En lisant aujourd'hui toutes les actualités terrifiantes sur les cyber-attaques et les malwares, avez-vous déjà souhaité mettre en place votre propre serveur pour enfin avoir le plus grand contrôle possible sur vos propres données ? Si oui, vous êtes sur la bonne voie ! Dans nos articles précédents Introduction à Univention Corporate Server et Installation et configuration du serveur d'entreprise Univention , nous avons parlé de la solution de serveur et de gestion informatique Univention Corporate Server et comment vous pouvez l'installer pour une utilisation professionnelle. Cette fois, nous adoptons une approche un peu différente et mettons en place un ensemble de logiciels autour d'UCS qui répond très bien aux exigences de sécurité plus élevées et est donc idéal pour que chaque "administrateur domestique" construise son propre serveur privé.
Configurer un serveur privé avec ownCloud, Kopano et Let's Encrypt sur le serveur d'entreprise Univention
Dans les étapes suivantes, nous vous montrerons comment configurer cela en quelques étapes et inclure un logiciel de groupe, de messagerie et d'échange de fichiers. c'est-à-dire les applications ownCloud et Kopano. Les solutions propriétaires de messagerie et de groupware deviendront donc superflues si vous le souhaitez. Et avec l'installation de Let's Encrypt, les connexions à votre serveur UCS seront également bien protégées.
Première question :Où exécuter le serveur ?
Fondamentalement, les utilisateurs privés sont confrontés aux mêmes questions que les entreprises :"Dois-je exécuter le serveur sur mon propre matériel, dans mon propre "centre informatique" (ou magasin), ou dois-je l'exécuter sur un système loué, hébergé quelque part, par exemple, un « serveur dédié » avec un fournisseur de services cloud. Avant de vous décider, il est important de vous demander comment vous comptez réellement utiliser le serveur.
Louer ou ne pas louer
Un système loué implique un petit investissement initial et n'est généralement pas associé à des restrictions de bande passante importantes. De plus, il est plus facile de l'adapter à vos besoins. Un système loué est pratique lorsque vous avez besoin d'un accès depuis différents endroits, par exemple lorsque le serveur est utilisé par tous les membres de votre organisation qui pourraient travailler ailleurs.
Gérer votre propre réseau
Si vous utilisez un système sur votre propre réseau, il vous offre d'abord un contrôle total sur vos propres données et il prend également en charge des scénarios d'application supplémentaires tels qu'un serveur de fichiers standard ou la diffusion de musique et de vidéos sur des lecteurs multimédias locaux. Cependant, dépendre d'une connexion Internet privée est souvent un goulot d'étranglement lorsque vous souhaitez accéder au système de l'extérieur; même les toutes dernières connexions VDSL ont une capacité de téléchargement relativement faible. Certains fournisseurs Internet empêchent tout accès depuis l'extérieur. Je recommande donc de faire quelques tests avant d'investir dans du nouveau matériel.
Les étapes décrites ci-dessous s'appliquent généralement aux deux options.
De quel matériel aurais-je besoin ?
UCS n'a que des exigences mineures en matière de matériel, vous avez donc le choix. En principe, le matériel de bureau plus ancien peut également convenir. Cependant, ils sont souvent liés à des inconvénients en termes de fiabilité et de consommation d'énergie si le système fonctionne en continu. Si vous décidez d'investir dans un tout nouveau système, certains fabricants proposent des systèmes pouvant fonctionner 24h/24 et 7j/7 (souvent appelés systèmes « SOHO NAS » (Small or Home Office Network Attached Storage)). Les systèmes HP de la gamme MicroServer et les serveurs Low Energy de Thomas-Krenn en sont des exemples.
L'objectif détermine la taille qui vous convient
La prochaine chose à laquelle vous devez penser est la question de la taille du système. La configuration que nous présentons ici fonctionne sur un système avec un processeur plus petit et 4 Go de RAM sans aucun problème. Le nombre d'accès simultanés est la partie critique. Si le nombre d'utilisateurs ou d'applications augmente, vous aurez éventuellement besoin de plus de capacité. Les offres cloud peuvent toujours être étendues facilement. Si vous achetez le système, cela vaut donc la peine de commencer avec déjà 8 ou 16 Go de RAM et un processeur à 4 cœurs.
