen. Hier sind auch Gruppen mit Netzwerken auszuwählen, aus denen die gewählten Benutzer Zugriff erhalten sollen. Aktionen für dieses Formular •...
GUI-Referenz: SSL-VPN gebene Protokoll, http(80) oder https(443), erreicht. Hier ist es ausschließlich möglich, auf IP-Adresse / Namen und Port weiterzulei- ten, nicht auf URLs. Felder in diesem Formular • Name: In dieser Tabellenspalte werden die Namen der definierten Web-Weiterleitung angezeigt. •...
Seite 276
SSL-VPN • Kommentar: Für weitere Informationen zur Web-Weiterleitung kann hier ein Kommentar angegeben werden. • Ziel-URL: Hier wird die Ziel-URL angegeben, deren Inhalt bei Aufruf der definierten Web-Weiterleitung wiedergegeben wird. Tab Berechtigungen Felder in diesem Abschnitt • Zugriff für ...: Die Benutzer und Netzwerke der ausgewählten Gruppen haben authorisierten Zugriff, um die definierte Web- Weiterleitung zu benutzen.
GUI-Referenz: SSL-VPN 8.2.4.1 Reverse-Proxy-Weiterleitung wählen Felder in diesem Formular • Name: Kennzeichnung der Weiterleitung wird angezeigt. • Kommentar: Enthält weitere Informationen. • Interne URL: Zeigt die URL an, auf die weitergeleitet wird. Aktionen für jeden Tabelleneintrag • Bearbeiten: Öffnet den Dialog zum Bearbeiten der gewählten Reverse-Proxy-Weiterleitung.
Seite 278
SSL-VPN Tab Berechtigungen, Abschnitt Berechtigungen Felder in diesem Abschnitt • Zugriff für ...: Benutzer und Netzwerke der gewählten Gruppen erhalten im Collax Webaccess Zugriff auf die Reverse-Proxy- Weiterleitung. Aktionen für dieses Formular • Abbrechen: Schließt den Dialog, die Änderungen werden verworfen.
9 Hardwarekonfiguration 9.1 Grundlagen In diesem Kapitel werden Schnittstellen des Collax Servers be- handelt, über die Verbindungen zur Außenwelt hergestellt werden können. Zu diesem Zweck können serielle Schnittstellen, ISDN-Karten und Netzwerkschnittstellen konfiguriert werden. Das Linux-System zählt Schnittstellen beginnend mit Null. Daher wird bei seriellen Schnitstellen „COM 1“...
Seite 280
Im Collax Server können mehrere Netzwerkschnittstellen zu einer Bridge zusammengefasst werden. Zwischen diesen Schnittstellen verhält sich der Collax Server transparant, d. h., es werden keine Firewallregeln angewendet. 9.1.2 VLAN-Routing Mit VLANs (Virtual Local Area Networks) lässt sich ein lokales Netzwerk in mehrere virtuelle, voneinander getrennte Netze unter- teilen.
Seite 281
VLAN-Unterstützung an ein Endgerät zugestellt, enthält der Paketheader noch die VLAN-Information. Ein Endgerät ohne VLAN- Unterstützung erkennt das Paket als ungültig und verwirft es. Der Collax Server unterstützt VLAN-Technik. Mit einem entspre- chenden Switch können mehrere virtuelle Netzwerksegmente ange- steuert werden.
Seite 282
(„Load Balancing“), oder es wird nur eine genutzt, die dann im Fehlerfall umgeschaltet wird („Failover“). Folgende Einstellungen werden vom Collax Server unterstützt: • Round Robin – Es wird immer die nächste verfügbare physika- lische Schnittstelle benutzt. Diese Arbeitsweise erreicht den höchsten Durchsatz, erfordert aber die Unterstützung des...
9.2 Schritt für Schritt: Anschließen eines Modems In diesem Abschnitt wird Ihnen vorgeführt, wie Sie ein Modem an den Collax Server anschließen. Dieses kann beispielsweise verwendet werden, um eine Internetverbindung aufzubauen. Zunächst muss das Modem an eine serielle Schnittstelle ange- schlossen werden.
Hardwarekonfiguration • Die bertragungsrate wählen Sie entsprechend dem Modem aus. Sie wird immer etwas höher als die Datenrate des Modems auf der Telefonleitung gewählt. Ein typischer Wert ist 57600 Baud. • Sie können die Rufnummer des Modems angeben. Diese Rufnum- mer steht dann später im Fax-Dienst zur Verfügung.
Seite 285
GUI-Referenz: Hardware 9.3.1 Systemgeräte & Komponenten In diesem Dialog werden alle relevanten Komponenten des Sy- stems angezeigt. 9.3.1.1 Tab System, Abschnitt CPU In diesem Abschnitt werden Informationen über den Prozessor des Systems angezeigt. Felder in diesem Abschnitt • Hersteller: Hier wird der Code des CPU-Herstellers angezeigt. •...
Seite 286
Hardwarekonfiguration 9.3.1.3 Tab Serielle Schnittstellen Spalten in der Tabelle • Art: Die Art der Schnittstelle. • Name: Der Name der Schnittstelle. • Kommentar: Ein Kommentar zu dieser Schnittstelle. Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion wird die Konfiguration der seriellen Schnittstelle bearbeitet.
Seite 287
• MSN anlegen: Mit dieser Aktion wird eine neue MSN eingetragen. 9.3.1.6 Tab IPMI IPMI ist eine integrierte Management-Technik, mit der die Strom- versorgung und der Status eines Systems kontrolliert werden können. Damit IPMI auf einem Collax Server genutzt werden kann, muss entsprechende Hardware vorhanden sein.
Seite 288
Hardwarekonfiguration Spalten in der Tabelle • Art: Die Art der Schnittstelle. • Name: Der Name der Schnittstelle. • Kommentar: Ein Kommentar zu dieser Schnittstelle. Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion wird die Funktion der Schnittstelle festgelegt. 9.3.2 Serielle Schnittstelle bearbeiten (Dieser Dialog befindet sich unter Hardware –...
Seite 289
GUI-Referenz: Hardware Mit der Einstellung Modem müssen verschiedene Modem- Parameter gesetzt werden. Dann steht ein analoges Modem zur Einwahl bzw. zum Faxbetrieb zur Verfügung. Mit der Einstellung Sonstiges wird keine Konfiguration der Schnittstelle durchgeführt. Die Schnittstelle steht dann für an- dere Programme zur Verfügung, die die Konfiguration vornehmen (z.
Seite 290
Hardwarekonfiguration werden, wenn die allgemeine Einstellung zur Amtsholung für dieses Modem verwendet werden soll. • Wahlverfahren: Hier wird eingestellt, ob das Modem mit dem Mehrfrequenzverfahren oder mit Impulswahl arbeiten soll. 9.3.3 ISDN-Karte (Dieser Dialog befindet sich unter Hardware – Systemgeräte & Komponenten) In diesem Dialog werden die Funktionsart und die Parameter für die ISDN-Karte(n) festgelegt.
GUI-Referenz: Hardware dieser Option wird die ISDN-Karte auf Standleitungsbetrieb ein- gestellt. Dabei findet keine Signalisierung auf dem D-Kanal mehr statt. Der D-Kanal muss entsprechend eingestellt werden. • Kanäle: Hier kann die Anzahl der zu bündelnden Kanäle im Standleitungsbetrieb festgelegt werden. 9.3.4 MSN (Dieser Dialog befindet sich unter Hardware –...
Hardwarekonfiguration 9.3.5.1 Felder in diesem Abschnitt • Medientyp: Der Medientyp ist die Art des Kanals, sichtbar ist derzeit nur 802.3 LAN. Weitere mögliche Kanäle bei IPMI wären etwa „SMBus“ oder „Seriell“. • Protokoll: Als IPMI-Protokoll wird „IPMB-1.0“ verwendet. • LAN-Zugriff erlauben: Mit dieser Option wird der Zugriff auf den LAN-Kanal aktiviert.
GUI-Referenz: Hardware 9.3.6.1 Abschnitt STP/RSTP Felder in diesem Abschnitt • Verwende RSTP anstelle von STP: Diese Option aktiviert einen Dienst für das Rapid Spanning Tree Protocol. Als Weiterentwick- lung von STP beschleunigt das RSTP einerseits die Umstellung auf alternative Netzwerkpfade. Zudem bleiben zum Zeitpunkt der Umstellung alle noch funktionierenden Pfade aktiv.
Hardwarekonfiguration • Aktiviere SONMP (Bay / Nortel / SynOptics): Aktiviert SONMP (Bay / Nortel / SynOptics). • Aktiviere EDP (Extreme): Aktiviert EDP (Extreme). 9.3.6.4 Aktionen für dieses Formular • Abbrechen: Diese Aktion beendet den Dialog. Die Änderungen werden verworfen. • Speichern: Diese Aktion beendet den Dialog. Die Änderungen werden gespeichert.
Seite 295
GUI-Referenz: Hardware Aktionen für jeden Tabelleneintrag • Bridge bearbeiten: Mit dieser Aktion wird die Konfiguration der Bridge bearbeitet. • Bridge löschen: Mit dieser Aktion wird eine angelegte Bridge- Konfiguration gelöscht. • MacVLAN bearbeiten: Hier kann ein auf MAC-Adressen bezogenes VLAN bearbeitet werden. •...
VLAN-fähig sein. Der auf dem Switch genutzte Ethernet-Port muss entsprechend konfiguriert sein. VLANs haben nichts (oder fast nichts) mit virtuellen Interfaces zu tun. Soll eine weitere IP-Adresse für den Collax Server verge- ben werden, muss dazu nur ein weiterer Link auf dem Ethernet- Port angelegt werden.
GUI-Referenz: Hardware 9.3.7.3 VLAN-Port bearbeiten (Dieser Dialog befindet sich unter Hardware – Netzwerkschnittstel- len) In diesem Dialog wird ein einzelner VLAN-Port bearbeitet. Auf einem physikalischen Ethernet-Port können ein oder mehrere VLANs konfiguriert werden. Das VLAN erscheint dann als virtueller Port in der Hardwarekonfiguration und an allen Stellen, an denen ein Ethernet-Port ausgewählt werden kann (zum Beispiel in der Link- Konfiguration).
Seite 298
Hardwarekonfiguration Ein physikalischer Ethernet-Port, auf dem ein VLAN konfiguriert wurde, kann nicht mehr für andere Zwecke verwendet werden. Er kann beispielsweise nicht mehr in eine Bridge integriert werden. Felder in diesem Dialog • Ethernet-Port: Hier wird die Netzwerkschnittstelle ausgewählt. • Jumbo-Frames verwenden: Um Protokoll-Overhead im Gigabit- netzwerk zu minimieren kann es sinnvoll sein, größere Paketlän- gen als 1518 Bytes im Netzwerkverkehr auf dieser Schnittstelle zu verwenden.
Seite 299
GUI-Referenz: Hardware • MAC-Adresse: Hier wird eine MAC-Adresse eingetragen, die von keinem anderen Gerät verwendet wird. Aktionen für dieses Formular • Zufällige MAC: Mit dieser Aktion wird eine MAC-Adresse generiert und in das Feld MAC-Adresse eingetragen. Aktionen für dieses Formular •...
Seite 300
Hardwarekonfiguration immer nur einen Datenpfad zwischen zwei Geräten aufzubauen. Mittels STP werden daher Routingschleifen verhindert. Wenn zwischen einzelnen Geräten mehrere Datenpfade kon- figuriert werden, kann STP die Ausfallsicherheit erhöhen. STP aktiviert im Fehlerfall einen redundanten Pfad. STP kann deaktiviert werden, wenn es keine anderen Bridges im Netzwerk oder keine redundanten Pfade gibt.
Seite 301
GUI-Referenz: Hardware Eine (unvollständige) Liste von Switches mit der erforderlichen Unterstützung: Bay Networks Cabletron SmartSwitch Cisco Catalyst 5000 series Extreme Summit Switches Foundry FastIron Switches HP Advancestack Switch 800T Plaintree WaveSwitch Prominet P550 Cajun Switch Felder in diesem Dialog • Name: Der Name der Schnittstelle. •...
Seite 302
Hardwarekonfiguration XOR – Jede Gegenstelle wird immer über dieselbe physikali- sche Schnittstelle angesprochen. Dies ist die Arbeitsweise einiger Switches, es wird aber nur geringerer Durchsatz erreicht. Es ist nicht erforderlich, zur Kommunikation mit diesen Switches auch XOR zu benutzen, jedoch ist auch für diese Arbeitsweise die Unterstützung des Switches erforderlich.
Seite 303
GUI-Referenz: Hardware Schicht 2-Verteilung, sorgt aber zusätzlich für ausgeglichenere Verteilung des Netzwerkverkehrs. Das trifft gerade in Umgebun- gen zu, in denen ein IP-Gateway eingesetzt wird. Schicht 3 und 4 (MAC-, IP-Adressen und UDP/ TCP) – Diese Richtlinie betrachtet höhere Protokollschichten um die Sen- deschnittstellen auszuwählen.
Seite 304
Hardwarekonfiguration die primäre Schnittstelle wieder verfügbar ist, wird auf diese zurückgeschaltet. Ein Anwendungsbeispiel ist die Failover-Bündelung einer 1000 MBit- und einer oder mehrerer 100 MBit-Schnittstellen, bei der bevorzugt die 1000 MBit-Schnittstelle benutzt werden soll. 9.3.7.8 Gebündelte Ethernet-Schnittstellen bearbeiten (Dieser Dialog befindet sich unter Hardware – Netzwerkschnittstel- len) Hier werden die Einstellungen für gebündelte Ethernetports fest- gelegt.
Seite 305
GUI-Referenz: Hardware stellen festgelegt. Sämtliche Arten benutzen MII-Link-Status- berwachung. Möglich sind: Active Backup – Diese Arbeitsweise erfordert keine Unterstüt- zung der Gegenstelle, erreicht aber keinen erhöhten Durchsatz, sondern nur erhöhte Zuverlässigkeit. Zu jedem Zeitpunkt ist nur ein Link aktiv. Zusätzlich zur MII-Link-Status- berwachung kann in diesem Modus auch eine aktive berprüfung des Links durch ARP-Anfragen erfolgen.
Seite 306
Hardwarekonfiguration wird nur auf der aktiven Schnittstelle entgegengenommen, ab- gehender Netzwerkverkehr wird gemäß der gegenwärtigen Last auf jede Schnittstelle verteilt. jeder Sklave. Diese Option erfor- dert keine spezielle Switch-Unterstützung. Adaptive Load Balancing – umfasst Adaptive Transmit Load Balancing inklusive Receive Load Balancing (RLB) für den IPV4- Verkehr.
Seite 307
GUI-Referenz: Hardware Ports gebündelt werden. Es werden nur diejenigen Ports ange- zeigt, die ansonsten unbenutzt sind. • Up-Verzögerung (in ms): Hier wird die Verzögerung eingestellt die eingehalten werden soll, bevor eine Schnittstelle wieder verfügbar gemacht wird. Die Zeit wird in Millisekunden (ms) angegeben.
Hardwarekonfiguration 9.4 GUI-Referenz: iSCSI Initiator (Dieser Dialog befindet sich unter iSCSI – iSCSI Initiator) 9.4.1 Abschnitt Modus 9.4.1.1 Felder in diesem Abschnitt • Aktiviert: Mit dieser Option wird der iSCSI Initiator aktiviert. Die Aktivierung ist erforderlich, um iSCSI-Knoten ins System einzubinden.
GUI-Referenz: iSCSI-Knoten 9.4.3 Aktionen für dieses Formular • Abbrechen: Bearbeitung des Formulars beenden, die Einstellun- gen werden verworfen. • Speichern: Bearbeitung des Formulars beenden, die Einstellungen werden gespeichert. 9.5 GUI-Referenz: iSCSI-Knoten (Dieser Dialog befindet sich unter iSCSI Initiator – iSCSI-Knoten) 9.5.1 iSCSI-Knoten wählen 9.5.1.1 Spalten in der Tabelle •...
Hardwarekonfiguration 9.5.1.2 Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion öffnet sich ein Dialog, um den iSCSI- Knoten zu bearbeiten. • Löschen: Mit dieser Aktion wird der gewählte iSCSI-Knoten gelöscht. 9.5.1.3 Aktionen für dieses Formular • Target discovery: Die Aktion ermittelt iSCSI Targets und weitere Informationen, um iSCSI-Knoten hinzuzufügen.
GUI-Referenz: iSCSI-Knoten 9.5.2.2 Tab Grundeinstellungen, Abschnitt Authentifizierung Felder in diesem Abschnitt • iSCSI Initiator gegenüber iSCSI Target: Diese Option muss aktiviert werden, wenn der iSCSI Initiator sich am iSCSI Target authenti- fizieren muss. • Benutzer: Hier wird das CHAP-Login angegeben. •...
Hardwarekonfiguration • Speichern: Beenden der Bearbeitung, die Einstellungen werden gespeichert. 9.5.3 : iSCSI Target Discovery 9.5.3.1 Abschnitt Einstellungen Felder in diesem Abschnitt • IP-Adresse: Hier wird die IP-Adresse angegeben, auf der iSCSI Targets ermittelt werden sollen. • Port: Hier wird der TCP/ IP-Port angegeben, über den Informa- tionen von iSCSI Targets zur Verfügung gestellt werden.
Hardwarekonfiguration 9.6 GUI-Referenz: iSCSI-Knoten Status (Dieser Dialog befindet sich unter berwachung / Auswertung – Status – iSCSI-Knoten) 9.6.1 iSCSI-Knoten - Status In diesem Dialog kann der Status von eingebundenen iSCSI-Knoten eingesehen werden. 9.6.1.1 Spalten in der Tabelle • IP-Adresse: Hier wird die IP-Adresse des definierten iSCSI-Knoten angezeigt.
Seite 314
Hardwarekonfiguration • Detail: Mit dieser Aktion können Detailinformationen angezeigt werden. 9.6.2 iSCSI-Knoten 9.6.2.1 Tab Info Felder in diesem Abschnitt • iSCSI Target: Hier wird der vollständige Name des iSCSI-Targets angezeigt. • IP-Adresse: Zeigt die IP-Adresse des Target-Hosts. • Port: Zeigt den Port, über den der iSCSI-Knoten erreichbar ist. •...
Seite 315
GUI-Referenz: iSCSI-Knoten Status 9.6.2.4 Aktionen für dieses Formular • Zurück: Führt zurück zur bersicht.
Netzwerkschnittstelle haben. Sind mehrere Netze auf einem Switch zusammengelegt, kann die Firewall leicht umgan- gen werden. Im Collax Server ist eine leistungsfähige Firewall enthalten, die „Stateful Inspection“ (zustandsgesteuerte Filterung) unterstützt. Bei dieser Technik wird im Unterschied zu einem reinen Paketfilter für jede Verbindung im Speicher ein Eintrag erzeugt.
Seite 318
Paket. Durch diese Technik ist es unmöglich, den Zielport 80 für andere Dienste als HTTP zu missbrauchen, da der Proxy nur HTTP versteht und andere Pakete verwirft. Collax Server unterstützt solche Application Layer Filter für die oft genutzten Dienste HTTP und SMTP.
Bei der im Collax Server eingesetzten Paketfilter-Firewall werden drei unterschiedliche Filter verwendet: Der INPUT-Filter bestimmt, welche Dienste auf dem Collax Server selbst erreichbar sind. Der FORWARD-Filter kontrolliert, welche Verbindungen von einem Netz- werk in ein anderes zulässig sind, und die OUTPUT-Regel gewährt dem Collax Server selbst Zugriff auf andere Systeme.
Seite 320
Firewall Die einzelnen Regeln werden in der Firewallmatrix durch Verkehrs- zeichen symbolisiert: „Verwerfen“ durch ein schwarzes Loch bzw. einen schwarzen Klecks, „Ablehnen“ durch ein Durchfahrt-Verboten- Symbol, „Erlauben“ entsprechend durch ein Vorfahrtssymbol. Ist für einen bestimmten Dienst, wie HTTP oder DNS, eine Regel manuell gesetzt, wird das entsprechende Symbol durch zwei farbige Klam- mern ergänzt.
Seite 321
Einführung Für jede explizit gesetzte Regel kann die Protokollierung aktiviert werden. Dabei wird dann für jeden (versuchten) Verbindungsaufbau ein Eintrag im Log erzeugt. Dies kann große Datenmengen erzeugen, so dass diese Option mit Bedacht genutzt werden sollte. In den meisten Fällen ist es nicht notwendig, erlaubte Verbindungen zu protokollieren.
In der Firewallmatrix regeln Sie den Datenverkehr zwischen einzelnen Netzwerken. Wichtig ist, dass die einzelnen Netze auf verschiedenen Netzwerkschnittstellen erreichbar sind, so dass die IP-Pakete den Collax Server durchlaufen müssen. In den folgenden Schritten wird zunächst die Default-Policy für abgehende Verbindungen aus dem lokalen Netz angepasst.
Seite 323
Schritt für Schritt: Firewallregeln setzen • Unter Regel wählen Sie nun Ablehnen aus. Dadurch werden die Pakete verworfen, und es wird eine ICMP-Warnung generiert. Aus dem lokalen Netz heraus erfolgt so eine umgehende Rück- meldung, dass der betreffende Dienst gesperrt ist. •...
Seite 324
• Sie haben damit den Aufbau von Verbindungen aus dem lokalen Netz ins Internet und untergeordnete Netze zum Zielport 80 (HTTP) erlaubt. Durch die Stateful-Inspection-Firewall im Collax Server sind die Antwort- und Folgepakete dieser Verbindung automatisch erlaubt. Es ist nicht notwendig, den umgekehrten...
Internet zugänglichen Servers sinnvoll. Es empfiehlt sich auch, einen Access Point für Wireless LAN an einer eigenen Netzwerkschnittstelle des Collax Servers anzuschließen und so das Funknetz vom lokalen Netz zu trennen. • Legen Sie zunächst unter Netzwerk – Netze – Konfiguration ein neues Netz für die DMZ an.
Zugriff aus der DMZ ins lokale Netz für Windows Networking erlauben. • In den Benutzungsrichtlinien unter Benutzungsrichtlinien – Richt- linien – Gruppen werden die Zugriffe auf Dienste im Collax Server gesteuert. Fügen Sie hier das Netz der DMZ entsprechend den Gruppen als Mitglied hinzu.
Seite 327
• Verhalten bei ICMP-Echo-Request (Ping): ICMP-Echo-Request-Pake- te (pings) dienen dazu, festzustellen, ob ein bestimmter Rechner erreichbar ist und wie lange die Laufzeit der Datenpakete dorthin ist. Hier wird eingestellt, wie der Collax Server auf ICMP-Echo- Requests reagiert. Normalerweise wird ratenlimitiert auf ICMP-Echo-Requests geantwortet.
• TFTP-Unterstützung: Mit dieser Option wird die Unterstützung von TFTP aktiviert. 10.4.1.3 Tab Optionen, Abschnitt Logging für lokale Dienste Felder in diesem Abschnitt • Erlaubte Verbindungen: Durch das Aktivieren dieser Option wird der Aufbau erlaubter Verbindungen auf den Collax Server protokolliert.
GUI-Referenz: Firewall • Verbotene Verbindungen: Durch das Aktivieren dieser Option werden nichtautorisierte Verbindungsversuche protokolliert. • Verbindungen von gefälschten Absenderadressen: Mit dieser Option werden Verbindungsversuche von gefälschten Absender- adressen protokolliert. • Verbindungen zu nicht vorhandenen Diensten: Durch das Aktivieren dieser Option werden Verbindungsversuche auf Ports protokol- liert, die keinen Diensten zugeordnet sind.
Seite 330
Firewall • Wöchentlicher Report: Mit dieser Option wird wöchentlich ein Firewall-Report erstellt. • E-Mail-Adresse des Empfängers: In diesem Feld wird die E-Mail- Adresse angegeben, an die der Report gesendet wird. • Format: Der Report kann wahlweise als einfacher Text oder HTML-formatiert werden.
Seite 331
GUI-Referenz: Firewall 10.4.2 Netzwerkdienste (Dieser Dialog befindet sich unter Netzwerk – Firewall – Dienste) In dieser Liste werden alle bekannten Dienste angezeigt. Dabei handelt es sich jeweils um die Zuordnung von einem IP-Protokoll und zugehörigen Quell- und Zielports, die unter dem Namen des Dienstes im System an anderer Stelle ausgewählt werden können.
Seite 332
Firewall Aktionen für diesen Dialog • Dienst hinzufügen: Mit dieser Aktion kann ein weiterer Dienst hinzugefügt werden. 10.4.2.2 Dienst bearbeiten (Dieser Dialog befindet sich unter Netzwerk – Firewall – Dienste) In diesem Dialog können die Einstellungen eines selbstdefinierten Dienstes geändert werden. In diesem Dialog werden die notwendigen Daten zu einem Dienst angegeben.
Seite 333
GUI-Referenz: Firewall Hinweis: Einige seltene Ausnahmen (zum Beispiel Windows- Netzwerkdienste) bauen Verbindungen von einem festen Quell- port zu beliebigen Zielports auf (in diesem Beispiel von Quellport 137). Die Gefahr bei diesen Diensten besteht darin, dass ein Angreifer seinen Quellport auf 137 setzen kann und damit Zugriff auf alle Ports ab 1024 erhält.
Firewall Felder in diesem Dialog • Name: Hier wird der Name des Dienstes angezeigt. • Kommentar: Hier wird der Kommentartext angezeigt. 10.4.3 Portumleitung (Dieser Dialog befindet sich unter Netzwerk – Firewall – Portumleitung) 10.4.3.1 Portumleitung (Dieser Dialog befindet sich unter Netzwerk – Firewall – Portumleitung) Felder in diesem Dialog •...
Seite 335
GUI-Referenz: Firewall 10.4.3.2 Portumleitung (Dieser Dialog befindet sich unter Netzwerk – Firewall – Portumleitung) Felder in diesem Dialog • Bezeichnung der Portumleitung: In diesem Feld muss eine ein- deutige Bezeichnung für die Portumleitung eingegeben werden. Die Bezeichnung kann nach dem Speichern nicht mehr geändert werden.
Seite 336
Firewall nur mit Zugriff aus dem Internet, und auf einen Internet-Link beschränkt, vorgenommen wird. • IP-Adresse des Ziels: Der Rechner, auf den die Portanfragen umgeleitet werden sollen. Befinden sich die IP-Adresse des Ziels und die Source-IP-Adresse im selben Netzwerk, muss auf dem entsprechenden Netzwerk-Link dieses Netzwerk maskiert werden.
