könnte ich auch nur den CN-Name als Kriterium nehmen.
Eine solche Apache httpd Option ist mir nicht bekannt.
Edit: anscheinend kann man mit Variablen die Daten aus dem präsentierten Clientzertifikat auslesen und via `SSLRequire` erforderlich machen, das scheint mir aber komplex und könnte ebenfalls von Netcup limitiert sein.
Hi,
ich habe leider keine .htaccess Konfiguration zum Testen, aber die notwendigen Optionen sind laut Apache Dokumentation (https://httpd.apache.org/docs/2.4/mod/mod_ssl.html) auch via .htaccess anwendbar - allerdings weiß ich nicht, ob hier Netcup Restriktionen implementiert, welche die möglichen Optionen einschränken!
Das CA File, welches der Server nutzt, um die Clientzertifikate zu verifizieren (sofern du nicht `SSLVerifyClient optional_no_ca` setzt - was relativ sinnlos wäre, außer, dass es es dem möglichen Angreifer einen Stein in den Weg lelgt), müsste dann in dem Webroot Verzeichnis abgelegt werden, und mit entsprechender Pfadangabe verwiesen werden - bin mir nicht sicher, ob das .htaccess bei Netcup relative Pfadangaben unterstützt - aber das kann man sicherlich testen.
Die nötigen Optionen, mit CA Validation, sollten sein:
SSLVerifyClient require
SSLCACertificateFile <path to file> #alternativ SSLCACertificatePath wenn du kein konkateniertes File hast, wobei ein solches einfach zu erstellen ist
SSLVerifyDepth <integer> #wenn du ein oder mehrere Intermediary Zertifikate zur Ausstellung deiner Clientzertifikate nutztIch habe bei Mailcow auch eine Ausnahme gemacht, und empfehle es auch weiter für Einsatzzwecke, welche E-Mail und Groupware in Basisfunktionalität für wenige Anwender erfordern. Insbesondere für Einzelpersonen oder kleine Gruppen und Vereine ist Mailcow toll, und reduziert den Administrations- und Wartungsaufwand gegenüber einem traditionellen Mailserver drastisch.
Ich war sehr froh, für einen Verein, nach dem Auffinden von tausenden von Spammails in der Postfix Queue und ewigem betteln um Löschung der IP Adresse aus Blacklists, auf Mailcow wechseln "zu dürfen".
In meinem Fall hatte ich dann jedoch einige Extrawünsche - Relay für interne Mails von *nix Maschinen, SSO Authentifizierung, Verifizierung von Diensten mit eigener CA, usw. - und fand mich dabei ewig Container zu patchen, eine docker-compose.override.yml zu warten, und bei jedem Containerrestart, insbesondere bei Ausführung des obligatorischen Mailcow Updateskripts, vor Angst und Bange zusammenzubrechen, wissend, dass danach *irgendetwas* nicht mehr funktionieren würde.
Ich möchte daher auf Modoboa wechseln - das Prinzip ist ähnlich wie Mailcow, die herangehensweise ist jedoch anders - einerseits kein Docker - andererseits wird man, wenn man die manuelle Installationsroutine wählt - alternativ kann man auch einen Assistenten nutzen, weelchen ich mir nicht angesehen habe - Schritt für Schritt durch die Einrichtung der einzelnen Komponenten geleitet. Das hilft einerseits zu verstehen, was das Gesamtprodukt dann tatsächlich im Hintergrund macht - und andererseits erlaubt es eigene Konfigurationsspäßchen im Backend vorzunehmen, oder Backendteile gar gänzlich auszutauschen - das Modoboa Webinterface arbeitet mit einigen wenigen Eingriffen, welche meiner Meinung nach sehr verständlich und, mit dem nötigen Fachwissen, einfach in eigene Konfigurationen zu portieren sind.
Bei Mailcow habe ich eher das Gefühl, dass jeder Eingriff früher oder später - sei es beim nächsten Update - zum Problem werden könnten.
Das würde aber auch bedeuten, dass die Zone bereits auf dem neuen Server vorhanden ist, damit das überhaupt geprüft werden kann.
Letztlich sollte man bei den Nameserver/DNS Einstellungen schon ungefähr wissen was man tut.
Klar, meinte nur, dass damit vermieden wird, dass Laien rekursive Nameserver als vermeintlich authoritäre eintragen.
