Kopano Installation auf Basis von Univention
Kopano Installation auf einem vServer
Die Installation von Kopano ist auf Basis des Univention Corporate Servers recht schnell erledigt. Benötigt wird ein vServer und das Installationsimage von UCS.
vServer bei netcup kaufen
Sie ordern diesen vServer bei Netcup. Meine Empfehlung ist 12 Monate im voraus zu bezahlen, dann wird es günstiger.
Wenn Sie einen 5,00 € Neukundengutschein benötigen, sprechen Sie mich an!
Mit 2GB RAM, 40GB Speicher im RAID10 hat das System genug Power für einen kleinen Univention Kopano Server.
Installation Kopano auf dem netcup vServer
Nachdem der vServer fertig eingerichtet ist, erhält man eine entsprechende E-Mail. Anschließend meldet man sich im Servercontrolpanel von Netcup an.
Unter dem Punkt Medien im linken Menü findet man ganz am Ende die Zugangsdaten zum FTP Server. Diesen FTP Server benutzen Sie um die Installations ISO Datei von Univention hochzuladen. Mit dieser ISO kann der Univention Server dann installiert werden.
Sie verbinden sich also mit den FTP Zugangsdaten (IP, Benutzername und Passwort) auf den Netcup FTP Server. Dort finden Sie dann das Verzeichnis cdrom. Hier muss die ISO Datei abgelegt werden. Sie können hierfür z.B. das Programm WinSCP benutzen. Dort legen Sie ein FTP Profil an.
Sobald der Upload fertig gestellt ist, wählt man das UCS Image unter Medien, DVD-Laufwerk, Eigene DVDs aus und setzt den Bootmodus auf DVD. Das Servercontrolpanel Passwort ist einzugeben und die Einstellungen dann zu speichern. Danach ist die DVD auf dem vServer eingelegt.
Anschließend starten Sie den vServer über das Servercontrolpanel neu. Die Installation von UCS wird dann von der DVD gestartet.
Wählen Sie die normale Installation mit LVM, komplette Festplatte. Die IP Konfiguration per DHCP funktioniert bei netcup ohne weitere Änderungen. Installieren Sie UCS als Master Domänencontroller.
Über das Servercontrolpanel entfernen Sie das UCS Image aus dem DVD Laufwerk und starten den vServer neu.
Nach dem Neustart melden Sie sich an UCS an. Installieren Sie danach den UCS Lizenzschlüssel, den man Ihnen per E-Mail mitgeteilt hat.
Anschließend installieren Sie die Kopano Module – Kopano Core, Kopano WebApp, Kopano WebMeetings, Z-Push für Kopano.
Reverse DNS Eintrag
Für Ihren neuen vServer bei Netcup haben Sie eine IPv4 Adresse erhalten. Da UCS als Mailserver fungiert, sollte man einen Reverse DNS Eintrag setzen. Dies wird im CCP von Netcup unter dem Punkt rDNs erledigt. Hat Ihr UCS bei der Installation z.B. mail.ihredomain.de als Name erhalten, setzen Sie den Reverse DNS Eintrag genau auf diesen Namen.
SPF Eintrag für den Mailserver
Dafür einfach einen TXT Record im DNS anlegen mit dem Wert
v=spf1 a mx ~all
DMARC Eintrag für den Mailserver
Als Präfix verwendet man:
_dmarc
Der Wert lautet:
v=DMARC1; p=none; rua=mailto:xxx@mydomain.de;
Let’s encrypt Zertifikat Installation für Univention
Über die Konsole habe ich für einen frisch aufgesetzen UCS dieses hier ausgeführt:
apt-get install git
mkdir /opt/letsencrypt
cd opt
git clone https://github.com/letsencrypt/letsencrypt
/etc/init.d/apache2 stop
ucr set repository/online/unmaintained=true
/opt/letsencrypt/letsencrypt-auto
/opt/letsencrypt/letsencrypt-auto certonly -d your.domain.tld
Den temporären Webserver mit Auswahl 2 nutzen, E-mail Adresse angeben.
/etc/init.d/apache 2 start
Dann über die UCS Oberfläche die UCS Variablen setzen:
apache2/ssl/ca = /etc/letsencrypt/live/your.domain.tld/chain.pem
apache2/ssl/certificate = /etc/letsencrypt/live/your.domain.tld/cert.pem
apache2/ssl/key = /etc/letsencrypt/live/your.domain.tld/privkey.pem/etc/init.d/appache2 stop
/etc/init.d/appache2 startucr set repository/online/unmaintained=false
Autoerneuerung Let’s encrypt mit Script
nano /etc/cron.weekly/renw_ssl_letsencrypt
In die Datei kommt das Script.
#!/bin/bash
/etc/init.d/apache2 stop
/opt/letsencrypt/letsencrypt-auto renew
/etc/init.d/apache2 start
Strg + X, Speichern, Fertig.
Let’s encrypt Zertifikate auch für Postfix MTA
Über die Univention Configuration Registry setzt man folgende Parameter:
/mail/postfix/ssl/cafile = /etc/letsencrypt/live/my.domain.tld/chain.pem
/mail/postfix/ssl/certificate = /etc/letsencrypt/live/my.domain.tld/cert.pem
/mail/postfix/ssl/key = /etc/letsencrypt/live/my.domain.tld/privkey.pem
Postfix neu starten
/etc/init.d/postfix restart
Testen können Sie die Funktion z.B. einmal hier.
SSH Zugang absichern zum Schutz vor unbefugten Zugriffen
Es ist dringend anzuraten, den SSH Port des Univention / Kopano Server zu ändern.
Sie ändern dazu in der Univention Configuration Registry (UCR) den Port in der Variable sshd/port von 22 auf einen von Ihnen gewählten und passenden Port.
Anschließend muss die Firewall von Univention angepasst werden. xxxxx steht nachfolgend für den von Ihnen gewählten neuen Port.
Sie können dies wie folgt tun:
ucr unset security/packetfilter/package/univention-base-files/tcp/22/all
ucr set security/packetfilter/package/univention-base-files/tcp/xxxxx/all=ACCEPT
ucr unset security/packetfilter/package/univention-base-files/tcp/22/all/en
ucr set security/packetfilter/package/univention-base-files/tcp/xxxxx/all/en=SSH
Ich habe danach den Server neu gestartet. Es reicht aber auch:
invoke-rc.d ssh restart
invoke-rc.d univention-firewall restart
Guten Tag Herr Reichert,
vielen Dank für den tollen Artikel und Ihr Engagement! Ich wollte Sie gerne darauf hinweisen, dass Univention vor kurzem auch eine eigene Cool Solution mitsamt Paket zu Let’s Encrypt veröffentlicht hat:
http://wiki.univention.com/index.php?title=Cool_Solutions_-_Let%27s_Encrypt
Dies vereinfacht die Installation und Konfiguration noch einmal deutlich.
Viele Grüße!