UniFi kann vor allem gleichzeitig auf 2.5 und 5GHz mit voller Auslastung senden und Empfangen, hat GBit sowie PoE und ist preislich sehr attraktiv wenn man nur WLAN braucht. Die Konkurrenz verlangt hier locker minimum das doppelte an Euros.
Das längste Thema
- fLoo
- Unerledigt
-
-
hab noch auf meinem Homeserver eine kleine VM mit dem Controller, über den ich beide APs konfigurieren kann.
Genau das gleich Setup habe ich jetzt mittlerweile an drei Standorten. zwischen einem einzelnen und insgesamt 15 APs ist alles dabei. Die Teile sind einfach der Wahnsinn. Enterprise Hardware für "nicht ganz so viel" Geld.
-
-
Gab ja anscheinend sogar mal 10Tb Versionen - haha ?
?
https://www.netcup.de/bestellen/produkt.php?produkt=1523 Gibts doch immernoch
-
-
Doch schon. Du hast z.B. users@domain1.de und users@domain2.de als Mailaddressen, die der Server zuständig sein soll. Mit SNI kannst du beide auf einem Server verwalten und jeder kann "seinen" Mail server unter mail.domain1.de bzw mail.domain2.de erreichen. Ohne TLS is das ja eh kein Problem. Mit TLS muss im Zertifikat auch der richtige Host-Name stehen. Ohne SNI geht das nur in dem man ein Zertifikat, das alle Domains enthält, erstellt. Mit SNI, kannst du für jede Domain ein anderes Zertifikat ausliefern.
-
Danke für Euer Feedback!
Du musst für virtuelle User auch keine Datenbank aufsetzen.
Klar, aber welche Möglichkeit hat der User dann, sein eigenes Passwort zu ändern? Ohne den Admin zu nerven. Diesen Anspruch habe ich selbst bei einem Testsystem. Dafür müsste ich erst irgendein Script programmieren.
Es wird wahrscheinlich auf ein klassisches Postfixadmin Setup hinauslaufen, allerdings mit einer SQLite Datenbank. Den Webserver und PHP brauche ich sowieso für Roundcube. Das sollte im Vergleich zu MySQL ähnlich sein und gleichzeitig genügend Komfort bieten. Ich muss halt die ganzen SQL-Dateien für Postfix und Dovecot eventuell anpassen. Meine Joins sind vermutlich nicht kompatibel mit SQLite…
warum dürfen sich Deine User per SSH auf den Server einloggen?
Die Grundidee beim Testsystem war, dass jeder User einen normalen Account bekommt, seine Mails in ~/.maildir liegen und über SSH mindestens das Passwort ändern darf. Ob er mehr darüber ausführen darf, stand noch nicht 100% fest. Auf jeden Fall war es ein einfaches, schnell zu realisierendes Testsetup, mit dem ich gleich loslegen konnte. Bezüglich Mails verwerfe ich diese Idee jetzt wieder…
Immerhin weiß ich jetzt, dass Postfix und Dovecot mit dem neuen Submissiond gut zusammenarbeiten und es sich lohnt, in das Vmail-Setup mit PFA zu investieren.
KB19 LDAP ist dein Freund. OpenLDAP möchte dir helfen.
Uff, das erhöht die Komplexität aber noch mehr, oder?
"absolut nichts falsch gemacht haben" und auf einer Blacklist landen widerspricht sich irgendwie etwas
Mindestens eine der genannten Blacklists nimmt schnell ganze Subnetze auf. Die IP-Nachbarn haben nichts verbrochen und schauen erst einmal doof.
Oder man bekommt einen neuen Server, dessen IP-Adresse wegen einer Sache von vor ~4 Jahren noch geblacklistet ist. Die Liste verweigert aber die Austragung, wenn man sich nicht kompliziert registriert oder gar Gebühren (!) im zwei-/dreistelligen Bereich zahlt.
-
17martin Nur hast einen Pferdefuß, es muss hinreichender Client-Support f. SNI gegeben sein;
bei Browsern ist das ja seit x Jahren kein Thema mehr aber bei Mail clients ...
von daher wird das ja elegant umgangen, indem die POP3/IMAP4-Kiste einfach einen DNS-Namen der Domain des Hosters ist,
und die komplette E-mail-Adresse als Username genommen wird;
-
Das ist ein Henne-Ei-Problem. Der Clientsupport für SNI wird schon kommen, je mehr Dienste es unterstützen. Thunderbird und K9 können damit angeblich schon umgehen, getestet habe ich es allerdings noch nicht.
-
bei SQL Lite sehe ich ggf. nen Rechteproblem. da ja alle drauf zugreifen können / müssen.
die nur READ die nur Write etc. da wäre ne Klassike DB glauber "besser".
Zumal du ja auch bei roundcube das Passwort Plugin verwenden kannst zum Ändern des PWs.
sollte war auch per SQLLite gehen... aber hmmmm.
