SME Server:Documentation:User Manual:Chapter1/de

From SME Server
< SME Server:Documentation:User Manual:Chapter1
Revision as of 11:55, 29 September 2007 by Cactus (talk | contribs) (Replaced Template:drawBox* (deprecated) with Template:* box and made language independant)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to navigation Jump to search


height=48px SME Server Handbücher

Administration
Benutzer
Entwickler

height=48px Zusätzliche Dokumentation

Technikerhandbuch
Häufig gestellte Fragen
HowTo-Anleitungen

height=48px Erweiterungen
Individuelle SME Server Erweiterungen

Kapitel 1 - Fernzugriff

Kennwörter

Mit dem Benutzerkennwort erhalten Sie Zugang zum Server, können Dateien speichern, E-Mail-Konten nutzen und drucken. Falls Sie das Benutzerkennwort vergessen sollten, kann der Administrator das Kennwort zurücksetzen. Da der Administrator weder Zugriff auf Benutzerkennwörter noch auf deren Home-Verzeichnisse hat, kann er auch das alte Kennwort nicht wiederherstellen. Benutzer können ihr Kennwort unter user-password erneuern. Bei der Musterfirma lautet die URL dafür also https://www.musterfirma.com/user-password.


VPN-Zugang

Der SME Server unterstützt VPN auf Basis PPTP. Dafür muss durch den Administrator der VPN-Zugriff je Benutzer gesondert freigeschlatet werden. Um den VPN-Zugang per PPTP auf einem Windows XP-PC zu aktivieren, gehen Sie folgendermaßen vor:

 

Rufen Sie das Register Netzwerkverbindungen in der Systemsteuerung auf Klicken Sie auf Neue Verbindung erstellen Wählen Sie Verbindung mit dem Netzwerk am Arbeitsplatz herstellen aus

 

Wählen Sie VPN-Verbindung aus

 

Geben Sie einen Verbindungsnamen an

 

Geben Sie ggfs. eine Anfangsverbindung zur automatischen Einwahl an

 

Geben Sie den Namen Ihre Haupt-Domäne ein


  Anmerkung
Stellen Sie zunächst eine Internetverbindung her, bevor Sie eine PPTP-Verbindung zu Ihrem SME-Server aufbauen. Beim Herunterfahren trennen Sie bitte zuerst die PPTP-Verbindung und danach erst die Internetverbindung.



  Warnung
Zum Schutz Ihres Netzwerks erzwingt der SME-Server PPTP-Verbindungen mit 128-bit-Verschlüsselung. Falls Sie keine Verbindung aufbauen können, prüfen Sie bitte, ob Sie die Erweiterung für die 128-bit-Verschlüsselung auf Ihrem Windows XP-PC installiert haben. Sie können diese Erweiterung ggfs. bei Microsoft erhalten und Ihren PC aktualisieren.


Nach erfolgreich aufgebauter VPN-Verbindung können Sie in einem Windows-Explorerfenster Zugriff auf Ihren Server erhalten, indem Sie dort die IP-Adresse des Servers eingeben, z.B \\192.168.1.1. Falls Sie auf Ihrem lokalen Windows-PC mit identischen Benutzer+Kennwort wie auf dem SME Server arbeiten, ist keine weitere Anmeldung mehr erforderlich.


Shell-Zugang

Sie haben 2 Möglichkeiten, sich an der Serverkonsole anzumelden:

  • direkt am Server
  • über SSH

direkt am Server

Die einfachste Möglichkeit, sich an der Serverkonsole anzumelden, ist natürlich am Server selbst. Dazu können Sie mit Alt+F1, Alt+F2 und Alt+F3 bis zu 3 Sessions gleichzeitig starten und so parallele Arbeiten in den jeweiligen Sessions durchführen.

über SSH

Die bevorzugte Methode, die SME Serverkonsole zu erreichen, ist jedoch der Fernzugriff über einen SSH-Client. SSH ist ein Protokoll, das ähnlich wie Telnet funktioniert, durch die starke Verschlüsselung aber deutlich sicherer ist.

