Host:Intern: Difference between revisions

From Chaosdorf Wiki
m (wheezy)
(orrrrr *entstaub*)
Line 1: Line 1:
{{Host
{{Host
|name=frontend.chaosdorf.de
|name=intern.chaosdorf.de
|os=Debian Wheezy amd64
|os=Debian Wheezy amd64
|location={{H|vm}}
|location={{H|vm}}
|purpose=Interne Dienste (mail, internwiki)
|purpose=Interne Dienste (mail (postfix/postgrey/spampd/dovecot/sympa/roundcube), internwiki, cgit...)
|disk=20G
|disk=20G
|ram=1G
|ram=1G
Line 14: Line 14:
= SSL =
= SSL =


Zertifikat und Key für alle Dienste auf frontend liegen unter /etc/ssl.
Zertifikat und Key für alle Dienste auf intern liegen unter /etc/ssl.


= Website =
= Website =


vhosts liegen in /srv/www, vhost-configs in /etc/apache2/sites-enabled.
vhosts liegen in /srv/www, vhost-configs in /etc/apache2/sites-enabled.
== eh2002.chaosdorf.de ==
Statische EasterHegg-Seite, nichts besonderes.
''Zieht demnächst auf extern um''.


== intern.chaosdorf.de ==
== intern.chaosdorf.de ==
Line 33: Line 27:
* roundcube auf /webmail
* roundcube auf /webmail
* cgit auf /git
* cgit auf /git
 
* sympa auf /sympa
== www.chaosdorf.de ==
 
* HTTP/HTTPS erlaubt
* ikiwiki auf /
* Userdirs auf /~username
* diverse rewrites für Backwards Compatibility
* mit HTTPS: ldap-auth für ikiwiki-editscript
 
''to be deprecated''.


= Wikis =
= Wikis =


Wikis sind in /etc/ikiwiki/wikilist gelistet und können mit
Wikis sind in /etc/ikiwiki/wikilist gelistet und können mit ikiwiki-mass-rebuild automatisch neugebaut werden. Configs liegen ebenfalls in /etc/ikiwiki.
ikiwiki-mass-rebuild automatisch neugebaut werden. Configs liegen ebenfalls
in /etc/ikiwiki.


== wiki ==
== wiki ==
Line 56: Line 39:
* apache2: intern.chaosdorf.de
* apache2: intern.chaosdorf.de
* mit CGI
* mit CGI
= WWW-Userdirs =
Nutzer können sich per SFTP auf frontend einloggen. Wenn sie dort Dateien in
public_html ablegen, sind diese unter <nowiki>https://www.chaosdorf.de/~</nowiki>''user''
erreichbar.
Über /etc/pam.d/sshd wird /usr/local/sbin/addquota ausgeführt, um für neue
User (!= root) einmalig ein Quota zu setzen.


= Git =
= Git =


Webview mit cgit unter <https://intern.chaosdorf.de/git>. SSH-Zugriff über
Webview mit cgit unter <https://intern.chaosdorf.de/git>. SSH-Zugriff über git@chaosdorf.de:''reponame''.
git@chaosdorf.de:''reponame''.


''Demnächst entfernen?''
''Demnächst entfernen?''
Line 75: Line 48:
= Munin =
= Munin =


Läuft alle 5 Minuten per Cron.
Läuft alle 5 Minuten per Cron. HTML-Ausgabe erfolgt direkt nach /srv/www/de.chaosdorf.intern/munin, siehe <https://intern.chaosdorf.de/munin/>.
HTML-Ausgabe erfolgt direkt nach /srv/www/de.chaosdorf.intern/munin, siehe
<https://intern.chaosdorf.de/munin/>.


= Mail =
= Mail =
Line 85: Line 56:
== Postfix ==
== Postfix ==


Die Config ist recht unspektakulär. Spam wird durch SpamPD als content_filter
Die Config ist recht unspektakulär. Spam wird durch SpamPD als content_filter markiert, Postgrey ist als Policy-Daemon eingetragen.
markiert, Postgrey ist als Policy-Daemon eingetragen.


SASL Auth ist an Dovecot gebunden und nur erlaubt, wenn TLS verwendet wird.
SASL Auth ist an Dovecot gebunden und nur erlaubt, wenn TLS verwendet wird. Wir bieten SMTP+STARTTLS an, zusätzlich SMTPS (SSL) und Submission (STARTTLS).
Wir bieten SMTP+STARTTLS an, zusätzlich SMTPS (SSL) und Submission (STARTTLS).


