Einen Datei-, Druck-, Proxy-, DHCP-, UND Zeit-Server Für Kleine/Mittlere Unternehmen betreiben

Version 1.0
Author: Falko Timme


Diese Anleitung veranschaulicht, wie man einen Datei-, Druck-, HTTP proxy- DHCP-, und Zeit-Server für kleine und mittlere Unternehmen (SME) auf einem einzigen Debian Sarge System betreibt. Er ist einfach einzurichten und mit einem einfach anzuwendenden Web Interface, namens eBox zu verwalten. Wenn das System also einmal eingerichtet ist, kannst Du die Kommandozeile getrost vergessen. eBox wurde entwickelt um erweiterte Dienste für gemeinsame Netzwerke zu verwalten und wurde für Debian Sarge erstellt.

Allerdings möchte ich an dieser Stelle darauf hinweisen, dass dies hier nicht der einzige Weg ist, ein solches System zu installieren. Es gibt viele Möglichkeiten - ich selbst habe mich für diese entschieden. Ich kann aber nicht garantieren, dass diese Lösung bei jedem funktioniert bzw. für jeden die richtige ist!

1 Vorbemerkung

Ich gehe davon aus, dass Du bereits ein Basis-Debian-Sarge-System eingerichtet hast. Du kannst Dein System wie auf den ersten zwei Seiten dieser Anleitung beschrieben: The Perfect Setup - Debian Sarge (3.1) einrichten.

Ich verwende in dieser Anleitung 192.168.0.100 als IP Adresse und server1.example.com als den Hostnamen meines Debian Sarge Systems. Wenn Dein Debian Sarge System keine statische IP Adresse hat, solltest Du nun seine Netzwerkkonfiguration ändern, damit es in Zukunft eine statische IP Adresse hat:

vi /etc/network/interfaces

 

# /etc/network/interfaces -- configuration file for ifup(8), ifdown(8)
# The loopback interface auto lo iface lo inet loopback # The first network card - this entry was created during the Debian installation # (network, broadcast and gateway are optional) auto eth0 iface eth0 inet static address 192.168.0.100 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255 gateway 192.168.0.1
(Wenn Du ein anderes Gateway als 192.168.0.1 verwendest, ändere die Gateway IP Adresse in /etc/network/interfaces.)

Starte dann Dein Netzwerk neu:

/etc/init.d/networking restart

Bearbeite /etc/resolv.conf und füge einige Nameserver an:

vi /etc/resolv.conf


search server
nameserver 145.253.2.75 nameserver 193.174.32.18 nameserver 194.25.0.60
Bearbeite /etc/hosts und füge Deine neue IP Adresse an:

vi /etc/hosts


127.0.0.1       localhost.localdomain   localhost
192.168.0.100 server1.example.com server1 # The following lines are desirable for IPv6 capable hosts ::1 ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters ff02::3 ip6-allhosts

2 Installiere eBox

Für eBox sind Debian Pakete verfügbar. Um sie zu installieren, müssen wir zuerst /etc/apt/sources.list bearbeiten:

vi /etc/apt/sources.list

Füge folgende Zeilen Deiner vorhandenen sources.list hinzu:
deb http://ebox-platform.com/debian/stable/ ebox/
deb http://ebox-platform.com/debian/stable/ extra/
Aktualisiere dann Deine Paketdatenbank:

apt-get update

Danach können wir eBox mit allen benötigten Modulen mit nur einem einzigen Befehl installieren:

apt-get install ebox libebox ebox-network ebox-objects ebox-firewall ebox-logs ebox-samba ebox-dns-cache ebox-dhcp ebox-squid ebox-usersandgroups ebox-software ebox-ntp ebox-printers

Dir werden ein paar Fragen gestellt. Du kannst bei den meisten einfach die Standardwerte beibehalten:

Where should the PostgreSQL database be created?

Should the data be purged as well as the package files?

What locale should be used by the database backend?

Choose European or US day/month order in dates.

