Changes

From SME Server
Jump to navigationJump to search
no edit summary
Line 1: Line 1:  
{{Header}}
 
{{Header}}
 
{{Dokumentationsübersicht}}
 
{{Dokumentationsübersicht}}
=VPN-Zugang=
+
=Fernzugriff=
Um den [http://de.wikipedia.org/wiki/Virtual_Private_Network VPN]-Zugang per ''PPTP auf einem Windows XP-PC'' zu aktivieren, gehen Sie folgendermaßen vor:
+
 
 +
==Kennwörter==
 +
Mit dem Benutzerkennwort erhalten Sie Zugang zum Server, können Dateien speichern, E-Mail-Konten nutzen und drucken. Falls Sie das Benutzerkennwort vergessen sollten, kann der Administrator das Kennwort zurücksetzen. Da der Administrator weder Zugriff auf Benutzerkennwörter noch auf deren Home-Verzeichnisse hat, kann er auch das alte Kennwort nicht wiederherstellen. Benutzer können ihr Kennwort unter '''user-password''' erneuern. Bei der Musterfirma lautet die URL dafür also https://www.musterfirma.com/user-password.
 +
 
 +
 
 +
==VPN-Zugang==
 +
Der SME Server unterstützt VPN auf Basis PPTP. Dafür muss durch den Administrator der VPN-Zugriff je Benutzer gesondert freigeschlatet werden. Um den [http://de.wikipedia.org/wiki/Virtual_Private_Network VPN]-Zugang per ''PPTP auf einem Windows XP-PC'' zu aktivieren, gehen Sie folgendermaßen vor:
    
[[Image:VPN-1.png]]
 
[[Image:VPN-1.png]]
Line 29: Line 35:     
{{Warnungsbox|Inhalt=Zum Schutz Ihres Netzwerks erzwingt der SME-Server PPTP-Verbindungen mit 128-bit-Verschlüsselung. Falls Sie keine Verbindung aufbauen können, prüfen Sie bitte, ob Sie die Erweiterung für die 128-bit-Verschlüsselung auf Ihrem Windows XP-PC installiert haben. Sie können diese Erweiterung ggfs. bei Microsoft erhalten und Ihren PC aktualisieren.}}
 
