Familien Wiki

Webseiten-Werkzeuge

Zuletzt angesehen:
tech:ucs

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
tech:ucs [2021/04/21 09:40] – [Notizen von der Installation] lutztech:ucs [2023/05/04 07:16] (aktuell) – [SAML / SSO] lutz
Zeile 14: Zeile 14:
 <code bash>journalctl --vacuum-size=500M</code> <code bash>journalctl --vacuum-size=500M</code>
  
 +===== Root-Zertifikat erneuern =====
 +Sicherheitskopie aller Zertifikate anlegen und Umgebungsvariablen setzen:
 +<sxh bash>
 +cp -a /etc/univention/ssl /etc/univention/"ssl_$(date +%Y%m%d)"
 +eval "$(ucr shell domainname ssl/default/days)"
 +eval "$(ucr shell ucs/server/sso/fqdn)"
 +</sxh>
  
-===== Notizen von der Installation ===== +Das Root-Zertifikat erneuern: 
-https://docs.nextcloud.com/server/14/admin_manual/issues/general_troubleshooting.html#service-discovery \\+<sxh bash> 
 +cd /etc/univention/ssl/ucsCA 
 +openssl x509 -in CAcert.pem -out NewCAcert.pem -days "${ssl_default_days}" -sha256 \ 
 +  -passin file:/etc/univention/ssl/password -signkey private/CAkey.pem  
 +mv NewCAcert.pem CAcert.pem 
 +</sxh>
  
-==== Hinweise zu Meldungen in der Übersicht der Admineinstellungen ====+Alle Computer-Zertifikate erneuern: 
 +<sxh bash> 
 +cd  /etc/univention/ssl 
 +for i in *"${domainname}"; do univention-certificate renew -name "$i" -days "${ssl_default_days}"; done; 
 +univention-app update-certificates 
 +install -o root -g root -m 0644 ucsCA/CAcert.pem /var/www/ucs-root-ca.crt 
 +/usr/sbin/univention-certificate-check-validity 
 +update-ca-certificates -f 
 +</sxh>
  
-Im Bereich der Sicherheits& Einrichtungswarnungen werden wahrscheinlich einige Hinweise angezeigt, mit der die Nextcloud-Installation verbessert werden kannDiese Punkt können nicht im Rahmen der Nextcloud Integration für UCS erfolgen, stattdessen entscheidet der Administrator gegebenenfalls Schritte durchzuführen.+==== SAML / SSO ==== 
 +Vorhandene Zertifikate ersetzen: 
 +<sxh bash> 
 +install -o root -g samlcgi -m 0644 /etc/univention/ssl/"ucs-sso.${domainname}"/cert.pem /etc/simplesamlphp/"ucs-sso.${domainname}-idp-certificate.crt" 
 +install -o root -g samlcgi -m 0640 /etc/univention/ssl/"ucs-sso.${domainname}"/private.key /etc/simplesamlphp/"ucs-sso.${domainname}-idp-certificate.key" 
 +service univention-saml restart 
 +</sxh>
  
-==== "Strict-Transport-Security" HTTP header ====+Das neue Zertifikat installieren: 
 +<sxh bash> 
 +ucr set umc/saml/idp-server="https://${ucs_server_sso_fqdn}/simplesamlphp/saml2/idp/metadata.php" || echo 'Failed!' 
 +service univention-management-console-web-server restart 
 +univention-run-join-scripts --force --run-scripts 92univention-management-console-web-server.inst 
 +</sxh>
  
-Um den Dienst gegen Man-in-the-Middle Attacken zu härten, kann dieser Mechanismus aktiviert werden. Die SSL Terminierung erfolgt auf dem Reverse Proxy, typischer ein Apache2 Webserver auf dem Host. Die Konfiguration für die Domain(s) unter denen Nextcloud betrieben wird, muss dafür um einen HTTP Header ergänzt werden. Wenn diese Änderungen durchgeführt werden, wirken sie sich auf alle Dienste unterhalb der Domain aus. 
- 
-This Dokumentation erklärt wie HSTS eingerichtet wird. Der includeSubDomains-Schalter ist notwendig. 
- 
-==== Auflösung von "/.well-known/caldav|carddav" scheitert ==== 
- 
-Das Auffinden von Adressbuch- und Kalenderdiensten kann für entsprechende Klienten vereinfacht werden, in dem solche well-known URLs verfügbar gemacht werden, die letztlich auf den tatsächlichen Dienst verweisen. Die anschlagende Überprüfung tested, ob unterhalb der Hauptdomain diese URLs vorhanden sind. Um diese bereit zu stellen muss auch hier der Webserver des Hosts anhand dieser Dokumentation angefasst werden. 
-Es kann nur jeweils ein Dienst pro Domain verknüpft werden. Das Vorhandensein der URLs ist nicht kritisch für das Funktionieren der Nextcloud, erhöht aber den Komfort für einige Endnutzer. 
- 
-Diese Überprüfung ist während der Nextcloud 13 Serie eingeführt worden. In früheren Versionen wurde der Hinweis folglich nicht gezeigt. 
- 
-==== Fehlende Datenbank-Indizes ==== 
- 
-Diese Meldung erscheint nach einem Upgrade von Nextcloud 13. Die Datenbankstruktur hat sich leicht geändert und neue Indizes sind hinzugefügt worden. Theoretisch könnten diese während dem Upgrade-Prozess hinzugefügt werden. Weil dies jedoch insbesondere bei großen Datenbeständen zeitintensiv ist, wird es in dem Rahmen nicht durchgeführt. Die Indizes sind nicht kritisch für die Funktionstüchtigkeit der Nextcloud, verbessern aber die Geschwindigkeit bei relevanten Operationen. 
- 
-Folgender Befehl, auszuführen auf dem Host, fügt die Indizes hinzu: 
- 
-univention-app shell nextcloud sudo -u www-data /var/www/html/occ db:add-missing-indices 
- 
-Es ist nicht notwendig Nextcloud in den Wartungsmodus zu schalten, diese Aktion kann während des Produktivbetriebs durchgeführt werden. 
- 
-==== Mailserver Konfiguration ==== 
- 
-Sofern die Einstellungen zum Mailserver noch nicht vorgenommen wurden, empfiehlt es sicht diese als Administrator in den Admineinstellungen einzurichten. 
  
 +===== Notizen von der Installation =====
 +https://docs.nextcloud.com/server/14/admin_manual/issues/general_troubleshooting.html#service-discovery \\
  
  
tech/ucs.1618998034.txt.gz · Zuletzt geändert: von lutz