今日、サイバー攻撃とマルウェアに関するすべてのホラーニュースを読んでいるときに、最終的に自分のデータを最大限に制御できるように自分のサーバーをセットアップしたいと思ったことはありませんか。はいの場合、あなたは正しい方向に進んでいます!以前の記事でUniventionCorporateServerの概要 およびUniventionCorporateServerのインストールと構成 、サーバーとIT管理ソリューションについて話しました University Corporate Server 業務用にインストールする方法。今回は少し異なるアプローチを取り、UCSの周りにソフトウェアバンドルをまとめました。これは、より高いセキュリティ要件を非常によく満たすため、すべての「ホーム管理者」が独自のプライベートサーバーを構築するのに理想的です。
ownCloud、Kopanoを使用してプライベートサーバーをセットアップし、UniventionCorporateServerで暗号化しましょう
次の手順では、いくつかの手順でそれを設定し、グループウェア、メール、およびファイル交換ソフトウェアを含める方法を示します。つまり、ownCloudアプリとKopanoアプリです。したがって、必要に応じて、独自のメールおよびグループウェアソリューションは冗長になります。また、Let's Encryptをインストールすると、UCSサーバーへの接続も十分に保護されます。
最初の質問:サーバーはどこで実行しますか?
基本的に、個人ユーザーは企業と同じ質問に直面します。「サーバーを自分のハードウェアで、自分の「ITセンター」(または倉庫)で実行するか、それともどこかでホストされているレンタルシステムで実行するか。クラウドサービスプロバイダーとの「専用サーバー」。決定する前に、サーバーを実際にどのように使用するつもりかを自問することが重要です。
借りるか借りないか
レンタルシステムは、初期投資が少なく、通常、帯域幅の大幅な制限はありません。さらに、要件に合わせて調整する方が簡単です。レンタルシステムは、さまざまな場所からアクセスする必要がある場合に実用的です。たとえば、他の場所で働く可能性のある組織のすべてのメンバーがサーバーを使用している場合などです。
独自のネットワークの実行
独自のネットワークでシステムを実行する場合、最初に独自のデータを完全に制御でき、標準のファイルサーバーやローカルメディアプレーヤーへの音楽やビデオのストリーミングなどの追加のアプリケーションシナリオもサポートします。ただし、プライベートインターネット接続によっては、外部からシステムにアクセスする場合にボトルネックになることがよくあります。最新のVDSL接続でさえ、アップロード容量は比較的低くなっています。一部のインターネットプロバイダーは、外部からのアクセスを禁止しています。したがって、新しいハードウェアに投資する前に、いくつかのテストを実行することをお勧めします。
以下で説明する手順は、通常、両方のオプションに適用できます。
どのハードウェアが必要ですか?
UCSにはハードウェアに関するわずかな要件しかないため、選択はあなた次第です。原則として、古いデスクトップハードウェアも適しています。ただし、システムがノンストップで動作している場合、信頼性と消費電力の点で不利な点に関連していることがよくあります。非常に新しいシステムに投資する場合は、24時間年中無休で運用できるシステム(「SOHONAS」(小規模またはホームオフィスネットワーク接続ストレージ)システムと呼ばれることが多い)を提供しているメーカーがあります。 MicroServerシリーズのHPシステムとThomas-Krennの低エネルギーサーバーがここに例です。
目的によって、どのサイズが適切かが決まります
次に考える必要があるのは、システムのサイズの問題です。ここで紹介するセットアップは、CPUが小さく4GBのRAMを搭載したシステムで問題なく実行されます。同時アクセスの数は重要な部分です。ユーザーまたはアプリケーションの数が増えると、最終的にはより多くの容量が必要になります。クラウドのオファーはいつでも簡単に拡張できます。したがって、システムを購入する場合は、すでに 8から始める価値があります。 または16GB RAM および4コアのCPU。
UCSに必要なハードディスク容量はごくわずかです– 10 GB オペレーティングシステムを長期間動作させ続けるには十分すぎるほどです。ここでの決定的な要因は、それを使って何をしようとしているのか、特にシステムに保存するデータの量です。ハードウェアを購入するときは、ミラーディスク(RAID)による冗長性も考慮してください。