Seite 337
GUI-Referenz: Firewall Felder in diesem Dialog • Bezeichnung: Hier wird die eindeutige Bezeichnung für die Dienstabweisung angezeigt. • Kommentar: In diesem Feld wird der Kommentar angezeigt. • Dienst: Hier wird der Dienst angezeigt, der abgewiesen wird. Aktionen für diesen Dialog •...
Seite 338
Verbindungen bestimmte Bandbreiten garantiert bzw. begrenzt werden. Hinweis: Die Firewallmatrix ist nur für durchlaufende Datenpakete relevant. Zugriffe auf Dienste im Collax Server selbst werden in den Benutzungsrichtlinien gesteuert. Die Firewallmatrix ist das zentrale Schaltelement zwischen den einzelnen Netzen.
Seite 339
Hinweis: In der Matrix muss immer nur eine Regel für das erste Paket der Verbindung, also den Verbindungsaufbau, gesetzt werden. Die Folgepakete sind durch das im Collax Server integrierte „Connec- tion Tracking“ automatisch enthalten. Neben einer „Default-Policy“ (Einstellung Dienst: Alle) können aus der Liste einzelne Dienste ausgewählt werden, für die jeweils die...
Firewall Das entsprechende Symbol wird dann durch zwei farbige Klammern ergänzt. Zusätzlich können im Popup-Fenster weitere Informationen zu den definierten Regeln und Diensten eingesehen werden. 10.4.5.2 Regel bearbeiten (Dieser Dialog befindet sich unter Netzwerk – Firewall – Matrix) • Dienst: Für jeden Dienst gibt es eine eigene Schicht in der Matrix. In diesem Feld wird der aktuell ausgewählte Dienst angezeigt.
Seite 341
GUI-Referenz: Firewall und Destination-Netmap können die Pakete auf eine zu bestimmende Netzwerkadresse umgeschrieben werden. Der Ver- bindungsaufbau ist prinzipiell gestattet. • Abbilden auf Netzwerk: Bei der Auswahl einer NAT-Regel wird hier das Netzwerk gewählt, auf das die Ziel-IP-Adressen abgebildet werden. •...
Seite 342
Firewall • Protokollieren: Mit dem Aktivieren dieser Option werden die Verbindungen für diesen Dienst in der Logdatei protokolliert. • Traffic-Klasse: Bei aktiviertem Bandbreitenmanagement wird hier die Traffic-Klasse ausgewählt, die auf die Verbindung angewendet werden soll. 10.4.5.4 Regel bearbeiten (Dieser Dialog befindet sich unter Netzwerk – Firewall – Matrix) •...
Seite 343
GUI-Referenz: Firewall 10.4.5.5 Regel bearbeiten (Dieser Dialog befindet sich unter Netzwerk – Firewall – Matrix) • Dienst: Für jeden Dienst gibt es eine eigene Schicht in der Matrix. In diesem Feld wird der aktuell ausgewählte Dienst angezeigt. Alle beinhaltet sämtliche Dienste, für die nicht explizit etwas eingestellt wurde, ist also die „Default-Policy“.
Firewall 10.4.6.1 Regeln auswählen (Dieser Dialog befindet sich unter Netzwerk – Firewall – Viewer) Hier werden die Filteroptionen für die Ausgabe eingestellt. Felder in diesem Dialog • Von (Netzwerk): Hier kann das Absender-Netzwerk angegeben werden. Wird kein Netz ausgewählt, werden alle Verbindungen angezeigt.
Schutz vor Brut-Force-Attacken Spalten in der Tabelle • Von: Hier wird der Name des Quellnetzes angezeigt. • Nach: Hier wird der Name des Zielnetzes angezeigt. • Dienst: Hier wird der jeweilige Dienst angezeigt. Alle steht dabei für den Vorgabewert, der verwendet wird, wenn keine Regel für einen bestimmten Dienst gesetzt wird (entsprechend die „Default Policy“).
Firewall scheidung zwischen Angreifer und Benutzer kann nicht getroffen werden. • Dauer der Sperrung (Sek.): Die IP-Adresse kann für die hier angegebene Dauer in Sekunden nicht mehr auf den Server zugreifen. Die Sperrung wird nach Ablauf der Dauer automatisch aufgehoben. Alternativ kann die Sperrung im Status-Dialog ma- nuell aufgehoben werden.
Seite 347
Schutz vor Brut-Force-Attacken XXX missing title found Spalten in der Tabelle • Gesperrte IP-Adressen: IP-Adressen können öffentlich oder im privaten Adressbereich liegen. Aktionen für jeden Tabelleneintrag • Sperre aufheben: Mit dieser Aktion wird die Sperre für die IP- Adresse aufgehoben. Ein Fenster mit entsprechendem Hinweis erscheint.
Seite 348
Firewall Aktionen für dieses Formular • Jetzt sperren: Die angebenen IP-Adressen werden für den Zugriff auf den Server sofort gesperrt. Die Sperre dauert so lange, wie in den Einstellungen angegeben.
11 DNS und DHCP 11.1 Einführung 11.1.1 Host- und Domainnamen Die Adressierung von Computersystemen erfolgt im Internet durch die Angabe der IP-Nummer bzw. im Ethernet durch die Verwendung der MAC-Adresse. Im Normalfall erfolgt die Umsetzung der IP-Adresse auf eine MAC-Adresse durch das Betriebssystem selbst. Die IP-Nummer besteht aus einer 32 Bit breiten Adresse, die gewöhnlich in vier durch Punkte getrennten Oktette dargestellt wird, etwa 192.168.9.9.
Seite 350
DNS und DHCP 11.1.2 Domain Ein Hostname muss zu einem Zeitpunkt eindeutig auf eine IP- Nummer aufgelöst werden. Da aber in vielen Fällen an unterschied- lichen Standorten dieselben Namen für Computersysteme verwendet werden (oftmals auch symbolische Namen wie mail oder www), muss dem Namen eine weitere Bezeichnung hinzugefügt werden, die für Eindeutigkeit sorgt.
Seite 351
Einführung „edu“ für Hochschulen (Education), „org“ für nicht-kommerzielle Organisationen oder „gov“ für US-amerikanische Regierungsorgane. In letzter Zeit sind einige weitere TLDs hinzugekommen, von denen manche „gesponsert“ („sTLD“) sind und manche nicht („uTLD“ = „unsponsored TLD“). Ein Sponsor ist in diesem Fall eine Organisation, die eine bestimmte Klientel vertritt und die Vergaberichtlinien für Domains innerhalb der TLD festlegt.
Seite 352
Domain auf verschiedene Standorte oder Gebäude verteilen. Dies geschieht durch „Subdomains“, die unterhalb der Domain quasi abgeteilte eigene Domains bilden. Manchmal werden dazu die Na- men der Standorte verwendet, etwa „muenchen.collax.com“ und „boston.collax.com“. Formal korrekt ist „muenchen.cbs.com“ eine Domain und gleichzeitig eine Subdomain von „cbs.com“. Diese wie-...
Seite 353
Einführung 11.1.3 FQDN Das Gebilde aus Hostname und Domain wird als „Fully Qualified Domain Name“ (FQDN) bezeichnet. Damit ist ein Computersystem mit einem weltweit einmalig vergebenen Namen versehen, der auf eine IP-Nummer verweist. Der FQDN wird von links nach rechts aus mehreren Komponenten gebildet, die alle durch Punkte voneinander getrennt sind.
Seite 354
DNS und DHCP werden Verweise auf die jeweiligen Domains (bei „com“ etwa 40 Mil- lionen) gespeichert. Diese Nameserver werden von den zuständigen Registraren betrieben, in Deutschland von der DeNIC eG („Deutsches Network Information Center“). In der nächsten Ebene liegen einzelne Host-Einträge oder Subdo- mains.
Seite 355
Einführung Administrativ umfasst eine Domain immer auch alle Subdomains, d. h., für alle Geschehnisse inner- und unterhalb einer Domain ist der Domaininhaber verantwortlich. Werden technisch für die Subdomains jeweils einzelne Nameserver betrieben, werden diese Subdomains als „Zonen“ im DNS bezeichnet. Jede Subdomain mit eigenständigem Nameserver ist eine solche Zone.
Seite 356
DNS und DHCP kleinen Teil des gesamten Datenbestands verantwortlich. Er ist „autoritativ“ für seine Zonen. Sicherheitshalber gibt es zu jeder Zone mindestens zwei autoritative Nameserver, sonst wäre durch einen Ausfall des Servers die gesamte Domain „weg“. Um die Datenhaltung zu vereinfachen, wird die Zone nur auf einem Masterserver, dem „Primary DNS“...
Einführung Ist im Nameserver kein Forwarder eingestellt, befragt dieser die Root-Nameserver nach den zuständigen Nameservern für die ange- fragte TLD. Dort fragt er nach den zuständigen Nameservern für die Domain und kontaktiert diese daraufhin, um die Anfrage aufzulösen oder weitere Verweise auf Nameserver für Subdomains zu erhalten. Der Nameserver hangelt sich durch den gesamten DNS-Baum bis hin zu dem Blatt, welches den angefragten Eintrag enthält.
Seite 358
DNS und DHCP Oktett erfolgen und dort wiederum einer abhängig vom dritten Oktett. Auch für Reverse-DNS gibt es die Mechanismen von autoritativen Servern, Primaries und Secondaries sowie Zonentransfers. Dadurch, dass für Domains und für IP-Netze jeweils separate DNS- Datenbanken bestehen, ist es nicht ungewöhnlich, dass Vorwärts- und Rückwärtsauflösung nicht synchron sind.
Seite 359
Einführung Sinnvoller ist die Verwendung einer Subdomain intern oder lan, die dann als eigenständige Zone im lokalen Netz genutzt wird und so nicht mit der offiziellen Zone kollidiert. Mitunter werden auch eigene TLDs im lokalen Netz verwendet, die auf die private, interne Nutzung hinweisen. Gängig sind prv, priv (jeweils für „privat“), lan, local oder intern (nicht int).
Zuordnung der Adresse durch den DHCP- Server möglich. Im Collax Server werden beide Varianten angeboten. Es kann ein Pool für unbekannte Rechner angelegt werden. Damit sind Systeme gemeint, die nicht als Hosts im Collax Server eingetragen sind.
Seite 361
• Sie finden die Grundeinstellungen des Nameservers unter Netz- werk – DNS – Allgemein. • Unter Name dieses Systems tragen Sie den FQDN des Collax Servers ein. Dieser Name wird u. a. vom Mail-Dienst verwendet. • Mit DNS-Server aktivieren schalten Sie den Nameserver im Collax...
Seite 362
• Wechseln Sie auf den Reiter Optionen. • Abhängig von der Einstellung Anfragen weiterleiten erfolgt die Auflösung von fremden Adressen. Lassen Sie die Option deaktiviert, befragt der Collax Server die Root-Nameserver eigenständig. • Wenn Sie die Option hingegen aktivieren, können Sie bis zu zwei Forwarder angeben, an die alle DNS-Anfragen weitergereicht werden.
Seite 363
Nameserver erhalten dürfen. Die Option Rekursive Anfragen er- laubt Anfragen nach jeglichen Namen. • Zugriff auf DNS-Port erlauben hingegen gestattet nur Anfragen auf Systeme, deren DNS-Einträge auf dem Collax Server selbst verwaltet werden. • blicherweise wird dem lokalen Netz der vollständige Zugriff auf den Nameserver gewährt.
Seite 364
• Wechseln Sie hierfür zu Netzwerk – DNS – Vorwärtszonen. • Legen Sie eine neue Zone an. • Unter Domain tragen Sie den Namen der Zone ein. • Belassen Sie die Einstellung Dieses System ist auf Master. Dadurch können Sie Einträge innerhalb der Domain auf dem Collax Server anlegen.
Seite 365
• Wählen Sie als Netzwerk das LocalNet aus. Für diesen IP-Bereich sollen die Nameservereinträge verwaltet werden. • Auch für diese Zone ist der Collax Server Master. Nun ist der Nameserver grundlegend konfiguriert. Einzelne Ein- träge im Nameserver werden im Folgenden als Hosts angelegt.
Seite 366
DNS und DHCP • Wechseln Sie dazu nach Netzwerk – DNS – Hosts. • Legen Sie einen neuen Host an. • Setzen Sie den Hostnamen. Dieser kann später noch geändert werden. • Prüfen Sie, ob Bestätigt aktivert ist. Andernfalls wird kein DNS- Eintrag erzeugt.
Seite 367
Schritt für Schritt: DNS für lokale Domain einrichten • Wechseln Sie auf den Reiter DNS. • Wählen Sie bei Zone die von Ihnen angelegte Domain aus. • Unter Aliasnamen können Sie weitere Namen des Systems angeben. • Speichern Sie den angelegten Host.
In diesem Dialog wird festgelegt, ob auf dem System der DNS- Dienst aktiviert werden soll. Andernfalls muss ein externer DNS eingestellt werden. Hinweis: Ohne DNS-Dienst kann der Collax Server keine Registrie- rung durchführen, keine Updates herunterladen und keine E-Mails versenden.
Seite 369
GUI-Referenz: DNS innerhalb dieses Systems nach dem Namen „abox“ gesucht, wird der DNS-Server der Reihe nach „abox.intern.example.com“, „abox.example.com“ und schließlich „abox“ abfragen, bis er eine Antwort enthält. Mehrere Einträge werden durch Leerzeichen getrennt. Es werden maximal sechs Domains und 256 Zeichen unterstützt.
Seite 370
DNS und DHCP 11.3.1.2 Tab Berechtigungen, Abschnitt Berechtigungen ber die Benutzungsrichtlinien wird festgelegt, welche Rechner und Netze Zugriff auf den internen Nameserver haben und ob sie beliebige Domains oder nur interne Domains abfragen dürfen. Felder in diesem Abschnitt • Rekursive Anfragen erlauben für: Rechner und Netzwerke in den aktivierten Gruppen dürfen rekursive DNS-Anfragen stellen.
Seite 371
GUI-Referenz: DNS werden, der den gefragten Hostnamen oder die IP-Adresse auf- lösen kann. Durch das Aktivieren dieser Option werden keine Root-Name- server befragt. Stattdessen werden alle Anfragen an einen oder zwei feste Nameserver weitergeleitet. • Vom Provider übermittelten DNS-Server benutzen: Für Wählverbin- dungen ins Internet besteht die Möglichkeit, den vom Provider übermittelten DNS-Server für die Namensauflösung zu benutzen.
DNS und DHCP 11.3.2 Vorwärtszonen Eine Zone umfasst in etwa alle DNS-Einträge einer einzelnen Domain. Im Gegensatz dazu sorgt eine „Rückwärtszone“ für die Auflösung von IP-Adressen in Hostnamen. Es können auch Zonen angelegt werden, die nicht auf diesem System selbst, sondern auf einem anderen System verwaltet werden. Dies wird oft zur Einbindung einer ADS-Domäne genutzt.
Seite 373
GUI-Referenz: DNS Aktionen für diesen Dialog • Hinzufügen: Mit dieser Aktion wird eine neue DNS-Zone angelegt. 11.3.2.2 Zone bearbeiten (Dieser Dialog befindet sich unter Netzwerk – DNS – Vorwärtszonen) In diesem Dialog wird die Konfiguration einer Zone bearbeitet. Tab Grundeinstellungen Felder in diesem Abschnitt •...
Seite 374
DNS und DHCP Die Einstellung Parent ist notwendig, wenn die Zone selbst auf einem anderen DNS-Server verwaltet wird und dieses System gleichzeitig für die übergeordnete Zone zuständig ist. Dann muss auf dem System ein Verweis auf den oder die Nameserver dieser „Subdomain“...
Seite 375
GUI-Referenz: DNS über Änderungen an den Zonendaten informiert wird und erlaubt ihm, eine Kopie der kompletten Zonendatei anzufordern. • FQDN: Hier wird der vollständige Name (inklusive Domain-Suffix) des sekundären DNS-Servers angegeben. Hinweis: Wird der Name des Servers nicht angegeben, wird er auch nicht als Nameserver in die Zone eingetragen, er erhält jedoch weiterhin Informationen über Änderungen und kann Zo- nentransfers durchführen.
Seite 376
Mails an Empfänger in dieser Domain zuständig ist. Dabei können auch mehrere Mailserver mit unterschiedlichen Prioritäten angege- ben werden. Im Collax Server existiert mit der Option Auto MX ein Mechanismus, der MX-Einträge für auf dem System verwaltete Mail- domains automatisch anlegt. Wird diese Option deaktiviert, können hier eigene MX-Einträge angelegt werden.
Seite 377
GUI-Referenz: DNS • Gewichtung: Hier wird die Gewichtung angegeben, mit der dieser Eintrag verwendet werden soll. Wenn mehrere Einträge für einen Dienst mit gleicher Priorität vorhanden sind, erhält ein Server mit der höheren Gewichtung mehr Anfragen. Aktionen für jeden Tabelleneintrag •...
DNS und DHCP • Datei: Alternativ zum Eingabefeld kann für den eigenen Konfi- gurationsabschnitt auch eine Datei importiert werden. Aktionen für diesen Dialog • Importieren: Mit dieser Funktion wird der Import der Konfigura- tion gestartet. 11.3.3 Rückwärtszonen (Dieser Dialog befindet sich unter Netzwerk – DNS – Rückwärtszonen) Eine „Rückwärtszone“...
GUI-Referenz: DNS Felder in diesem Dialog • Typ: Hier wird die Art der Zone angezeigt. • Netzwerk: Hier wird der Name des Netzwerks angezeigt, das zur Rückwärtszone gehört. • Kommentar: Hier wird ein Kommentartext zu der Zone ausgegeben. Aktionen für jeden Tabelleneintrag •...
Seite 380
DNS und DHCP • Netzwerk: Wird eine Zone bearbeitet, wird das Netzwerk nur angezeigt. Es kann nicht mehr geändert werden. • Kommentar: Hier kann ein Kommentartext zu der Zone angege- ben werden. • Dieses System ist: Hier wird eingestellt, wie die Zone auf diesem System verwaltet wird: Wird dieses System zum Master der Zone, werden alle Einträge innerhalb der Zone auf diesem System verwaltet.
Seite 381
GUI-Referenz: DNS genutzt werden (etwa zwei Server bei einem Provider), sollten diese in den Zonendaten aufgeführt werden und dieses System selbst entfallen. Durch das Aktivieren dieser Option wird genau dies erreicht: Das lokale System verwaltet als primärer Server die Zonendaten, trägt aber zwei andere Systeme in die Zonendaten ein.
Seite 382
• Importieren: Mit dieser Funktion wird der Import der Konfigura- tion gestartet. 11.3.4 Hosts Als „Host“ werden einzelne Rechner bezeichnet, die dem Collax Server bekannt sind. Im einfachsten Fall muss nur die IP-Adresse eingetragen werden. Damit kann ein Host in den DNS eingetragen, überwacht oder in den Benutzungsrichtlinien einer Gruppe zugeordnet...
Seite 383
GUI-Referenz: DNS Wenn unter Systembetrieb die passive Netzwerküberwachung ak- tiviert wurde, kann in diesem Dialog über Hosts importieren eine Liste aller aktiven Systeme im Netz erstellt werden. Diese Systeme müssen zwar einzeln bestätigt werden, die aktuelle IP-Adresse sowie die MAC- Adresse sind allerdings bereits eingetragen.
System bearbeitet. Tab Grundeinstellungen, Abschnitt Grundeinstellungen Felder in diesem Abschnitt • ID: Jeder auf dem Collax Server verwaltete Host wird intern unter einer eindeutigen ID verwaltet. Diese ID wird automatisch erzeugt und kann nicht geändert werden. • Hostname: Der primäre Name des Hosts. Zusätzliche Namen können unter DNS im Feld Aliasnamen angegeben werden.
Seite 385
Funktionalität („Wake On LAN“) verfügen. Die MAC-Adresse des aufzuweckenden Systems muss bekannt sein. Tab Gruppenzugehörigkeit, Abschnitt Gruppenzugehörigkeit Felder in diesem Abschnitt • Einstellungen: Ein Host kann direkt als Mitglied in ausgewählte Gruppen aufgenommen werden. Damit erhält er Zugriffsrechte auf verschiedene Dienste im Collax Server.
Seite 386
DNS und DHCP Tab DNS, Abschnitt DNS Felder in diesem Abschnitt • Zone: Hier wird eine DNS-Zone für das System ausgewählt. Zur Auswahl stehen die Zonen, die im Dialog DNS-Zonen konfiguriert wurden. • Aliasnamen: Wenn der Rechner unter weiteren Namen bekannt sein soll, können diese, durch Leerzeichen getrennt, hier einge- geben werden.
Seite 387
GUI-Referenz: DNS • DHCP-Optionsgruppe: Spezielle Optionen für DHCP können an- gegeben werden, indem Optionen für eine Gerätegruppe definiert werden und diese Gruppe hier ausgewählt wird. Tab Netzwerktests, Abschnitt Netzwerktests Hier können für den definierten Host Tests zur berwachung aktiviert werden. Spalten in der Tabelle •...
Seite 388
DNS und DHCP Mails in der E-Mail-Warteschlange eines entfernten Collax-Servers überprüft werden. • Prozess: Sollen Prozesse eines Microsoft Windows-Betriebssy- stems geprüft werden, ist hier der entsprechende ausführbare Prozess anzugeben. Für jeden Rechner können die Dienste angegeben werden, die auf ihre Funktionsfähigkeit hin überwacht werden sollen. Diese Dienste werden dann regelmäßig kontaktiert.
GUI-Referenz: DNS dieses System keine berprüfung mehr durchgeführt und kein Alarm ausgelöst. Es wechselt in den Zustand „unbekannt“. Bei Rückkehr des anderen Hosts werden die Tests für dieses System wieder aufgenommen. Nagios nutzt diese Information außerdem zur Darstellung der Netzwerkkarte. Bleibt das Feld leer, wird versucht, anhand der Routinginfor- mationen den richtigen Router für den Rechner zu finden.
Seite 390
DNS und DHCP Eine einfache Möglichkeit zur Lösung dieses Problems ist die Verwendung eines dynamischen DNS-Providers. Dabei werden Na- meserver genutzt, die eine sehr kurze Cache-Zeit in ihren Zonen verwenden. Abgerufene Daten von einem solchen Nameserver sind nur sehr kurze Zeit gültig. Wählt sich ein System ins Internet ein, baut es zunächst eine Verbindung zu einem solchen Provider auf.
GUI-Referenz: DNS Können mehrere Internet-Verbindungen gleichzeitig benutzt wer- den, kann es sinnvoll sein, für die verschiedenen Verbindungen auch unterschiedliche DynDNS-Namen zu definieren und aktualisieren zu lassen. 11.3.6.1 Spalten in der Tabelle • Name: Zeigt die interne Bezeichnung des dynamischen DNS- Kontos.
Seite 392
DNS und DHCP • Löschen: Mit dieser Aktion kann der gewählte Eintrag gelöscht werden. 11.3.6.3 Aktionen für dieses Formular • Hinzufügen: Mit dieser Aktion kann ein weiteres DynDNS-Konto hinzugefügt werden. 11.3.7 Dynamisches DNS bearbeiten 11.3.7.1 Tab Grundeinstellungen Felder in diesem Abschnitt •...
Seite 393
GUI-Referenz: DNS • Alternativ-Anbieter: Basierend auf ausgewähltem Anbieter kann in diesem Feld ein separater Anbieter-Server eingetragen werden, bei dem der Dyndns-Name mit der IP-Adresse aktualisiert wird. Die Angabe eines Ports ist optional. Bleibt dieses Feld leer, wird der ausgewählte Anbieter direkt verwendet. Wird ein Alternativ- Anbieter eingetragen, dient das Feld „Anbieter“...
Seite 394
DNS und DHCP oder als VPN-Gateway anzusprechen, muss kein Mailsystem konfiguriert werden. • Url: Hier wird eine Zeichenkette eingetragen, die als URL- Parameter gesendet wird. Diese Zeichenkette wird durch die Spezifikationen des Anbieterservers definiert. Im Normalfall kann das Feld leergelassen werden.
DNS und DHCP 11.4 Schritt für Schritt: DHCP aktivieren • Sie können den DHCP-Server unter Netzwerk – DHCP – Allgemein aktivieren. • Die Option BOOTP wird nur benötigt, wenn Sie Systeme betrei- ben, die Ihr Betriebssystem über das Netzwerk booten. Lassen Sie sie daher zunächst deaktiviert.
Seite 396
• Wählen Sie unter Netzwerk das LocalNet aus. Nur auf den Netz- werkschnittstellen, auf denen dieses Netz erreichbar ist, wird der Collax Server später DHCP-Anfragen beantworten. • Mit der Angabe von Erster und Letzter IP-Adresse legen Sie den Bereich für den DHCP-Server fest.
Seite 397
Schritt für Schritt: DHCP aktivieren • Wechseln Sie auf den Reiter Optionen. • Aktivieren Sie die Option Bekannte Rechner zulassen, um später einzelnen Hosts immer die gleiche IP-Adresse zuweisen zu können. • Haben Sie die Hosts im lokalen Netz noch nicht alle erfasst, ak- tivieren Sie den Eintrag Unbekannte Rechner zulassen.
Seite 398
DNS und DHCP • Um einzelne Systeme immer mit der gleichen IP-Adresse zu versorgen, muss die MAC-Adresse im Collax Server hinterlegt werden. Wechseln Sie dazu nach Netzwerk – DNS – Hosts. • Wählen Sie ein System zur Bearbeitung aus oder legen Sie ein neues an.
DNS und DHCP 11.5 GUI-Referenz: DHCP 11.5.1 DHCP-Server (Dieser Dialog befindet sich unter Netzwerk – DHCP – Allgemein) Der DHCP-Server dient dazu, den Systemen im lokalen Netz beim Starten eine IP-Adresse zuzuteilen und die Netzwerkkonfiguration zu übermitteln. 11.5.1.1 Tab Grundeinstellungen, Abschnitt Grundeinstellungen Felder in diesem Abschnitt •...