DNS domain name:

Name of your organization:

Admin password:

Confirm password:

Allow LDAPv2 protocol?

Apache-Perl needs to be reconfigured.

Enable suExec?

Which paper size should be the system default?

On what network interfaces should the DHCP server listen?

Please configure the DHCP server as soon as the installation finishes.

The version 3 DHCP server is now non-authoritative by default

Workgroup/Domain Name?

Use password encryption?

Modify smb.conf to use WINS settings from DHCP?

How do you want to run Samba?

Create samba password database, /var/lib/samba/passdb.tdb?

LDAP server host address

distinguished name of the search base

LDAP version to use

database requires login

make configuration readable/writeable by owner only

nsswitch.conf is not managed automatically

Send daily reminders to users over quota Nun werden die Pakete installiert. Wenn Du Folgendes siehst:

Configuration file `/etc/dhcp3/dhclient.conf'
==> File on system created by you or by a script.
==> File also in package provided by package maintainer.
What would you like to do about it ? Your options are:
Y or I : install the package maintainer's version
N or O : keep your currently-installed version
D : show the differences between the versions
Z : background this process to examine the situation
The default action is to keep your current version.
*** dhclient.conf (Y/I/N/O/D/Z) [default=N] ?

antworte mit N.

Bitte merke: Wenn Du dies mit SSH installierst, wirst Du an dieser Stelle Deine SSH Verbindung verlieren:

Setting up ebox-firewall (0.7.1) ...
EBox: restarting firewall:

Darüber brauchst Du Dir aber keine Sorgen machen. Es passiert, da die eBox Firewall das Port 22 standardmäßig schließt. Abgesehen davon ist die Installation erfolgreich und Du kannst Port 22 wieder öffnen indem Du das eBox Web Interface verwendest.

3 In Die eBox Einloggen

Da nun eBox installiert ist, öffne Deinen Browser und gehe zu https://192.168.0.100. Der Login-Screen erscheint. Gib das Standard-Passwort ebox ein und melde Dich an:


Nach dem Login siehst Du die eBox Status Seite:

4 Konfiguriere Die eBox Firewall

Im nächsten Schritt möchten wir Port 22 (SSH) erneut in der Firewall öffnen. Gehe zu Firewall -> Packet Filter -> Configure default rules:



Wähle unter Services ssh und Allow und klicke auf Add:


Wenn Du eine Einstellung änderst, wirst Du danach in fast allen Fällen das rote Save changes Rechteck in der Ecke rechts oben sehen. Klicke darauf:



Nachdem Du auf das rote Rechteck geklickt hast, erscheint ein anderer Bildschirm, der Dir mitteilt, die Konfiguration zu speichern, was ein bisschen umständlich ist. Egal, klicke auf Save:


Danach kannst Du auf Dein System erneut via Port 22 (SSH) zugreifen.

5 Ändere Dein eBox Passwort

Gehe zu System -> General und ändere Dein eBox Passwort:

6 Datum und Zeit Einstellungen

Um die Systemzeit anzupassen, gehe zu System -> Date/time und aktiviere die Zeitsynchronisation mit NTP Servern. Klicke auf Change:


Gib dann ein paar NTP Server ein, z.B. pool.ntp.org und time.nist.gov. Klicke auf Change. Vergiss nicht danach auf das rote Rechteck Save changes zu klicken:

7 Groups Erstellen

eBox erlaubt Dir Gruppen zu erstellen, die verschiedene Berechtigungen haben können. Zum Beispiel könnte einer Gruppe erlaubt sein, den Drucker, aber nicht den Datei-Server zu benutzen und umgekehrt für eine andere Gruppe. In dieser Anleitung erstelle ich zwei Beispielgruppen, eine für die Technikabteilung und eine für die Verkaufsabteilung:



8 Benutzer Erstellen

eBox lässt Dich außerdem Benutzer erstellen, die Du in die Gruppen stecken kannst, die Du vorher eingerichtet hast; folglich übernehmen sie auch die Berechtigung der Gruppe, Du kannst aber auch individuelle Berechtigungen für jeden einzelnen Benutzer festlegen. In diesem Beispiel erstelle ich zwei Benutzer: tim in der Gruppe techdpt und bob in der Gruppe salesdpt:




9 Zeit-Server

Unser eBox System kann für unser Netzwerk ein Zeit Server sein. Alles was wir tun müssen, ist den NTP Server unter NTP server freizuschalten:


(Natürlich musst Du den Arbeitsplätzen in Deinem Netzwerk danach mitteilen, dass sie 192.168.0.100 als Zeit Server verwenden sollten.)