IPとDNSの構成
インターネットからシステムにアクセスするには、パブリックIPアドレスと対応するDNSエントリが必要です。サーバーリソースをレンタルすると、少なくともIPアドレスが提供され、多くの場合、パブリックドメインも提供されます。
ホームネットワークでは、パブリックIPは通常プライベートルーターに割り当てられます。これは、ローカルUCSシステムに要求を渡すことができるように構成する必要があります。これがどのように行われるかは、ルーター自体と、場合によってはインターネットプロバイダーによって異なります。そのためのハウツーは、ほとんどのルーターとファイアウォールのWebで見つけることができます。プライベートルーターにパブリックIPがない場合、その背後でパブリックにアクセス可能なサーバーを実行することは困難または不可能ですらあります。不明な点がある場合は、インターネットプロバイダーに連絡するか、Webで詳細情報を探してください。
次の要件は、公的に解決可能なDNSエントリです。これは、ダイナミックDNSのプロバイダーから入手できます。 。
ルーターは、DNSプロバイダーとのすべての通信を処理します。ドメイン「my-ucs.dnsalias.org」を使用します このガイドの例として。
ここで説明するサービスでは、ポート80(HTTP)と443(HTTPS)、および587(受信メールのSMTP送信)を外部で利用できるようにする必要があります。セットアップ後、HTTPを暗号化されたポート443に減らすことができます。リモート管理の場合、特にホームネットワークにないシステムの場合、SSHのポート22へのアクセスは理にかなっています。 ActiveSyncに加えてメールクライアントにIMAPS/SMTPSを使用する必要がある場合など、追加のアプリケーションによってさらにポートが作成される場合があります。ホームセットアップでは、これらのポートはローカルルーターでアクティブに有効になっていますが、プロバイダーが運用するシステムの構成は、他のすべてのポートをブロックするように設計する必要があります。
ほとんどのホームネットワークでは、DCHPを使用してIPアドレスを自動的に割り当てます。ただし、ポートを外部に解放するには、ルーターの構成でサーバーアドレスを設定する必要があるため、サーバーは常に同じアドレスを取得する必要があります。これを実現するために、UCSシステムまたはMACアドレスをルータのDHCP構成に保存できます。または、UCSのインストール中に固定IPアドレスを決定することもできます。ただし、この場合、ルータが他のデバイスに割り当てないようにする必要があります。固定IPを使用する場合は、デフォルトゲートウェイとネームサーバーの仕様が正しいことを常に確認してください。ほとんどの場合、両方が
ルーターのIP。
UniventionCorporateServerのセットアップ方法
インストールの場合、UCSISOイメージは公式ダウンロードリンクからダウンロードされます。 DVDに書き込んだり、USBスティックに転送したりします。次に、システムをこのメディアから起動する必要があります(BIOS設定)。インストール
開始し、言語の構成などのさまざまな手順に沿って、マウントされたハードディスクがパーティション化されます。多くの場合、パーティション化の提案を採用するだけです。ソフトウェアRAIDまたは拡張パーティショニングを使用して障害セキュリティを強化する場合は、手動で設定します。詳細については、Debianドキュメントを参照してください。 UCSはここでインストールプロセスを使用するためです。
基本的なインストールが開始された後、実際のUCS構成が開始されます。
次の情報は、計画されたセットアップに役立ちます。
- ドメイン設定: 最初の(そしておそらく唯一の)システムをUCS環境にインストールするので、「新しいドメインの作成」を選択します。次に、後で必要なキーの送信先となる有効な電子メールアドレスを入力するように求められます。
- PC設定: UCSシステムのFQDNを求められます。この最初の部分は、将来のシステムとそのDNSドメインに付けられる名前です。 UCSシステムの多くのサービスの基本構成は、この設定に依存しています。後で変更するのは非常に困難です。この例では、FQDN "server.my-ucs.dnsalias.org"の1つを使用します 。したがって、サーバーはドメインmy-ucs.dnsalias.orgに責任があると感じます。この例では、このドメインのすべてのサービスがUCSによって提供されていると想定しているため、この手順を選択できます。