Seite 400
DNS und DHCP • Datei: Alternativ zum Eingabefeld kann für den Konfigurations- abschnitt auch eine Datei importiert werden. Aktionen für diesen Dialog • Importieren: Mit dieser Funktion wird der Import der Konfigura- tion gestartet. 11.5.2 IP-Adresspools (Dieser Dialog befindet sich unter Netzwerk – DHCP – IP- Adresspools) Der DHCP-Dienst vergibt IP-Adressen nur aus festgelegten Be- reichen, den sogenannten „IP-Adresspools“.
Seite 401
GUI-Referenz: DHCP Felder in diesem Dialog • Bezeichnung: Hier wird die Bezeichnung des Adresspools angezeigt. • Typ: In diesem Feld wird die Art des Pools angezeigt. Der Typ DHCP gibt an, dass Adressen aus diesem Pool über DHCP verge- ben werden. Der Typ „l2tp“ zeigt an, dass Adressen aus diesem Pool für L2TP-über-VPN-Verbindungen verwendet werden.
Seite 402
DNS und DHCP Tab Grundeinstellungen, Abschnitt Grundeinstellungen Felder in diesem Abschnitt • Bezeichnung: Hier wird der Name des Pools eingegeben. • Bezeichnung: Wird ein bereits vorhandener Pool bearbeitet, kann die Bezeichnung des Pools nicht mehr geändert werden. Hier wird die Bezeichnung nur angezeigt. •...
Seite 403
GUI-Referenz: DHCP die zugewiesenen Nameserver werden aus der Zonendefinition übernommen. Tab Optionen, Abschnitt Optionen Felder in diesem Abschnitt • DHCP-Optionsgruppe: Hier kann eine Optionsgruppe ausgewählt werden, die für diesen Pool verwendet wird. ber eine solche Optionsgruppe kann ein System über das Netzwerk einen Kernel mit Betriebssystem booten, etwa für plattenlose Clients.
DNS und DHCP 11.5.3 DHCP-Optionsgruppen (Dieser Dialog befindet sich unter Netzwerk – DHCP – Optionsgruppen) In diesem Dialog können für Gruppen von Systemen oder für ganze Pools spezielle DHCP-Optionen angegeben werden. 11.5.3.1 Optionsgruppe auswählen (Dieser Dialog befindet sich unter Netzwerk – DHCP – Optionsgruppen) Felder in diesem Dialog •...
Seite 405
GUI-Referenz: DHCP 11.5.3.2 DHCP-Optionsgruppe bearbeiten (Dieser Dialog befindet sich unter Netzwerk – DHCP – Optionsgruppen) Tab Grundeinstellungen, Abschnitt Grundeinstellungen Felder in diesem Abschnitt • Bezeichnung: Hier wird die Bezeichnung für die Gruppe angegeben. • Kommentar: Hier kann ein Kommentartext zu dieser Gruppe angegeben werden.
Seite 406
DNS und DHCP Tab Extras, Abschnitt Zusätzliche Angaben Felder in diesem Abschnitt • Zusätzliche Angaben: In diesem Eingabefeld können zusätzliche Einträge für diese Gerätegruppe vorgenommen werden. Die Ein- gaben in diesem Feld werden in die DHCP-Konfigurationsdatei eingefügt. Hinweis: Fehlerhafte Eingaben in diesem Feld können dazu führen, dass der DHCP-Server nicht mehr startet.
12 Webproxy 12.1 Einführung Ein Webproxy-Server dient in erster Linie dazu, das Surfen im Internet zu beschleunigen. Er speichert jede übertragene Datei (Webseite, Schmuckbilder usw.) auf seiner Festplatte und kann bei erneutem Aufrufen einer Seite feststellen, welche Elemente sich auf dem Server geändert haben und welche Elemente er aus seinem Cache wiederverwenden kann.
Diese Einstellung kann automatisiert werden, indem im Browser bei der Proxy-Konfiguration ein automatisches Konfigurationsskript eingetragen wird. Dies ist nur vorhanden, wenn auf dem Collax Server neben dem Webproxy auch der Webserver aktiviert ist. Das Skript ist dann unter „http: // Collax Server-Adresse / proxy.pac“ abrufbar. Statt „Collax Server-Adresse“...
Einführung 12.1.2 Filtermöglichkeiten Der Webproxy bietet sich als zentrale Stelle zum Filtern des HTTP- Datenverkehrs an. Eine einfache Möglichkeit ist das „Anonymisieren“ von HTTP-Paketen. Dadurch werden je nach Einstellung verschiedene Einträge im HTTP-Header entfernt, beispielsweise die Kennung des genutzten Browsers. Durch aktivierte Anonymisierung kann es bei der Darstellung oder Verwendung von Webseiten zu Problemen kommen.
Seite 410
Ports HTTPS- bertragungen stattfinden. Das sind üblicherweise die Ports 443, 563 und 8443. Werden auf anderen Ports HTTPS-Pakete ausgetauscht, müssen diese Ports dem Collax Server bekannt gemacht werden. Dazu zählt z. B. die Administrationsober- fläche auf Port 8001.
Seite 411
Webproxy 12.2 Schritt für Schritt: Webproxy einrichten • Rufen Sie die Webproxy-Konfiguration unter Netzwerk – Webproxy – Allgemein auf. • Aktivieren Sie den Webproxy. • Im Feld E-Mail-Adresse können Sie eine Adresse eingeben, die den Benutzern in einer Fehlermeldung des Proxy-Servers angezeigt wird.
Seite 412
Webproxy • Wechseln Sie auf den Reiter Berechtigungen. • Nun können Sie die Gruppen auswählen, die ohne Authentifizie- rung Zugriff auf den Webproxy erhalten sollen. • Sie können für den Zugriff auf den Webproxy eine eigene Gruppe anlegen. Wenn Sie das nicht möchten, aktivieren Sie hier die Gruppe Users.
Zugriffe wieder langsamer wird. • Unter Zusätzliche SSL-Ports können Sie weitere Ports angeben, auf denen Sie verschlüsselte HTTPS-Verbindungen betreiben. Tragen Sie hier 8001 ein, wenn Sie durch den Proxy einen Collax Server administrieren möchten. • Aktivieren Sie Aktivitäten in Logdatei aufzeichnen, damit alle Zugriffe durch den Proxy protokolliert werden.
Seite 414
Webproxy • Falls Sie die Protokollierung einschalten, können Sie durch Log- auswertung aktivieren eine statistische Auswertung der Logdaten erstellen lassen. Sie finden diese über den seitlichen Reiter System unter berwachung / Auswertung – Auswertungen – Webproxy. • Abschließend müssen Sie in den Benutzungsrichtlinen noch festlegen, welche Seiten durch die Benutzer besucht werden dürfen.
Webseiten. Wird sie nicht aktiviert, sind keinerlei Seiten erlaubt, d. h., alle Seiten sind gesperrt. 12.3 GUI-Referenz: Webproxy (Diese Option befindet sich im Zusatzmodul Collax Web Security) (Dieser Dialog befindet sich unter Netzwerk – Webproxy – Allgemein) In diesen Dialogen wird der Webproxyserver konfiguriert.
Seite 416
Connect-Methode nur bestimmte Ports zugelassen, nämlich 443, 563 und 8443. Hier können zusätzliche Ports angegeben werden, die für die Connect-Methode erlaubt sind. Zum Zugriff auf andere Collax- Server durch den Proxy muss hier etwa „8001“ zusätzlich einge- tragen werden. • Maximale Größe einer Anfrage (kByte): Diese Einstellung gibt an, wie groß...
Seite 417
GUI-Referenz: Webproxy • Maximale Größe einer Antwort (kByte): Diese Einstellung begrenzt die maximale Größe einer Datei, die über den Proxy herunter- geladen werden kann. In der Voreinstellung ist dieses Feld leer, wodurch keine Grö- ßenbeschränkung existiert. Hinweis: Ein zu kleiner Wert kann verhindern, dass der Proxy antworten kann.
Seite 418
Webproxy • Server • WWW-Authenticate • Link Die Auswahl paranoid entfernt auch Header, die nur dann Auskunft über den Benutzer geben können, wenn ein Webserver mehrere Anfragen vom gleichen Benutzer erhält. Dies sind: • Allow • Authorization • Cache-Control • Content-Encoding •...
Seite 419
GUI-Referenz: Webproxy Insbesondere die Einstellung paranoid kann zu Problemen füh- ren, da dadurch auch die Kennung des verwendeten Browsers entfernt wird. • Anzahl der Redirector-Programme: Hier wird die Anzahl der Pro- zesse angegeben, die der Webproxy zur Verarbeitung von URL- Anfragen startet.
Webproxy Diese Option gilt auch für Seiten, die mit großer Wahrschein- lichkeit vertrauenswürdig sind, aber über die sicherheitsrelevante Informationen des Unternehmens übertragen werden, z.B. On- line-Banking-Seiten oder ähnliches. Für solche HTTPS-Seiten ist es zu empfehlen, den HTTPS-Verkehr nicht abzuhören. Eine entsprechende Ausnahme kann mit einer speziellen Web-Proxy- Regel im Dialog Netzwerk –...
Seite 421
GUI-Referenz: Webproxy nur, wenn der SMB / CIFS-Dienst aktiviert ist und kann verwendet werden, um Single-Sign-On mit älteren Betriebssystemen und Web-Browser zu bewerkstelligen. Entsprechende Arbeitsstationen müssen einer NT-Domäne oder AD beigetreten sein (gilt nicht für Windows Server 2008). • Kerberos Authentifizierung aktivieren (SPNEGO): Diese Methode ermöglicht es Windows-, Linux-, und Mac OS-Benutzern per Single-Sign-on in einem Kerberos-Realm am Web-Proxy anzumel- den.
Proxy nicht im Internet befindet, sondern beispielsweise über das interne Interface erreichbar ist. Hinweis: Um diese Option nutzen zu können, ist es aus tech- nischen Gründen notwendig, alle weiteren auf dem Collax Server selbst laufenden Parent-Proxys (insbesondere die Virenfilter) zu deaktivieren.
Seite 423
Manager) kann zur Authentifizierung der Proxybenutzer gegen- über einem PDC genutzt werden. Der PDC kann entweder ein anderes System sein oder der Collax Server selbst. Bei dieser Variante wird der Collax Server nicht in die Domäne integriert; sie ist somit weit einfacher einzurichten als die Variante mit Do- mänenintegrierung.
Seite 424
Webproxy immer aus diesen drei Werten, die mit einem Leerzeichen von- einander getrennt werden. Pro Zeile ist nur ein solcher Eintrag zulässig. Beispiel: „PDC1 BDC1 DOMAIN1“ Sollte kein BDC existieren, muss hier der PDC zweimal ange- geben werden. Zudem sollte der Netbios-Name des PDC / BDC angegeben und im DNS geprüft werden.
Systembetrieb – Software – Lizenzen und Module. • Hier können Sie über den Schalter Installieren die Dansguardian- Listen auf den Collax Server installieren. Dies ist nur möglich, wenn Ihr Collax Server auf einem aktuellen Softwarestand ist. Sie erhalten andernfalls eine entsprechende Fehlermeldung.
Seite 426
Webproxy • Typ der Regel setzen Sie auf Verbot, da Sie URLs sperren möchten. • Weitere Regeln beachten aktivieren Sie bitte. Dadurch können Sie später komplexere Regelwerke aufbauen, die der Reihe nach durchlaufen werden, bis eine Regel zutrifft. • Regel gilt für alle URLs deaktivieren Sie. Dadurch werden darunter alle vorhandenen URL-Listen sichtbar.
Webproxy 12.5 GUI-Referenz: Web Security (Diese Option befindet sich im Zusatzmodul Collax Web Security) Mit dem Web Security können bestimmte URLs anhand eines Web-Content-Filter gesperrt werden und der Inhalt auf Viren gefiltert werden. Der Benutzer erhält beim Aufruf einer gesperrten Seite eine Meldung des Filters mit dem Hinweis, dass die URL gesperrt ist.
Seite 428
Webproxy Also wird beispielsweise der URL <http: // 192.0.34.166> so behandelt wie <http: // www.example.com>. Es genügt also in diesem Fall, wenn in einer Regel „www.example.com“ gesperrt wird. Ein Zugriff über die zugehörige IP-Adresse ist dann ebenso ausgeschlossen. 12.5.1.2 Aktionen für dieses Formular •...
GUI-Referenz: Web Security Felder in diesem Dialog • Name: Hier wird der Name der Liste angezeigt. • Kommentar: Hier wird der Kommentartext angezeigt. Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion wird die ausgewählte Liste bearbeitet. • Löschen: Mit dieser Aktion wird eine Liste gelöscht. Die Datei mit den URLs ist noch bis zur nächsten Aktivierung der Konfiguration vorhanden und wird erst dann entfernt.
Seite 430
Webproxy • Kommentar: Hier kann ein Kommentartext zur Liste eingegeben werden. • URLs und Domains: In diesem Eingabefeld werden die URLs eingegeben. Wird eine Datei mit einer Liste hochgeladen, wird der Inhalt hier eingefügt. Jede URL muss in einer eigenen Zeile angegeben werden. Die Angaben für das Protokoll (z.
Seite 431
GUI-Referenz: Web Security folgt der String „exe“. Das „($|\?)“ ist eine Oder-Verknüpfung aus den beiden Teilausdrücken „$“ und „\?“. Mit dem Dollarzeichen wird ein Zeilenende beschrieben, der Ausdruck endet also mit dem „.exe“. Das Fragezeichen hat selbst eine besondere Funkti- on und muss daher maskiert werden.
Webproxy 12.5.3 Vordefinierte Listen (Dieser Dialog befindet sich unter Netzwerk – Web Security – Vor- definierte URL-Listen) ber diesen Dialog kann die Aktualisierung der Dansguardian- Listen konfiguriert werden. 12.5.3.1 TabListen Hier werden die aktuell installierten DansGuardian-Listen dargestellt. Spalten in der Tabelle •...
GUI-Referenz: Web Security 12.5.3.3 Abschnitt Hinweis Felder in diesem Abschnitt • Dansguardian-Listen sind noch nicht installiert: Dieses Feld er- scheint, wenn die Dansguardian-Listen noch nicht installiert sind. Die Dansguardian-Listen können unter Lizenzen und Module installiert werden. 12.5.4 Regeln (Dieser Dialog befindet sich unter Netzwerk – Web Security – Regeln) In diesem Dialog werden die Filterregeln für den Webproxyserver festgelegt.
Seite 434
Webproxy 12.5.4.1 Regeln (Dieser Dialog befindet sich unter Netzwerk – Web Security – Regeln) In diesem Dialog können neue Regeln hinzugefügt und vorhandene bearbeitet oder gelöscht werden. Zusätzlich können die Prioritäten geändert und die Regeln damit sortiert werden. Felder in diesem Dialog •...
Seite 435
GUI-Referenz: Web Security 12.5.4.2 Regel bearbeiten (Dieser Dialog befindet sich unter Netzwerk – Web Security – Regeln) In diesem Dialog wird eine Regel bearbeitet. Tab Grundeinstellungen Felder in diesem Abschnitt • Bezeichnung: Hier wird der Name der Regel angegeben. • Priorität: Die Priorität der Regel. Eine kleinere Zahl steht für eine höhere Priorität, die Regel wird dann weiter oben einsortiert.
Seite 436
Webproxy • URL-Listen: Hier sollten die Listen aktiviert werden, auf die sich die Regel bezieht. Diese Liste ist nur sichtbar, wenn die Option Alle URLs nicht aktiviert ist. • Cobion-Listen: In dieser bersicht sind die Listen aus dem Cobi- on-Filter sichtbar und können ausgewählt werden. Tab Berechtigungen Felder in diesem Abschnitt •...
Seite 437
GUI-Referenz: Web Security Felder in diesem Dialog • Bezeichnung: Hier wird der Name der Liste angezeigt. • Kommentar: Hier wird ein Kommentartext zur Liste angezeigt. Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion wird der Inhalt der Liste bearbeitet. •...
Seite 438
Webproxy vorab geladenen Dateien abgelegt werden. Das Verzeichnis muss vorher im Menü File-Shares angelegt und für den HTTP-Dienst freigegeben sein. • Manuell verwalten: Wird diese Option aktiviert, können die URLs der Liste manuell bearbeitet werden. Wird die Option abgeschal- tet, erscheint ein Eingabefeld, in dem die URLs eingegeben werden können.
Seite 439
GUI-Referenz: Web Security 12.5.6 Cobion (Diese Option befindet sich im Zusatzmodul Collax Surf Protection) (Dieser Dialog befindet sich unter Netzwerk – Web Security – Cobion) In diesem Dialog kann der Cobion-Filter konfiguriert werden. 12.5.6.1 Felder in diesem Dialog • Cobion-Dienst aktivieren: Mit dieser Option wird der Cobion- Dienst aktiviert.
Seite 440
Webproxy 12.5.7 Cobion-Listen (Diese Option befindet sich im Zusatzmodul Collax Surf Protection) (Dieser Dialog befindet sich unter Netzwerk – Web Security – Cobion-Listen) 12.5.7.1 URL-Listen (Dieser Dialog befindet sich unter Netzwerk – Web Security – Cobion-Listen) Felder in diesem Dialog •...
GUI-Referenz: Web Security 12.5.7.2 Cobion-Liste bearbeiten (Dieser Dialog befindet sich unter Netzwerk – Web Security – Cobion-Listen) Felder in diesem Dialog • Bezeichnung: In diesem Feld wird ein Name für die Liste angegeben. • Kommentar: Hier kann ein Kommentartext zu der Liste eingege- ben werden.
Seite 442
Webproxy 12.5.8.2 Aktionen für dieses Formular • Abbrechen: Bearbeiten des Dialogs beenden. Die Änderungen werden verworfen. • Speichern: Bearbeiten des Dialogs beenden. Die Änderungen werden gespeichert.
13 E-Mail 13.1 Einführung E-Mail ist einer der ältesten im Internet genutzten Dienste. Wäh- rend viele andere Dienste durch das „World Wide Web“ verdrängt wurden, hat E-Mail seine wichtige Stellung bis heute behaupten können. Aufgrund des Alters fehlen den für E-Mail genutzten Protokollen al- lerdings Schutzmechanismen, die vor gefälschten oder unerwünsch- ten E-Mails schützen.
Seite 444
E-Mail getrennt. Auch im Body dürfen nur druckbare Zeichen des ASCII- Zeichensatzes enthalten sein. Andere Zeichen müssen umkodiert werden. Binärdaten wie z. B. Bilder müssen in einen transportfähigen ASCII-Text konvertiert werden. Dies geschieht entweder durch UU- Kodierung oder durch das heutzutage sehr verbreitete MIME-Format („Multipurpose Internet Mail Extensions“).
Seite 445
Einführung Reply-To: Info <info@company.example.com> To: mustermann@mail.example.com Subject: Neue Artikel im System Content-Type: text/plain; charset=iso-8859-1 Content-Transfer-Encoding: 8bit MIME-Version: 1.0 Message-Id: <E1EuuMk-00037O-00@pc17.company.example.com> Date: Mon, 29 Jan 2007 17:22:58 +0100 Sehr geehrter Herr Mustermann, wir haben einige neue Artikel in unserem Shopsystem bereitgestellt: http://www.company.example.com/shop/index.html Mit freundlichem Gruss Hans Schulz...
Seite 446
E-Mail und sendet dazu seinen eigenen Namen mittels des Kommandos „HELO“. Der Server antwortet darauf mit einem Zahlenkode und seinem Namen. Dieser Zahlenkode ist dreistellig und wird bei jeder Antwort des Servers als erstes gesendet. Danach werden mit „MAIL FROM“ (Absender) und „RCPT TO“ (Empfänger) die Adressen der beiden beteiligten Benutzer angegeben und vom Server jeweils quittiert.
Seite 447
Server immer eine Klartextmeldung mitgeliefert, so dass die Kodes selbst nicht aufgeschlüsselt werden müssen. Bei Zustellungs- problemen werden diese Fehlermeldungen im Kommentarfeld der Mailqueue des Collax Servers angezeigt. Im Laufe der Jahre wurde SMTP überarbeitet, aber nie grundle- gend geändert. Es sind neue Funktionalitäten hinzugekommen, die als „Enhanced SMTP“...
Seite 448
E-Mail 13.1.3 POP3 Die Verwendung von SMTP erfordert, dass der Server – also der Zielrechner – immer unter derselben IP-Nummer erreichbar ist. SMTP ist daher kein geeignetes Protokoll, um Daten zu einem Arbeitsplatz- system zu übertragen. Zu diesem Zweck gibt es die Protokolle „POP“ und „IMAP“.
Seite 449
Einführung den normalen Mailverkehr hinausgehen. So lassen sich weitere Ordner anlegen, Ordner löschen und einzelne E-Mails zwischen den Ordnern verschieben. Entscheidend dabei ist, dass die E-Mails auf dem zentralen Server verbleiben. 13.1.5 Verschlüsselung In den ursprünglich spezifizierten Protokollen gab es keine Funk- tionen zum Verschlüsseln der bertragung.
Seite 450
Komponenten. Von rechts nach links sind dies die Top-Level- Domain (etwa „com“), die Domain selbst („cbs“) und optional ein oder mehrere Subdomains. Eine genauere Beschreibung der Internet- Domain findet sich im Kapitel über DNS. Im Collax Server werden Maildomains getrennt von den Internet-...
Seite 451
Einführung Domains im DNS verwaltet. Für jede angelegte Maildomain kann festgelegt werden, ob die Zustellung lokal erfolgen soll oder ob die E- Mails per SMTP an ein anderes System weitergereicht werden sollen. Beim Versenden einer E-Mail wird vom Mailclient gewöhnlich eine SMTP-Verbindung zum „Smarthost“...
Seite 452
Domains bestimmt sind, per SMTP an diesen Mailserver. Meist handelt es sich dabei um den MTA des eigenen Providers. Dieser MTA kann eine Authentifizierung verlangen („SMTP-AUTH“), damit ihn nur berechtigte Systeme als Relayserver nutzen. Im Collax Server kann bei der Konfiguration einer Domain im DNS...
Option Auto-MX aktiviert werden. Ist diese aktiv, wird geprüft, ob eine Maildomain gleichen Namens existiert, und in dem Fall der Collax Server selbst als MX für die Domain eingetragen. 13.1.8 Mailzustellung ohne SMTP Zur Annahme von SMTP-Verbindungen muss eine permanente Verbindung mit dem Internet unter einer festen IP-Nummer bestehen.
Seite 454
SMTP setzen. Rechner, die Mitglied einer Gruppe mit dieser Berechtigung sind, dürfen eine Verbindung zum SMTP-Dienst aufbauen. Ohne weitere Berechtigungen nimmt der Collax Server hier nur E-Mails für angelegte Maildomains an. E-Mails an fremde Domains wird er mit „Relaying Denied“ ablehnen.
Seite 455
Mail genutzt werden könnte. Durch die Berechtigung Mail-Relay ohne Authentifizierung können Systeme E-Mails von fremden an fremde Domains beim Collax Server einliefern. Dieser nimmt die E-Mails an und wird versuchen, sie zuzustellen. Diese Berechtigung sollte daher nie für eine Gruppe gesetzt werden, in der das Internet Mitglied ist.
E-Mail nutzer eine E-Mail-Adresse in der ausgewählten Domain erhält. Dabei werden auch die in seiner Benutzerkonfiguration angelegten Alias- Adressen berücksichtigt. Zusätzlich muss der Benutzer aber noch die Berechtigung Lokale Mailbox einrichten besitzen, damit überhaupt ein Postfach angelegt wird. Es empfiehlt sich, all diese Berechtigungen in einer eigenen Gruppe, etwa „Mailuser“, zusammenzufassen.
Seite 457
Klartext. Angreifer können diese Daten abfangen und E- Mails mitlesen. Dies lässt sich durch TLS-Verschlüsselung oder den Einsatz von VPN-Technologie verhindern. Beide Möglichkeiten werden vom Collax Server unterstützt. Die E-Mail selbst ist nicht verschlüsselt. Kritische Daten, etwa die Kalkulationen für einen Auftrag, die zwischen zwei Standorten eines Unternehmens verschickt werden, könnten mitgelesen werden.
Seite 458
E-Mail zur Bestätigung des Empfangs zu senden. Gegen E-Mails mit unerwünschten Inhalten (Spam, Viren usw.) können im Collax Server verschiedene Filter als Schutzmechanismen eingesetzt werden. Diese filtern nach bestimmten Kriterien und neh- men bedenkliche E-Mails in Quarantäne, löschen sie oder schicken sie mit einer Fehlermeldung zum Absender zurück.
Filtermechanismen Das Archiv lässt sich in mehrere Segmente unterteilen, deren Größe frei bestimmt werden kann. Aus den einzelnen Segmenten lassen sich ISO-Dateien generieren, die anschließend auf einen Da- tenträger, wie z.B. CD, DVD oder Blue-Ray, gebrannt werden können. 13.2 Filtermechanismen Zum Filtern von E-Mail gibt es verschiedene Ansatzpunkte und Verfahren.
Seite 460
Eine einfache berprüfung der HELO-Meldung des einliefernden Mailservers beim Aufbau der SMTP-Verbindung kann bereits einigen Spam ausschließen. Dabei prüft der Collax Server, ob der beim HELO übertragene Hostname ein gültiger FQDN ist. Bei einer verschärften Prüfung wird über DNS abgefragt, ob dieser Hostname überhaupt eingetragen ist.
Seite 461
Fehlermeldung abgewiesen. Dadurch ist der einliefernde Mailserver gezwungen, die E-Mail in seiner Mailqueue aufzubewahren und später einen erneuten Zustellversuch zu unternehmen. Intern speichert der Collax Server die drei Daten „IP-Adresse des Mailser- vers“, „E-Mail-Adresse des Empfängers“ und „E-Mail-Adresse des Absenders“ (auch als „Tupel“ bezeichnet).
Kriterium werden Punkte vergeben. Je mehr Punkte eine E-Mail am Ende erhalten hat, desto größer ist die Wahrscheinlichkeit, dass es sich um Spam handelt. Innerhalb des Collax Servers können zwei Punktegrenzen festgelegt werden, die die weitere Behandlung solcher E-Mail bestimmen.
Seite 463
Filtermechanismen berschreiten der ersten Punktegrenze wird die E-Mail als Spam markiert. Dazu wird der Betreff am Anfang um „***** SPAM *****“ erweitert. Damit kann beispielsweise ein Filter in Mail-Client- Software gesteuert werden, der Spam in einem separaten Ordner ablegt. Bei berschreiten der zweiten Punktegrenze kann die E-Mail verworfen, in der Mailqueue angehalten oder in einem Quarantäne- Ordner abgelegt werden.
