Posts by H6G

Quote from killerbees19

Uff, das erhöht die Komplexität aber noch mehr, oder?

Ich will nichts anderes mehr.

Mein LDAP Setup ein ein Primär-Server (ldap1) und eine Replikation (ldap2) - das sind die kleinen VPS100 mit Alpine die ihr manchmal bei mir rumfliegen seht.

LDAP regelt bei mir:

• PAM (Unix / POSIX Login)

Jeder Nutzer ist im LDAP hinterlegt mit Login, Passphrase, Homeverzeichnis, Shell, UID. Zusätzlich werden noch die Unix-Gruppen über LDAP verwaltet.

SSH und PTY Logins können entweder über Gruppenzugehörigkeiten oder über andere Attribute verwaltet werden.

Ich kann also jeden Nutzer für jeden Dienst einzelnd freischalten.

SFTP Jails ebenfalls.

Die Nutzer sind von den einzelnen Maschinen aus readOnly. Das Passwort kann zentral an einer Stelle (portal.h6g.de) geändert werden.

Es könnte auch über passwd geändert werden, das habe ich aber deaktiviert.

Unix Logins werden durch SSSD https://pagure.io/SSSD/sssd realisiert und nicht über PAM_LDAP. SSSD cached zudem, sodass im Falle eines Ausfalls beider LDAP Server ein Login trotzdem möglich ist.

Sudoers werden über Gruppenzugehörigkeit verwaltet. Es besteht die Möglichkeit den Nutzern nur Sudo-Rechte für ein System zu geben, sofern gewünscht.

• Viele andere Dienste

LDAP ist Industriestandard für Authentifikation (nebst Radius und Kerberos). Viele Applikationen erlauben LDAP als Auth-Quelle:

- gitea

- sogo

- redmine

um nur ein paar zu nennen.

• E-Mail

Ja bitte. Ich bin mit meinem eigenen Schema noch unzufrieden, da besteht noch Verbesserungsbedarf.

Postfix und Dovecot nutzen beide LDAP als Quelle für die User, Postfächer (User = Postfach bei mir) und Aliase.

postfix/main.cf

virtual_alias_maps = ldap:/etc/postfix/ldap-aliases.cf
virtual_mailbox_maps = ldap:/etc/postfix/ldap-mailbox.cf
virtual_mailbox_domains = ldap:/etc/postfix/ldap-domains.cf
local_recipient_maps = $virtual_mailbox_maps

ldap-aliases.cf:

server_host = ldaps://ldap.h6g-server.net:636
search_base = ou=alias,ou=mail,dc=ldap,dc=h6g,dc=de
query_filter = (|(mail=%s)(mailAlternateAddress=%s))
result_attribute = janetMailbox #sehr verbesserungswürdig. Ich habe mit den Standard OpenLDAP Schemata gearbeitet.

bind_dn = cn=postfix,ou=service,dc=ldap,dc=h6g,dc=de
bind_pw = ******

ldap-domains.cf:

server_host = ldaps://ldap.h6g-server.net:636
search_base = ou=domain,ou=mail,dc=ldap,dc=h6g,dc=de
query_filter = (associatedDomain=%s)
result_attribute = associatedDomain


...

ldap-mailbox.cf:

server_host = ldaps://ldap.h6g-server.net:636
search_base = ou=user,dc=ldap,dc=h6g,dc=de
query_filter = (mail=%s)
result_attribute = janetMailbox

...

dovecot/dovecot.conf

passdb {
    driver = ldap
    args = /etc/dovecot/dovecot-ldap.conf
}
 
userdb {
    driver = ldap
    args = /etc/dovecot/dovecot-ldap.conf
}


dovecot-ldap.conf:

uris = ldaps://ldap.h6g-server.net:636
auth_bind = yes
ldap_version = 3
base = dc=ldap,dc=h6g,dc=de
user_filter = (|(mail=%u)(uid=%u))
pass_filter = (&(objectClass=posixAccount)(uid=%u))
dn = cn=dovecot,ou=service,dc=ldap,dc=h6g,dc=de
dnpass = ********
scope = subtree
user_attrs = \
    homeDirectory=home, \
    =user=%{ldap:uid}

Ein einfaches Tool zum Ändern von Passwörtern: https://github.com/jirutka/ldap-passwd-webui

Ich habe mein eigenes Tool in Verwendung in Kombination mit Apache DS.

Als LDAP Server nutze ich OpenLDAP mit MDB Memory Database

KB19 LDAP ist dein Freund. OpenLDAP möchte dir helfen.

geekmonkey was soll ich denn erst sagen? Die Angebote sind gut und auch die Sommer VPS, aber Verwendung?

Die braucht man immer dann, wenn es keine Angebote gibt.

Screenshot at 2018-07-27 00:09:02.png

Quote from chaosrind

*sabber* Aber hmpf. Ich gab mir doch gerade erst seit Weihnachten meinen aktuellen so schon eingerichtet (mit 12 GB RAM)

Quote

Bestehende Root-Server 1000 der Generation 8 können auf dieses Sonderangebot geupgraded werden.