{{Warnungsbox|Inhalt=Zum Schutz Ihres Netzwerks erzwingt der SME-Server PPTP-Verbindungen mit 128-bit-Verschlüsselung. Falls Sie keine Verbindung aufbauen können, prüfen Sie bitte, ob Sie die Erweiterung für die 128-bit-Verschlüsselung auf Ihrem Windows XP-PC installiert haben. Sie können diese Erweiterung ggfs. bei Microsoft erhalten und Ihren PC aktualisieren.}}
 +
 +
Nach erfolgreich aufgebauter VPN-Verbindung können Sie in einem Windows-Explorerfenster Zugriff auf Ihren Server erhalten, indem Sie dort die IP-Adresse des Servers eingeben, z.B '''\\192.168.1.1'''. Falls Sie auf Ihrem lokalen Windows-PC mit identischen Benutzer+Kennwort wie auf dem SME Server arbeiten, ist keine weitere Anmeldung mehr erforderlich.
 +
 +
 +
==Shell-Zugang==
 +
 +
Sie haben 2 Möglichkeiten, sich an der Serverkonsole anzumelden:
 +
* direkt am Server
 +
* über SSH
 +
 +
===direkt am Server===
 +
Die einfachste Möglichkeit, sich an der Serverkonsole anzumelden, ist natürlich am Server selbst. Dazu können Sie mit Alt+F1, Alt+F2 und Alt+F3 bis zu 3 Sessions gleichzeitig starten und so parallele Arbeiten in den jeweiligen Sessions durchführen.
 +
 +
===über SSH===
 +
Die bevorzugte Methode, die SME Serverkonsole zu erreichen, ist jedoch der Fernzugriff über einen SSH-Client. SSH ist ein Protokoll, das ähnlich wie Telnet funktioniert, durch die starke Verschlüsselung aber deutlich sicherer ist.
 +
 +
Der SME Server ist in der Voreinstellung nicht für den Fernzugriff per SSH konfiguriert. Für die Benutzung von SSH muss der SME Server daher zunächst im Register '''Fernzugriff''' freigeschaltet werden. Dazu hat der Administrator 3 verschiedene Optionen:
 +
 +
* Sicherer Zugang über SSH
 +
* Admin Kommandos über einen sicheren SSH-Zugang erlauben
 +
* Den sicheren SSH-Zugang mit Standard-Kennwort erlauben
 +
 +
====Sicherer Zugang über SSH====
 +
In der Voreinstellung ist dieser Zugang ausgeschaltet. Der Administrator kann das im Servermanager ändern und hat dabei folgende Alternativen zur Auswahl:
 +
 +
{| {{Tabelle}}
 +
| colspan="1" align="left" bgcolor="#ABCDEF" | '''SSH-Optionen'''
 +
|-
 +
|Kein Zugang (Voreinstellung)
 +
|-
 +
|Zugang nur vom lokalen Netzwerk erlauben
 +
|-
 +
|Öffentlicher Zugang erlauben (ganzes Internet)
 +
|}
 +
 +
Wenn der Zugang gemäß Alternative 2 nur vom lokalen Netzwerk aus erlaubt ist, sind SSH-Verbindungen nur im gleichen lokalen Subnetz möglich. Sollte der SME Server z.B die IP-Adresse 192.168.1.1/255.255.255.0 haben, können Sie eine SSH-Sitzung nur von einem Client aufbauebn, dessen IP-Adresse aus dem gleichen Netz stammen muss (192.168.1.2-192.168.1.254). Falls Sie mehrere lokale Netzwerke benutzen und Sie eine SSH-Sitzung aus einem fremden Subnetz zum SME Server aufbauen möchten, muss zunächst das jeweilige Subnetz im SME Server im Register [[SME_Server:Deutsche_Dokumentation:Administrationshandbuch:Kapitel11#Lokale_Netzwerke|Lokale Netzwerke]] aufgenommen werden.
 +
 +
Sollte der Zugang gemäß Alternative 3 auch für das '''GESAMTE INTERNET''' freigeschaltet sein, ist eine SSH-Verbindung von jedem Ort der Welt über das Internet möglich. Jede beliebige IP-Adresse, ob lokal oder aus dem Internet, wird vom SME Server akzeptiert.
 +
 +
{{Warnungsbox|Inhalt=Die Öffnung des SME Servers für SSH-Sitzung für das gesamte Internet stellt ein großes potenzielles Sicherheitsrisiko dar. Besonders bei der Verwendung einfacher Kennwörter gefährden Sie unnötig die Sicherheit Ihres Systems.}}
 +
 +
Mit den beiden anderen Einstelloptionen können die unsicheren SSH-Verbindungen über das Internet deutlich sicherer gemacht werden. Dabei wird nicht empfohlen, eine der beiden Optionen mit "Ja" einzustellen, wenn der SSH-Zugang für das gesamte Internet freigeschaltet ist.
 +
 +
====Admin Kommandos über einen sicheren SSH-Zugang erlauben====
 +
Damit kann im Servermanager eingestellt werden, ob bei einer SSH-Sitzung die Anmeldung mit dem Benutzer "root" erlaubt ist. In der Voreinstellung "Nein" endet jeder Versuch, sich über SSH an der Serverkonsole anzumelden, mit "Access Denied".
 +
 +
====Den sicheren SSH-Zugang mit Standard-Kennwort erlauben====
 +
Damit wird über den Zugang mit dem normalen Kennwort entschieden. Bei der Voreinstellung "Nein" ist eine SSH-Verbindung nur dann möglich, wenn ein Schlüsselpaar mit öffentlichen und privaten Schlüsseln verwendet wird. Dazu im nächsten Abschnitt mehr.
 +
 +
====SSH-Verbindungen mit Verschlüsselung absichern====
 +
 +
Falls Sie den SSH-Fernzugang zu Ihrem SME Server von außerhalb des lokalen Netzwerks benötigen, ist die empfohlene Variante, ein Schlüsselpaar mit öffentlichen und privaten Schlüsseln zu verwenden. Der private Schlüssel ist eine Datei, die Sie auf Ihrem Client-Computer haben und wird vom SSH-Client an den Server gesendet. Der öffentliche Schlüssel ist auf Ihrem SME Server abgelegt.
 +
 +
Beim Anmeldeprozess wird der gesendete private Schlüssel mit dem öffentlichen Serverschlüssel verglichen. Wenn die beiden Schlüssel nicht zueinander passen, wird die Anmeldung sofort abgebrochen. Durch die starke Verschlüsselung ist es einem Hacker unmöglich, das root-Kennwort mitzuschneiden.