Seite 464
Bayes-Filter kann das Razor- Netz kurzfristig auf neue bzw. modifizierte Spamwellen reagieren. 13.2.7 Filterkaskaden Werden alle verfügbaren Filter im Collax Server aktiviert, durch- läuft jede E-Mail sie in einer festgelegten Reihenfolge: • Wird eine E-Mail per SMTP direkt eingeliefert, kann die HELO- berprüfung durchgeführt werden, können E-Mails für unbekann-...
Seite 465
Schritt die E-Mail bzw. deren Attachments mit diesem Produkt auf Viren überprüft. • Ist ein Collax Virus Protection dem System lizenziert und für E- Mail aktiviert, wird im nächsten Schritt die E-Mail bzw. deren Attachments mit diesem Produkt auf Viren überprüft.
Seite 466
E-Mail verwenden. Wenn Sie mehrere Domains benutzen, wiederholen Sie diese Schritte für jede Domain. • Unter Art stellen Sie ein, ob Sie die Postfächer auf dem Collax Server selbst oder auf einem weiteren Mailserver verwalten möchten. Wählen Sie hier Lokal verwaltet aus, um die Konten...
Schritt für Schritt: Mailserver aktivieren • Mit Subdomains maskieren werden alle Subdomains genau wie die Domain selbst behandelt. Wenn Sie über Subdomains Mail- routing zwischen verschiedenen Systemen / Standorten betreiben möchten, deaktivieren Sie diese Option und führen Sie diese Schritte für jede Subdomain aus. •...
Seite 468
E-Mail • Nun sind zwei Reiter sichtbar, wechseln Sie zu Berechtigungen. • Hier können Sie auswählen, welche Gruppe in dieser Domain eine Adresse erhalten soll. Erstellen Sie entweder eine eigene Gruppe für den E-Mail-Dienst, oder verwenden Sie wie in der Abbildung die Gruppe Users.
Seite 469
Schritt für Schritt: Mailserver aktivieren • Ausgehende E-Mails können Sie über einen Relay-Host versenden. Dies ist erforderlich, wenn Sie mit einer IP-Adresse online gehen, die in Anti-Spam-Blacklisten erfasst ist, oder falls Ihr Provider den SMTP-Port als Anti-Trojaner-Maßnahme blockt. Aktivieren Sie dazu die Option Relay verwenden. •...
Seite 470
E-Mail vornehmen, die sinnvoll sind, wenn Sie E-Mails direkt per SMTP aus dem Internet annehmen (HELO-Identifizierung, Blacklists). Wenn Sie Ihre E-Mails bei einem Provider abrufen, sind diese Einstellungen nicht relevant. • Sie können die maximale Größe einer E-Mail festlegen. Diese Beschränkung gilt für jeglichen Mailverkehr –...
Seite 471
• Wenn Sie E-Mails aus dem Internet direkt mit SMTP annehmen wollen, aktivieren Sie zusätzlich noch die Gruppe Internet. • Unter Mail-Relay wählen Sie die Gruppen aus, die den Collax Server als Mail-Relay benutzen dürfen. Fast immer sind dies Ihre eigenen Benutzer aus dem lokalen Netz oder einer VPN- Verbindung.
E-Mail 13.4 GUI-Referenz: SMTP-Versand (Dieser Dialog befindet sich unter Mail und Messaging – Mail – SMTP-Versand Dieser Dialog enthält die Basiseinstellungen für den allgemeinen Versand von E-Mails. Ist der Dienst nicht korrekt konfiguriert, kann das System keine eigenen Mails (etwa an den Administrator) versenden.
GUI-Referenz: SMTP-Versand übertragen. Dies stellt kein Sicherheitsniveau dar, SMTP-Sitzun- gen funktionieren jedoch in den meisten aller Fälle. Die Option Wenn möglich führt dazu, dass der Server TLS- Verschlüsselung verwendet, falls der Remoteserver dies ebenso unterstützt. Dies gilt als optimale Einstellung, da das Sicherheits- niveau bei Bedarf erhöht wird und gleichzeitig gewährleistet ist, dass E-Mails ins Internet ausgeliefert werden können.
Seite 474
E-Mail • Benutzerkennung: Verlangt der Relay-Server eine Authentifizie- rung, wird hier die Benutzerkennung zur Anmeldung hinterlegt. • Passwort: Verlangt der Relay-Server eine Authentifizierung, wird hier das Passwort zur Anmeldung hinterlegt. • Maildomain: Diese Domain wird bei abgehenden E-Mails ange- hängt, wenn der Absender keine Domain gesetzt hat. Dies ist insbesondere bei E-Mails der Fall, die vom System selbst gene- riert werden.
13.5 GUI-Referenz: SMTP-Empfang (Dieser Dialog befindet sich im Zusatzmodul Collax Communication Server und Collax Mail Security unter Mail und Messaging – Mail – SMTP-Empfang) In diesem Dialog werden die verschiedenen Einstellungen vorge- nommen, die den SMTP-Empfang betreffen.
E-Mail zwischen zwei benachbarten Systemen. Dies kann etwa zwischen einer Zweigstelle und der Zentrale eines Unternehmens oder einem Außendienstmitarbeiter und der Firma erfolgen. Sobald die E-Mail weiter durch das Internet versandt wird, wird sie unverschlüsselt übertragen. Um eine E-Mail verschlüsselt durch das gesamte Internet zu übertragen, muss auf den PCs beider Kommunikationspartner im Mailclient eine zusätzliche Software (PGP, S / MIME o.
Seite 477
GUI-Referenz: SMTP-Empfang nur E-Mails an, die entweder für eine interne Maildomain be- stimmt sind oder die von einem System eingeliefert werden, welches die Berechtigung zum „Weiterleiten“ („Relayen“) hat. Letzteres wird üblicherweise nur für IP-Adressen im lokalen Netz erlaubt. Wird diese Option aktiviert, kann der SMTP-Dienst auch von Systemen bzw.
Seite 478
E-Mail Wird kein Zertifikat ausgewählt, kann TLS nicht verwendet werden. • Zertifikat erzwingen: Eine sichere Anmeldung an einem Mailserver ist nur bei verschlüsseltem Austausch der Zugangsdaten möglich. Dazu muss in jeder SMTP-Verbindung TLS (Transport Layer Se- curity) aktiviert werden. Für eine TLS-Verbindung benötigt jedes der beiden Systeme ein Zertifikat.
Seite 479
GUI-Referenz: SMTP-Empfang 13.5.3 Tab Optionen 13.5.3.1 Felder in diesem Abschnitt • Logauswertung aktivieren: Ist diese Option aktiv, wird die Log- auswertung für den SMTP-Server aktiviert. Dann sind in der Systemüberwachung Statistiken über die Nutzung des Mailservers verfügbar. • Mailfilter für alle E-Mails: Ist diese Option aktiviert, werden alle E-Mails durch die Spam- und Virenfilter geleitet.
Seite 480
E-Mail in erster Linie eine wirkungsvolle Maßnahme gegen Spam, kann aber in Einzelfällen zu Problemen führen. • Maximale Größe einer E-Mail: Dieser Parameter legt die maximale Größe einer einzelnen E-Mail in Megabyte fest. Folgendes ist bei der Angabe zu berücksichtigen: Da ein- oder ausgehende E-Mails mit Anhängen vom E-Mail-Client kodiert werden, ist die Größe beim Versand oder Empfang um ungefähr ein Drittel größer, als ursprünglich beim Verfassen der E-Mail-Daten auf dem Client.
Seite 481
Maildomain des Absenders in der DNS-Datenbank existiert (A- oder MX-Record). Ist dies nicht der Fall, wird die E- Mail zurückgewiesen. Für lokale Absender wird zusätzlich geprüft, ob die Absender- adresse auf dem Collax Server existiert. Ist dies nicht der Fall, wird die E-Mail zurückgewiesen.
Seite 482
E-Mail 13.6 Schritt für Schritt: IMAP und POP3 nutzen • Öffnen Sie die IMAP/ POP3-Konfiguration unter Mail und Messa- ging – Mail – IMAP und POP3. • In den Grundeinstellungen können Sie die Dienste POP3 und IMAP aktivieren. • Wenn Sie die verschlüsselte Variante wählen, benötigen Sie zu- sätzlich ein Zertifikat für Ihren Server.
Schritt für Schritt: IMAP und POP3 nutzen • Wechseln Sie auf den Reiter Berechtigungen. • Aktivieren Sie Lokale Mailbox / Web-Mail für die Gruppe, in der Sie die Mailberechtigungen verwalten. In der Abbildung wird hierfür die Gruppe Users genutzt. Durch diese Berechtigung wird ein Postfach erzeugt und die Web-Mail-Funktion kann be- nutzt werden.
E-Mail 13.7 GUI-Referenz: IMAP und POP3 (Diese Option befindet sich im Zusatzmodul Collax Communication Server) (Dieser Dialog befindet sich unter Mail und Messaging – Mail – IMAP und POP3) In diesem Dialog können die POP3- und IMAP-Server aktiviert werden, über die Benutzer Zugang zu ihren Postfächern erhalten.
GUI-Referenz: IMAP und POP3 13.7.2 Tab Grundeinstellungen, Abschnitt E-Mail-Dienste 13.7.2.1 Felder in diesem Abschnitt • Unverschlüsseltes POP3 aktivieren: Mit dieser Option wird das unverschlüsselte POP3-Protokoll auf Port 110 aktiviert. • Unverschlüsseltes IMAP aktivieren: Mit dieser Option wird das unverschlüsselte IMAP-Protokoll auf Port 143 aktiviert. •...
Seite 486
Rechner und Netze in den angegebenen Gruppen erhalten die Berechtigung, den IMAP- und POP3-Server zu kontaktieren, auch in der verschlüsselten Variante. Ist der Collax Web-Access aktiviert, erhalten die Benutzer darüber zusätzlich die Berechtigung, die Web-Mail-Funktion zu benutzen. • Verbindung zum POP3-Server: Zusätzlich zu den Netzwerken und Rechnern in den Gruppen, die unter Mailbox anlegen für angege-...
Seite 487
GUI-Referenz: IMAP und POP3 13.7.4 Tab Optionen, Abschnitt Allgemein 13.7.4.1 Felder in diesem Abschnitt • Alternativer IMAP-Namensraum: Normalerweise werden die Mail- ordner eines Benutzers als Unterordner der INBOX angezeigt. Die Ordner anderer Benutzer und öffentliche Ordner erscheinen parallel auf der gleicher Ebene der INBOX. Durch das Aktivieren dieser Option wird ein alternatives Sche- ma verwendet.
E-Mail alle vorhandenen Gemeinsamen Ordner automatisch für den E- Mail-Client abonniert. 13.8 GUI-Referenz: Gemeinsame Ordner (Diese Option befindet sich im Zusatzmodul Collax Communication Server) (Dieser Dialog befindet sich unter Mail und Messaging – Mail – Gemeinsame Ordner) Bei der Verwendung des IMAP-Protokolls können auf dem Mail- server Ordner angelegt werden, auf die alle Benutzer gemeinsam Zugriff haben.
GUI-Referenz: Gemeinsame Ordner 13.8.1.1 Felder in diesem Dialog • Name: Hier wird der Name des Ordners angezeigt. Der Ordner er- scheint in der Mail-Client-Software als Unterordner von „Public“. • Kommentar: Hier wird ein Kommentartext zum Ordner angezeigt. 13.8.1.2 Aktionen für jeden Tabelleneintrag •...
E-Mail 13.8.2.1 Tab Grundeinstellungen, Abschnitt Grundeinstellungen Felder in diesem Abschnitt • Name: Hier wird der Name des Ordners angegeben. Der Ordner wird als Unterordner von „Public“ auf diesem System angelegt. • Name: Hier wird der Name des angelegten Ordners angezeigt. •...
Seite 491
GUI-Referenz: Gemeinsame Ordner angelegten Maildomains eine Adresse für den Ordner angelegt wird. • Größe (in MByte): In diesem Feld kann eine maximale Größe des Ordners vorgegeben werden. Wird hier keine Angabe gemacht, hat der Ordner keine Größenbeschränkung. • Nachrichten werden gelöscht nach (Tage): Hier kann eine maxi- male Haltezeit der E-Mails im Ordner eingestellt werden.
Seite 492
E-Mail 13.9 GUI-Referenz: Administrative Ordner (Diese Option befindet sich im Zusatzmodul Collax Communication Server und Collax Mail Security) (Dieser Dialog befindet sich unter Mail und Messaging – Mail – Administrative IMAP-Ordner) Das System legt automatisch IMAP-Ordner an, in denen z. B.
GUI-Referenz: Administrative Ordner • Kommentar: Hier wird ein Kommentartext zur Verwendung des Ordners angezeigt. 13.9.1.2 Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion können die Einstellungen für einen Ordner bearbeitet werden. 13.9.2 Ordner bearbeiten (Dieser Dialog befindet sich unter Mail und Messaging – Mail – IMAP Administrative Ordner) In diesem Dialog werden die Einstellungen für einen Ordner bearbeitet.
Seite 494
Gruppen Mitglied sind, können E-Mails in diesem Ordner lesen, schreiben und löschen. 13.10 GUI-Referenz: Domains (Diese Option befindet sich im Zusatzmodul Collax Communication Server und Collax Mail Security) (Dieser Dialog befindet sich unter Mail und Messaging – Mail – Domains) In diesem Dialog werden die Maildomains angegeben, für die...
GUI-Referenz: Domains Es obliegt der E-Mail-Client-Anwendung den Domain-Namen korrekt in Punycode umzuwandeln, damit der Versand von E- Mails mit Umlauten funktioniert. • Kommentar: Ein Kommentartext zu dieser Maildomain. 13.10.1.2 Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion können die Einstellungen einer Maildomain bearbeitet werden.
Seite 496
IP-Adresse des Zielsystems, sondern auf den Urspung der E- Mail. Bei interner Weiterleitung wird für die Maildomain aus allen Netzen E-Mail angenommen, auch aus dem Internet. Der Collax Server arbeitet als Mail-Relay. Bei externer Weiterleitung werden nur lokal erzeugte E-Mails bzw.
Seite 497
GUI-Referenz: Domains Subdomains der konfigurierten Domain so behandelt wie E-Mails an die Domain selbst. Ist diese Option deaktiviert, werden mehrere Subdomains un- terschieden. In diesem Fall muss für alle genutzten Subdomains ein weiterer Domain-Eintrag angelegt werden, in dem eingestellt wird, ob diese Subdomain lokal zugestellt wird oder an einen anderen Mailserver weitergeleitet wird.
Seite 498
E-Mail name des Mailservers angegeben, an den die E-Mails für diese Domain per SMTP weitergeleitet werden sollen. • SMTP-Port: Soll ein Relay-Host verwendet werden, kann hier zusätzlich der Port des Relay-Hosts eingegeben werden, falls dieser vom Standard abweicht. Bleibt das Feld leer, wird der Standard-Port 25 für SMTP verwendet.
E-Mail 13.11 GUI-Referenz: Verteiler (Diese Option befindet sich im Zusatzmodul Collax Communication Server) (Dieser Dialog befindet sich unter Mail und Messaging – Mail – Verteiler) In diesem Dialog können Verteiler für E-Mails angelegt werden. Dabei handelt es sich jeweils um eine oder mehrere Sammeladres- sen, die an mehrere Benutzer verteilt werden.
Seite 500
E-Mail 13.11.1.3 Aktionen für diesen Dialog • Verteiler anlegen: Mit dieser Aktion wird ein neuer Verteiler eingerichtet. 13.11.2 Verteiler bearbeiten (Dieser Dialog befindet sich unter Mail und Messaging – Mail – Verteiler) 13.11.2.1 Tab Grundeinstellungen, Abschnitt Grundeinstellungen Felder in diesem Abschnitt •...
GUI-Referenz: Verteiler 13.11.2.2 Tab Berechtigungen, Abschnitt Berechtigungen Felder in diesem Abschnitt • Gruppen in diesem Verteiler: Benutzer, die zu einer der aktivierten Gruppen gehören, werden mit in den Verteiler aufgenommen. 13.11.2.3 Tab Optionen, Abschnitt Optionen Felder in diesem Abschnitt • Adresse(n) des Verteilers: Hier können weitere E-Mail-Adressen angegeben werden, die über den Verteiler an mehrere Benutzer verteilt werden sollen.
Seite 502
E-Mail nen dazu in diesem Feld einzelne E-Mail-Adressen angegeben werden. Bei der Angabe mehrerer Adressen wird pro Zeile eine vollständige E-Mail-Adresse eingetragen.
Seite 503
E-Mail 13.12 Schritt für Schritt: Postfach abrufen • Wechseln Sie zu Mail und Messaging – Mail – Abholung. • Öffnen Sie mit Mailbox-Abholung einrichten den Dialog zum An- legen eines Abholjobs. • Vergeben Sie einen Namen und einen Kommentar für das Postfach.
Seite 504
Dann können Sie im unteren Teil des Dialogs auswählen, an welchen Benutzer das jeweilige Postfach zugestellt werden soll. • Normalerweise prüft der Collax Server, ob die Absenderdomain existiert. Ist diese nicht der Fall, werden die E-Mails verworfen. Wenn Sie alle E-Mails bekommen möchten, aktivieren Sie Mail- domain des Absenders nicht überprüfen.
Schritt für Schritt: Postfach abrufen • Wechseln Sie zu Abholzeiten. • Fügen Sie einen Zeitraum hinzu. • Setzen Sie für den Zeitraum Always etwa ein Intervall von 5 Minuten. Wenn Sie keine permanente Internetverbindung haben, wählen Sie das Intervall entsprechend größer.
E-Mail 13.13 GUI-Referenz: Abholung (Diese Option befindet sich im Zusatzmodul Collax Communication Server und Collax Mail Security) (Dieser Dialog befindet sich unter Mail und Messaging – Mail – Abholung) In diesem Dialog können Abholaufträge verwaltet werden, die E- Mails aus externen Postfächern abholen und ins lokale Mailsystem einspeisen.
GUI-Referenz: Abholung 13.13.1.2 Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion wird die Konfiguration des ausge- wählten Abholauftrags bearbeitet. • Löschen: Mit dieser Aktion wird der Abholauftrag für das Postfach gelöscht. 13.13.1.3 Aktionen für diesen Dialog • Mailbox-Abholung anlegen: Mit dieser Aktion wird ein neuer Ab- holauftrag für ein externes Postfach angelegt.
Seite 508
Abholauftrag nur einem konkreten Benutzer zugestellt werden. Bei „Multidrop“-Postfächern werden alle E-Mails in ein einziges Postfach abgelegt und der Collax Server muss den Inhalt des Postfachs wieder auf unterschiedliche Benutzer verteilen. ESMTP ist ein Sonderfall des SMTP-Protokolls, bei dem kein eigentliches Postfach auf dem Mailserver existiert.
Seite 509
GUI-Referenz: Abholung In den meisten Fällen kann diese Einstellung auf automatisch gesetzt werden. • Maildomain des Absenders nicht überprüfen: blicherweise wer- den die E-Mails überprüft, ob die Maildomain des Absenders in der DNS-Datenbank existiert. E-Mails von nicht existenten Absendern werden verworfen. Durch das Aktivieren dieser Option wird die berprüfung ausgeschaltet.
Seite 510
E-Mail • Weiterleiten an diese E-Mail-Adresse: Sollen die E-Mails an eine externe E-Mail-Adresse weitergeleitet werden, muss diese hier angegeben werden. • E-Mails nicht vom Server löschen: Wird diese Option aktiviert, löscht der Abholauftrag heruntergeladene E-Mails nicht auf dem Server. Dies ist bei der Einrichtung zum Testen oder bei Zugriff von verschiedenen Systemen auf das gleiche Postfach nützlich.
Seite 511
GUI-Referenz: Abholung Empfänger der E-Mail „verloren“, da diese Information nicht unter allen Bedingungen in der E-Mail selbst enthalten ist (Problematik mit CC- und BCC-Feldern oder mehrfachen Emp- fängern). Die meisten Provider fügen daher beim Ablegen der E- Mail in das Postfach eine zusätzliche Kopfzeile ein, in der der eigentliche Empfänger der E-Mail angegeben ist.
Seite 512
E-Mail 13.14 GUI-Referenz: Abholzeiten (Diese Option befindet sich im Zusatzmodul Collax Communication Serverund Collax Mail Security) (Dieser Dialog befindet sich unter Mail und Messaging – Mail – Abholzeiten) In diesem Dialog wird eingestellt, in welchen Zeiträumen und Intervallen die definierten Abholaufträge zum Leeren externer Post- fächer ausgeführt werden sollen.
GUI-Referenz: Abholzeiten • Löschen: Mit dieser Aktion wird der gewählte Abholzeitraum gelöscht. 13.14.1.3 Aktionen für diesen Dialog • Zeitraum hinzufügen: Mit dieser Aktion kann ein weiterer Zeitraum hinzugefügt werden. 13.14.2 Mailbox-Abholzeit bearbeiten (Dieser Dialog befindet sich unter Mail und Messaging – Mail – Abholzeiten) 13.14.2.1 Felder in diesem Dialog •...
E-Mail 13.14.3 GUI-Referenz: E-Mail-Archivierung (Diese Option befindet sich im Zusatzmodul Collax E-Mail Archive) (Dieser Dialog befindet sich unter Mail und Messaging – Mail – E- Mail-Archivierung) 13.14.3.1 Abschnitt Hinweis Felder in diesem Abschnitt • Der SMTP-Dienst ist nicht aktiviert: Um die E-Mail-Archivierung benutzen zu können, ist der SMTP-Dienst zu aktivieren.
GUI-Referenz: Abholzeiten • Verzeichnis für ISO-Dateien: In diesem Feld kann der Name des Verzeichnisses angegeben werden, in das die erzeugten ISO- Dateien abgelegt werden. 13.14.3.4 Tab Berechtigungen, Abschnitt Zugriff auf ... Felder in diesem Abschnitt • Persönliche Archivsuche: Benutzer der markierten Gruppen dürfen das E-Mail-Archiv durchsuchen.
E-Mail • Sender-Domains: Aktiviert die Archivierung für E-Mails, die von den ausgewählten Domains gesendet wurden. • Empfänger-Domains: Aktiviert die Archivierung für E-Mails, die an die ausgewählten Domains gesendet wurden. Hinweis: Wenn hier eine lokal verwaltete Maildomain ausgewählt wird, werden E-Mails auch an andere, nicht ausgewählte, aber lokal verwaltete Maildomains archiviert.
GUI-Referenz: Abholzeiten 13.14.3.9 Tab Vier-Augen-Prinzip, Abschnitt Auditor-Zugriff zweite Person Felder in diesem Abschnitt • Kontrollpasswort für die Archivsuche: Das Kontrollpasswort muss mindestens 12 Zeichen enthalten. Es können Sonderzeichen verwendet werden. Um das Vier-Augen-Prinzip durchzusetzen, ist an dieser Stelle die Vorgabe des Passworts durch eine weitere Person erforderlich.
E-Mail 13.14.4 Archivstatus (Dieser Dialog befindet sich unter Systembetrieb – E-Mail-Archivie- rung – Archivstatus) 13.14.4.1 Liste der Archiv-Volumes Spalten in der Tabelle • ID: Die interne Identifikation eines Archiv-Volumes. • Status: Beschreibt den aktuellen Status eines Archiv-Volumes. • Aktiv: Das Archiv-Volume wird zur Archivierung weiterhin beschrieben.
Seite 519
GUI-Referenz: Abholzeiten Aktionen für jeden Tabelleneintrag • Details: Zeigt Detailinformationen zu einem Archiv-Volume an. • Volume deaktivieren: Hier kann ein aktives Archiv-Volume deak- tiviert werden, damit es nicht mehr beschrieben wird. Ein neues Archiv-Volume wird automatisch angelegt und aktiviert. • ISO erstellen: Hier kann eine ISO-Datei aus einem deaktivierten Archiv-Volume erstellt werden.
Seite 520
E-Mail ISO erstellt. Daher ist ein Löschen dieses Archiv-Volumes noch nicht möglich. • Inaktiv, ISO erstellt: Das Archiv-Volume wird nicht mehr beschrieben. Aus diesem Archiv-Volume wurde bereits ein ISO erstellt. Dieses Archiv-Volume kann gelöscht werden. • Angelegt am: Beschreibt den Erstellungszeitpunkt des Archiv- Volumes.
Seite 521
GUI-Referenz: Abholzeiten 13.14.4.3 ISO erstellen Abschnitt Details Felder in diesem Abschnitt • ID: Die interne Identifikation eines Archiv-Volumes. • Angelegt am: Beschreibt den Erstellungszeitpunkt des Archiv- Volumes. • Plattenplatz (davon belegt): Beschreibt die eingestellte Größe des Volumes zum Erstellungszeitpunkt, mit Angabe des bisher verbrauchten Festplattenspeichers.
E-Mail Abschnitt Log Felder in diesem Abschnitt • Fortschritt: Hier wird der Prozess der Erstellung der ISO-Datei angezeigt. Aktionen für dieses Formular • Generieren: Mit dieser Aktion wird die Erstellung der ISO-Datei gestartet. • Zurück: Diese Aktion führt zurück zur bersicht des Archivstatus. 13.14.5 GUI-Referenz: Volume laden (Dieser Dialog befindet sich unter Systembetrieb –...
Seite 523
GUI-Referenz: Abholzeiten Spalten in der Tabelle • ID: Die interne Identifikation eines Archiv-Volumes. • Größe: Beschreibt die Größe des geladenen Archiv-Volumes in • Datum der ersten E-Mail: Beschreibt den Zeitpunkt an dem die erste E-Mail in dieses Archiv-Volume geschrieben wurde. •...
Seite 524
E-Mail kann auch der Inhalt des Datenträgers in ein Verzeichnis einer PC- Arbeitsstation kopiert und im Netzwerk als Freigabe zur Verfügung gestellt werden. In diesem Formular werden die Daten der Windows-Freigabe an- gegeben, um den Inhalt des Archiv-Volumes in die E-Mail-Archivsuche einzubinden.
Seite 525
GUI-Referenz: Abholzeiten Abschnitt Ladeprozess Felder in diesem Abschnitt • Fortschritt: Ist die Aktion Archiv-Volume laden ausgeführt, wird hier der Fortschritt des Ladeprozesses ausgegeben.