Evtl Tippfehler mit der 1000? Ich würde es versuchen, wenn ich du wäre

Quote from SMARTeXPLORATE

Moinsen nochmals,

ich nutze im übrigen das VLAN-Produkt für Server mit einem extra NIC (Netzwerkkarte). Dadurch wird ein internes Netzwerk aufgebau, dass von außen auch nicht einsichtig ist.

35€ je NIC finde ich nicht lohnenswert. Ich fahre ein VLAN über L2-VPN.

Quote from tonysunshine

Ich weiß nur nicht welche Syntax bei Froxlor erwartet wird, deshalb dachte ich kann mir jemand sagen wie diese examples.conf bei Froxlor aussehen muss.

Die gleiche Syntax wie auch in der Apache Config.

Aus

<VirtualHost *:80>
ProxyPreserveHost On
ProxyRequests Off
ServerName examples.de
ServerAlias www.examples.de
ProxyPass / http://1.2.3.4:8080/examples/
ProxyPassReverse / http://1.2.3.4:8080/examples/
</VirtualHost>

Folgendes zu machen:

ProxyPreserveHost On
ProxyRequests Off
ProxyPass / http://127.0.0.1:8080/examples/
ProxyPassReverse / http://127.0.0.1:8080/examples/

===================
ODER:
===================

ProxyPreserveHost On
ProxyRequests Off
ServerName {DOMAIN}
ServerAlias www.{DOMAIN}
ProxyPass / http://127.0.0.1:8080/examples/
ProxyPassReverse / http://127.0.0.1:8080/examples/

===================
ODER
===================

<VirtualHost {IP}:{PORT}>
ProxyPreserveHost On
ProxyRequests Off
ServerName {DOMAIN}
ServerAlias www.{DOMAIN}
ProxyPass / http://127.0.0.1:8080/examples/
ProxyPassReverse / http://127.0.0.1:8080/examples/
</VirtualHost>

zu machen ist für dich kein logisches Denken? Und das nur dadurch, was in den vorherigen Beiträgen geschrieben wurde.

Einmal einen Beispielkommentar einsetzen und gucken, wie sich Froxlor die Datei zusammensetzt.

Quote from tonysunshine

Natürlich kann ich jetzt auch ne Stunde trial and error machen. Ich dachte nur vielleicht kann mir jemand in 2min. sagen was ich tun muss. Alles gut, dann versuch ich es selber

Das dauert keine Stunde sondern zwei Minuten. Hätte ich eine Froxlor Installation kann ich dir auch sagen, welche Variante die richtige ist.

Das bekommst du aber schneller hin.

Ich finde das aber nicht in Ordnung, wie ihr alle über den Nutzer nan0 herzieht!

Sogar das netcup Team...

Quote from tonysunshine

Ohje, ich wollte doch nur ne email schreiben

Manchmal sind die scheinbar trivialsten Dinge nicht so einfach.

Quote from tonysunshine

Vielen Dank für deine ausführliche Erklärung. Ich hatte gehofft in dovecot sei eine Verschlüsselung oder andere Dinge bereits vorkonfiguriert.

Dovecot hat nichts mit E-Mail senden zu tun. Dovecot ist für IMAP zuständig, damit du die Mails in deinem Client sehen kannst.

Wie Froxlor das vorkonfiguriert: keine Ahnung.

IdR musst du dir aber Zertifikate kaufen oder über Let's Encrypt beziehen, dass machen aber die aktuellen Server Dienste nicht. Da ist Handarbeit gefragt.

Quote from tonysunshine

Was ich nicht verstehe, wieso kann ich bereits an andere Provider ohne Probleme emails senden und für gmx muss ich jetzt so einen stunt machen

Es gibt einen großen Unterschied zwischen: ich kann senden und ich kann senden + meine Mail landet nicht im Spam-Ordner. Und GMX ist so unzufrieden mit deiner Konfiguration, dass sie von vornherein ablehnen. Ist eine legitime Praxis. Bei meinen Firmenmailservern werden auch alle Spam-Kandidaten abgelehnt.

Es ist kein "Stunt", sondern im Jahr 2018 erwartbare Praxis für legitime Mail-Server. Genau so wie es Transportverschlüsselung auf Webseiten ist.

E-Mail (und Unix-Administration im Allgemeinen) ist kein Spaziergang auf dem Ponyhof. Nicht umsonst gibt es fertig konfigurierte Pakete wie die Mailcow.

Erwartest du wirklich, dass dir Leute im Forum die Arbeit abnehmen und dir eine Eingabe komprimieren und Werte durch Variablen entdeckt.

Sollte dir das durch die hier genannten Umformungsregeln nicht möglich sein: einfach in die Custom vHost Config einen Kommentar rein schreiben und gucken, was Froxlor daraus generiert, dann die Differenz bilden zu deiner gewünschten Konfiguration.

Logisches Denken können wir dir hier echt nicht abnehmen.

Quote from Lukay

vim = vim.basic (glaube ich?)

Neee, bei mir nicht - mein Witz ist unkaputtbar

Quote from tonysunshine

Ich habe von sowas wirklich sehr wenig Ahnung.