L'espace disque requis pour UCS est négligeable :10 Go est plus que suffisant pour faire fonctionner le système d'exploitation pendant longtemps. Le facteur décisif ici est ce que vous avez l'intention d'en faire, en particulier la quantité de données que vous enregistrez sur le système. Veuillez également tenir compte de la redondance via des disques en miroir (RAID) lors de l'achat de matériel.
Configuration IP et DNS
Pour accéder au système depuis Internet, vous avez besoin d'une adresse IP publique et de l'entrée DNS correspondante. Si vous louez des ressources de serveur, elles vous fournissent au moins une adresse IP et souvent aussi un domaine public.
Dans les réseaux domestiques, l'adresse IP publique est généralement attribuée au routeur privé. Ceci doit être configuré de sorte qu'il puisse passer des demandes dessus au système local UCS. La manière dont cela se fait dépend du routeur lui-même et éventuellement du fournisseur d'accès Internet. Vous pouvez trouver des tutoriels pour cela sur le Web pour la majorité des routeurs et des pare-feu. Si le routeur privé n'a pas d'adresse IP publique, il peut être difficile, voire impossible, d'exécuter un serveur accessible au public derrière lui. En cas de doute, veuillez contacter votre fournisseur d'accès Internet ou rechercher de plus amples informations sur le Web.
L'exigence suivante est une entrée DNS résoluble publiquement, qui peut être obtenue auprès de fournisseurs de DNS dynamique .
Le routeur prend en charge toutes les communications avec le fournisseur DNS. nous utilisons le domaine "my-ucs.dnsalias.org" comme exemple dans ce guide.
Pour les services décrits ici, il est nécessaire de rendre disponible en externe les ports 80 (HTTP) et 443 (HTTPS) ainsi que 587 (SMTP Submission pour les mails entrants). Après la configuration, HTTP peut être réduit au port crypté 443. Pour l'administration à distance, en particulier pour les systèmes qui ne sont pas dans le réseau domestique, l'accès au port 22 pour SSH est logique. D'autres ports peuvent résulter d'autres applications, par exemple, si IMAPS / SMTPS doit être utilisé pour les clients de messagerie en plus d'ActiveSync. Alors que dans la configuration à domicile, ces ports sont activement activés dans le routeur local, la configuration d'un système exploité par un fournisseur doit être conçue pour bloquer tous les autres ports.
Dans la majorité des réseaux domestiques, DCHP est utilisé pour attribuer automatiquement des adresses IP. Cependant, étant donné que l'adresse du serveur doit être définie dans la configuration du routeur pour la libération des ports vers l'externe, le serveur doit toujours obtenir la même adresse. Pour ce faire, vous pouvez enregistrer le système UCS ou l'adresse MAC dans la configuration DHCP du routeur. Alternativement, vous pouvez déterminer une adresse IP fixe pendant l'installation UCS. Dans ce cas, cependant, il faut s'assurer que le routeur ne l'attribue à aucun autre appareil. Lorsque vous utilisez une adresse IP fixe, assurez-vous toujours que les spécifications de la passerelle par défaut et du serveur de noms sont correctes. Dans la majorité des cas, les deux sont
l'IP du routeur.
Comment configurer le serveur d'entreprise Univention
Pour l'installation, l'image ISO UCS est téléchargée depuis le lien de téléchargement officiel et gravé sur un DVD ou transféré sur une clé USB. Le système doit alors être démarré à partir de ce support (paramètre du BIOS). L'installation
commence et parallèlement à une série d'étapes différentes telles que la configuration de la langue, les disques durs montés sont partitionnés. Dans de nombreux cas, vous pouvez simplement adopter la suggestion de partitionnement. Si vous souhaitez augmenter la sécurité contre les défaillances avec un RAID logiciel ou un partitionnement étendu, configurez-le manuellement. Pour plus de détails, veuillez consulter la documentation Debian puisque UCS utilise son processus d'installation ici.
Après l'installation de base commence la configuration UCS réelle.
Les informations suivantes sont pratiques pour l'installation prévue.
- Paramètres du domaine : Lorsque vous installez le premier (et peut-être le seul) système dans un environnement UCS, sélectionnez "Créer un nouveau domaine". Vous êtes ensuite invité à entrer une adresse e-mail fonctionnelle à laquelle la clé requise par la suite sera envoyée.