Seite 526
E-Mail 13.15 Schritt für Schritt: Spamfilter aktivieren • Wechseln Sie zu Mail und Messaging – Mail Security – Spam. • Aktivieren Sie den Spam-Filter. • Die intern eingesetzte Software vergibt für bestimmte Kriterien Punkte. Je höher der Punktewert, desto größer ist auch die Wahrscheinlichkeit, dass eine E-Mail Spam ist.
Schritt für Schritt: Spamfilter aktivieren • Als Spam erkannte E-Mails können Sie auf verschiedene Arten weiterleiten. Wählen Sie hier Als Textanhang weiterleiten, damit eventuell enthaltene HTML-Formulare deaktiviert werden. • Durch die Markierung im Betreff der E-Mail werden als Spam klassifizierte E-Mails markiert. Sie können diese Markierung dann nutzen, um in Ihrem Mailclient einen Filter einzurichten und solche Mails in einem eigenen Ordner abzulegen.
Seite 528
E-Mail Punktezahl die Mails in „Spam-“ und „Ham-Ordner“ aufzuteilen. • Wechseln Sie zum Reiter Berechtigungen. • Aktivieren Sie den Spam- / Ham-Ordner. • In diese IMAP-Ordner können Sie nun Spam und harmlose E- Mails („Ham“) sortieren. Ab einem Bestand von über 1000 E- Mails kann der Spamfilter dies als zusätzliche Wissensdatenbank heranziehen.
E-Mail 13.16 GUI-Referenz: Mail Security 13.16.1 Antivirus Mail-Filterung (Dieser Dialog befindet sich unter Mail und Messaging – Mail Security – Antivirus Mail-Filterung) 13.16.1.1 Tab Grundeinstellungen, Abschnitt Filterung Felder in diesem Abschnitt • Aktivieren: Diese Option schaltet die Filterung auf Viren für den E-Mail-Verkehr ein.
E-Mail 13.16.1.2 Tab Grundeinstellungen, Abschnitt Bei erkannten Viren Felder in diesem Abschnitt • Infizierte E-Mails: Infizierte Nachrichten können durch unter- schiedliche Methoden behandelt werden. Der Empfänger kann hierüber eine Warnung per E-Mail erhalten. Hierbei wird der in- fizierte Nachrichtenteil mit versendet. Alternativ können infizierte Nachrichten in Quarantäne geschoben und mit weiteren Metho- den behandelt werden.
GUI-Referenz: Mail Security 13.16.1.4 Tab Grundeinstellungen, Abschnitt Quarantäne Felder in diesem Abschnitt • Quarantäneverfahren: Es gibt verschiedene Quarantäneverfahren. E-Mails können in den administrativen IMAP-Ordner admin.virus zur Durchsicht abgelegt werden oder in der Mail-Queue des Mailservers vorgehalten werden. Alternativ können infizierte Nachrichten an ein bestimmtes Postfach weitergeleitet werden.
E-Mail 13.16.2 Spamfilter (Diese Option befindet sich im Zusatzmodul Collax Mail Security) (Dieser Dialog befindet sich unter Mail – Mail Security – Spam) In diesem Dialog wird der inhaltsbasierte Spamfilter für das Mail- system konfiguriert. 13.16.2.1 Tab Spam-Inhalts-Filter, Abschnitt Grundeinstellungen Felder in diesem Abschnitt •...
Seite 533
GUI-Referenz: Mail Security 13.16.2.2 Tab Spam-Inhalts-Filter, Abschnitt E-Mail ist wahrscheinlich Spam Felder in diesem Abschnitt • ab Schwellenwert: Jede E-Mail wird nach verschiedenen Kriterien bewertet. Für jedes zutreffende Kriterium erhält die E-Mail eine Anzahl Punkte, die aufsummiert werden. Mit diesem Parameter wird festgelegt, ab welcher Punktzahl eine E-Mail als Spam behandelt wird.
E-Mail 13.16.2.3 Tab Spam-Inhalts-Filter, Abschnitt Nachricht ist sicher Spam Felder in diesem Abschnitt • ab Schwellenwert: Hier wird eingestellt, was mit E-Mails gesche- hen soll, die als Spam erkannt wurden. Spam kann gelöscht, in einem eigenen Ordner gespeichert oder angehalten werden („Quarantäne“).
Seite 535
GUI-Referenz: Mail Security ähnlich. Hier wird die E-Mail allerdings in einem Postfach gespei- chert, welches von Zeit zu Zeit auf False Positives durchgesehen werden kann. Die Aktion Weiterleitung an Postfach funktioniert so, dass die E-Mail an ein externes Postfach zur weiteren administrativen Bearbeitung zugestellt wird.
Seite 536
E-Mail 13.16.2.4 Tab Heuristik (Bayes), Abschnitt Heuristischer Filter (Bayes) Obwohl die Bewertungen des Spamfilters recht zuverlässig sind, kann es dennoch vorkommen, dass E-Mails falsch klassifiziert wer- den. Ein anderer Ansatz zur Spamerkennung verwendet keinen festen Regelsatz mit einem Punktesystem, sondern versucht, über eine Wissensdatenbank eine Entscheidung zu treffen.
Seite 537
Collax Server an dem definierten externen Server mit IMAP- Postfach an. • Passwort: Hier wird das Passwort zur Anmeldung eingegeben. • Spam-IMAP-Ordner: Hier wird der Ordner definiert, den der Collax Server zum Lernen von Spam-E-Mails verwenden soll. Die Ordner müssen in IMAP-Schreibweise, mit Punkten getrennt, angegeben werden.
E-Mail den, aus den entsprechenden Ordnern auf dem Remote-Server gelöscht. 13.16.2.5 Tab Heuristik (Bayes), Abschnitt Filter aus Zarafa trainieren Felder in diesem Abschnitt • : Diese Funktion kann genutzt werden, wenn das Zarafa IMAP- Gateway aktiviert ist. • Aktivieren: Mit dieser Option kann der Spam-Filter durch die Public Folder LearnAsHam und LearnAsSpam der Zarafa Group- ware trainiert werden.
Seite 539
GUI-Referenz: Mail Security • Manuell Blacklists eintragen: Hier können weitere Blacklists manuell eingetragen werden. Bestimmte Anbieter bieten kom- merzielle Blacklists oder dynamische online Blacklists, die eine Anmeldung erfordern. 13.16.2.7 Tab Reputationsdienste, Abschnitt Online-Blacklists für Inhaltsbewertung Felder in diesem Abschnitt • Verwenden: Diese Option aktiviert die Abfrage von Spam-Block- Listen, die im DNS-System abgelegt sind.
Seite 540
E-Mail chungsnetzwerk für E-Mail, durch das Spam-E-Mails zuverlässig identifiziert werden können. • Gewichtung für SenderBase-Eintrag: Hier kann zusätzlich eine Gewichtung zwischen 10% und 200% für den Wert eingegeben werden, welchen die E-Mail durch SenderBase® erhalten hat. • NiX-Spamfilter verwenden: NiX Spam ist ein Spamfilter-Projekt der Zeitschrift iX.
Seite 541
GUI-Referenz: Mail Security Felder in diesem Abschnitt • DKIM E-Mail- berprüfung verwenden: Eingehende E-Mails können auf eine DKIM-Signature getestet werden. • Bonuspunkte für Absender in der DKIM-Whitelist: Falls der Absen- der in der Whitelist vorhanden ist, werden die angegebenen Punkte von der Spam-Bewertung abgezogen. •...
Seite 542
E-Mail men wird, die über keine Mailqueue verfügen (und damit keine richtigen Mailserver sind). • Verzögerungsdauer (in Sekunden): Mit diesem Wert wird festge- legt, wie lange die Sperrfrist dauern soll. Voreinstellung sind 300 Sekunden, also 5 Minuten. Verbindet sich ein Mailserver nach der ersten Ablehnung innerhalb der Sperrfrist erneut, wird er wieder mit einer temporären Fehlermeldung abgewiesen.
Seite 543
Sekunden dem eingehenden Server übermittelt wird. • Verzögerung Stufe 2: Die Verzögerung der Stufe 2 bewirkt, dass die Antwort auf die Helo-Verbindung vom Collax Server erst nach den angegebenen Sekunden dem eingehenden Server übermit- telt wird. 13.16.3 Spam White-/Blacklist (Dieser Dialog befindet sich unter Mail –...
Seite 544
E-Mail hohen Bonus für die Spam-Bewertung, dass seine E-Mails nie als Spam klassifiziert werden. Analog zur Whitelist wird hier eine Liste von Absenderadressen verwaltet, deren E-Mails durch eine hohe Spam-Punktezahl immer als Spam klassifiziert werden. Ebenso wird in diesem Dialog eine Liste von Absenderadressen für DKIM verwaltet, für die keine Spamfilterung durchgeführt wird.
Seite 545
GUI-Referenz: Mail Security Die beiden Teile der Adresse (Emfänger und Domain) werden als Muster verwendet. Es ist möglich, Wildcards zu verwenden: Ein Fragezeichen steht für ein einzelnes und ein Stern (*) für beliebig viele beliebige Zeichen (hier werden keine regulären Ausdrücke eingesetzt).
Seite 546
E-Mail 13.16.4 GUI-Referenz: Kopfzeilen/MIME-Filter (Dieser Dialog befindet sich unter Mail – Mail Security – Kopfzeilen / MIME-Filter) In diesen Dialogen können eigene Regeln zum Filtern von E-Mail- Anhängen erstellt werden. Dabei kann sowohl auf die Dateiendung als auch auf den MIME-Content-Type gefiltert werden. Ebenso werden in diesen Dialogen Filter für Zeilen im Header der E-Mail („Kopfzeilen“) verwaltet.
Seite 547
GUI-Referenz: Mail Security Tab MIME E-Mails enthalten oft unerwünschte oder gefährliche Inhalte, die nicht an die Benutzer ausgeliefert werden sollten. In diesem Dialog werden Regeln für das Filtern von Anhängen bearbeitet. Spalten in der Tabelle • Bezeichnung: Hier wird eine Bezeichnung für die Regel angegeben.
Seite 548
E-Mail Bleibt das Feld leer, wird nur die Existenz der Kopfzeile geprüft. In diesem Feld werden reguläre Ausdrücke ausgewertet. Bei- spiel: Kopfzeile „From“ und als Inhalt „user.*“. sorgen dafür, dass sämtliche E-Mails von einer Absenderadresse mit der Zei- chenkette „user“ am Anfang, gefolgt von beliebigen (oder gar keinen) Zeichen, gefiltert werden („.*“...
Seite 549
GUI-Referenz: Mail Security Es können auch neue Kopfzeilen eingefügt werden. Wird diese Option ausgewählt, kann in einem weiteren Feld der gewünschte Text zum Einfügen angegeben werden. Mit Ersetzen wird die gefundene Kopfzeile entfernt und durch eine neue ersetzt. • Einfügung / Ersetzung: Wird als Aktion Einfügen gewählt, kann hier die einzufügende Kopfzeile angegeben werden.
Seite 550
E-Mail • Aktion: In dieser Liste wird ausgewählt, was mit einer entspre- chenden E-Mail geschehen soll: Wird Warnen ausgewählt, wird nur eine Warnung in die Log- datei geschrieben. Dies ist nützlich, wenn die Regeln zunächst einmal getestet werden. Die Aktion Anhalten behält die E-Mail in der Warteschlange, ohne sie zuzustellen („Quarantäne“).
Seite 551
GUI-Referenz: Mail Security Der „MIME-Content-Type“ ist zwar die genauere Angabe, man- che Mailprogramme (z. B. Microsoft Outlook) verlassen sich aber trotzdem eher auf die Endung des Dateinamens als auf diese Inhaltsangabe. Zudem kann die MIME-Angabe falsch gesetzt sein. Daher sollte zusätzlich für gefährliche Inhalte die Dateiendung angegeben werden.
14 Fileserver 14.1 Einführung ber den Fileserver im Collax Server können Verzeichnisse zum Ablegen und Bereitstellen von Daten exportiert werden. Dafür stehen mehrere verschiedene Protokolle zur Verfügung, je nach gewünsch- tem Einsatzzweck. Ein solches Vereichnis wird auch als „Share“ oder „Freigabe“...
Seite 554
Fileserver Es wird ebenfalls für Webseiten eingesetzt und kann bei gleichzeitig erforderlicher Nutzerauthentifizierung auch für die Bereitstellung privater Daten genutzt werden. FTP ist ein sehr altes Protokoll zum bertragen von Dateien. Es ist unverschlüsselt und wird heutzutage meist genutzt, um größere Datenbestände (Treiber und Softwarepakete) im Internet zugänglich zu machen.
Schritt für Schritt: Ein Share anlegen Dienste, die aufgrund fehlender Verschlüsselungsmöglichkeiten nur zur Verwendung im lokalen Netz empfohlen sind, können durch die Nutzung von VPN-Verbindungen auch vom Home-Office aus oder von unterwegs genutzt werden. Eine VPN-Verbindung bindet den jeweiligen Rechner in einem „lokalen Netz“ an. 14.2 Schritt für Schritt: Ein Share anlegen In diesem Beispiel soll ein Share angelegt werden, welches für Windows-Netze über SMB / CIFS und zuätzlich über HTTP exportiert...
Seite 556
Fileserver • Legen Sie durch Verzeichnis anlegen ein neues Share an. • Geben Sie dem Share einen Namen. Dieser kann später nicht mehr geändert werden. • Unter Dienste wählen Sie die Dienste aus, über die das Share exportiert werden soll. Abhängig von den hier vorgenommenen Einstellungen werden unter dem Reiter Optionen weitere Einstel- lungen ein- bzw.
Seite 557
Sie kein PHP nutzen möchten, lassen Sie die Option deaktiviert. • Aktivieren Sie Volltextsuche, wenn Sie die Dateien im Share mit in die Suchmaschine des Collax Servers aufnehmen möchten. Diese ist über das User-Portal „Web-Access“ zugänglich. • Wechseln Sie auf den Reiter Berechtigungen.
Seite 558
Abbildung wird die Gruppe Users genutzt, um Nutzern aus dem lokalen Netz den Zugriff zu erlauben. 14.3 GUI-Referenz: File-Shares 14.3.1 Allgemein (Diese Option befindet sich im Zusatzmodul Collax Network Storage) (Dieser Dialog befindet sich unter Serverdienste – File-Shares – Allgemein) 14.3.1.1 Felder in diesem Dialog...
Verzeichnis angelegt werden. Felder in diesem Dialog • Name: Hier wird der Name des Verzeichnisses angezeigt. Das Verzeichnis wird im Dateisystem des Collax Servers unterhalb von „ / export“ angelegt. • Kommentar: Hier wird ein Kommentartext zum Verzeichnis angezeigt.
Seite 560
Fileserver • Synchronisation: Mit dieser Aktion wird der Dialog zum Bearbeiten der Synchronisationseinstellungen geöffnet. Aktionen für diesen Dialog • Verzeichnis anlegen: Mit dieser Aktion wird ein neues Verzeichnis angelegt. 14.3.2.2 Verzeichnis bearbeiten (Dieser Dialog befindet sich unter Serverdienste – File-Shares – Verzeichnisse) In diesem Dialog werden die Einstellungen für ein Verzeichnis bearbeitet.
Seite 561
Gruppe des Besitzers verwendet. • Leserecht für alle: Wird diese Option aktiviert, ist das Verzeichnis für jeden Benutzer lesbar, der auf dem Collax Server authenti- fiziert ist. Zusätzlich muss das Leserecht für alle Netzwerke erteilt werden, aus denen Anfragen zulässig sind.
Seite 562
Fileserver wird das Verzeichnis per HTTP(S) für jeden anonymen Benutzer lesbar, d. h. für jede Anfrage, mit der keine Authentifizierungs- informationen gesendet werden. Zusätzlich muss das Leserecht für alle Netzwerke erteilt werden, aus denen Anfragen zulässig sind. In der Regel wird dies das Internet sein. Diese Einstellung ist geeignet, wenn zwischen Zugriff einer Gruppe und anonymem Zugriff unterschieden werden soll.
Seite 563
• AntiVir-Virenschutz: Wird diese Option aktiviert, wird das Verzeich- nis auf Viren überprüft. Diese Option erscheint nur, wenn AntiVir installiert wurde. • Collax Virus Protection-Virenschutz: Durch das Aktivieren dieser Option wird das Verzeichnis auf Viren überprüft. Diese Option erscheint nur, wenn Collax Virus Protection installiert wurde.
Seite 564
Fileserver • Share verstecken: Bei der Freigabe des Verzeichnisses in Win- dows-Netze über SMB kann das Verzeichnis unsichtbar exportiert werden. Dann ist zum Verbinden die Kenntnis des Namens des Verzeichnisses notwendig. • Resource-Fork für jede Datei anlegen: Macintosh-Betriebsysteme speichern unstrukturierte Daten in Data-Forks und strukturierte Daten in Resource-Forks ab.
Seite 565
GUI-Referenz: File-Shares Dieses Protokoll wird von neueren Werkzeugen zum Bearbeiten von Webseiten verwendet. Diese Option ist nur bei einem Export des Verzeichnisses über den Webserver wirksam. • Spelling: Wird diese Option aktiviert, kann der Webserver versu- chen, bei Tippfehlern in der Adresse der aufgerufenen Seite eine Korrektur durchzuführen.
Fileserver mit „AuthPAM_Enabled=Off“ in der „.htaccess“-Datei angegeben werden. Damit wird die Standard-Authentifizierung abgeschaltet. 14.4 GUI-Referenz: Synchronisation (Dieser Dialog befindet sich unter Einstellungen – Serverdienste – File-Shares – Synchronisation) 14.4.1 GUI-Referenz: Synchronisation (Dieser Dialog befindet sich unter Einstellungen – Serverdienste – File-Shares –...
• Art der Gegenstelle: Hier muss die Methode ausgewählt werden, die von der Gegenstelle unterstützt wird. Ist auf der Gegenseite ein Collax Server installiert, sollte dies in der Liste ausgewählt werden. Ein Collax Server unterstützt alle Möglichkeiten der Dateisynchronisation.
Seite 568
Synchronisieren bedeutet, dass Änderungen in beide Richtun- gen übertragen werden. Dies ist jedoch nur mit dem Protokoll „unison“ bzw. einem Collax Server auf der Gegenseite möglich. • Synchronisationszeit: Hier wird angegeben, wann die Synchronisa- tion durchgeführt werden soll. Mit der Angabe von manuell muss die Synchronisation über die Oberfläche gestartet werden.
Seite 569
GUI-Referenz: Synchronisation • Zeitraum: Soll die Synchronisation innerhalb eines bestimmten Zeitraums durchgeführt werden, muss dieser hier ausgewählt werden. Nach Ablauf des Zeitraums wird der Vorgang unterbro- chen. Die Zeiträume selbst werden in den Benutzungsrichtlinien konfiguriert. • Verzeichnis: Hier wird das Verzeichnis ausgewählt, welches syn- chronisiert werden soll.
Seite 570
Fileserver werden. Die Datei wird dann im nächsten Synchronisationslauf weiter übertragen. Dies kann einen Geschwindigkeitsgewinn bei langsamen Verbindungen bringen. • Checksum: Durch das Aktivieren dieser Option werden die Da- teien vor der bertragung durch Prüfsummenbildung verglichen. Stimmen die Prüfsummen auf beiden Seiten überein, wird die Datei nicht übertragen.
GUI-Referenz: Manuelle Synchronisation Hinweis: Fehlerhafte Angaben als Option können den Start des Synchronisationsdienstes verhindern. 14.5 GUI-Referenz: Manuelle Synchronisation 14.5.1 Manuelle Synchronisation (Dieser Dialog befindet sich unter Systembetrieb – File-Shares – Manuelle Synchronisation) In diesem Dialog kann eine manuelle Synchronisation der File- Shares ausgelöst werden.
Fileserver 14.5.1.3 Abschnitt Synchronisierung ... Hier wird die Ausgabe der Synchronisierung angezeigt. Felder in diesem Abschnitt • Ausgabe: Wird eine Synchronisation angestoßen, wird in diesem Fenster die Ausgabe angezeigt. Das Fenster ist normalerweise nicht sichtbar. 14.5.2 Archiv importieren (Dieser Dialog befindet sich unter Systembetrieb – File-Shares – Archiv importieren) In diesem Dialog kann ein File-Share mit einem Datenbestand aus einem tar-, tgz- oder Zip-Archiv gefüllt werden.
Seite 573
GUI-Referenz: Manuelle Synchronisation Felder in diesem Dialog • Name: Hier wird der Name des Verzeichnisses angezeigt. Das Verzeichnis befindet sich unterhalb von „ / export“ auf dem System. • Kommentar: Hier wird der Kommentartext zum Verzeichnis angezeigt. Aktionen für jeden Tabelleneintrag •...
Seite 574
Fileserver • Leserecht für alle: Zeigt an, ob dieses Verzeichnis für jeden lesbar ist, also insbesondere für nicht authentifizierte Benutzer. • Exportiert über: Zeigt an, über welche Protokolle das Verzeichnis im Netzwerk exportiert wird. • CGI-Skripte erlaubt: Dieses Feld zeigt an, ob der Webserver CGI- Skripte in diesem Verzeichnis ausführen darf.
Fileserver 14.6 GUI-Referenz: Antivirus Dateiprüfung (Dieser Dialog befindet sich unter Serverdienste – File-Shares – Antivirus Dateiprüfung) 14.6.1 Tab Grundeinstellungen, Abschnitt Prüfung 14.6.1.1 Felder in diesem Abschnitt • Aktivieren: Hier kann die Filterung auf Viren für Dateien eingeschaltet werden. Voraussetzung dafür ist ein aktivierter Virenscanner.
Fileserver 14.6.3 Tab Grundeinstellungen, Abschnitt Benachrichtigung 14.6.3.1 Felder in diesem Abschnitt • Benachrichtigung an: Falls infizierte Dateien entdeckt werden kann hier gesteuert werden, an wen eine Benachrichtigunge erfolgen soll. 14.6.4 Tab Grundeinstellungen, Abschnitt Quarantäneverzeich- 14.6.4.1 Felder in diesem Abschnitt • Exportiere über: Um das Quarantäneverzeichnis im Netzwerk verfügbar zu machen, wird hier das gewünschte Protokoll eingestellt.
GUI-Referenz: Antivirus Dateiprüfung 14.6.6 Tab Verzeichnisse, Abschnitt Regelmäßig prüfen 14.6.6.1 Felder in diesem Abschnitt • Diese Verzeichnisse regelmäßig prüfen: Die gewählten Verzeich- nisse werden einmal täglich auf Viren überprüft. Eine Statusmel- dung wird an den Administrator gesendet. • Dateien in Heimatverzeichnissen regelmäßig prüfen: Werden von Benutzern die Heimatverzeichnisse benutzt, können diese mit dieser Option ebenso auf Viren geprüft werden.
Seite 578
Fileserver 14.6.8 Aktionen für dieses Formular • Abbrechen: Beendet den Dialog, die Änderungen werden verworfen. • Speichern: Beendet den Dialog, die Änderungen werden gespeichert.
Dabei handelt es sich um webbasierte Anwendungen, die nur innerhalb eines Unternehmens und nur für die eigenen Benutzer zugänglich sind. Der Collax Server unterstützt all diese Möglichkeiten. Die Inhalte der Webseiten werden jeweils in einem Share abgelegt. ber den Webserver wird das Share per HTTP und HTTPS zugänglich.
Webserver ber den Webserver im Collax Server wird zusätzlich eine Anwen- derseite bereitgestellt („Webaccess“). Hier können Benut- zer auf Shares zugreifen, einen Webmail-Client nutzen SSL-VPN- Anwendungen aufrufen sowie auf verschiedene andere Dienste im Collax Server zugreifen. 15.2 Verschlüsselung Die bertragung von Webseiten über HTTP erfolgt unverschlüsselt.
Gegenstellen eine Verbindung aufgebaut werden darf. 15.3 Virtuelle Webserver Beim Zugriff auf den Collax Server per HTTP oder HTTPS erscheint zunächst immer die Anwenderseite „Webaccess“. Dort ist zwar bei entsprechender Konfiguration auch ein Share mit der Firmenwebseite frei zugänglich, aber üblicherweise erscheint bei Eingabe der Adresse...
Webserver Virtuelle Hosts sollten nicht mit Alias-Adressen (manchmal als „vhost-Alias“ bezeichnet) versehen werden. Bei Alias-Adressen han- delt es sich um weitere Adressen, die jedoch alle zur selben Webseite führen. Oft wird dies gemacht, um die Domain mit und ohne „www.“ aufzulösen oder um bei Aufruf einer Domain mit Produktnamen auf die Firmenwebseite zu gelangen.
Seite 583
Vielzahl unterschiedlicher Applikationen (Diskussionsforen, Content-Management-Systeme usw.), die auch auf dem Collax Server eingesetzt werden können. Auch der im Collax Server eingesetzte Webmailclient setzt auf PHP auf. Wenn dieser genutzt werden soll, darf PHP nicht deaktiviert werden.
Seite 584
Webserver zusätzlichen Dienste freigeschaltet werden. DAV ist in vielen modernen Web-Editoren integriert. • Ältere Web-Editoren verwenden teilweise die Methode HTTP-PUT, um Daten auf einen Webserver zu übertragen. Falls HTTP-PUT noch verwendet werden soll, so kann das DAV-Modul aktiviert werden. Im DAV-Modul ist die HTTP-PUT-Methode integriert. Die folgenden Module bieten verschiedene Funktionalitäten: •...
Webserver 15.5 Schritt für Schritt: Aktivieren des Webservers Um auf die im Collax Server integrierte Anwenderseite „Webac- cess“ zugreifen zu können, muss zunächst der HTTPS-Webserver über die Angabe eines Zertifikats aktiviert werden. Dies ist erforderlich, da die gesamte Kommunikation verschlüsselt abläuft.
Seite 586
Webserver im Vergleich zu 56- oder 48-Bit-Schlüsseln eine ausreichende Sicherheit. • Wechseln Sie auf den Reiter Optionen. • Aktivieren Sie die Logauswertung, um später unter berwa- chung / Auswertung – Auswertungen – Webserver eine statistische Auswertung der Zugriffe auf den Webserver abrufen zu können. •...