- ソフトウェア構成: ここで、インストールする最初のサービスを選択できます。内部ネットワークの場合は、「Active Directory互換ドメインコントローラー」をインストールして、ネットワーク内でファイル共有を設定できるようにします。詳細については、前のガイドUCSのインストールと構成を参照してください。 およびUCSの公式マニュアル 。
UCSへのアクセス方法
インストール後、 http://
AppCenterのロックを解除する
インストール後、必要なサービスをインストールしてセットアップする前に最初に行う必要があるのは、AppCenterのロックを解除することです。これは、インストールプロセス中に指定されたアドレスに送信される「キー」を介して行われます。インストール後に表示されるウェルカムダイアログからキーを直接アップロードするか、後でUMCに移動し、右上の[バーガー]メニューアイコンをクリックして、[ライセンス]、[新しいライセンスのインポート]の順に選択します。
ファイル同期および共有ソリューションownCloudの構成
ここにインストールされる最初のアプリはownCloudです。これは、PCやモバイルデバイスからのファイルの一般的な保存場所です。 「AppCenter」を開きます UMCでモジュールを作成し、「ownCloud」を検索します。 ownCloudのインストールは直接トリガーできます。 Webインターフェイスの指示に従うだけです。
インストールが完了すると、ownCloudには https://
Kopanoメールとグループウェアのセットアップ
次のメールとグループウェアのインストールでは、Kopanoを使用しています。私たちの目的のために、あなたはそれを無料で使うことができます。 Kopanoメールとグループウェアをセットアップするには、AppCenterから「KopanoCore」、「Kopano WebApp」、および「Z-PushforKopano」コンポーネントをインストールします。 Kopanoのインストール中に、メールドメインもUCSに作成されます。カテゴリ「ドメイン」のUMCモジュール「メール」を使用して、メールドメインが正しく設定されていることを確認できます。この例では、「my-ucs.dnsalias.org」と呼ばれています。
インストール後、ユーザーアカウントを設定できます。 「プライマリメールアドレス」は、ユーザーがコパノで使用するメールアドレスです。したがって、パブリックドメインを使用する必要があります。たとえば、[メール保護] 。
電子メールの微調整
メールサービスは、公的にアクセス可能なメールドメイン( my-ucs.dnsalias.org )に送信されたメールを受信できるようになりました。 。メールの送信が問題なく機能し、メールが他のメールサーバーのスパムフィルターによって直接ブロックされないようにするには、この名前を「helo」としても使用する必要があります。このために、UCR変数「mail / smtp / helo / name」を公的にアクセス可能なFQDN(この例ではmy-ucs.dnsalias.org)に設定します。 UCR(「UniventionConfigurationRegistry」)変数の設定は、同じ名前のUMCモジュールで、またはコマンドラインで次のコマンドを使用して実行できます。
ucr set mail/smtp/helo/name=“my-ucs.dnsalias.org“
可能であれば、SMTPリレーホストを使用することもお勧めします。特に、送信者のIPアドレスがパブリックドメインのIPアドレスと異なる場合。詳細については、このガイドを参照してください。 。
受信メールは、サーバーのパブリックDNSエントリの実装の現在のステータスに従ってルーティングされます。メールがドメイン「my-ucs.dnsalias.org」のアドレスに送信される場合、割り当てられたMXレコードのIPドメインまたはドメイン自体のIPアドレスがDNSで使用され、宛先として接続されます。後者は私たちの構成の場合です。メールドメインはサーバーのパブリック名に対応しているため、私たちのシステムは他のメールサーバーによって検出され、メールの配信のために連絡されます。