Danach wirst Du wieder zur eBox Status Seite geleitet:

10 Druck-Server

Mit eBox kannst Du ebenfalls einen Druck-Server für Dein Netzwerk erstellen. eBox unterstützt USB-, Parallel-, Netzwerk- und Samba-Drukcer. In diesem Beispiel habe ich via USB-Anschluss einen Brother HL-5050 Laserdrucker mit meinem eBox System verbunden.

Zuerst müssen wir den Drucker unserer eBox-Konfiguration hinzufügen:








Danach müssen wir den Druck-Server unter Printers -> Manage printers freischalten:

11 DHCP-Server

Wenn Du einen Hardware Router für Dein Netzwerk verwendest, stehen die Chancen gut, dass Du bereits einen DHCP-Server in Deinem Netzwerk hast, da die meisten Hardware Router einen DHCP-Server haben. Wenn Du keinen DHCP-Server in Deinem Netzwerk hast, kannst Du einen DHCP-Server auf Deinem eBox System laufen lassen.

Gehe zu DHCP und aktiviere den DHCP-Server. Gib dann ein Gateway und zwei Nameserver (z.B. 213.191.92.84 und 213.191.74.12) ein und lege einen IP Adressenbereich fest (das heißt IP Adressen, die Client Computern in Deinem Netzwerk zugewiesen werden können):


Danach werden alle Computer in Deinem Netzwerk, die keine statische Netzwerkkonfiguration haben, mit Deinem neuen DHCP-Server verbunden und werden ihre Netzwerkkonfiguration von da aus beziehen.

12 Datei-Server

Was ich am meisten an eBox mag, ist die Leichtigkeit, mit der Du Dateifreigaben für Dein Netzwerk erstellen kannst. Gehe einfach zu File sharing, aktiviere den Dienst und bestimme unter General Settings den Betriebsmodus (File server oder Primary Domain Controller (PDC)) und ein Quota Limit für die Dateifreigabe:

13 DNS Cache

Dein eBox System kann außerdem ein DNS Cache sein, das das Web Browsing in Deinem Netzwerk beschleunigen kann, da DNS-Abfragen schneller sein werden. Alles was Du tun musst, ist, den DNS Cache unter DNS Cache zu aktivieren und den Computern in Deinem Netzwerk mitzuteilen, 192.168.0.100 als primären Nameserver (Du kannst 192.168.0.100 als primären Nameserver in Deinen DHCP Server Einstellungen festlegen, siehe Kapitel 11) zu verwenden.

14 HTTP Proxy

Du kannst das eBox System als einen HTTP Proxy Server für Dein Netzwerk verwenden, welches das Web Browsing beschleunigen kann, da der Proxy besuchte Seiten in seinem Cache behält. Mit dem HTTP Proxy Server kannst Du außerdem filtern, z.B. Sex und Gewalt. Gehe einfach zu HTTP proxy -> General und aktiviere den Proxy:


Nun musst Du Deinen Browser so konfigurieren, dass er den eBox HTTP Proxy verwendet.

Unter Allowed domains, Banned domains, Extensions filter, und Policy kannst Du weitere (kleinkörnigere) Filterregeln festlegen.