Seite 587
Schritt für Schritt: Aktivieren des Webservers • Wechseln Sie zu Benutzungsrichtlinien – Richtlinien – Gruppen . • Wählen Sie die Gruppe aus, der Sie Zugriff auf den Webserver gestatten wollen. In der Abbildung ist es beispielhaft die Gruppe Users, die zum Bearbeiten geöffnet wird. •...
Webserver 15.6 GUI-Referenz: Webserver (Dieser Dialog befindet sich unter Serverdienste – Webserver – Allgemein) In diesem Dialog werden die Konfigurationseinstellungen für den Webserver Apache vorgenommen. 15.6.1 Tab Grundeinstellungen, Abschnitt Sicherheitseinstellun- 15.6.1.1 Felder in diesem Abschnitt • Serverzertifikat: Ist ein Zertifikat vorhanden, kann es für den Zugriff per HTTPS hier ausgewählt werden.
15.6.3 Tab Berechtigungen 15.6.3.1 Felder in diesem Abschnitt • HTTP-Protokoll: Hier wird festgelegt, welche Gruppe per HTTP- Protokoll auf den Collax Server zugreifen darf. Ist eine Berech- tigung einer Gruppe zugeteilt, wird der Webserverdienst mit den vorgenommenen Einstellungen aktiviert. • Zugriff auf Anwenderseite (HTTPS): Hier wird festgelegt, welche Gruppe per HTTPS-Protokoll auf den Collax Server zugreifen darf.
Webserver 15.6.5 Tab Optionen, Abschnitt Webserver-Module global deaktivieren In diesem Abschnitt kann die Unterstützung für verschiedene Module des Webservers global deaktiviert werden. Diese Module sind die Voraussetzung, damit entsprechende Funk- tionen der einzelnen File-Shares aktiviert werden können. Besteht Sicherheitsbedarf, können hiermit an zentraler Stelle die Ausführung von Skripten außer Funktion gesetzt werden.
Seite 591
GUI-Referenz: Webserver • SSI (Server Side Includes): Durch das Aktivieren dieser Option werden generell keine SSI-Programme (Server Side Includes) mehr ausgeführt. Mit SSI ist es möglich, kurze Programme in Webseiten einzubetten. • DAV: Mit dieser Option kann DAV (Distributed Authoring and Versioning) abgeschaltet werden.
Webserver rationseinstellungen beinhaltet. Diese werden in die Konfigura- tionsdatei des Webservers übernommen. 15.6.6.2 Aktionen für diesen Dialog • Importieren: Mit dieser Aktion wird der Upload der Datei gestartet.
Webserver 15.7 Schritt für Schritt: Virtueller Webserver • Gehen Sie zunächst zu Einstellungen – Serverdienste – File-Shares – Verzeichnisse, und legen Sie dort ein neues Verzeichnis an. • Unter Exportiere über aktivieren Sie HTTP.
Seite 594
Webserver • Wechseln Sie zu dem Reiter Berechtigungen. • Hier können Sie den Besitzer und die Gruppe des Verzeichnisses festlegen. • Mit den Optionen Schreibrecht für und Leserecht für legen Sie fest, welche Gruppen auf den virtuellen Webserver zugreifen dürfen. •...
Seite 595
Sie kein PHP nutzen möchten, lassen Sie die Option deaktiviert. • Aktivieren Sie Volltextsuche, wenn Sie die Dateien im Share mit in die Suchmaschine des Collax Servers aufnehmen möchten. Diese ist über das User-Portal „Web-Access“ zugänglich. • Sie müssen sich nun selbst überlegen, was Sie für Ihren Einsatzzweck benötigen und die Einstellungen entsprechend...
Seite 596
Webserver • Wechseln Sie danach zu Virtuelle Hosts. • Fügen Sie einen virtuellen Host hinzu. • Geben Sie unter Hostname den Namen des Webservers an, meist lautet dieser „www“. • Geben Sie die Domäne des Webservers unter Domain an. • Wählen Sie unter Verzeichnis das angelegte Share aus. •...
Webserver 15.8 GUI-Referenz: Virtuelle Hosts (Diese Option befindet sich im Zusatzmodul Collax Web Application) In diesen Dialogen werden virtuelle Hosts verwaltet. 15.8.1 Virtuellen Host auswählen (Dieser Dialog befindet sich unter Server-Dienste – File-Shares – Virtuelle Hosts) In diesem Dialog werden alle auf dem System angelegten virtu- ellen Hosts angezeigt.
Webserver 15.8.1.3 Aktionen für diesen Dialog • Virtuellen Host hinzufügen: Mit dieser Aktion wird ein neuer vir- tueller Host angelegt. 15.8.2 Virtuellen Host bearbeiten (Dieser Dialog befindet sich unter Server-Dienste – File-Shares – Virtuelle Hosts) 15.8.2.1 Tab Grundeinstellungen Felder in diesem Abschnitt •...
Seite 599
GUI-Referenz: Virtuelle Hosts • Auf Link: Hier muss ein vorhandener Netzwerklink ausgewählt werden. Die dort konfigurierte IP-Adresse des Collax Servers wird für den virtuellen Server verwendet. Sollen verschiedene Webserver auf jeweils eigenen IP-Adres- sen betrieben werden, muss vorab für jede IP-Adresse ein Link angelegt werden.
16.1 Bacula Datensicherung - Einführung Regelmäßige Datensicherung ist die einzige Möglichkeit, bei un- vorhersehbaren Ereignissen wie Hardwareschäden abgesichert zu sein. Der Collax Server unterstützt u. a. die Sicherung auf externe Bandlaufwerke sowie auf Laufwerksfreigaben anderer Server. Die eingesetzte Backuplösung besteht aus zwei Komponenten: einem Client und einem Server.
Seite 602
Datensicherung • Unter Sichern auf Rechner geben Sie den Hostnamen oder die IP-Adresse des Zielservers an. • Unter Verzeichnis müssen Sie den Namen der auf dem Zielserver exportierten Freigabe angeben. • Geben Sie den Login und das passende Passwort ein, um auf die Freigabe zuzugreifen.
GUI-Referenz: Datensicherung Allgemein • Wählen Sie als Sicherungs-Level Differenzielle Sicherung aus und geben Sie als Zyklus Täglich beginnend Am: Ganze Woche (Mo- So) an. • Auch diese Sicherung kann um: Uhr 2:00 standardmäßig stattfinden. 16.2.3 Zuordnung • Wechseln Sie ins Formular Datensicherung Zuordnungen. •...
Server 16.3.2.1 Felder in diesem Abschnitt • Erlaube Zugriff von fremdem Backup-Server: bernimmt ein an- derer Collax Server die Sicherung lokaler Daten muss der Zugriff hier erlaubt werden. • Identifikator des Backup-Servers: Der entfernte Sicherungsservers muss sich mit dem Identifikator am lokalen System ausweisen, um die Datensicherung übernehmen zu können.
GUI-Referenz: Datensicherung Allgemein 16.3.3 Tab Grundeinstellungen, Abschnitt Einstellungen 16.3.3.1 Felder in diesem Abschnitt • Verhalten bei Platzbedarf: Hier wird eingestellt, ob bei einem Sicherungsvorgang mit weiterem Platzbedarf die Medien auto- matisch erweitert werden können, oder ob dies von Hand durchgeführt werden soll. •...
Seite 606
Datensicherung Komplettausfall von einem Tapelaufwerk zurückgespielt werden können. Für diese Option stehen nur dateibasierte Sicherungs- ziele zur Auswahl. 16.3.4 Tab Grundeinstellungen, Abschnitt Kompression und Verschlüsselung 16.3.4.1 Felder in diesem Abschnitt • Datenkompression: Ist diese Option aktiviert, so werden alle Dateien mit GNU ZIP komprimiert. Dies geschieht auf Dateibasis, das heißt falls eine der Dateien unlesbar wird, so ist tatsächlich nur diese Datei betroffen und nicht alle Dateien einer Sicherung.
GUI-Referenz: Datensicherung Allgemein zu beachten, dass diese nicht wiederherstellbar sind, wenn die Schlüssel verloren gegangen sind. Um das Risiko, Sicherungen aufgrund verloren gegangener Zertifikate nicht wieder herstellen zu können, zu minimieren, kann mit einem zweiten sogenannten Master-Zertifikat verschlüsselt werden. Im Falle von Master-Zer- tifikaten ist es empfehlenswert, den privaten Schlüssel nicht auf dem Server zu lagern, sondern diesen nur zu importieren, wenn tatsächlich ein Zertifikat verloren gegangen ist und Sicherungen...
Datensicherung 16.3.6 Tab Berechtigungen, Abschnitt Zugriff erlauben für ... 16.3.6.1 Felder in diesem Abschnitt • Bacula-Netzwerkzugriff: Beschreibt die Berechtigungen für den Netzwerkzugriff wenn mehrer Sicherungssysteme verwendet werden. 16.3.7 Aktionen für dieses Formular • Passwort zurücksetzen: Diese Aktion ändert das angegebene Passwort des lokalen Sicherungssystems.
GUI-Referenz: Zuordnungen Zuordnungen sind zudem Voraussetzung, um Datenwiederherstel- lung, System-Recovery oder Monitor-Zugriff durchführen zu können. 16.4.1 Liste: Zuordnungen In diesem Dialog werden alle angelegten Zuordnungen aufgelistet. Es können neue Zuordnungen hinzugefügt, editiert oder gelöscht werden. 16.4.1.1 Felder in diesem Formular •...
Option gesichert werden. • Inhaltsliste: Ist der zu sichernde Server oder Rechner kein Collax Server, ist eine zuvor zu definierende Inhaltsliste der zu sichernden Daten anzulegen. Diese spezielle Inhaltliste kann hier ausgewählt werden. • Sicherungsplan: Ein zuvor erstellter Sicherungsplan kann hier verwendet werden, um festzulegen, wann über welchen Volume-...
Seite 611
GUI-Referenz: Zuordnungen • Band nach Sicherung freigeben: Wenn das Sicherungsziel ein Band ist, kann hier eingestellt werden, ob der Sicherungs-Job das Band automatisch freigibt, um es anschließend zurückzu- spulen und auswerfen zu können. Wenn diese Option nicht gesetzt ist, kann das Band manuell unter Datensicherung – Status und Betrieb mit der Aktion Aushängen freigegeben werden.
Datensicherung 16.4.2.3 Aktionen für dieses Formular • Abbrechen: Bearbeiten der Zuordnung beenden. Die Änderungen werden verworfen. • Speichern: Bearbeiten der Zuordnung beenden. Die Änderungen werden gespeichert. 16.5 GUI-Referenz: Sicherungsziele (Dieser Dialog befindet sich unter Datensicherung – Ziele) 16.5.1 Liste: Sicherungsziele 16.5.1.1 Felder in diesem Formular •...
GUI-Referenz: Sicherungsziele • Medien-Initialisierung und -Status: Durch diese Aktion können Wechselmedien für VTL Initialisiert werden, oder der Status der Medien abgerufen werden. • Löschen: Durch diese Aktion im Kontextmenü kann ein ausge- wählter Tabelleneintrag gelöscht werden. 16.5.1.3 Aktionen für dieses Formular •...
Datensicherung • Spool-Größe (GB): Gibt die maximale Größe des Spool-Verzeich- nisses an. • Automatisch neue Medien belegen: Ist diese Option aktiviert, so werden bei einer Sicherung bisher ungenutzte Mediendefi- nitionen automatisch auf freie Medien dieses Sicherungsziels angewendet. Um also einen vollständig automatisierten Ablauf zu gewährleisten, muss diese Option aktiviert und in den Gr- undeinstellungen unter "Verhalten bei Platzbedarf"...
GUI-Referenz: Sicherungsziele 16.5.2.5 Abschnitt Bandlaufwerk Detaileinstellungen Felder in diesem Abschnitt • Bandlaufwerk versteht "End of Medium"-Anfragen: If No, the archive device is not required to support end of medium ioctl request, and the storage daemon will use the forward space file function to find the end of the recorded data.
Seite 616
Datensicherung ting it in the (MTIOCGET ioctl). The default is Yes. If you must set this to No, Bacula will do the proper file position determination, but it is very unfortunate because it means that tape movement is very inefficient. •...
GUI-Referenz: Sicherungsziele supports the MTBSF and MTBSF ioctls to backspace over an end of file mark and to the start of a file. If No, these calls are not used and the device must be rewound and advanced forward to the desired position. Default is Yes for non random-access devices.
• Login: Ist die Freigabe durch bestimmte Gruppenrechte ge- schützt, ist hier der passende Login-Name einzutragen, damit der Collax Server auf die Freigabe zugreifen kann. • Passwort: Ist ein Login angegeben, sollte hier das entsprechende Passwort für einen korrekten Zugriff auf die Freigabe eingetragen...
GUI-Referenz: Sicherungsziele 16.5.2.9 Abschnitt Einstellungen für NFS-Sicherung Felder in diesem Abschnitt • Sichern auf Rechner: Hier wird der Name oder die IP-Nummer des Systems angegeben, welches das NFS-Verzeichnis bereitstellt. • Verzeichnis: Hier wird das NFS-Verzeichnis angegeben. 16.5.2.10 Abschnitt Einstellungen für USB- und ähnliche Ziele Felder in diesem Abschnitt •...
• Speichern: Bearbeiten des Sicherungsziels beenden. Die Ände- rungen werden gespeichert. 16.6 GUI-Referenz: Inhaltslisten (Diese Option befindet sich im Zusatzmodul Collax Net Backup) (Dieser Dialog befindet sich unter Systembetrieb – Datensicherung – Inhaltslisten. ) Bei Sicherung von Arbeitsstationen sind zunächst Inhaltslisten zu definieren.
Seite 621
GUI-Referenz: Inhaltslisten 16.6.1 Liste: Inhaltslisten Hier werden die angelegten Inhaltslisten tabellarisch angezeigt. 16.6.1.1 Felder in diesem Formular • Bezeichnung: Diese Spalte zeigt die Bezeichnung der Inhaltsliste. • Kommentar: Weitere Informationen stehen in diese Spalte. 16.6.1.2 Aktionen für jeden Tabelleneintrag • Bearbeiten: Durch Doppelklick oder die Aktion im Kontextmenü kann ein Element bearbeitet werden.* •...
Datensicherung 16.6.2 Inhaltsliste bearbeiten 16.6.2.1 Abschnitt Kennzeichnung Felder in diesem Abschnitt • Bezeichnung: Hier wird die Bezeichnung der Inhaltsliste einge- geben oder angezeigt. • Kommentar: Weitere Beschreibungen können in diesem Feld hinzugefügt werden. 16.6.2.2 Abschnitt Inhalt Felder in diesem Abschnitt •...
Seite 623
GUI-Referenz: Inhaltslisten in die Sicherung mit einbezogen. Wildcards sind bei der Angabe möglich. • Lese Dateiliste aus Remote-Datei: Hier wird eine Datei angegeben, die die Informationen über die zu sichernden Dateien enthält. Die Angabe ist mit kompletten Zielpfad einzugeben. • Lese Ausschlussliste aus Remote-Datei: Hier wird eine Datei angegeben, die die Informationen über die nicht zu sichern- den Dateien enthält.
Seite 624
Datensicherung • Beschränke auf Storage Group: Hier kann eine bestimmte Storage Group des MS Exchange Servers angegeben werden. Wird hier kein Wert eingegeben, werden die gesamten Storage Groups gesichert. • Unterstützung für erweiterte Attribute: Erweiterte Attribute be- schreiben Metadaten von Dateien, die nicht vom Dateisystem intepretiert werden.
In diesem Formular werden Clients für die Datensicherung defi- niert. Als Client wird hier unter anderem eine Arbeitsstatione mit Windows-, Mac- oder Unix-Betriebssystem bezeichnet. Als Client versteht man auch einen weiteren Collax Server, der über diesen Server gesichert werden soll. 16.7.1 Liste: Sicherungs-Clients Hier wird die Liste der definierten Arbeitsstationen oder Collax Server angezeigt.
Seite 626
16.7.2.1 Felder in diesem Formular • Identifikator: Der Identifikator ist hier keine frei zu wählende Bezeichnung, sondern muss die tatsächliche Bezeichnung des Sicherungs-Clients beschreiben. Bei Collax Servern, die als Client gesichert werden sollen, kann der Identifikator in den Grundein- stellungen eingesehen werden.
Seite 627
GUI-Referenz: Clients Collax Servern, die als Client gesichert werden sollen, kann das Passwort in den Grundeinstellungen eingesehen werden. • Art des Backup-Clients: Hier wird ausgewählt, ob der Client eine Standardarbeitsstation ist, oder ob ein Collax Server als Client gesichert werden soll.
Datensicherung 16.8 GUI-Referenz: Pläne (Dieser Dialog befindet sich unter Datensicherung – Pläne) In diesem Formular können Sicherungsvorgänge, Sicherungszeiten und Sicherungs-Level zu einem Plan verknüpft werden. Zudem ist es hier möglich, verschiedene Vorgänge auf verschiedene Volume- Pools sichern zu lassen. Dies ist letztendlich die Voraussetzung um das Vorhaben der Band-Rotation innerhalb einer Sicherungsstrategie umzusetzen, ebenso ist dadurch die Umsetzung von Sicherungssche- mata, wie Türme-von-Hanoi, oder Großvater-Vater-Sohn, möglich.
GUI-Referenz: Pläne 16.8.1.2 Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion im Kontextmenü, oder mittels Doppel-Klick, kann der Eintrag bearbeitet werden. • Löschen: Mit dieser Aktion im Kontextmenü kann der Eintrag gelöscht werden. 16.8.1.3 Aktionen für dieses Formular • Hinzufügen: Das Formular für einen neuen Eintrag wird geöffnet. 16.8.2 Plan bearbeiten 16.8.2.1 Plan bearbeiten, Abschnitt Grundeinstellungen Felder in diesem Abschnitt...
Seite 630
Datensicherung • Aufbewahrungsdauer: Dieser ganzzahlige Wert kennzeichnet die minimale Aufbewahrungsdauer in Tagen, bevor die gesicherten Daten überschrieben werden. Im einfachen Fall ist die Aufbe- wahrungsdauer genau der Zyklusdauer abzüglich einem Tag. Es besteht ein Datansatz, der innerhalb des nächsten Vorgangs überschrieben wird.
Seite 631
GUI-Referenz: Pläne • Im:: Angabe des Monats in dem der Vorgang ausgeführt werden soll, wenn die Zyklusdauer ein Jahr beträgt. • Am:: Bestimmt den Tag der Durchführung, entweder absolut am ersten Tag des gewählten Monats, oder ein Wochentag einer bestimmten Woche innerhalb des gewählten Monats. •...
Datensicherung 16.9 GUI-Referenz: Monitor-Zugriff (Diese Option befindet sich im Zusatzmodul Collax Net Backup) (Dieser Dialog befindet sich unter Systembetrieb – Datensicherung – Monitor-Zugriff. ) Für Arbeitsstationen besteht die Möglichkeit mittels eines Client- Programm auf den Sicherungsserver zuzugreifen. Für eine Verbindung über den Tray-Monitor sind in diesem Formular die erforderlichen...
GUI-Referenz: Monitor-Zugriff 16.9.1.2 Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion im Kontextmenü, oder mittels Doppel-Klick, kann der Eintrag bearbeitet werden. • Löschen: Mit dieser Aktion wird der gewählte Monitor-Zugriff gelöscht. • Tray-Monitor-Konfigurationsdatei: Hier kann die Konfigurations- datei für den Tray-Monitor auf der Client-Seite heruntergeladen werden.
Seite 634
Datensicherung 16.9.2.2 Aktionen für dieses Formular • Abbrechen: Bearbeiten des Monitorzugangs beenden. Die Ände- rungen werden verworfen. • Speichern: Bearbeiten des Monitorzugangs beenden. Die Ände- rungen werden gespeichert. 16.9.3 Download Dieser Dialog erscheint, wenn die Aktion Tray-Monitor-Konfigura- tionsdatei aufgerufen wurde. 16.9.3.1 Felder in diesem Formular •...
Datensicherung 16.10 GUI-Referenz: Status und Betrieb (Dieser Dialog befindet sich unter Datensicherung – Status und Betrieb) ber diesen Dialog können Statusinformationen des Datensiche- rungssystems abgerufen sowie administrative Aufgaben erledigt werden. 16.10.1 Abschnitt Anzeigen 16.10.1.1 Aktionen in diesem Abschnitt • Alle Jobs anzeigen: Mit dieser Aktion werden alle Sicherungs- und Restore-Jobs des Systems angezeigt.
Datensicherung 16.10.2 Abschnitt Anzeigen 16.10.2.1 Aktionen in diesem Abschnitt • Pools anzeigen: Die in den Sicherungsvorgängen verwendeten Volume-Pools können hier aufgelistet werden. Weitere Informa- tionen über die Volume-Pools können über das Kontext-Menü eines Pools, Rechter-Maus-Klick, aufgerufen werden. • Medien anzeigen: Die über einen Sicherungs-Job erzeugten Medi- en können über diese Aktion angezeigt werden.
Seite 637
GUI-Referenz: Status und Betrieb 16.10.3.2 Aktionen in diesem Abschnitt • Start: Mit dieser Aktion wird die eingestellte manuelle Sicherung gestartet. Der Status des gestarteten Sicherungs-Jobs kann an- schließend über die Anzeige der Jobs eingesehen werden. 16.10.4 Abschnitt Datenträger hinzufügen/beschriften... 16.10.4.1 Felder in diesem Abschnitt •...
Datensicherung 16.10.5 Abschnitt Storage-Geräte verwalten 16.10.5.1 Felder in diesem Abschnitt • Storage-Geräte: In diesem Feld kann ein Sicherungsgerät gewählt werden, welches verwaltet werden soll. • Laufwerk Nummer (falls vorhanden): Falls vorhanden, kann hier die Laufwerksnummer angegeben werden. Diese Angabe ist nur für Bandwechsler mit mehreren Laufwerken erforderlich.
Datensicherung 16.11 GUI-Referenz: Datenwiederherstellung (Dieser Dialog befindet sich unter Datensicherung – Datenwiederherstellung) In diesem Formular können einzelne Elemente zurückgesichert werden. Zusätzlich können Status- und Detailinformationen einzelner Jobs eingesehen werden. Im Menü Media können der aktuelle Zustand der verwendeten Sicherungsziel abgerufen werden. 16.11.1 Felder in diesem Formular •...
Datensicherung nicht mehr korrekt, kann über dieses Formular der Katalog aus ge- sicherten Daten auf einem Sicherungsziel wieder hergestellt werden. Für das Auffinden des auf einem Sicherungsziel gespeicherten Katalogs ist eine Datei BackupCatalog*.bsr erforderlich. Diese wird nach jeder Sicherung dem Administrator per E-Mail zugestellt oder ist, je nach Einstellung, ebenso auf dem Sicherungsziel gespeichert.
GUI-Referenz: Katalog-Wiederherstellung 16.12.3 Abschnitt Hinweis 16.12.3.1 Felder in diesem Abschnitt • : Statusmeldung des Prozesses. 16.12.4 Abschnitt Ausgabe 16.12.4.1 Felder in diesem Abschnitt • Ausgabe: Ausgabe des Prozesses. 16.12.5 Aktionen für dieses Formular • Bootstrap-Datei laden: Die Bootstrap-Datei wird mit dieser Aktion hochgeladen.
Datei die gleiche Signatur beinhalten und in der Folge einen Fehl- alarm des Virenscanners auslösen. Auch wenn eine berprüfung auf Viren im Collax Server stattfindet, empfiehlt sich u. U. die Anschaffung zusätzlicher Antiviren-Software für die Client-PCs, falls Anwender durch CD-ROMs, USB-Sticks usw.
Seite 644
Warnung ausgegeben. Die Funktion der beiden Virenscanner bei Einsatz in den Freigaben ist unterschiedlich. „Collax Virus Protection“ untersucht in regelmäßi- gen Abständen den gesamten Datenbestand. „Avira AntiVir“ integriert sich in die Funktion des Datei-Öffnens und prüft nur, wenn eine Datei zum Lesen oder Schreiben geöffnet wird.
Das Versenden von Fax-Mitteilungen ist über einen Fax-Client möglich. Dazu wird auf den Client-PCs ein Druckertreiber installiert, der die Daten annimmt, aufbereitet und zum Collax Server weiter- leitet. Es existieren für viele Betriebssysteme freie Clients mit der erforderlichen Hylafax-Unterstützung. Einige Hersteller bieten auch kommerzielle Clients an, deren Funktionsumfang im Bereich Adressbuch, Deckblatt-Editor, Serienfax usw.
Seite 646
SMS werden direkt an das SMSC („Short Message Service Center“) des Netzbetreibers eingeliefert. Dazu gibt es verschiedene Protokolle, die die jeweiligen Provider unterstützen. Collax Server bietet hier die maximal mögliche Flexibilität, indem keinerlei SMSC vorkonfiguriert ist. Stattdessen können abhängig von der Vorwahl der Zielrufnummer mehrere Konfigurationen für SMSC angelegt werden.
Seite 647
Host bzw. das Netz die Berechtigung SMS Service Connect aktiviert werden. Bei Verwendung der beiden E-Mail-Gateways können die Benut- zungsrichtlinien als „Telefonbuch“ genutzt werden. Jeder im Collax Server angelegte Benutzer erhält seine E-Mail-Adresse auch in den beiden Subdomains fax und sms. Wird eine E-Mail an diese Adresse geschickt, wird die bertragung zu der beim Benutzer hinterlegten Fax- bzw.
Seite 648
Verschiedene Dienste 17.2.1 Schritt für Schritt: Fax-Dienst einrichten Voraussetzung für die Einrichtung des Fax-Dienstes ist eine einge- richtete ISDN-Karte bzw. ein eingerichtetes analoges Modem. Für den ISDN-Anschluss muss eine MSN konfiguriert sein. • Wechseln Sie zu Mail und Messaging – Fax und SMS – Allgemein . •...
Seite 649
Fax und SMS • Wechseln Sie auf den Reiter Optionen. • Die Einstellungen zu Maximal zu sendende Seiten, maximal zu empfangende Seiten , Fehlertoleranz pro Seite und Maximalanzahl bermittlungsversuche können Sie auf den Voreinstellungen belassen. Bei berschreiten der Fehlertoleranz wird die bertra- gung der Seite beendet und neu gestartet.