- Paramètres de l'ordinateur : Il vous sera demandé un F QDN pour le système UCS. La première partie est le nom qui sera donné au futur système et à son domaine DNS. La configuration de base de nombreux services dans un système UCS dépend de ce paramètre. Il est très difficile de changer plus tard. Dans notre exemple, nous utilisons celui du FQDN "server.my-ucs.dnsalias.org" . Ainsi, le serveur se sent responsable du domaine my-ucs.dnsalias.org. Nous pouvons choisir cette procédure, car nous supposons dans cet exemple que tous les services de ce domaine sont fournis par UCS.
- Configuration du logiciel : Vous pouvez sélectionner ici les premiers services à installer. Pour un réseau interne, installez le "Contrôleur de domaine compatible Active Directory" afin de pouvoir mettre en place des partages de fichiers dans votre réseau. Pour plus de détails, reportez-vous au guide précédent Installation et configuration d'UCS et le manuel officiel de l'UCS .
Comment accéder au SCU
Après l'installation, vous pouvez accéder au système via un navigateur Internet à l'adresse http://
Déverrouiller l'App Center
La première chose que vous devez faire après l'installation et avant de pouvoir installer et configurer les services requis est de déverrouiller l'App Center. Cela se fait via la "clé", qui est envoyée à l'adresse indiquée lors du processus d'installation. Téléchargez la clé directement depuis la boîte de dialogue de bienvenue qui apparaît après l'installation ou allez plus tard dans l'UMC, cliquez sur l'icône du menu "Burger" en haut à droite et sélectionnez le point "Licence" puis "Importer une nouvelle licence".
Configuration de la solution de synchronisation et de partage de fichiers ownCloud
La première application à installer ici est ownCloud, qui est un emplacement de stockage commun pour les fichiers des PC et des appareils mobiles. Ouvrez le "Centre d'applications" module dans l'UMC et recherchez "ownCloud". L'installation d'ownCloud peut être déclenchée directement. Suivez simplement les instructions de l'interface Web.
Une fois l'installation terminée, ownCloud est accessible via https://
Configuration de la messagerie et du groupware Kopano
Pour l'installation suivante d'un mail et d'un groupware, nous utilisons Kopano. Pour nos besoins, vous pouvez l'utiliser gratuitement. Pour configurer la messagerie et le groupware Kopano, installez les composants "Kopano Core", "Kopano WebApp" et "Z-Push for Kopano" depuis l'App Center. Lors de l'installation de Kopano, un domaine de messagerie sera également créé dans UCS. En utilisant le module UMC "Mail" de la catégorie "Domaine", vous pouvez vous assurer que le domaine de messagerie est correctement configuré. Dans notre exemple, il s'appelle "my-ucs.dnsalias.org".
Après l'installation, vous pouvez configurer des comptes d'utilisateurs. L'"adresse e-mail principale" est l'adresse e-mail que l'utilisateur utilisera dans Kopano. Il doit donc utiliser le domaine public, par exemple [email protected] .
Ajustement des e-mails
Le service de messagerie est désormais capable de recevoir des e-mails envoyés au domaine de messagerie accessible au public, ici :my-ucs.dnsalias.org . Pour s'assurer que l'envoi des mails fonctionne sans problème et que les mails ne seront pas directement bloqués par les filtres anti-spam d'autres serveurs de messagerie, ce nom doit également être utilisé comme "helo". Pour cela, définissez la variable UCR "mail/smtp/helo/name" sur le nom de domaine complet accessible au public - dans cet exemple :my-ucs.dnsalias.org. Le paramétrage des variables UCR (« Univention Configuration Registry ») peut être effectué dans le module UMC du même nom ou en ligne de commande avec la commande :
ucr set mail/smtp/helo/name=“my-ucs.dnsalias.org“
Si possible, nous vous recommandons également d'utiliser un hôte de relais SMTP. En particulier si l'adresse IP de l'expéditeur diffère de celle du domaine public. Pour plus de détails, consultez ce guide .
Les e-mails entrants sont acheminés en fonction de l'état actuel de l'implémentation de l'entrée DNS publique du serveur :si des e-mails doivent être envoyés à des adresses du domaine "my-ucs.dnsalias.org", l'adresse IP de l'enregistrement MX attribué de le domaine ou l'adresse IP du domaine lui-même est utilisé dans le DNS et contacté comme destination. C'est le cas dans notre configuration :le domaine de messagerie correspond au nom public du serveur, afin que notre système soit trouvé par d'autres serveurs de messagerie et contacté pour l'acheminement des mails.