15 Status, Firewall

Nun haben wir alle Dienste freigeschaltet, die wir brauchen. Auf der Status Seite solltest Du sie nun als "Running" aufgelistet sehen:


In den Firewall Einstellungen siehst Du, dass alle benötigten Ports für unsere Dienste automatisch geöffnet wurden, Du brauchst Dir also keine Sorgen machen, dass die Firewall auch nur einen dieser Dienste blockt:

16 Benutzer-Berechtigungen

Da nun alle Dienste laufen, können wir die Berechtigungen unserer Benutzer einrichten, das heißt wir können bestimmen, welcher Benutzer unsere Dateifreigabe und unseren Drucker verwenden kann. Im folgenden Beispiel erlaube ich dem Benutzer tim unsere Dateifreigabe und den Drucker zu verwenden:


17 Gruppen-Berechtigungen

Wie zuvor für unsere Benutzer, können wir nun auch festlegen, welche Gruppe den Drucker verwenden kann. Außerdem kannst Du ein Verzeichnis für die Dateifreigabe für jede Gruppe anlegen:



18 Die Dateifreigabe Und Den Drucker Testen

Nun können wir unsere Dateifreigabe und den Drucker von einem Windows Arbeitsplatz testen. Gehe zu Start -> Run (Start -> Ausführen wenn es ein Deutsches Windows ist) und gib ein

192.168.0.100


Du wirst aufgefordert, einen Benutzernamen und Passwort einzugeben, wenn Du also tim bist, gib tim und tim's Passwort ein:


Wenn die Anmeldung richtig ist, wird Dir der Zugriff auf Deine Dateifreigabe gewährt. Nun kannst Du Deinen persönlichen Ordner tim und den Drucker, den wir in der eBox erstellt haben, sehen. Du kannst außerdem den Ordner sales sehen, der der salesdpt Gruppe gehört. Da tim kein Besitzer dieser Gruppe ist, kann er auf den sales Ordner nicht zugreifen (sofern er keinen Benutzernamen und Passwort für den Ordner hat). Natürlich kann er aber auf seinen eigenen Ordner tim zugreifen.

19 Netzwerk-Einstellungen

eBox erlaubt Dir virtuelle Interfaces zu erstellen (z.B. wenn Du der Netzwerkkarte einige IP Adressen zufügen möchtest). Unter Network -> Interfaces -> Virtual Interfaces gib den Namen des virtuellen Interfaces (z.B. 1 - verwende nicht 0, eBox wird dann kein virtuelles Interface erstellen, dies scheint ein Fehler zu sein), eine IP Adresse (z.B. 192.168.0.101) und die Netzmaske (z.B. 255.255.255.0) ein:


Danach kannst Du kontrollieren, ob eBox das virtuelle Interface erstellt hat. Melde Dich in der Kommandozeile an und lass Folgendes laufen

ifconfig

und Du müsstest das virtuelle Interface eth0:1 mit der IP Adresse 192.168.0.101 sehen.

Bitte merke: Unter Network -> Interfaces aktiviere nicht External, da Du dann den Zugriff auf Dein eBox System verlierst! Die External Checkbox aktiviert NAT für das eBox System, was wir nicht brauchen, da das System im gleichen Netzwerk wie unsere Arbeitsplätze ist.

Unter Network -> DNS kannst Du festlegen, welche DNS Server Dein eBox System verwenden soll. Diese Nameserver werden in /etc/resolv.conf gespeichert.


Unter Network -> Diagnosis kannst Du Deine Netzwerkverbindung und Namensauflösung testen:

20 Konfigurations-Backup

Unter System -> Backup kannst Du Deine derzeitige eBox Konfiguration sichern. Wenn Du also Deine eBox Konfiguration verlieren solltest, kannst Du sie aus dem Backup wiederherstellen:


21 eBox Software Managment

Unter Software management -> eBox components kannst Du sehen, welche eBox Module derzeit auf Deinem Debian System installiert sind. Wenn Du ein Modul nicht mehr benötigen solltest, kannst Du es löschen:


Unter Software management -> System updates kannst Du eBox Updates überprüfen:


Unter Software management -> Configuration kannts Du automatische Software Updates für eBox-Komponenten aktivieren:

22 Links