Seite 650
Verschiedene Dienste • Wenn Sie Faxe von bestimmten Absendern ablehnen möchten, können Sie deren Nummer in der Nummernkontrolle speichern. • Rufen Sie nun den Reiter Berechtigungen auf. • Aktivieren Sie die Gruppen, deren Rechner und Netze eine Ver- bindung zu Fax-Dienst aufbauen dürfen, im Abschnitt Zugang zum HylaFax-Port erlauben.
Seite 651
Fax und SMS aber auch möglich, den Benutzern zu erlauben, fremde Faxe einzusehen. • Nun können Sie ein oder auch mehrere virtuelle Faxgeräte anlegen. Sie benötigen für jede Rufnummer, die der Fax-Dienst annehmen soll, ein solches Faxgerät. • Rufen Sie dazu im Hauptmenü den Punkt Faxgeräte auf. •...
Seite 652
Verschiedene Dienste • Bei einer ISDN-Rufnummer kann unter Kanäle angegeben wer- den, wie viele Kanäle für den Fax-Dienst genutzt werden sollen. • Eingehende Faxe werden entsprechend der Einstellung unter Weiterleiten abgelegt bzw. zugestellt. Wählen Sie hier Per E-Mail aus, dann gehen die Faxe an alle lokalen Benutzer, die in ihrer Benutzerkonfiguration die unter MSN eingestellte Rufnummer gesetzt haben.
Seite 653
Fax und SMS 17.2.2 Schritt für Schritt: SMS-Gateway einrichten • Voraussetzung für die Einrichtung des SMS-Gateways ist eine eingerichtete ISDN-Karte bzw. ein eingerichtetes analoges Mo- dem. Für den ISDN-Anschluss muss eine MSN konfiguriert sein. • Damit das SMS-Gateway genutzt werden kann, muss der Fax- Dienst aktiviert sein.
Seite 654
• Bei den meisten Anbietern sind die Gebühren für netzinterne SMS günstiger. Daher ist es sinnvoll, für jeden Anbieter einen eigenen SMSC-Eintrag anzulegen. 17.2.3 GUI-Referenz: Allgemein (Diese Option befindet sich im Zusatzmodul Collax Communication Server) (Dieser Dialog befindet sich unter Mail und Messaging – Fax und SMS – Allgemein) In diesem Dialog werden allgemeine Einstellungen zum Fax- und SMS-Dienst vorgenommen.
Fax und SMS 17.2.3.1 Tab Grundeinstellungen Felder in diesem Abschnitt • Aktivieren: Mit diesem Feld wird der Fax- und SMS-Server aktiviert bzw. deaktiviert. • Mail-to-Fax-Gateway: Zusätzlich kann hier ein internes Mail-to- Fax-Gateway aktiviert werden. Es wird eine spezielle E-Mail- Adresse eingerichtet, die alle einkommende E-Mail per Fax versendet.
Seite 656
Felder in diesem Abschnitt • Zugang zu HylaFAX-Port erlauben für: Alle zu einer der aktivierten Gruppen gehörenden Rechner und Netze können eine Verbindung zum internen HylaFAX-Dienst im Collax Server aufbauen. Diese Berechtigung hat keine direkte Auswirkung auf in der Gruppe enthaltene Benutzer.
Seite 657
Fax und SMS 17.2.3.3 Tab Optionen Felder in diesem Abschnitt • Maximal zu sendende Seiten: Hier wird die maximale Anzahl der zu sendenden Seiten pro Faxvorgang begrenzt. Soll keine Begrenzung gesetzt werden, muss eine Null eingetragen werden. • Maximal zu empfangende Seiten: Hier wird die maximale Anzahl der zu empfangenden Seiten pro Faxvorgang begrenzt.
Seite 658
Ende eine Regel stehen, die alle übrigen Faxe annimmt: „ˆ.*$“ 17.2.4 GUI-Referenz: Faxgeräte (Diese Option befindet sich im Zusatzmodul Collax Communication Server) (Dieser Dialog befindet sich unter Mail und Messaging – Fax und SMS – Faxgeräte)
Seite 659
Fax und SMS Für jede Rufnummer, die vom Fax-Dienst bedient werden soll, wird ein virtuelles Faxgerät angelegt. Bei einer ISDN-Karte wird ein virtu- elles Faxgerät pro Rufnummer angelegt, bei Modems entsprechend pro Modem eines. Es können nur Rufnummern (MSNs) verwendet werden, die in der Konfiguration Hardware angelegt wurden und nicht anderweitig verwendet werden.
Seite 660
Verschiedene Dienste gleichzeitig Faxverbindungen für die Rufnummer angenommen werden. • Weiterleiten: Hier wird angezeigt, wie eingegangene Faxe weiter- geleitet werden. • Format: Hier wird angezeigt, in welchem Format eingegangene Faxe gespeichert werden. Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion kann eine Faxnummer bearbeitet werden.
Seite 661
Fax und SMS • MSN: Aus dieser Liste kann die Rufnummer für das Faxgerät ausgewählt werden. Wird statt der ISDN-Karte ein Modem ge- nutzt, muss hier die Schnittstelle des angeschlossenen Modems ausgewählt werden. • Kanäle: Hier wird die Anzahl der Kanäle eingestellt, auf denen gleichzeitig Faxe für diese Rufnummer angenommen werden.
Seite 662
• Weitergeleitete Faxe löschen: Durch das Aktivieren dieser Option werden weitergeleitete Faxe im HylaFAX-Dienst gelöscht. 17.2.5 GUI-Referenz: SMS (Diese Option befindet sich im Zusatzmodul Collax Communication Server) Der Versand von SMS-Nachrichten erfolgt über ein SMS-Center des jeweiligen Netzbetreibers. Dieses leitet nur Nachrichten an eigene Kunden weiter.
Seite 663
Fax und SMS 17.2.5.1 SMSC-Liste (Dieser Dialog befindet sich unter Mail und Messaging – Fax und SMS – SMS) In diesem Dialog werden die Einträge für einzelne SMS-Center (SMSC) verwaltet. Felder in diesem Dialog • Netz: Für jedes SMS-Center wird ein Name vergeben. Dieser steht in diesem Feld.
Seite 664
Verschiedene Dienste In diesem Dialog werden die Einstellungen für ein SMS-Center bearbeitet. Felder in diesem Dialog • Anbieter: Hier wird der Name für das SMS-Center vergeben. Meist wird der Name des Anbieters oder des jeweiligen Netzes angegeben. • SMSC-Rufnummer: Hier wird die Rufnummer des SMS-Centers angegeben;...
17.3 Datum und Zeit Eine möglichst exakte Systemzeit ist wichtig, um beispielsweise Logdateien zwischen verschiedenen Servern vergleichen zu können. Daher kann die Systemzeit des Collax Servers über NTP mit Zeitser- vern abgeglichen werden. Alternativ kann ein DCF77-Funkempfänger angeschlossen werden. Seine eigene Systemzeit kann der Collax Server wiederum für andere Systeme per NTP im Netzwerk bereitstellen.
Bundesanstalt (PTB), die den DCF77-Sender bei Frankfurt betreibt. Dieses Signal wird von Funkuhren und -Weckern ausgewertet. Es existiert verschiedene Hardware, mit der ein Com- puter dieses Signal auswerten kann. Der Collax Server unterstützt ein solches Gerät zum Anschluss an die serielle Schnittstelle. 17.3.1 GUI-Referenz: Konfiguration (Dieser Dialog befindet sich unter Zeit –...
Seite 667
Datum und Zeit sehr genau. Bei einem Abgleich von Logdateiinformationen sind exakte Uhrzeiten jedoch unerlässlich. Daher sollte eine andere Quelle gewählt werden. Wenn das System über eine Standleitung ans Internet angeschlos- sen ist oder im lokalen Netz ein NTP-Server betrieben wird, kann mit „NTP“...
Verschiedene Dienste 17.3.1.3 Aktionen für diesen Dialog • Datum / Zeit setzen: Mit dieser Aktion wird die eingegebene Zeit mit Datum übernommen. Hinweis: War vorher eine andere Synchronisationsquelle als die Systemuhr eingestellt, muss die Konfiguration zunächst ak- tiviert werden. Danach sollte die Uhrzeit kontrolliert und gesetzt werden.
Jabber 17.3.2.3 Tab Optionen Felder in diesem Abschnitt • Broadcast verwenden: Wird diese Option aktiviert, sendet der Server seine aktuelle Systemzeit als Broadcast-Nachricht in das lokale Netz. 17.4 Jabber Jabber ist ein auf XMPP („Extensible Messaging and Presence Protocol“) basierendes Instant-Messaging-System ähnlich wie ICQ. ber ein solches System können Benutzer untereinander Nachrichten verschicken.
Seite 670
E-Mail Daten austauschen, so dass auch Nutzer miteinander chatten können, die bei unterschiedlichen Servern angemeldet sind. Auf dem Collax Server kann nach Aktivierung des Jabber-Dienstes in den Berechtigungen eingestellt werden, aus welchen Netzen bzw. von welchen Hosts jeweils Client- und Server-Verbindungen angenommen werden.
Seite 671
Jabber 17.4.1.1 Tab Grundeinstellungen Felder in diesem Abschnitt • Aktivieren: Diese Option aktiviert den Jabber-Server. • Jabber-Domain: Hier wird die Jabber-Domain angegeben. Benut- zer müssen sich unter Angabe dieser Domain mit dem Server verbinden. 17.4.1.2 Tab Berechtigungen Felder in diesem Abschnitt •...
(mit dem Passwort „cx“) und „root“. Diese beiden sind von den Systemkonten auf dem Collax Server unabhängig und verschieden. Das admin-Passwort kann geändert werden, das root-Passwort muss unverändert bleiben, damit der Collax Server bei einem Update auf die Datenbank zugreifen kann.
Seite 673
Suche und Pflege von Datenbeständen, beispielsweise das Erstellen oder Einlesen von Datenbankdumps. 17.5.2 GUI-Referenz: MySQL (Diese Option befindet sich im Zusatzmodul Collax Web Application) (Dieser Dialog befindet sich unter Serverdienste – Datenbanken – MySQL) In diesem Dialog können die MySQL-Datenbank aktiviert, deren Administratorpasswort gesetzt und der Zugriff über TCP erlaubt...
Seite 674
Verschiedene Dienste 17.5.2.1 Tab Grundeinstellungen Felder in diesem Abschnitt • Aktivieren: Mit dieser Option wird die MySQL-Datenbank aktiviert. 17.5.2.2 Tab Berechtigungen Felder in diesem Abschnitt • Zugang zu MySQL-Port erlauben für: Alle Rechner und Netze, die zu einer der aktivierten Gruppen gehören, bekommen Zugriff auf den Port des MySQL-Dienstes.
Seite 675
SQL-Server zuweisung für die Datenbank kontrolliert. Ist das Tuning nicht aktiviert, werden Standardwerte gesetzt. • Tuning-Parameter: ber diesen Wert werden verschiedene Res- sourcengrößen der MySQL-Parameter geregelt. Die Berechnung der Parameter ist teilweise abhängig von der Größe des Haupt- speichers. Ein kleiner Wert ergibt niedrige Parametergrößen, ein hoher Wert ergibt hohe Parametergrößen.
Seite 676
Verschiedene Dienste 17.5.3 GUI-Referenz: MySQL-Administration (Dieser Dialog befindet sich unter Serverdienste – Datenbanken – MySQL-Administration) Für die Datenbank MySQL existiert die leistungsfähige Administra- tionsoberfläche „phpMyAdmin“. Sie ist komplett web-basiert und kann auf diesem System verwendet werden, wenn die Datenbank aktiviert wurde. ber diese Oberfläche können einzelne Datenbanken und entspre- chende Benutzer angelegt werden.
Verfügung. Bei der „passiven berwachung“ steht mehr der Sicher- heitsaspekt im Vordergrund, um neue, fremde Systeme im Netzwerk zu erkennen. Der Collax Server speichert dabei die IP- und MAC- Adressen aller Systeme, von denen er Datenpakete im Netzwerk „sieht“. Dies beschränkt sich auf die Netzwerksegmente, an die der Collax Server direkt mit einer Ethernetkarte angeschlossen ist (lokale Netze).
Seite 678
überwachen, indem permanent die Dienste SMTP, POP3 und IMAP abgefragt werden. Der zu überwachende Server kann im lokalen Netz oder im Internet oder hinter einem VPN-Tunnel stehen. Er muss nur per IP-Adresse erreichbar sein, und der Collax Server muss auf die zu überwachenden Dienste zugreifen dürfen. Die aktive berwachung nutzt der Collax Server auch intern, um sich selbst zu überwachen und die betroffenen Dienste bei...
Seite 679
Netzwerküberwachung Sicht des Collax Servers) angeben. Fällt dieser aus, wird für Systeme dahinter kein Alarm ausgelöst. Deren Zustand ist dann „unbestimmt“. • Wechseln Sie zu den Benutzungsrichtlinien und bearbeiten Sie die Gruppe, über die Sie die berwachungsberechtigung verwalten möchten. Legen Sie ggf. eine neue Gruppe zu diesem Zweck an.
Verschiedene Dienste • Community zum Lesen: Hier wird der Name der „Community“ für SNMPv1 / SNMPv2c angegeben. Die Community ist eine Art Passwort für den Zugriff auf die SNMP-Daten. Der Name der Community wird im Allgemeinen als Klartext übermittelt und bietet daher nur minimalen Schutz.
• Lösche bislang ermittelte Daten: Hiermit werden alle bisher er- mittelten Daten gelöscht. Dies ist nützlich, wenn viele alte oder unwichtige Systeme erkannt und in die Liste aufgenommen wurden. Hinweis: Der Collax Server wird nach dem Löschen sofort weiter Daten ermitteln.
Technische Basis für die Fernüberwachung ist der NRPE-Dienst, Nagios Remote Plugin Execution. Um die Fern- überwachung in einem geschützten Netzwerk zu ermöglichen, muss darin Zugriff auf Port 5666 gewährt werden. Der Zugriff auf den Collax Server wird im Reiter Berechtigungen erlaubt. 17.6.4.1 Tab Grundeinstellungen Felder in diesem Abschnitt •...
Netzwerküberwachung 17.6.4.3 Aktionen für dieses Formular • Abbrechen: Bearbeiten des Fernüberwachungs-Zugriff beenden. Die Änderungen werden verworfen. • Speichern: Bearbeiten des Fernüberwachungs-Zugriff beenden. Die Änderungen werden gespeichert. 17.6.5 GUI-Referenz: Aktive Überwachung (Dieser Dialog befindet sich unter berwachung – Aktiv) In diesen Dialogen wird die Konfiguration der aktiven berwa- chung vorgenommen.
Seite 684
Verschiedene Dienste Wird hier „1“ angegeben, wird eine E-Mail versandt, wenn ein Dienst oder ein Host ausfällt. Eine weitere E-Mail wird versandt, wenn das Problem behoben wurde. Wird ein Wert größer als „1“ angegeben, wird eine E-Mail bei Ausfall versandt und jeweils nach Ablauf des „Alarmintervalls“ eine weitere.
Netzwerküberwachung die aktive berwachung. Rechner und Netze sind von dieser Einstellung nicht betroffen. 17.6.6 Watchdog-Timer Der Watchdog ist ein Timer, der einen Reset auslöst, wenn er abläuft. Im normalen Betriebszustand läuft der Watchdog-Timer nie ab, weil in bestimmten Zeitintervallen das System geprüft wird. Wenn die Datenpartition korrekt beschrieben werden kann, wird der Timer zurückgesetzt.
• Speichern: Beendet den Dialog, die Änderungen werden gespeichert. 17.7 Server Management mit Spotlight Collax Spotlight soll helfen den berblick über mehrere Collax Server zu bewahren, die Administration von mehreren Server zu erleichtern und frühzeitig bei anbahnenden Problemen zu warnen.
Seite 687
• Laden Sie sich über den Knopf Download Agent-Konfiguration eine vorgefertigte Konfiguration für die Spotlight Agenten herunter. • Aktivieren Sie die Einstellungen • Wenn Sie den Collax Server hinter einer Firewall installiert ha- ben, die keine direkten HTTPS-Zugriffe zulässt, muss ein port forwarding eingerichtet werden.
Verschiedene Dienste aus, welche Bereiche von Spotlight ausgewertet werden sollen. • Wechseln Sie auf den Reiter Kommandos und definieren Sie, welche Befehle von Spotlight ausgeführt werden dürfen. • Speichern und aktivieren Sie die Einstellungen. Der Spotlight Agent meldet sich automatisch bei Spotlight an. •...
Server Management mit Spotlight Sie direkt zur Konfiguration des ausgewählten Servers. Wenn Sie die Credentials hinterlegt haben („Anmeldeinformationen hinterlegen“), werden Sie in beiden Fällen automatisch angemeldet. Wenn Sie auf „Add Task“ klicken, erhalten Sie eine Auswahl der Aufgaben, die auf diesem Server durchgeführt werden dürfen. Es dürfen nur Befehle ausgeführt werden, die in der Konfiguration des Spotlight-Agenten explizit erlaubt wurden.
Seite 690
• Berechtigungen: Spotlight-Agenten aus den gewählten Netzwerk- gruppen dürfen auf den Spotlight-Server zugreifen. Zusätzlich erhalten Benutzer und Netzwerke der gewählten Gruppen Zugriff auf die Spotlight Web-Applikation im Collax Web Access. • : Es erscheint ein Hinweis, falls kein Zertifikat hinterlegt wurde. Aktionen für diesen Abschnitt •...
Server Management mit Spotlight 17.7.4.1 Tab Grundeinstellungen, Abschnitt Upload Aktionen für diesen Abschnitt • Upload: Um die Verbindungskonfiguration zwischen dem Spot- light-Agenten und dem Spotlight-Server zu vereinfachen, kann hier die Konfiguration von Spotlight hochgeladen werden. Die Konfigurationsdatei „ spotlight.token“ enthält entsprechende Zertifikate und die IP-Adresse oder DNS-Namen des Spotlight- Servers.
Seite 692
Verschiedene Dienste 17.7.4.4 Tab Kommandos, Abschnitt Globale Kommando-Optionen Felder in diesem Abschnitt • Administrations-GUI und SSH erlauben: Mit dieser Option wird dem Spotlight-Server erlaubt Verbindungen zur Adminstrationso- berflache und zum SSH-Dienst des Spotlight-Agenten aufzubau- en. Ist diese Option aktiviert, muss der Spotlight-Server auf den Ports 8892 und 8895 erreichbar sein.
Aktionen für diesen Abschnitt • Neues Kommando: Diese Aktion öffnet einen Dialog um ein neues Systemkommando zu definieren. In der Verwaltungs-GUI des Spotlight-Servers wird dieses Kommando in die Liste der ausführbaren Kommandos eingetragen. • Löschen: Diese Aktion löscht ein hinzugefügtes Kommando. 17.7.4.6 Aktionen für dieses Formular •...
Seite 694
Verschiedene Dienste Batterien einen kritischen Wert erreicht, schickt der Master den Clients ein Kommando zum Herunterfahren. Anschließend fährt er selbst herunter und sendet als letztes Kommando der USV den Befehl zum Abschalten. Manche USVs können bei Rückkehr des Stroms eine Zeitlang warten und die Batterien bis über die kritische Grenze laden, bevor sie die Systeme wieder einschalten.
Seite 695
Aktionen für jeden Tabelleneintrag • Bearbeiten: Mit dieser Aktion werden die Einstellungen der USV bearbeitet. • Löschen: Mit dieser Aktion wird die USV gelöscht. Aktionen für diesen Dialog • Suche: Mit dieser Aktion kann nach, an USB angeschlossenen, USV-Geräten gesucht werden. •...
Seite 696
Verschiedene Dienste • ber Netzwerk abfragen: Wird diese Option aktiviert, kann die USV über das Netzwerk abgefragt werden. Dazu muss auf der USV oder dem entsprechenden Steuerungssystem ein Nut-USV- Daemon ab Version 1.1.0 laufen. • Rechner: Der Hostname oder die IP-Adresse des Rechners, an dem die USV angeschlossen ist.
Seite 697
Felder in diesem Dialog • Benutzer: Der Name des USV-Benutzers. • Beschreibung: Hier wird der Kommentartext zum Benutzer angezeigt. • Erlaube Master: Hier wird angezeigt, ob der Benutzer die Berech- tigung hat, als Master zu arbeiten. Aktionen für jeden Tabelleneintrag •...
Seite 698
Verschiedene Dienste • Name: Hier wird der Name des USV-Benutzers angezeigt. Wird ein bestehendes Nutzerprofil bearbeitet, kann der Name nicht geändert werden. • Kommentar: Hier kann ein Kommentartext zum Benutzer einge- geben werden. • Passwort: Hier wird das Passwort für den Benutzer gesetzt. •...
Server als Druckserver im Netzwerk verwendet werden. Die Konfiguration der Drucker selbst erfolgt über eine separate Oberfläche. Diese ist unter der IP-Adresse des Collax Servers auf Port 631 erreichbar. Dort können sich Benutzer einloggen, die zu einer Gruppe gehören, die die Administrationsrechte für den Druckdienst hat.
Seite 700
Verschiedene Dienste 17.9.1 GUI-Referenz: Druckerdienst (Diese Option befindet sich im Zusatzmodul Collax Network Storage) (Dieser Dialog befindet sich unter Serverdienste – Druckerdienst – Konfiguration) In diesem Dialog wird der Druckdienst (CUPS) des Systems konfiguriert. 17.9.1.1 Tab Grundeinstellungen Felder in diesem Abschnitt •...
Seite 701
Druckserver • Druckeradministratoren: Benutzer, die zu einer der aktivierten Gruppen gehören, dürfen den Druckdienst administrieren. Dazu gehört insbesondere das Anlegen von Druckern. Die Administrationsoberfläche ist unter der IP-Adresse dieses Systems auf Port 631 erreichbar: http: // 192.168.9.9:631 o. ä. 17.9.1.3 Tab Optionen Felder in diesem Abschnitt •...
Die Lizenz wird in Form einen Lizenzcodes geliefert und muss in der Weboberfläche eingegeben werden. Nach Eingabe des Lizenzco- des wird die Lizenz online geprüft und im Anschluss auf dem Collax Server freigeschaltet. Eine Lizenz ist immer mit der Subscription kombiniert. Diese be- rechtigt innerhalb der Laufzeit zum Zugriff auf den Updateserver, um Softwareaktualisierungen durchzuführen und zusätzliche Software-...
• Lizenznummer: Hier wird die auf diesem System verwendete Lizenznummer angezeigt. • Collax Web Account: Dieser Link verweist direkt in das Collax Web Account. Dort sind weitere Informationen zu der Lizenz abrufbar, etwa über die Laufzeit. • Support- bersicht und Dokumente: Dieser Link verweist auf die Supportinformationen auf der Collax-Website.
Lizenz Lizenzen können nur einmal registriert werden. Damit sie ein weiteres Mal verwendet werden können, müssen sie vom Collax- Support freigeschaltet werden. Dies dient zu Ihrem Schutz, damit Dritte Ihre Lizenz nicht ebenfalls verwenden können. Geben Sie Lizenzen nur frei, wenn es erforderlich ist.
In dieser Tabelle werden die verfügbaren Zusatzmodule angezeigt. Für jedes Modul wird aufgelistet, welcher Lizenz es unterliegt und ob es auf dem Collax Server bereits installiert ist. Spalten in der Tabelle • Paket: In dieser Spalte wird die Bezeichnung des Softwaremoduls ausgegeben.
Lizenz Gegensatz zu den hier verwalteten Lizenzschlüsseln in der Web- oberfläche bei der Konfiguration des Softwaremoduls selbst eingespielt wird. Aktionen für jeden Tabelleneintrag • Installieren: Mit dieser Aktion wird das Softwaremodul installiert. Dabei werden entsprechende Pakete vom Updateserver herun- tergeladen und in das System integriert. Eine Installation kann im Regelfall dann erfolgen, wenn das betreffende Produkt oder Zusatzmodul mit einem Lizenzschlüssel aktiviert wurde.
Verkauf des Systems oder aus sonstigem Grund kann die Lizenz auf dieser Seite von dem System entfernt werden. Nach diesem Vorgang ist der Collax Server bezüglich der Lizenzierung wieder im Auslieferungszustand, d. h., er ist eine lizenzlose, unregistrierte, im Funktionsumfang eingeschränkte Testversion.
• Am unteren Rand sind drei Schalter. Klicken Sie auf Paketliste holen. Nun wird die aktuelle Paketliste vom Update-Server heruntergeladen. • Wenn Sie den Collax Server hinter einer Firewall installiert haben, die keine direkten HTTPS-Zugriffe nach außen lässt, müssen Sie unter Einstellungen – Systembetrieb – Softwareupdate – Konfigu-...
Seite 710
Lizenzierung, Update und Softwaremodule • Während des Ladens der Paketliste erscheint eine Animation. Wenn Sie auf die Animation klicken, sehen Sie ein Terminalfen- ster mit detaillierteren Ausgaben. • Wenn auf dem Update-Server neue Pakete vorhanden sind, sehen Sie eine Zeile diesen oder ähnlichen Inhalts: 25 packages upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Seite 711
• Auch hier können Sie das Terminalfenster für eine detaillierte Ausgabe öffnen. In diesem Fall wird durch das Update der Kernel ausgetauscht, dazu muss der Collax Server neu gestartet werden. Ein entsprechender Hinweis findet sich am Ende der Ausgabe. 18.2.2 GUI-Referenz: Systemupdate (Dieser Dialog befindet sich unter Systembetrieb –...
Dritte verfälscht wurden. 18.2.2.1 Felder in diesem Dialog • Release-Notes: Neuerungen und Änderungen eines Systemupda- tes sind für Collax-Server in Release-Notes festgehalten. An dieser Stelle können die aktuellen Release-Notes eingesehen werden. • Ausgabe: In diesem Feld werden die Ausgaben der Updateaktio- nen angezeigt.
Pakete in Absprache mit dem Support des Herstellers eingespielt werden. 18.2.3.1 Felder in diesem Dialog • Datei: Hier wird die Datei ausgewählt, die eingespielt werden soll. Es muss sich dabei um ein gültiges Collax Server-Softwarepaket handeln. • Ergebnis: Nach der Installation werden hier die Ausgaben der Installation angezeigt.