 +
 +
Dabei ist es bemerkenswert einfach, das beschriebene Schlüsselpaar zu erzeugen. Hier eine kleine Anleitung, nach der Sie für den Superuser "root" ein solches Schlüsselpaar für Ihren SME Server erzeugen können:
 +
 +
 +
'''Schritt 1 - Schlüssel erzeugen'''
 +
 +
Melden Sie sich an Ihrem Server mit dem Benutzer "root" an und wechseln zu "~/.ssh".
 +
 +
cd ~/.ssh
 +
 +
Geben Sie folgenden Befehl ein:
 +
 +
ssh-keygen -t dsa
 +
 +
Durch Eingabe der Passphrase können Sie selbst entscheiden, ob Sie zum Schlüssel zusätzlich auch ein Kennwort verwenden wollen. Sie werden zwar dadurch bei jeder Anmeldung nach diesem Kennwort gefragt, haben aber eine nochmalige Sicherheitssteigerung, weil selbst dann, wenn der SSH-Schlüssel in fremde Hände gelangen würde, weiterhin ein Kennwort erforderlich ist, um auf Ihren Server zu gelangen. Deshalb wird die Benutzung eines Kennworts nach den strengen Regeln des SME Servers empfohlen. Drücken Sie einfach ENTER, wenn Sie nach dem Speicherort der Schlüssel gefragt werden.
 +
 +
Sie haben nun 2 neue Dateien im aktuellen Verzeichnis:
 +
 +
id_dsa
 +
id_dsa.pub
 +
 +
'''Schritt 2 - öffentlichen Schlüssel aktivieren'''
 +
 +
Geben Sie folgenden Befehl ein, um den erzeugten öffentlichen Schlüssel zu den Schlüsseln hinzuzufügen, die für den Benutzer "root" gestattet sind:
 +
 +
cat id_dsa.pub >> authorized_keys
 +
 +
'''Schritt 3 - Privaten Schlüssel beziehen'''
 +
 +
Jetzt ist es Zeit, den erzeugten privaten Schlüssel "id_dsa" auf Ihrem lokalen Client-Computer zu kopieren. Im folgenden wird angenommen, dass Sie '''Windows''' als Betriebssystem und '''Putty''' als SSH-Client verwenden. Falls Sie mit ssh verbunden sind, geben Sie einfach ein:
 +
 +
cat id_dsa
 +
 +
und kopieren die Augabe in eine Notepad-Datei.
 +
 +
Alternativ können Sie natürlich auch diese Datei in ein i-bay kopieren und über den Windows-Explorer auf Ihren Windows PC kopieren.
 +
 +
'''Schritt 4 - Privaten Schlüssel konvertieren'''
 +
 +
Zur Verwendung des kopierten SSH-Schlüssels unter '''Putty''' muss dieser vom OpenSSH-Format in das Putty eigene PPK-Format konvertiert werden. Dazu ist PuttyGen erforderlich, dass normalerweise Bestandteil einer Putty-Installation ist. Sie können es unter http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html herunterladen.
 +
 +
Starten Sie PuttyGen, wählen Sie "Convertions -> Import key" aus und öffnen Sie Ihren OpenSSH-formatierten privaten Schlüssel. Wenn Sie zusätzlich ein Kennwort verwenden, werden Sie jetzt danach gefragt. Ist der Schlüssel erfolgreich importiert, klicken Sie auf "Save private key" und speichern den PPK-Schlüssel an sicherer Stelle ab.
 +
 +
'''Schritt 5 - Schlüssel benutzen & Test'''
 +
 +
Wenn Sie jetzt Putty benutzen, müssen Sie nur noch die Verwendung des privaten Schlüssels konfigurieren. Geben Sie die IP-Adresse bzw. den FQDN Ihres Servers wie sonst auch im Hauptfenster von Putty ein und wechseln dann im Menü des linken Fensters zu "Connection -> SSH -> Auth" und öffnen mit "browse" den im Schritt 4 gespeicherten PPK-Schlüssel. Sie können dann zu "Session" zurückkehren und die Einstellungen speichern.
 +
 +
Wenn Sie nun die SSH-Sitzung starten und die Verschlüsselung funktioniert, sollten Sie folgendes sehen:
 +
 +
Using username "root".
 +
Authenticating with public key "imported-openssh-key"
 +
Passphrase for key "imported-openssh-key":
 +
 +
'''Schritt 6 - Lock it down'''
 +
 +
Wenn alles wie gewünscht funktioniert, sollten Sie "Logging" ausschalten.
 +
Wechseln Sie zum Schluss in den SME Server-Manager und schalten die Option "Den sicheren SSH-Zugang mit Standard-Kennwort erlauben" aus. Ab jetzt können SSH-Sitzungen nur noch verschlüsselt durchgeführt werden.
 +
 +
===Anmelden===
 +
 +
der SME Server ist so voreingestellt, dass sich sowohl beim SSH-Zugang als auch beim Zugang direkt am Server nur die Benutzer "admin" und "root" anmelden können.
 +
 +
Mit dem Benutzer '''admin''' erhalten Sie Zugriff auf die Serverkonsole, mit der Sie sämtliche [[SME_Server:Deutsche_Dokumentation:Administrationshandbuch:Kapitel6|Konfigurations-Grundeinstellungen]] des SME Servers steuern können.
 +
 +
Mit dem Benutzer '''root''' melden Sie sich als Superuser an der Konsole direkt an.
 +
 +
{{Warnungsbox|Inhalt=Der Benutzer '''root''' hat alle Rechte und darf absolut alles. Gehen Sie deshalb besonders vorsichtig damit um! Nur zu leicht sind versehentlich wichtige Dateien gelöscht und Ihr Server funktioniert nicht mehr wie gewohnt oder startet gar nicht mehr. Auch wenn Sie sehr sicher sind, was Sie tun: Stellen Sie sicher, dass Sie immer über ein aktuelles Backup verfügen, damit Sie im Notfall Ihr System schnell wiederherstellen können.}}
 +
 +
{{Anmerkungsbox|Inhalt=Die Benutzer '''admin''' und '''root''' verwenden gemeinsam das gleiche Kennwort. Es ist das '''Systemkennwort''', dass Sie bei der Erstkonfiguration Ihres SME Servers eingegeben haben. Wenn Sie das Kennwort für den Benutzer '''admin''' mit dem Server-Manager ändern, ist damit auch das Kennwort für den Benutzer '''root''' geändert.}}
1,346

edits

Navigation menu