デフォルトでは、ポート25はUCSファイアウォールで指定されています。ただし、メールサーバー間の直接交換にはポート587が推奨されます。これは、ファイアウォールのUCRによって承認できます。これは、変数「security / packetfilter / package / manual / tcp / 587/all」を設定することで実行できます。 「同意する」 –上記の「helo」文字列の場合と同様に、これはUMCモジュールまたはコマンドラインを介してここでも可能です。変更後、「postfix」および「univention-firewall」サービスを再起動する必要があります。これは、コマンドライン(「servicepostfix restart; service univention-firewallrestart」)から、またはサーバーを再起動することによって実行できます。
ユニベンションポータルの概要ページ
UCSの概要ページである「UniventionPortal」は、利用可能なすべてのサービスの優れた紹介を提供します。 "https://my-ucs.dnsalias.org"から簡単にアクセスできるようになりました 。ただし、ブラウザにはまだ証明書の警告があります。これは、ownCloudのインストール中にすでに確認されています。 Let'sEncryptで簡単に解決できます。
最後になりましたが、Let’sEncryptのインストール
デフォルトでは、UCS Webサーバーは自己署名証明書を使用します。これにより、ブラウザに警告が表示されます。 「Let’s Encrypt」を使用して証明書をインストールすることで、それを解決できます。対応するアプリはAppCenterにあります。
インストール後、[アプリの設定]をクリックして構成マスクを開きます :ここにドメインを入力してください
(my-ucs.dnsalias.orgおよびserver.my-ucs.dnsalias.org)をスペースで区切り、証明書を使用するサービスにチェックマークを付けます。この例では、証明書はApacheとPostfixで使用する必要があります。 [変更を適用]をクリックすると、証明書が作成され、サービスに統合されます。 WebサーバーのApacheも再起動されるため、Webインターフェイスも1回リロードする必要があります。
ユーザーの作成
これで、ユーザーをシステムに追加できます。 UCSで作成されたすべてのユーザーアカウントについて、対応するアカウントがownCloudに自動的に作成され、プライマリメールアドレスが指定されている場合はKopanoにも作成されます。その後、ユーザーはアカウントのパスワードを使用して両方のサービスにログインできます。パスワードの変更は、UniventionPortalのメニューから可能です。
メール、連絡先、予定の同期KopanoとownCloudはスマートフォンでも使用できます。メール、連絡先、予定をKopanoと同期させるために、スマートフォンに「Exchange」アカウントが設定されています。詳細については、Kopanoドキュメントページを参照してください。 。
ownCloudは、スマートフォンとファイルを共有し、キャプチャした写真やビデオをサーバーに自動的に保存できる独自のAndroidiOSアプリを提供しています。
他にどのサービスをお勧めできますか?
この設定は、UCS向けに提供されている多くのアプリのより多くのサービスを統合するための優れた基盤です。
- 以前の既存の電子メールアドレスから引き続き受信するために、Fetchmailの統合 に使える。 UCSサーバーは、他のプロバイダーからのメールを自動的にダウンロードし、Kopanoメールボックスに提供します。
- 公的にアクセス可能なサーバーは、多くの場合、自動化された攻撃の標的になります。ファイアウォールでSSHへのアクセスが許可されている場合は、このアクセスを制限する必要があります。 このリンクを参照してください 詳細については。
- ユーザー数が増えた場合は、ユーザーが自分でパスワードをリセットできるようにすると便利です。このために、「セルフサービス」をインストールします AppCenterのアプリ。
- ownCloudは多くのプラグインで拡張できます。多くのドキュメントを扱うときに特に役立つのは、「Collabora」です。 プラグイン。ブラウザで直接Officeファイルを編集できます。
結論
この包括的なガイド(およびすべての参照リンク)に注意深く従えば、これで、ownCloud、Kopano、およびLet's Encrypt on UniventionCorporateServerを使用してプライベートサーバーを正常にセットアップできました。ご覧のとおり、UCSでホームサーバーをセットアップすることはそれほど難しくありません。また、UCSの公式マニュアルは非常によく文書化されており、考えられるすべての問題に対して非常に正確で効果的な解決策を提供していることにも言及する価値があります。