-
Bei SQLite gehört die Datei (und der Ordner, da PFA sonst nicht läuft!) einfach postfix:postfixadmin, und in die neue Gruppe postfixadmin packe ich www-data sowie dovecot. Die Rechte kann man auf 0570 und 0460 setzen. Notfalls kann man mit ACLs arbeiten.
Afaik greift Dovecot auf User/Pass DB nämlich mit den Rechten des übergeordneten Prozesses zu und nicht mit den Rechten des Postfachnutzers. Alles andere wäre auch fatal, weil die Zugangsdaten z.B. zu MySQL ansonsten ungeschützt wären.
PFA und Roundcube laufen per Default, wenn über APT installiert, beide über www-data. Die FCGI-Konfiguration von PHP diesbezüglich zu ändern geht auch nicht, weil die Rechte der Systemordner sonst nicht mehr dazu passen.
Ich teste das nachher mal kurz, ob das klappen würde.
-
-
So hab ich immer meine SSH-Keys generiert:
Codessh-keygen -t rsa -b 4096Kenne mich mit sowas leider gar nicht aus. Gibts was sichereres als RSA und lohnt sich ein erhöhen der Bits?
-
Uff, das erhöht die Komplexität aber noch mehr, oder?
Ich will nichts anderes mehr.
Mein LDAP Setup ein ein Primär-Server (ldap1) und eine Replikation (ldap2) - das sind die kleinen VPS100 mit Alpine die ihr manchmal bei mir rumfliegen seht.
LDAP regelt bei mir:
- PAM (Unix / POSIX Login)
Jeder Nutzer ist im LDAP hinterlegt mit Login, Passphrase, Homeverzeichnis, Shell, UID. Zusätzlich werden noch die Unix-Gruppen über LDAP verwaltet.
SSH und PTY Logins können entweder über Gruppenzugehörigkeiten oder über andere Attribute verwaltet werden.
Ich kann also jeden Nutzer für jeden Dienst einzelnd freischalten.
SFTP Jails ebenfalls.
Die Nutzer sind von den einzelnen Maschinen aus readOnly. Das Passwort kann zentral an einer Stelle (portal.h6g.de) geändert werden.
Es könnte auch über passwd geändert werden, das habe ich aber deaktiviert.
Unix Logins werden durch SSSD https://pagure.io/SSSD/sssd realisiert und nicht über PAM_LDAP. SSSD cached zudem, sodass im Falle eines Ausfalls beider LDAP Server ein Login trotzdem möglich ist.
Sudoers werden über Gruppenzugehörigkeit verwaltet. Es besteht die Möglichkeit den Nutzern nur Sudo-Rechte für ein System zu geben, sofern gewünscht.
- Viele andere Dienste
LDAP ist Industriestandard für Authentifikation (nebst Radius und Kerberos). Viele Applikationen erlauben LDAP als Auth-Quelle:
- gitea
- sogo
- redmine
um nur ein paar zu nennen.
Ja bitte. Ich bin mit meinem eigenen Schema noch unzufrieden, da besteht noch Verbesserungsbedarf.
Postfix und Dovecot nutzen beide LDAP als Quelle für die User, Postfächer (User = Postfach bei mir) und Aliase.
Code
Alles anzeigenpostfix/main.cf virtual_alias_maps = ldap:/etc/postfix/ldap-aliases.cf virtual_mailbox_maps = ldap:/etc/postfix/ldap-mailbox.cf virtual_mailbox_domains = ldap:/etc/postfix/ldap-domains.cf local_recipient_maps = $virtual_mailbox_maps ldap-aliases.cf: server_host = ldaps://ldap.h6g-server.net:636 search_base = ou=alias,ou=mail,dc=ldap,dc=h6g,dc=de query_filter = (|(mail=%s)(mailAlternateAddress=%s)) result_attribute = janetMailbox #sehr verbesserungswürdig. Ich habe mit den Standard OpenLDAP Schemata gearbeitet. bind_dn = cn=postfix,ou=service,dc=ldap,dc=h6g,dc=de bind_pw = ****** ldap-domains.cf: server_host = ldaps://ldap.h6g-server.net:636 search_base = ou=domain,ou=mail,dc=ldap,dc=h6g,dc=de query_filter = (associatedDomain=%s) result_attribute = associatedDomain ... ldap-mailbox.cf: server_host = ldaps://ldap.h6g-server.net:636 search_base = ou=user,dc=ldap,dc=h6g,dc=de query_filter = (mail=%s) result_attribute = janetMailbox ...Code
Alles anzeigendovecot/dovecot.conf passdb { driver = ldap args = /etc/dovecot/dovecot-ldap.conf } userdb { driver = ldap args = /etc/dovecot/dovecot-ldap.conf } dovecot-ldap.conf: uris = ldaps://ldap.h6g-server.net:636 auth_bind = yes ldap_version = 3 base = dc=ldap,dc=h6g,dc=de user_filter = (|(mail=%u)(uid=%u)) pass_filter = (&(objectClass=posixAccount)(uid=%u)) dn = cn=dovecot,ou=service,dc=ldap,dc=h6g,dc=de dnpass = ******** scope = subtree user_attrs = \ homeDirectory=home, \ =user=%{ldap:uid}Ein einfaches Tool zum Ändern von Passwörtern: https://github.com/jirutka/ldap-passwd-webui
Ich habe mein eigenes Tool in Verwendung in Kombination mit Apache DS.
