SME Server:Documentation:User Manual:Chapter1/de
|
Bevorzugte Artikel
|
Kapitel 1 - Fernzugriff
Kennwörter
Mit dem Benutzerkennwort erhalten Sie Zugang zum Server, können Dateien speichern, E-Mail-Konten nutzen und drucken. Falls Sie das Benutzerkennwort vergessen sollten, kann der Administrator das Kennwort zurücksetzen. Da der Administrator weder Zugriff auf Benutzerkennwörter noch auf deren Home-Verzeichnisse hat, kann er auch das alte Kennwort nicht wiederherstellen. Benutzer können ihr Kennwort unter user-password erneuern. Bei der Musterfirma lautet die URL dafür also https://www.musterfirma.com/user-password.
VPN-Zugang
Der SME Server unterstützt VPN auf Basis PPTP. Dafür muss durch den Administrator der VPN-Zugriff je Benutzer gesondert freigeschlatet werden. Um den VPN-Zugang per PPTP auf einem Windows XP-PC zu aktivieren, gehen Sie folgendermaßen vor:
Rufen Sie das Register Netzwerkverbindungen in der Systemsteuerung auf Klicken Sie auf Neue Verbindung erstellen Wählen Sie Verbindung mit dem Netzwerk am Arbeitsplatz herstellen aus
Wählen Sie VPN-Verbindung aus
Geben Sie einen Verbindungsnamen an
Geben Sie ggfs. eine Anfangsverbindung zur automatischen Einwahl an
Geben Sie den Namen Ihre Haupt-Domäne ein
Nach erfolgreich aufgebauter VPN-Verbindung können Sie in einem Windows-Explorerfenster Zugriff auf Ihren Server erhalten, indem Sie dort die IP-Adresse des Servers eingeben, z.B \\192.168.1.1. Falls Sie auf Ihrem lokalen Windows-PC mit identischen Benutzer+Kennwort wie auf dem SME Server arbeiten, ist keine weitere Anmeldung mehr erforderlich.
Shell-Zugang
Sie haben 2 Möglichkeiten, sich an der Serverkonsole anzumelden:
- direkt am Server
- über SSH
direkt am Server
Die einfachste Möglichkeit, sich an der Serverkonsole anzumelden, ist natürlich am Server selbst. Dazu können Sie mit Alt+F1, Alt+F2 und Alt+F3 bis zu 3 Sessions gleichzeitig starten und so parallele Arbeiten in den jeweiligen Sessions durchführen.
über SSH
Die bevorzugte Methode, die SME Serverkonsole zu erreichen, ist jedoch der Fernzugriff über einen SSH-Client. SSH ist ein Protokoll, das ähnlich wie Telnet funktioniert, durch die starke Verschlüsselung aber deutlich sicherer ist.
Der SME Server ist in der Voreinstellung nicht für den Fernzugriff per SSH konfiguriert. Für die Benutzung von SSH muss der SME Server daher zunächst im Register Fernzugriff freigeschaltet werden. Dazu hat der Administrator 3 verschiedene Optionen:
- Sicherer Zugang über SSH
- Admin Kommandos über einen sicheren SSH-Zugang erlauben
- Den sicheren SSH-Zugang mit Standard-Kennwort erlauben
Sicherer Zugang über SSH
In der Voreinstellung ist dieser Zugang ausgeschaltet. Der Administrator kann das im Servermanager ändern und hat dabei folgende Alternativen zur Auswahl:
| SSH-Optionen |
| Kein Zugang (Voreinstellung) |
| Zugang nur vom lokalen Netzwerk erlauben |
| Öffentlicher Zugang erlauben (ganzes Internet) |
Wenn der Zugang gemäß Alternative 2 nur vom lokalen Netzwerk aus erlaubt ist, sind SSH-Verbindungen nur im gleichen lokalen Subnetz möglich. Sollte der SME Server z.B die IP-Adresse 192.168.1.1/255.255.255.0 haben, können Sie eine SSH-Sitzung nur von einem Client aufbauebn, dessen IP-Adresse aus dem gleichen Netz stammen muss (192.168.1.2-192.168.1.254). Falls Sie mehrere lokale Netzwerke benutzen und Sie eine SSH-Sitzung aus einem fremden Subnetz zum SME Server aufbauen möchten, muss zunächst das jeweilige Subnetz im SME Server im Register Lokale Netzwerke aufgenommen werden.
Sollte der Zugang gemäß Alternative 3 auch für das GESAMTE INTERNET freigeschaltet sein, ist eine SSH-Verbindung von jedem Ort der Welt über das Internet möglich. Jede beliebige IP-Adresse, ob lokal oder aus dem Internet, wird vom SME Server akzeptiert.
Mit den beiden anderen Einstelloptionen können die unsicheren SSH-Verbindungen über das Internet deutlich sicherer gemacht werden. Dabei wird nicht empfohlen, eine der beiden Optionen mit "Ja" einzustellen, wenn der SSH-Zugang für das gesamte Internet freigeschaltet ist.
Admin Kommandos über einen sicheren SSH-Zugang erlauben
Damit kann im Servermanager eingestellt werden, ob bei einer SSH-Sitzung die Anmeldung mit dem Benutzer "root" erlaubt ist. In der Voreinstellung "Nein" endet jeder Versuch, sich über SSH an der Serverkonsole anzumelden, mit "Access Denied".
Den sicheren SSH-Zugang mit Standard-Kennwort erlauben
Damit wird über den Zugang mit dem normalen Kennwort entschieden. Bei der Voreinstellung "Nein" ist eine SSH-Verbindung nur dann möglich, wenn ein Schlüsselpaar mit öffentlichen und privaten Schlüsseln verwendet wird. Dazu im nächsten Abschnitt mehr.