Seite 714
(Dieser Dialog befindet sich unter System – Systembetrieb – Soft- ware – Registrierung) Mit Hilfe dieses Assistenten wird der Collax Server registriert. Dieser Assistent gleicht die beim Hersteller hinterlegten Daten des Fachhandelspartner ab und bietet die Möglichkeit diese Daten falls erforderlich, zu korrigieren.
Seite 715
Normalerweise enthält das Anwendungs-Cabinet jedoch nicht die Pakete, aus denen die eigentliche Software besteht. Diese werden vom Collax Server stattdessen von den Updateservern anhand der in der Cabinet-Datei enthaltenen Informationen heruntergeladen und anschließend direkt installiert. Das gilt auch für weitere Pakete, die aufgrund von Abhängigkeiten der Anwendung nachinstalliert werden...
Seite 716
Lizenzierung, Update und Softwaremodule 18.3.1 Schritt für Schritt: Anwendungen verschiedener Her- steller installieren • Voraussetzung ist, dass Sie ein Anwendungs-Cabinet vom Her- steller erhalten und auf Ihrer Workstation abgespeichert haben. • Wechseln Sie auf den Reiter System links vom Hauptmenü. •...
Anwendungen 18.3.2 GUI-Referenz: Anwendungen (Dieser Dialog befindet sich unter Systembetrieb – Software – Anwendungen) 18.3.2.1 AbschnittInstallierte Anwendungen Spalten in der Tabelle • Hersteller: Hier wird der Hersteller der Anwendung angezeigt. • Produkt: Hier wird der Produktname der Anwendung angezeigt. • Beschreibung: Hier erscheint ein Kurzbeschreibung der Anwendung.
Lizenzierung, Update und Softwaremodule 18.3.2.3 Aktionen für dieses Formular • Zurück: Diese Aktion führt zurück ins Hauptformular. 18.3.3 GUI-Referenz: Anwendung installieren (Dieser Dialog befindet sich unter Systembetrieb – Software – Anwendungen installieren) 18.3.3.1 AbschnittAnwendungs-Cabinet installieren Felder in diesem Abschnitt • Hersteller: Wurde eine Anwendungs-Cabinet-Datei hochgeladen, wird hier der Hersteller angezeigt.
(Dieser Dialog befindet sich unter Softwareupdate – Konfiguration) In diesem Dialog kann ein Proxy für den Download von System- updates konfiguriert werden. Dies kann notwendig sein, wenn der Collax Server hinter einer Firewall betrieben wird und keine direkte Internetverbindung aufbauen kann. Der Proxyserver muss allerdings HTTPS unterstützen.
Lizenzierung, Update und Softwaremodule • Proxy-Port: Der Port des Proxyservers muss hier angegeben werden. Ein Standard-Squid-Proxy benutzt meist den Port 3128. • Proxy-Authentifizierung benutzen: Falls der Proxy einen Benutzer- namen und ein Passwort zur Authentifizierung verlangt, muss diese Option aktiviert werden. •...
Seite 721
GUI-Referenz: Update-Konfiguration • E-Mail-Adresse: An diese E-Mail-Adresse wird eine Benachrich- tigung über den Updatestatus gesendet. Ist keine Adresse eingetragen, wird die Benachrichtigung an den Systemadmini- strator gesendet.
19 Systembetrieb 19.1 GUI-Referenz: Netzwerk-Tools (Dieser Dialog befindet sich unter Systembetrieb – Werkzeugkasten – Netzwerk-Tools) Der Werkzeugkasten bietet die Möglichkeit, vom Collax Server aus verschiedene Netzwerktests durchzuführen. Hier können DNS- Anfragen durchgeführt, Ping-Anfragen verschickt und Routen unter- sucht werden. 19.1.1 Abschnitt Netzwerktest 19.1.1.1 Felder in diesem Abschnitt...
Systembetrieb nicht mit Namen unterhalb von „.de“. Hier wurde die Veröffent- lichung der Informationen aus Datenschutzgründen eingestellt. Die Aktion route ermittelt, über welchen Link ein Zielrechner derzeit erreicht werden könnte. Diese Aktion nutzt die Routing- tabellen des Systems, es werden keine Daten verschickt. Wenn hier ein Name eingegeben wurde, muss dieser Name zunächst per DNS-Anfrage in eine IP-Adresse aufgelöst werden.
Der Verbleib von benutzerbezogenen Daten im Collax System geschieht, um generell Datenverlust zu vermeiden. In diesem Dialog können Daten, die noch auf dem Collax Server gespeichert sind aber keine zugehörigen Benutzer oder Konfigurationsdaten enthal- ten, endgültig im System aufgeräumt werden. Die zu diesen Daten...
Aktion endgültig aus dem System gelöscht. Alle Inhaltsdaten der gewählten Ordner gehen dadurch verloren. 19.1.5.3 Tab Persönliche Ordner Felder in diesem Abschnitt • Verwaiste Ordner: Hier wird eine Liste von persönlichen Ordnern angezeigt, deren Besitzer nicht mehr auf dem Collax Server existieren.
Seite 727
Name des Postfach lautet identisch zu dem Login des nicht mehr existenten Benutzers. 19.1.5.6 Aktionen für diesen Dialog • Postfächer löschen: Mit dieser Aktion werden die gewählten Postfächer aus dem Collax System gelöscht. Alle E-Mails der gewählten Postfächer gehen dadurch verloren. 19.1.5.7 Tab Sicherungsdaten Felder in diesem Abschnitt •...
Systembetrieb 19.1.5.8 Aktionen für diesen Dialog • Sicherungsdaten löschen: Die ausgewählten lokalen Sicherungs- daten werden mit dieser Aktion bereinigt und aus dem Collax System entfernt. 19.2 Festplattenverwaltung ber die Festplattenverwaltung ist es mit Hilfe des „Logical Vo- lume Management“ (LVM) möglich, weitere Festplattenkapazitäten nachzurüsten und damit die Datenpartition des Collax Servers zu...
Seite 729
Festplattenverwaltung 19.2.1.1 Tab Volume-Gruppen, Abschnitt Volume-Gruppe Felder im Abschnitt • Name: Name der angezeigten Volume-Gruppe. • Größe: Gesamte Größe des Speicherplatzes, die die Volume- Gruppe mit allen beinhalteten Logischen Volumes einnimmt. • Benutzt: Zeigt den Anteil des Speicherplatzes der Volume-Grup- pe, der mit Daten gefüllt ist.
19.2.1.3 Tab Volume-Gruppen, Abschnitt Logische Volumes Spalten in der Tabelle • Name: Hier wird der Name der logischen Volumes angezeigt. Auf Collax Servern ist das logische Volume „datavolume“ immer vorhanden. • Benutzt physikalisches Volume: Zeigt an, auf welches physikali- sche Volume zugegriffen wird.
Seite 731
Festplattenverwaltung 19.2.1.5 Tab Volume-Gruppe, Abschnitt Verfügbare Hardware Die Tabelle zeigt am Server angeschlossene Geräte, die zur Ver- wendung in Volume-Gruppen zur Verfügung stehen. Spalten in der Tabelle • Name: Hier wird der Name des Geräts angezeigt. • Gerät: Zeigt die Systembezeichnung des Geräts an. •...
Seite 732
Systembetrieb vorhandenes Dateisystem erkannt, das Gerät wird dann in der Tabelle Verfügbare Hardware aufgelistet. • Info: Detailinformation über das Gerät. • Größe: Zeigt die Gesamtgröße des Geräts an. • Verwendung: Hier wird angezeigt, ob das Gerät von einer Volume- Gruppe, vom Backup-System, von einer virtuellen Maschine oder vom Betriebssystem verwendet wird.
Festplattenverwaltung 19.2.1.7 Tab Festplatten, Abschnitt Logische Volumes Diese Tabelle zeigt alle dem Server vorhandenen logischen Geräte Spalten in der Tabelle • Gerät: Systembezeichnung des Geräts. • Typ: Zeigt an, ob es sich um ein Volumen mit erzeugtem Datei- system handelt. •...
Systembetrieb 19.2.2.2 Abschnitt Hinweis Felder in diesem Abschnitt • : Zeigt einen Hinweis zur Beachtung, bevor die Aktion ausgeführt wird. 19.2.2.3 Aktionen für dieses Formular • Abbrechen: Beendet den Dialog, das physikalische Volume wird nicht erzeugt. • Generieren: Beendet den Dialog, das physikalisch Volume wird erzeugt.
Seite 735
Festplattenverwaltung 19.2.3.1 Abschnitt Physikalisches Volume Felder in diesem Abschnitt • Gerät: Zeigt den Gerätenamen zur Kontrolle. • Info: Zeigt Detailinformationen zur Kontrolle. • Größe: Zeigt die Gesamtgröße des Volumes. • Aus Volume-Gruppe: Zeigt zur Kontrolle die Volume-Gruppe, aus der das physikalische Volume entfernt werden soll. 19.2.3.2 Abschnitt Hinweis Felder in diesem Abschnitt •...
Systembetrieb 19.2.3.4 Abschnitt Systemausgabe Felder in diesem Abschnitt • : Zeigt die Ausgabe vom Systemprozess. 19.2.4 Logisches Volume anlegen 19.2.4.1 Abschnitt Logisches Volume Felder in diesem Abschnitt • Name: Hier wird der Name angegeben, unter dem das Volume intern verwaltet wird. •...
Seite 737
Festplattenverwaltung 19.2.4.3 Abschnitt Systemausgabe Felder in diesem Abschnitt • : Zeigt die Systemausgabe vom Systemprozess. 19.2.5 Logical Volume erweitern 19.2.5.1 Abschnitt Logisches Volume Felder in diesem Abschnitt • Name: Zeigt den Gerätenamen zur Kontrolle. • In Volume-Gruppe: Zeigt zur Kontrolle die zugehörige Volume- Gruppe.
Seite 738
Systembetrieb 19.2.5.3 Systemausgabe Felder in diesem Abschnitt • : Zeigt die Ausgabe vom Systemprozess. 19.2.6 Logisches Volume entfernen 19.2.6.1 Abschnitt Logisches Volume Felder in diesem Abschnitt • Name: Zeigt den internen Namen des Volumes zur Kontrolle. • Volume-Gruppe: Zeigt zur Kontrolle die Volume-Gruppe, aus der das logische Volume entfernt werden soll.
GUI-Referenz: Shutdown und Reboot 19.2.6.4 Abschnitt Systemausgabe Felder in diesem Abschnitt • : Zeigt die Ausgabe vom Systemprozess. 19.3 GUI-Referenz: Shutdown und Reboot (Dieser Dialog befindet sich unter Systembetrieb – Shut- down / Reboot – Allgemein) In diesem Dialog kann das System heruntergefahren oder neu gestartet werden.
Systembetrieb 19.4 GUI-Referenz: Cache (Dieser Dialog befindet sich unter Systembetrieb – Webproxy – Cache) In diesem Dialog kann der Cache des Webproxyservers auf der Festplatte gelöscht werden. Dabei wird der Proxyserver gestoppt und anschließend neu gestartet. 19.4.1 Felder in diesem Dialog •...
Unter Status – Systeminformationen ist die Auslastung von Prozes- sor, Hauptspeicher und Festplattenspeicher einsehbar. Wenn ein Collax Server sehr träge reagiert, sollte die Auslastung überprüft werden. Interessant ist die Angabe von Load Average. Hier wird die gemittelte Last des Systems in der letzten Minute, in den letzten 5 Minuten und in den letzten 15 Minuten angegeben.
Darstellung der Graphen übereinander lassen sich Zusammenhänge zwischen einzelnen Parametern herstellen. 20.2 Dienste Alle im Collax Server vorhandenen Dienste sowie deren jeweiliger Zustand lassen sich unter Status – Dienste einsehen. Der Status jeden Dienstes wird zudem durch eine Ampel (rot bzw. grün für nicht laufend bzw.
Informationen über den Zustand der einzelnen Tunnel sowie die Anzeige der auf einem Tunnel genutzten Algorithmen für Verschlüs- selung und Prüfsummen. Wird der Collax Server als DHCP-Server eingesetzt, sind unter Status – DHCP-Leases alle per DHCP vergebenen IP-Adressen sowie deren Laufzeit einsehbar.
Zeitabständen erneute Zustellversuche. Wurde eine E-Mail beispielsweise durch einen Filter blockiert, ist der Zustand „Angehalten“. In diesem Fall muss die E-Mail über Auswahl markiert und dann mit Löschen entfernt oder mit Freigeben zugestellt werden. Ist der Collax Server so konfiguriert, dass E-Mails nicht sofort...
Auswertungen ausgeliefert werden, kann über den Schalter Jetzt versenden eine Auslieferung allur E-Mails erzwungen werden. Analog werden mit Jetzt abholen alle Abholaufträge für externe Postfächer gestartet. 20.5 Auswertungen Für die vier Dienste Webserver, Webproxy, E-Mail-Server und FTP- Server sind detaillierte Auswertungen abrufbar. Dazu muss unter Auswertungen der gewünschte Dienst ausgewählt werden.
Systeminformationen 20.6 System-Logdateien Viele wichtige Dienste im Collax Server protokollieren ihre Ereignis- se in einer zentralen Logdatei, der Syslog-Datei. Auf die Inhalte dieser Datei kann über die Weboberfläche unter Logdateien zugegriffen werden. Verschiedene Filter stehen zur Verfügung, um die gesuchte Information zu erhalten.
GUI-Referenz: Status ber das Feld Programm können noch die Ausgaben eines einzel- nen Dienstes gefiltert werden, etwa „fetchmail“ oder „pluto“. Die Ausgabe kann entweder im Textformat oder in Form einer HTML-Tabelle erfolgen. In der HTML-Variante wird über die Farben grün, gelb und rot die Wichtigkeit der Meldung visualisiert. 20.7 GUI-Referenz: Status 20.7.1 Systeminformationen (Dieser Dialog befindet sich unter...
Seite 748
Systeminformationen Felder in diesem Abschnitt • CPU-Graphen: Auslastungen der CPU innerhalb der letzten vier Stunden werden hier in Bezug auf Systemprozesse, virtuellen Maschinen und Dienste dargestellt. Die Aktualisierung geschieht minütlich. 20.7.1.3 Tab RAM, Abschnitt Graphen Felder in diesem Abschnitt • Speicherbelegung: Hier wird die Systembenutzung des Haupt- speichers (RAM) der letzten vier Stunden angezeigt.
Seite 749
(Dieser Dialog befindet sich unter berwachung / Auswertung – Status – Dienste) Dieser Dialog zeigt alle wichtigen Dienste auf dem Collax Server und ihren aktuellen Status an. Die Dienste können hier gestoppt und gestartet werden. 20.7.2.1 Felder in diesem Dialog •...
Systeminformationen • Status: Hier wird der Status des Dienstes angezeigt. „Running“ bedeutet, dass der Dienst aktiviert ist und läuft, „stopped“ hingegen, dass der Dienst in der Konfiguration aktiviert ist, der Dienst jedoch aus unbestimmtem Grund gestopped wurde. • Test: In dieser Spalte wird das Ergebnis aufgrund eines qualitativen Tests angezeigt.
Seite 751
GUI-Referenz: Status • Bytes In / Out: In diesem Feld wird das über diesen Link übertra- gene Datenvolumen angezeigt. Hinweis: In dieser Angabe wird mit 1000 Bytes = 1 KByte und 1000 KBytes = 1 MByte gerechnet (statt jeweils 1024). •...
Seite 752
Systeminformationen 20.7.4 Ethernet-Status (Dieser Dialog befindet sich unter berwachung / Auswertung – Status – Ethernet-Status) In diesem Formular können Detailinformationen über den Ether- net-Status eingesehen werden. Zunächst kann im Graph eine schematische Abbildung der lokalen Schnittstellen und deren Ver- bindung zu den anliegenden Geräten eingesehen werden. Weitere Details können in der Liste für jedes einzelne Ethernet-Gerät abge- rufen werden.
Seite 753
GUI-Referenz: Status diese den Status up. Bei unknown liegen momentan keine Infor- mationen für die Schnittstelle vor. • MAC-Adresse: Zeigt die Hardware-Adresse. Eine oder mehrere logischen Schnittstellen dürfen dieselbe MAC-Adresse besitzen, insofern keine spezielle konfiguriert wurde. Aktionen für jeden Tabelleneintrag •...
Seite 754
Systeminformationen Tab Grundlagen, Abschnitt IPv4 Adresse Hier werden die grundlegenden Informationen zu einer IPV4- Adresse angezeigt. Tab VLANs, Abschnitt VLAN Hier werden die grundlegenden Informationen zu VLAN angezeigt. Tab STP Hier werden die grundlegenden Informationen zu STP angezeigt. Tab Ports, Abschnitt Port Abschnitt MACs Hier werden die grundlegenden Informationen zu verwendeten Ports angezeigt.
Seite 755
Gegenstelle angezeigt. Aktionen für dieses Formular • Zurück: Beendet den Dialog und führt zurück zur bersicht. 20.7.5 VPN-/IPsec-Status (Diese Option befindet sich im Zusatzmodul Collax Gatekeeper) (Dieser Dialog befindet sich unter berwachung / Auswertung – Status – IPsec) Dieser Dialog zeigt eine bersicht über die konfigurierten VPN-...
Seite 756
Systeminformationen zusätzlich die aktuellen Verbindungsparameter (Verschlüsselungs- und Prüfsummenverfahren) angezeigt. Hier wird der Status einzelner VPN-Links, die den IPsec-Standard benutzen, angezeigt. 20.7.5.1 Felder in diesem Abschnitt • Hinweis: Wenn kein Status über VPN-Links verfügbar ist, wird hier ein entsprechender Hinweis angezeigt. 20.7.5.2 Felder in diesem Abschnitt •...
GUI-Referenz: Status • ESP: Dieses Feld zeigt Details über die verwendeten Verschlüs- selungs-Algorithmen des aufgebauten VPN-Links an. • Erreichbares Netz: Dieses Feld zeigt die Adresse des erreichbaren Netzwerks an. • IP-Adresse der Gegenstelle: Dieses Feld zeigt die IP-Adresse der VPN-Gegenstelle an. •...
Systeminformationen • Status: Zeigt den Status der DHCP-Lease an. Eine IP-Adresse ist normalerweise entweder als free oder active markiert. Active bedeutet, dass die Adresse benutzt wird und daher nicht bei einer DHCP-Anfrage vergeben wird. Als free wird eine IP-Adresse markiert, die bei einer DHCP-Anfrage neu vergeben werden kann. Der Status conflict bedeutet, dass der Server diese Adresse per DHCP vergeben wollte, aber ein anderer Rechner im Netz diese IP-Adresse benutzt oder zum Zeitpunkt des Versuchs benutzt hat.
GUI-Referenz: Status 20.7.7.2 Abschnitt Hinweis Felder in diesem Abschnitt • Auf diesem System ist noch keine USV eingerichtet. Daher ist hier kein Status abrufbar: Hier werden detaillierte Informationen über die ausgewählte USV angezeigt. Mit der Aktion Back to Overview wird wieder die gesamte Liste angezeigt. 20.7.8 Status Aktive Überwachung (Dieser Dialog befindet sich unter berwachung / Auswertung –...
Systeminformationen 20.7.9 Mail-Queue (Dieser Dialog befindet sich unter berwachung / Auswertung – Status – Mail-Queue) Alle eingehenden E-Mails werden in der Mailqueue, einer Warte- schlange, zwischengespeichert. Sie sind vorweg durch eingeschaltete Filter geprüft worden. Von hier aus erfolgt die weitere Zustellung in einzelne Postfächer oder an andere Server.
Seite 761
GUI-Referenz: Status E-Mails im Zustand Active werden momentan zugestellt. Eine E-Mail sollte sich eigentlich nur kurz in diesem Zustand befinden. Zu Zeitpunkten mit hohem Mailaufkommen kann es vorkommen, dass einige E-Mails mit diesem Zustand in der Mailqueue verwei- len. Besteht dieser Zustand über einen längeren Zeitraum, liegt oft eine Störung im Mailsystem vor, und die Mail-Logdatei sollte auf mögliche Probleme hin untersucht werden.
Seite 762
Start mit dieser Aktion veranlasst werden. Normalerweise wird dies aber von der internen „Schaltuhr“ automatisch in festen Abständen durchgeführt. 20.7.10 Angehaltene Mails (Diese Option befindet sich im Zusatzmodul Collax Communication Server und Collax Mail Security) (Dieser Dialog befindet sich unter berwachung / Auswertung –...
Seite 763
GUI-Referenz: Status 20.7.10.1 Spalten in der Tabelle • Auswahl: In dieser Spalte können Elemente für eine Aktion selektiv gewählt werden. • ID: Dieses Feld enthält die Message-ID, unter der die E-Mail im Mailsystem verwaltet wird. Durch das Anklicken der Message-ID öffnet sich ein neues Fenster, welches alle Einträge zu dieser E-Mail aus der Logdatei anzeigt.
Seite 764
Systeminformationen • Spam markieren: Diese Aktion markiert alle gehaltenen E-Mails, die als Spam identifiziert wurden. • Viren markieren: Diese Aktion markiert alle gehaltenen E-Mails, die als virenverseucht identifiziert wurden. • Header/ MIME markieren: Diese Aktion markiert alle E-Mails, die durch Kopfzeilen- oder Anhangsfilter angehalten wurden. •...
GUI-Referenz: Auswertungen Aktionen für dieses Formular • Zurück: Diese Aktion beendet die Anzeige und führt zurück zur Liste angehaltener E-Mails. 20.8 GUI-Referenz: Auswertungen 20.8.1 Systeminformationen (Dieser Dialog befindet sich unter berwachung / Auswertung – Auswertungen – Systemstatistik) Das System ermittelt zur Laufzeit verschiedene statistische Anga- ben und speichert diese für einen Zeitraum von einem Jahr ab.
Seite 766
Systeminformationen 20.8.2 Webserver (Dieser Dialog befindet sich unter berwachung / Auswertung – Auswertungen – Webserver) 20.8.2.1 Abschnitt Hinweis Felder in diesem Abschnitt • Die Logauswertung ist nicht aktiviert: Die Logauswertung bietet für die Dienste HTTP, FTP, Mail und HTTP-Proxy eine statistische Auswertung über die Nutzung.
Seite 767
GUI-Referenz: Auswertungen 20.8.3 Webproxy (Dieser Dialog befindet sich unter berwachung / Auswertung – Auswertungen – Webproxy) Hier sind die Auswertungen für den Webproxyserver abrufbar. 20.8.3.1 Abschnitt Hinweis Felder in diesem Abschnitt • Die Logauswertung ist nicht aktiviert: Damit die Logauswertung genutzt werden kann, muss sie bei der Konfiguration der ent- sprechenden Dienste aktiviert werden.
Seite 768
Systeminformationen 20.8.4 Mail (Dieser Dialog befindet sich unter berwachung / Auswertung – Auswertungen – Mail) Hier sind die Auswertungen für den Mailserver abrufbar. 20.8.4.1 Abschnitt Hinweis Felder in diesem Abschnitt • Die Logauswertung ist nicht aktiviert: Damit die Logauswertung genutzt werden kann, muss sie bei der Konfiguration der ent- sprechenden Dienste aktiviert werden.
Seite 769
GUI-Referenz: Auswertungen 20.8.5 FTP (Dieser Dialog befindet sich unter berwachung / Auswertung – Auswertungen – FTP) Hier sind die Auswertungen für den FTP-Server abrufbar. 20.8.5.1 Abschnitt Hinweis Felder in diesem Abschnitt • Die Logauswertung ist nicht aktiviert: Damit die Logauswertung genutzt werden kann, muss sie bei der Konfiguration der ent- sprechenden Dienste aktiviert werden.
Systeminformationen 20.8.6 System-Logdateien (Dieser Dialog befindet sich unter berwachung / Auswertung – Logdateien – System-Logdateien) 20.8.7 Felder in diesem Dialog • Livelog: Mit dieser Option kann die gewünschte Logdatei im Livelog-Modus angezeigt werden. Der „Follow-Mode“ ermöglicht es, die neuesten Systemmeldungen zu verfolgen. •...
Seite 771
GUI-Referenz: Auswertungen angewandt werden, der nur Einträge von einer bestimmten Software anzeigt. • Message-ID: Wenn als Subsystem Mail ausgewählt wurde, kann mit diesem Filter die Anzeige auf Einträge zu einer bestimmten Message-ID eingeschränkt werden. • Textformat benutzen: Wird diese Option aktiviert, erfolgt die Ausgabe als Text und nicht als HTML-Tabelle.
Seite 772
Systeminformationen 20.8.9.1 System-Log (Dieser Dialog befindet sich unter Logkonfiguration – System-Logs) Felder in diesem Dialog • System-Log neu anlegen: Hier wird eingestellt, nach welcher Zeitspanne die System-Logdateien „rotiert“ werden. • Sicherungskopien vorheriger System-Logs: In diesem Feld wird eingestellt, wie viele alte Versionen der Logdatei aufbewahrt werden.
GUI-Referenz: Auswertungen Felder in diesem Dialog • Webserver-Logs neu anlegen: Analog zu den normalen Logdateien des Systems können hier Logdateien des Webservers nach einer gewissen Zeitspanne „rotiert“ werden. • Sicherungskopien vorheriger Webserver-Logs: In diesem Feld wird eingestellt, wie viele alte Versionen der Logdatei aufbewahrt werden.
Seite 774
Systeminformationen Felder in diesem Dialog • Ereignis: In dieser Liste müssen die Ereignisse ausgewählt wer- den, bei deren Auftreten eine E-Mail verschickt wird. • Benachrichtigen per E-Mail: In dieser Liste müssen die Ereignisse ausgewählt werden, bei deren Auftreten eine E-Mail verschickt wird.
21 Software neu installieren oder Ausliefe- rungszustand wiederherstellen Das Betriebssystem des Collax Server kann bei Bedarf in kurzer Zeit neu installiert werden. So kann der Server sozusagen in den Auslieferungszustand zurückgesetzt werden. 21.1 Brennen der ISO-Datei • Bevor Sie die Installation beginnen, brennen Sie das herunter- geladene ISO-Image als Disk-Image auf ihren leeren Datenträger...
Rechner neu. Der erste Boot-Vorgangdauert etwas länger. • Sobald die Login-Aufforderung kommt, können Sie Monitor und Tastatur abhängen. Der Collax Server ist jetzt einsatzbereit. 21.3 Administration • Verbinden Sie sich zum Collax Server über einen Browser. • Folgen Sie den ersten Schritten hier (S. 11)