Die Mailboxen sind Maildirs in /var/mail, die dem User vmail gehören. Die
Die Mailboxen sind Maildirs in /srv/mail. Die gültigen User bezieht Postfix über users.ldap aus dem LDAP. Mit forward.ldap werden Mails weitergeleitet, wenn der User ein 'mailRoutingAddress'-Attribut im LDAP-Eintrag hat. intern@ wird via LDAP (ml-intern) und die internal_ok Restriction Class gehandhabt, während die restlichen Mailinglisten über Sympa laufen.
gültigen User bezieht Postfix über ldap_users.cf aus dem LDAP. Mit
ldap_forward.cf werden Mails weitergeleitet, wenn der User ein
'mail'-Attribut im LDAP-Eintrag hat. ldap_groups.cf leitet
''liste''@chaosdorf.de an die Mitglieder der Gruppe ml-''liste'' weiter.


== Dovecot ==
== Dovecot ==

Revision as of 14:13, 5 August 2013

intern.chaosdorf.de
Ort [[Has location::vm]]
Zweck Interne Dienste (mail (postfix/postgrey/spampd/dovecot/sympa/roundcube), internwiki, cgit...)
OS Debian Wheezy amd64
Disks 20G"G" is not declared as a valid unit of measurement for this property.
RAM 1G"G" is not declared as a valid unit of measurement for this property.
Admin-Toolkit No
ssh key path /var/cache/ssh/root
PAM? No
SSH user login? No
Admins byte, derf

SSL

Zertifikat und Key für alle Dienste auf intern liegen unter /etc/ssl.

Website

vhosts liegen in /srv/www, vhost-configs in /etc/apache2/sites-enabled.

intern.chaosdorf.de

  • HTTP-Requests werden auf HTTPS rewritten
  • Userauth via LDAP
  • ikiwiki auf /
  • roundcube auf /webmail
  • cgit auf /git
  • sympa auf /sympa

Wikis

Wikis sind in /etc/ikiwiki/wikilist gelistet und können mit ikiwiki-mass-rebuild automatisch neugebaut werden. Configs liegen ebenfalls in /etc/ikiwiki.

wiki

  • /srv/ikiwiki/wiki ⇒ /srv/www/de.chaosdorf.intern
  • git: wiki
  • apache2: intern.chaosdorf.de
  • mit CGI

Git

Webview mit cgit unter <https://intern.chaosdorf.de/git>. SSH-Zugriff über git@chaosdorf.de:reponame.

Demnächst entfernen?

Munin

Läuft alle 5 Minuten per Cron. HTML-Ausgabe erfolgt direkt nach /srv/www/de.chaosdorf.intern/munin, siehe <https://intern.chaosdorf.de/munin/>.

Mail

Als MTA kommt Postfix zum Einsatz, für POP3S/IMAPS Dovecot.

Postfix

Die Config ist recht unspektakulär. Spam wird durch SpamPD als content_filter markiert, Postgrey ist als Policy-Daemon eingetragen.

SASL Auth ist an Dovecot gebunden und nur erlaubt, wenn TLS verwendet wird. Wir bieten SMTP+STARTTLS an, zusätzlich SMTPS (SSL) und Submission (STARTTLS).

Die Mailboxen sind Maildirs in /srv/mail. Die gültigen User bezieht Postfix über users.ldap aus dem LDAP. Mit forward.ldap werden Mails weitergeleitet, wenn der User ein 'mailRoutingAddress'-Attribut im LDAP-Eintrag hat. intern@ wird via LDAP (ml-intern) und die internal_ok Restriction Class gehandhabt, während die restlichen Mailinglisten über Sympa laufen.

Dovecot

Als passdb verwendet Dovecot PAM, da LDAP dort eingebunden ist. Die userdb ist static auf den User vmail eingestellt.

Da Dovecot vor 1.2 kein STARTTLS enforcen kann, bieten wir nur POP3S und IMAPS an.


MySQL

Für Roundcube.

Raumstatus

Cronjob, alle 7 Minuten. Liest das Munin-RRD-File von figurehead aus und errät anhand der erreichbaren DHCP-Hosts der letzten Stunde, ob der Raum gerade offen oder zu ist. Skript, Output.