SSH-Verbindungen mit Verschlüsselung absichern
Falls Sie den SSH-Fernzugang zu Ihrem SME Server von außerhalb des lokalen Netzwerks benötigen, ist die empfohlene Variante, ein Schlüsselpaar mit öffentlichen und privaten Schlüsseln zu verwenden. Der private Schlüssel ist eine Datei, die Sie auf Ihrem Client-Computer haben und wird vom SSH-Client an den Server gesendet. Der öffentliche Schlüssel ist auf Ihrem SME Server abgelegt.
Beim Anmeldeprozess wird der gesendete private Schlüssel mit dem öffentlichen Serverschlüssel verglichen. Wenn die beiden Schlüssel nicht zueinander passen, wird die Anmeldung sofort abgebrochen. Durch die starke Verschlüsselung ist es einem Hacker unmöglich, das root-Kennwort mitzuschneiden.
Dabei ist es bemerkenswert einfach, das beschriebene Schlüsselpaar zu erzeugen. Hier eine kleine Anleitung, nach der Sie für den Superuser "root" ein solches Schlüsselpaar für Ihren SME Server erzeugen können:
Schritt 1 - Schlüssel erzeugen
Melden Sie sich an Ihrem Server mit dem Benutzer "root" an und wechseln zu "~/.ssh".
cd ~/.ssh
Geben Sie folgenden Befehl ein:
ssh-keygen -t dsa
Durch Eingabe der Passphrase können Sie selbst entscheiden, ob Sie zum Schlüssel zusätzlich auch ein Kennwort verwenden wollen. Sie werden zwar dadurch bei jeder Anmeldung nach diesem Kennwort gefragt, haben aber eine nochmalige Sicherheitssteigerung, weil selbst dann, wenn der SSH-Schlüssel in fremde Hände gelangen würde, weiterhin ein Kennwort erforderlich ist, um auf Ihren Server zu gelangen. Deshalb wird die Benutzung eines Kennworts nach den strengen Regeln des SME Servers empfohlen. Drücken Sie einfach ENTER, wenn Sie nach dem Speicherort der Schlüssel gefragt werden.
Sie haben nun 2 neue Dateien im aktuellen Verzeichnis:
id_dsa id_dsa.pub
Schritt 2 - öffentlichen Schlüssel aktivieren
Geben Sie folgenden Befehl ein, um den erzeugten öffentlichen Schlüssel zu den Schlüsseln hinzuzufügen, die für den Benutzer "root" gestattet sind:
cat id_dsa.pub >> authorized_keys
Schritt 3 - Privaten Schlüssel beziehen
Jetzt ist es Zeit, den erzeugten privaten Schlüssel "id_dsa" auf Ihrem lokalen Client-Computer zu kopieren. Im folgenden wird angenommen, dass Sie Windows als Betriebssystem und Putty als SSH-Client verwenden. Falls Sie mit ssh verbunden sind, geben Sie einfach ein:
cat id_dsa
und kopieren die Augabe in eine Notepad-Datei.
Alternativ können Sie natürlich auch diese Datei in ein i-bay kopieren und über den Windows-Explorer auf Ihren Windows PC kopieren.
Schritt 4 - Privaten Schlüssel konvertieren
Zur Verwendung des kopierten SSH-Schlüssels unter Putty muss dieser vom OpenSSH-Format in das Putty-eigene PPK-Format konvertiert werden. Dazu ist PuttyGen erforderlich, dass normalerweise Bestandteil einer Putty-Installation ist. Sie können es unter http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html herunterladen.
Starten Sie PuttyGen, wählen Sie "Conversions -> Import key" aus und öffnen Sie Ihren OpenSSH-formatierten privaten Schlüssel. Wenn Sie zusätzlich ein Kennwort verwenden, werden Sie jetzt danach gefragt. Ist der Schlüssel erfolgreich importiert, klicken Sie auf "Save private key" und speichern den PPK-Schlüssel an sicherer Stelle ab.
Schritt 5 - Schlüssel benutzen & Test
Wenn Sie jetzt Putty benutzen, müssen Sie nur noch die Verwendung des privaten Schlüssels konfigurieren. Geben Sie die IP-Adresse bzw. den FQDN Ihres Servers wie sonst auch im Hauptfenster von Putty ein und wechseln dann im Menü des linken Fensters zu "Connection -> SSH -> Auth" und öffnen mit "browse" den im Schritt 4 gespeicherten PPK-Schlüssel. Sie können dann zu "Session" zurückkehren und die Einstellungen speichern.
Wenn Sie nun die SSH-Sitzung starten und die Verschlüsselung funktioniert, sollten Sie folgendes sehen:
Using username "root". Authenticating with public key "imported-openssh-key" Passphrase for key "imported-openssh-key":
Schritt 6 - Lock it down
Wenn alles wie gewünscht funktioniert, sollten Sie "Logging" ausschalten. Wechseln Sie zum Schluss in den SME Server-Manager und schalten die Option "Den sicheren SSH-Zugang mit Standard-Kennwort erlauben" aus. Ab jetzt können SSH-Sitzungen nur noch verschlüsselt durchgeführt werden.
Anmelden
der SME Server ist so voreingestellt, dass sich sowohl beim SSH-Zugang als auch beim Zugang direkt am Server nur die Benutzer "admin" und "root" anmelden können.
Mit dem Benutzer admin erhalten Sie Zugriff auf die Serverkonsole, mit der Sie sämtliche Konfigurations-Grundeinstellungen des SME Servers steuern können.
Mit dem Benutzer root melden Sie sich als Superuser an der Konsole direkt an.