… aber nachdem du den Server mit dem geheimen "Passwort7" bereit gemacht hast, gib uns doch mal die Ip…
Damit wir gucken können, ob auch alles sicher ist.
Spielverderber
Oh mann, tut leid! 
Ähm, das ist eine Windows Server Installation, da muss man das Kennwort für den Administrator Nutzer nach Installation selbst vergeben, sofern keine automatische Installation erfolgte - und wenn ich mich nicht irre, sieht die Abfragemaske dafür genauso aus.
Kurz: such dir ein Kennwort aus.
wenn ich eigene Nameserver hinterlege (z.B. Google) habe ich die Einstellungen nichtmeh
Normalerweise sollte ein Domainhoster dich gar keine Nameserver hinterlegen lassen, welche für deine Domain nicht authoritär sind.
Ich finde tragischer, wenn eine Support-Antwort Emojis enthält.
Hallo, kenne die Verzeichnisstruktur von Netcup Webservern nicht, aber wenn deine Daten in httpdocs/ liegen, müsstest du "/var/www/vhosts/hostingXXXXXX.netcup.net" vor den Pfad setzen, da du vermutlich keinen Zugriff auf das Root-Verzeichnis (/) hast.
dban i586 scheint aber auch nicht der neueste Schrei zu sein.
Alternativvorschlag: https://github.com/PartialVolume/shredos.x86_64
Das hat eine x86_64 Version und bootet auch in KVM.pasted-from-clipboard.jpg
Ach, das hat ja nur 15MB. Also bei mir bootet das nicht, aber theoretisch sollte das nicht vom Einbinden abhalten, es sei denn Netcup "testet" die hochgeladenen ISO Dateien irgendwie bevor es sie zum Booten zulässt.
Eventuell war dem Mitarbeiter nicht gleich ersichtlich, dass es sich um eine Fehlermeldung aus dem SCP, und nicht aus deinem Betriebssystem handelt?
Eventuell dein ISO in einem lokalen KVM System testen - mit libvirt recht fix erledigt:
<disk type='file' device='cdrom'>
<driver name='qemu' type='raw'/>
<source file='/mnt/isostore/archlinux-2021.09.10-x86_64.iso'/>
<target dev='sda' bus='sata'/>
<readonly/>
</disk>AutoYaST Das ist doch mal wirklich praktisch, in vielen Situationen. Herzlichen Dank für diesen Schnipsel!
Gerne, viel Spaß. 
routing durch vpn, vlan etc.
Auf zwei weitere V-Server mit fixer IP routen um zwischen denen dann die Gateway wechseln zu können kommt denke ich teurer
Falls das nicht sarkastisch war, ne, das führst du auf deinem System aus und klickst dann in das VNC Konsolenfenster.
sh -c 'sleep 3.0; xdotool type --clearmodifiers "$(xclip -o -selection clipboard)"'tut's auch, mit beliebigem Content
Außer mit Sonderzeichen und falschem Keyboard Layout im VNC, dann sitzt man schonmal eine Weile mit gedrückter Entfernen-Taste, aber da kommt wohl keine Auto-Type Lösung drum herum.
Aua, beim durchstöbern meines Profiles diesen UUOC Kommentar von mir gesehen.
Wenn du LDAP lernen möchtest ist eventuell 389DS statt dem regulären OpenLDAP etwas anfängerfreundlicher. Bei letzterem wirst du erstmal mit der Wahl eines Datenbankformates und manuellem kreieren von LDIF Patches konfrontiert.
Du kannst theoretisch einen LDAP Server irgendwo anders installieren, und den LDAP Client (Nextcloud in deinem Fall) über das Internet verbinden, zu empfehlen ist das aber wie gesagt nicht - selbst das verschlüsselte LDAPS würde ich persönlich nur in lokalen bzw. getunnelten Netzwerken nutzen.
Auf einem eigenen Server kannst du einen lokalen LDAP Server installieren, oder diesen über dein lokales Netzwerk anbinden. Es muss lediglich eine TCP Verbindung über den jeweiligen Port möglich sein.
Für eine einzige Anwedung finde ich LDAP aber übertrieben - normalerweise nutzt man einen Verzeichnisdienst um eine Nutzerbasis für viele Anwendungen zentral verwalten zu können.