- rDNS für IPv6: im SCP unter rDNS ebenfalls mail.examples.de eintragen?

- SPF und DKIM: Im CCP unter DNS? Wie genau sehen die Zeilen aus?

- TLS Zertifikaten: Habe ich noch gar nichts gemacht, muss das sein? Email an andere Provider gehen doch bereits raus

Wie du siehst ist es nicht einfach so mal gemacht. Dazu gehört natürlich, dass man sich ein µ mit der Materie DNS, TLS und Mail beschäftigt und weiß, was man da macht. Wenn man das nicht tut, hat man langfristig keine Freude daran. Wenn man sich dann noch durch Fehlkonfigurationen eine Spamschleuder bastelt: gute Nacht.

rDNS: ja, wie auch bei v4 bitte den FQDN / Hostname eintragen.

SPF (Sender Policy Framework): da solltest du entscheiden welche Server senden dürfen, und was passiert wenn das wer anders macht.

mail.examples.de IN TXT v=spf1 mx a:mail.examples.de ~all

Bei DKIM musst du einen Signaturschlüssel erstellen und damit ausgehende Mails signieren. Z.B. mit OpenDKIM. Die Schlüssel werden im DNS hinterlegt.

TLS: muss das sein? ja na ich bitte drum. Jeder gescheite Anbieter sollte unverschlüsselte Verbindungen ablehnen. Der Standard ist von 1990 und wird seit über 20 Jahren eingesetzt. Seit über 5 Jahren auch erfolgreich in Deutschland (#BullshitMadeInGermany...). Mails gehören bitteschön auf dem Transportweg verschlüsselt, genau wie du erwartest, dass deine Nutzer- und Bankdaten nur verschlüsselt durchs Netz geistern.

Ich würde dir hier ja liebend gerne ein paar Guideslines schicken, aber das beißt sich total mit Froxlor. Es ist auch für erfahrene Nutzer nicht einfach, an Froxlor vorbei und mit Froxlor Dienste zu konfigurieren. Mein Motto: entweder oder.

Quote from perryflynn

Nö, bin auch ein vim Nutzer. Nur vi kann ich nicht leiden. Das macht komische Dinge.

Verstehe ich nicht...

pzillmann@xbox:~$ ls -la /usr/bin/vi
lrwxrwxrwx 1 root root 20 Jul 20  2017 /usr/bin/vi -> /etc/alternatives/vi
pzillmann@xbox:~$ ls -la /etc/alternatives/vi
lrwxrwxrwx 1 root root 17 Jul 20  2017 /etc/alternatives/vi -> /usr/bin/vim.tiny

Quote from thomba

Bin ich wirklich der einzige hier, der von nano Stressdurchfall bekommt und seinen vim über alles liebt?

Dachte bisher eigentlich immer damit der Mehrheit anzugehören.

Wieso bekommt man denn von Nano Stressdurchfall?

Ich werde immer nur komisch angeguckt, wenn ich Nano benutze. Aber schön, dass sich diese Meinung hier gut durchsetzt

Es fehlen: rDNS für IPv6; im DNS fehlen: SPF und DKIM (beides empfohlen).

Optional sind dann noch: DMARC und DANE.

Wie sieht es mit deinen TLS Zertifikaten für den Mail Transport aus. Erfolgt dieser unverschlüsselt?

IPv4, IPv6 oder auf beiden Protokollen?

mfnalex meinst du nicht eher mainziman statt vmk ?

Quote from mfnalex

Wie sprecht ihr eigentlich vi / vim aus? Ich sage immer "wie" bzw. "wimm", aber das klingt so komisch... als englische Abkürzung klingt es jedoch auch nicht so toll. Vielleicht benutz ich ja deswegen meistens nano

Wie Ei und Wimm.

Ich nutze vi schon seit über zwei Jahren. hauptsächlich weil ich noch nicht herausgefunden habe, wie ich das Programm verlasse

===========

Ich bin ein Nano-Mensch, kann in Notfällen aber auch mit vi. Ist nur nicht mein primärer Terminal-Editor.

Ich fahre Mozilla Best Practice und biete noch zwei CBC Verfahren an.

Quote from julian-w

Warum sollte der abfackeln? Er hat doch extra in einem Video gezeigt das sein "Dämm-Material" nicht brennbar ist, war glaub sein Aprilscherz Finde ihn ansonsten auch ganz unterhaltsam.

Weniger Luftvolumen + keine Wärmebrücke über die Wände + Luftauslass wurde reduziert = das könnten Server nicht so dolle finden. Warum rauchen dem ständig nochmal die NAS / SAN Systeme ab? Was erwartet man denn da, wenn der Raum ganze 2m³ Luft hat?

Die einzigen nützlichen Videos kommen von seinen Mitarbeitern. Ansonsten muss ich bei den Videos immer nur den Kopf schütteln.

Was ich auch nicht verstehe, wenn er einen Computer baut, warum er ständig alle Teile 4free bekommt.

Wie kann man sich den Typen denn freiwillig geben? Ist sein Server-Raum noch nicht abgefackelt?