Der SME Server ist in der Voreinstellung nicht für den Fernzugriff per SSH konfiguriert. Für die Benutzung von SSH muss der SME Server daher zunächst im Register Fernzugriff freigeschaltet werden. Dazu hat der Administrator 3 verschiedene Optionen:

  • Sicherer Zugang über SSH
  • Admin Kommandos über einen sicheren SSH-Zugang erlauben
  • Den sicheren SSH-Zugang mit Standard-Kennwort erlauben

Sicherer Zugang über SSH

In der Voreinstellung ist dieser Zugang ausgeschaltet. Der Administrator kann das im Servermanager ändern und hat dabei folgende Alternativen zur Auswahl:

SSH-Optionen
Kein Zugang (Voreinstellung)
Zugang nur vom lokalen Netzwerk erlauben
Öffentlicher Zugang erlauben (ganzes Internet)

Wenn der Zugang gemäß Alternative 2 nur vom lokalen Netzwerk aus erlaubt ist, sind SSH-Verbindungen nur im gleichen lokalen Subnetz möglich. Sollte der SME Server z.B die IP-Adresse 192.168.1.1/255.255.255.0 haben, können Sie eine SSH-Sitzung nur von einem Client aufbauebn, dessen IP-Adresse aus dem gleichen Netz stammen muss (192.168.1.2-192.168.1.254). Falls Sie mehrere lokale Netzwerke benutzen und Sie eine SSH-Sitzung aus einem fremden Subnetz zum SME Server aufbauen möchten, muss zunächst das jeweilige Subnetz im SME Server im Register Lokale Netzwerke aufgenommen werden.

Sollte der Zugang gemäß Alternative 3 auch für das GESAMTE INTERNET freigeschaltet sein, ist eine SSH-Verbindung von jedem Ort der Welt über das Internet möglich. Jede beliebige IP-Adresse, ob lokal oder aus dem Internet, wird vom SME Server akzeptiert.


  Warnung
Die Öffnung des SME Servers für SSH-Sitzung für das gesamte Internet stellt ein großes potenzielles Sicherheitsrisiko dar. Besonders bei der Verwendung einfacher Kennwörter gefährden Sie unnötig die Sicherheit Ihres Systems.


Mit den beiden anderen Einstelloptionen können die unsicheren SSH-Verbindungen über das Internet deutlich sicherer gemacht werden. Dabei wird nicht empfohlen, eine der beiden Optionen mit "Ja" einzustellen, wenn der SSH-Zugang für das gesamte Internet freigeschaltet ist.

Admin Kommandos über einen sicheren SSH-Zugang erlauben

Damit kann im Servermanager eingestellt werden, ob bei einer SSH-Sitzung die Anmeldung mit dem Benutzer "root" erlaubt ist. In der Voreinstellung "Nein" endet jeder Versuch, sich über SSH an der Serverkonsole anzumelden, mit "Access Denied".

Den sicheren SSH-Zugang mit Standard-Kennwort erlauben

Damit wird über den Zugang mit dem normalen Kennwort entschieden. Bei der Voreinstellung "Nein" ist eine SSH-Verbindung nur dann möglich, wenn ein Schlüsselpaar mit öffentlichen und privaten Schlüsseln verwendet wird. Dazu im nächsten Abschnitt mehr.

SSH-Verbindungen mit Verschlüsselung absichern

Falls Sie den SSH-Fernzugang zu Ihrem SME Server von außerhalb des lokalen Netzwerks benötigen, ist die empfohlene Variante, ein Schlüsselpaar mit öffentlichen und privaten Schlüsseln zu verwenden. Der private Schlüssel ist eine Datei, die Sie auf Ihrem Client-Computer haben und wird vom SSH-Client an den Server gesendet. Der öffentliche Schlüssel ist auf Ihrem SME Server abgelegt.

Beim Anmeldeprozess wird der gesendete private Schlüssel mit dem öffentlichen Serverschlüssel verglichen. Wenn die beiden Schlüssel nicht zueinander passen, wird die Anmeldung sofort abgebrochen. Durch die starke Verschlüsselung ist es einem Hacker unmöglich, das root-Kennwort mitzuschneiden.

Dabei ist es bemerkenswert einfach, das beschriebene Schlüsselpaar zu erzeugen. Hier eine kleine Anleitung, nach der Sie für den Superuser "root" ein solches Schlüsselpaar für Ihren SME Server erzeugen können:


Schritt 1 - Schlüssel erzeugen

Melden Sie sich an Ihrem Server mit dem Benutzer "root" an und wechseln zu "~/.ssh".

cd ~/.ssh

Geben Sie folgenden Befehl ein:

ssh-keygen -t dsa

Durch Eingabe der Passphrase können Sie selbst entscheiden, ob Sie zum Schlüssel zusätzlich auch ein Kennwort verwenden wollen. Sie werden zwar dadurch bei jeder Anmeldung nach diesem Kennwort gefragt, haben aber eine nochmalige Sicherheitssteigerung, weil selbst dann, wenn der SSH-Schlüssel in fremde Hände gelangen würde, weiterhin ein Kennwort erforderlich ist, um auf Ihren Server zu gelangen. Deshalb wird die Benutzung eines Kennworts nach den strengen Regeln des SME Servers empfohlen. Drücken Sie einfach ENTER, wenn Sie nach dem Speicherort der Schlüssel gefragt werden.