Par défaut, le port 25 est spécifié dans le pare-feu UCS. Cependant, le port 587 est préféré pour l'échange direct entre les serveurs de messagerie. Cela peut être approuvé par UCR dans le pare-feu. Cela peut être fait en définissant la variable "security/packetfilter/package/manual/tcp/587/all" pour "ACCEPTER" – comme ci-dessus pour la chaîne « helo », c'est également possible ici via le module UMC ou la ligne de commande. Suite aux modifications, les services « postfix » et « univention-firewall » doivent être redémarrés. Cela peut être fait soit à partir de la ligne de commande ("service postfix restart; service univention-firewall restart") soit en redémarrant le serveur.
Page de présentation du portail Univention
La page d'aperçu dans UCS, le "Portail Univention", fournit une bonne introduction à tous les services disponibles. Vous pouvez désormais y accéder facilement via "https://my-ucs.dnsalias.org" . Cependant, il y a toujours l'avertissement de certificat dans le navigateur, que nous avons déjà vu lors de l'installation d'ownCloud. Il peut être résolu facilement avec Let's Encrypt.
Dernier point mais non des moindres :installation de Let‘s Encrypt
Par défaut, le serveur Web UCS utilise un certificat auto-signé, ce qui entraîne des avertissements dans le navigateur. Via l'installation d'un certificat avec "Let's Encrypt", vous pouvez résoudre ce problème. L'application correspondante se trouve dans l'App Center.
Après l'installation, ouvrez un masque de configuration en cliquant sur "Paramètres de l'application" :entrez ici les domaines
(my-ucs.dnsalias.org et server.my-ucs.dnsalias.org), séparés par des espaces, et cochez les services qui doivent utiliser le certificat. Dans notre exemple, le certificat doit être utilisé dans Apache et Postfix. En cliquant sur "Appliquer les modifications", un certificat sera créé et intégré aux services. Comme le serveur Web Apache est également redémarré, vous devez également recharger l'interface Web une fois.
Création d'utilisateurs
Les utilisateurs peuvent maintenant être ajoutés au système. Pour chaque compte utilisateur créé dans UCS, un compte correspondant est automatiquement créé dans ownCloud et, si une adresse e-mail principale a été spécifiée, également dans Kopano. L'utilisateur peut alors se connecter aux deux services avec le mot de passe du compte. Les changements de mot de passe sont possibles via le menu du portail Univention.
Synchronisation des mails, contacts et rendez-vous Kopano et ownCloud peuvent également être utilisés par les smartphones. Pour synchroniser les e-mails, les contacts et les rendez-vous avec Kopano, un compte "Exchange" est créé sur le smartphone, pour plus de détails voir la page de documentation de Kopano .
ownCloud propose sa propre application Android iOS qui vous permet de partager des fichiers avec votre smartphone et d'enregistrer automatiquement les photos et vidéos capturées sur le serveur.
Quels autres services pouvons-nous recommander ?
Cette configuration est une bonne base pour intégrer davantage de services parmi les nombreuses applications proposées pour UCS :
- Afin de continuer à recevoir des adresses e-mail précédentes et existantes, l'intégration Fetchmail peut être utilisé. Le serveur UCS téléchargera automatiquement les e-mails d'autres fournisseurs et les fournira dans la boîte aux lettres Kopano.
- Les serveurs accessibles au public sont souvent la cible d'attaques automatisées. Si l'accès à SSH dans le pare-feu est autorisé, cet accès doit être limité. Reportez-vous à ce lien pour plus de détails.
- Si le nombre d'utilisateurs augmente, il peut être utile de leur permettre de réinitialiser eux-mêmes leur mot de passe. Pour cela, installez le "Self Service" app depuis l'App Center.
- ownCloud peut être étendu par de nombreux plugins. La "Collabora" est particulièrement utile lorsque vous traitez de nombreux documents. plugin, qui permet d'éditer des fichiers bureautiques directement dans le navigateur.
Conclusion
Si vous avez suivi attentivement ce guide complet (et tous les liens de référence), vous avez maintenant :configuré avec succès un serveur privé avec ownCloud, Kopano et Let's Encrypt sur Univention Corporate Server. Comme vous pouvez le constater, la configuration d'un serveur domestique sur UCS n'est pas si difficile. Il convient également de mentionner que les manuels officiels UCS sont extrêmement bien documentés et offrent une solution très précise et efficace à tous les problèmes possibles.