Als LDAP Server nutze ich OpenLDAP mit MDB Memory Database
-
Ich habe mir jetzt doch auch noch das Angebot mit SSD zugelegt. Ich habe dann einen lxc Container dort hin verschoben. Läuft bisher prima. Der andere Host dankt es mir mit mehr freiem Speicher. Werde es bald mal angehen alle VServer aufzuräumen. Werde mich vielleicht noch von einem Angebotsserver trennen. Der neue 2000 plus SAS will ja auch was zu tun haben, mal sehen.
Dann wollte ich mir jetzt auch wieder einen Storage zulegen. Mein Browser war etwas träge und ich habe zwischen 250 & 500GB Platz ein paar Mal hin und her gewechselt. Dann habe ich nicht gesehen das der letzte Wechsel nicht ankam. Hatte dann nur 250GB bestellt. Der Support meinte ich muss kündigen und neu bestellen. Abgerechnet war der Storage laut Support nicht. Mal gucken ob ich für den Fehlklick was zahlen muss.
Ich wünsche allen noch einen schönen SysAdmin Day und ein schönes Wochenende.
-
-
Mehr zum LDAP:
Das bin ich im LDAP. associatedDomain sind meine Dienste, die ich nutzen darf.
Fast alle Accounts haben SHA Passphrasen, weil ich die Accounts ursprünglich zu GApps for Business exportieren wollte. Und da wird nur SHA1 unterstützt.
ObjectClass sind die Schemata. Ich bin eine inetOrgPerson + PosixAccount
Das ist eine PosixGruppe. Meine Primärgruppe wird in meinem User festgelegt (durch gidNumber)
Das ist ein Service / Machinenaccount. Damit melden sich Dienste am LDAP an um auf Infos zuzugreifen.
Das ist eine Maildomain, damit postfix weiß, dass es für diese Domain zuständig ist.
Und das hier ein Alias von test@custom-machines.de auf test@h6g-server.net
janetMailbox und otherMailbox sind eigentlich unverständlich und von schlechten Eltern. Ich habe mit den Standardschemata gearbeitet, die OpenLDAP mitbringt und kein eigenes geschrieben, was eigentlich sinnvoller wäre. (LDAP Schema schreiben ist kompliziert... aber machbar.)
LDAP selbst hat dann noch eine ACL, wer wie auf welche Infos zugreifen darf (lesend wie schreibend).
Vorteil ist halt: ich richte eine neue Maschine ein, mache einen Maschinenaccount, trage den in SSSD ein, gebe entsprechenden Nutzern die Rechte und schon können sie sich einloggen. Damit könnte man auch Token verteilen um sich automatisch eine Config irgendwoher zu ziehen (so eine Art Cloud-Init für Arme).
Macht schon Laune und funktioniert auch mit SSH Keys.
-
H6G Werden die LDAP-Server verschlüsselt angesprochen? Irgendwie hätte so eine zentrale Userverwaltung ja schon was. Ist für mich aber vielleicht oversized.
Die LDAP Server sind über TLS abgesichert über eigene PKI / eigenes CA (Protokoll ldaps:// und Port 636 für verschlüsselte LDAP Kommunikation).
Zusätzlich ist LDAP nur für freigeschaltete IPs zugänglich.
Edit: zentral vorgegebene UIDs und GIDs machen natürlich auch Spaß über NFS, weil die Dateiberechtigungen eben über diese Zahlen erfolgen. Einfach toll.
-
Mal gucken ob ich für den Fehlklick was zahlen muss.
Der Support meinte gerade nochmal: ich muss nicht zahlen. Sehr schön.
Der Tag ist gerettet. Habe den größeren Space gerade schon mit Backup Daten befüllt, muss aber noch testen, ob Proxmox das auch direkt einbinden kann. Die Geschwindigkeit des Storage schaut soweit gut aus.
-
Die LDAP Server sind über TLS abgesichert über eigene PKI / eigenes CA (Protokoll ldaps:// und Port 636 für verschlüsselte LDAP Kommunikation).
Zusätzlich ist LDAP nur für freigeschaltete IPs zugänglich.
Edit: zentral vorgegebene UIDs und GIDs machen natürlich auch Spaß über NFS, weil die Dateiberechtigungen eben über diese Zahlen erfolgen. Einfach toll.
Das klingt alles ganz toll. Ich werde mich da mal einlesen. Scheint ein lohnendes Thema zu sein.