Sie haben nun 2 neue Dateien im aktuellen Verzeichnis:

id_dsa
id_dsa.pub

Schritt 2 - öffentlichen Schlüssel aktivieren

Geben Sie folgenden Befehl ein, um den erzeugten öffentlichen Schlüssel zu den Schlüsseln hinzuzufügen, die für den Benutzer "root" gestattet sind:

cat id_dsa.pub >> authorized_keys

Schritt 3 - Privaten Schlüssel beziehen

Jetzt ist es Zeit, den erzeugten privaten Schlüssel "id_dsa" auf Ihrem lokalen Client-Computer zu kopieren. Im folgenden wird angenommen, dass Sie Windows als Betriebssystem und Putty als SSH-Client verwenden. Falls Sie mit ssh verbunden sind, geben Sie einfach ein:

cat id_dsa

und kopieren die Augabe in eine Notepad-Datei.

Alternativ können Sie natürlich auch diese Datei in ein i-bay kopieren und über den Windows-Explorer auf Ihren Windows PC kopieren.

Schritt 4 - Privaten Schlüssel konvertieren

Zur Verwendung des kopierten SSH-Schlüssels unter Putty muss dieser vom OpenSSH-Format in das Putty-eigene PPK-Format konvertiert werden. Dazu ist PuttyGen erforderlich, dass normalerweise Bestandteil einer Putty-Installation ist. Sie können es unter http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html herunterladen.

Starten Sie PuttyGen, wählen Sie "Conversions -> Import key" aus und öffnen Sie Ihren OpenSSH-formatierten privaten Schlüssel. Wenn Sie zusätzlich ein Kennwort verwenden, werden Sie jetzt danach gefragt. Ist der Schlüssel erfolgreich importiert, klicken Sie auf "Save private key" und speichern den PPK-Schlüssel an sicherer Stelle ab.

Schritt 5 - Schlüssel benutzen & Test

Wenn Sie jetzt Putty benutzen, müssen Sie nur noch die Verwendung des privaten Schlüssels konfigurieren. Geben Sie die IP-Adresse bzw. den FQDN Ihres Servers wie sonst auch im Hauptfenster von Putty ein und wechseln dann im Menü des linken Fensters zu "Connection -> SSH -> Auth" und öffnen mit "browse" den im Schritt 4 gespeicherten PPK-Schlüssel. Sie können dann zu "Session" zurückkehren und die Einstellungen speichern.

Wenn Sie nun die SSH-Sitzung starten und die Verschlüsselung funktioniert, sollten Sie folgendes sehen:

Using username "root".
Authenticating with public key "imported-openssh-key"
Passphrase for key "imported-openssh-key":

Schritt 6 - Lock it down

Wenn alles wie gewünscht funktioniert, sollten Sie "Logging" ausschalten. Wechseln Sie zum Schluss in den SME Server-Manager und schalten die Option "Den sicheren SSH-Zugang mit Standard-Kennwort erlauben" aus. Ab jetzt können SSH-Sitzungen nur noch verschlüsselt durchgeführt werden.

Anmelden

der SME Server ist so voreingestellt, dass sich sowohl beim SSH-Zugang als auch beim Zugang direkt am Server nur die Benutzer "admin" und "root" anmelden können.

Mit dem Benutzer admin erhalten Sie Zugriff auf die Serverkonsole, mit der Sie sämtliche Konfigurations-Grundeinstellungen des SME Servers steuern können.

Mit dem Benutzer root melden Sie sich als Superuser an der Konsole direkt an.


  Warnung
Der Benutzer root hat alle Rechte und darf absolut alles. Gehen Sie deshalb besonders vorsichtig damit um! Nur zu leicht sind versehentlich wichtige Dateien gelöscht und Ihr Server funktioniert nicht mehr wie gewohnt oder startet gar nicht mehr. Auch wenn Sie sehr sicher sind, was Sie tun: Stellen Sie sicher, dass Sie immer über ein aktuelles Backup verfügen, damit Sie im Notfall Ihr System schnell wiederherstellen können.



  Anmerkung
Die Benutzer admin und root verwenden gemeinsam das gleiche Kennwort. Es ist das Systemkennwort, dass Sie bei der Erstkonfiguration Ihres SME Servers eingegeben haben. Wenn Sie das Kennwort für den Benutzer admin mit dem Server-Manager ändern, ist damit auch das Kennwort für den Benutzer root geändert.