1 CRANIX-Cloud-Server

Das CRANIX-Cloud Modul ermöglicht einen sicheren Zugriff auf den CRANIX-Fileserver über das Internet. Das CRANIX-Cloud Modul bietet seine Dienste über einen WebDAV Server an, dadurch kann dieser mit jeden WebDAV-Client erreicht werden. Im Gegensatz zu anderen WebDAV-Server läuft jedoch der CRANIX-Cloud-Server mit den Rechten des angemeldeten Benutzers. Dadurch wird erreicht, dass man mit Hilfe des CRANIX-Cloud Modules über das Internet genau den selben Zugriff auf den CRANIX-Fileserver hat, wie mit einem normalen Arbeitsplatzrechner der an CRANIX angebunden ist. Nachdem Sie das Modul CRANIX-Cloud erworben haben, müssen Sie den CRANIX-Server neu registrieren und das Paket cranix-cloud installieren:

  # /usr/share/cranix/tools/register.sh
  # zypper install cranix-cloud

Nun ist der CRANIX-Cloud-Server einsatzbereit und kann jeder über den URL https://[cranix.dns.name]/user mit einem WebDAV-Client auf den CRANIX-Fileserver zugreifen. Um die Sicherheit bzw. Vertrauenswürdigkeit des Servers zu erhöhen empfehlen wir ein offizielles Zertifikat für den CRANIX-Webserver zu installieren. Wollen Sie mit dem Windows-Filebrowser zugreifen, müssen Sie ein offizielles Zertifikat verwenden, da dieser keine selbst signierte Zertifikate akzeptiert. Sinnvoll ist weiterhin für diesen Zweck einen separaten DNS-Namen zBp. cloud.[DNS-Domainname] zu verwenden und eine eigene VirtualHost im Webserver definieren. Im folgenden finden Sie eine Beispielkonfiguration:

/etc/apache2/vhosts.d/cloud_include.conf
<VirtualHost *:443>
       ServerAdmin     admin@DOMAINNAME
       ServerName      cloud.DOMAINNAME
       ErrorLog        /var/log/apache2/cloud-error_log
       TransferLog     /var/log/apache2/cloud-access_log
       ProxyRequests     Off
       ProxyPass          /user http://127.0.0.1:1080/user/
       ProxyPassReverse   /user http://127.0.0.1:1080/user/
       SSLEngine on
       SSLProtocol All -SSLv2 -SSLv3
       SSLCertificateFile      /etc/letsencrypt/live/cloud.DOMAINNAME/fullchain.pem
       SSLCertificateKeyFile   /etc/letsencrypt/live/cloud.DOMAINNAME/privkey.pem
       SSLVerifyClient         none
       SSLVerifyDepth          5
 </VirtualHost>

1.1 Zugriff auf den CRANIX-Cloud-Server

Wie schon erwähnt, kann man auf den CRANIX-Cloud-Server mit jeden beliebigen WebDAV-Client zugreifen. Hier sehen Sie, wie sie von uns getesteten Clients einrichten können:

• WebDAV Nav für IOS.
  • Name Einen Namen der Verbindung geben. (zBp. CRANIX)
  • Server-Adresse Hier tragen Sie die URL zu Ihrem CRANIX-Cloud-Server ein: https://[dns-name]/user
• Windows Dateibrowser. Funktioniert nur mit offiziellem Zertifikat.
  • Rechte Maustaste auf Netzwerk -> "Netzwerklaufwerk verbinden..."
  • Laufwerk: Wählen Sie ein Laufwerk aus unter dem Sie auf den CRANIX-Cloud-Server zugreifen möchten.
  • Ordner: Hier tragen Sie die URL zu Ihrem CRANIX-Cloud-Server ein: https://[dns-name]/user
  • Verbindung bei Anmeldung wiederherstellen sollte wegen der Sicherheit nicht aktiviert sein.
  • Verbindung mit anderen Anmeldeinformationen herstellen muss aktiviert sein.
  • Fertig stellen
  • Nun werden Sie nach Ihrem Benutzernamen und Passwort auf dem CRANIX-Server gefragt.
• SyberDuck
  • WebDAV (HTTPS) wählen
  • Server: Den DNS-Namen des Server eintragen. Ohne https:// am Anfang und /user am Ende.
  • Port: 443
  • Benutzername: und Passwort: eintragen.
  • Erweiterte Optionen öffnen
  • Path user
• Finder von MacOSX. Sie können mit Finder von MacOSX auch auf den CRANIX-Cloud-Server zugreifen.
  • Um zu verhindern, dass MacOS die DS_store Dateien überall ablegt, muss man permanent für alle Netzwerklaufwerke und Verbindungen dies deaktivieren. Das ist äußerst wichtig, da man sonst in den gemeinsamen Ordnern wie ALL und die Gruppenverzeichnisse Zugriffsprobleme bekommt. Das geschieht in folgenden Schritten:
    • Terminal öffnen, und geben Sie folgenden Befehl ein:
    • defaults write com.apple.desktopservices DSDontWriteNetworkStores true
    • Return drücken.
    • Sich ab und anmelden.
  • Anschließend können Sie eine Verbindung mit dem Findern zum CRANIX-Cloud-Server aufbauen:
  • Finder öffnen
  • Menüpunkt Gehe zu
  • Mit Server verbinden

• Beispiel.jpg

  Beschreibung1

• Beispiel.jpg

  Beschreibung2

2 Das VPN-Modul

Mit dem VPN-Modul kann man einen gesicherten Zugang zu allen Geräten ins Schul/Firmennetz personalisiert gewähren.

2.1 Vorbereitung

Das VPN-Modul wird von uns installiert und soweit vorkonfiguriert, dass Sie direkt einsteigen können. Sollten Sie eine Domäne bzw. eine feste IP-Adresse besitzen, teilen Sie uns diese bitte VOR der Konfiguration mit, da Sie ansonsten eine Subdomäne von uns bekommen, Bsp: ngb-musterschule.cephalix.eu.

 Wichtig
 Sie müssen den Port 1194/UDP des Routers auf Port 1194/UDP des CRANIX-Servers weiterleiten. 
 Sowie Port 444/TCP des CRANIX muss auf einem Port ihrer Wahl auch zur Verfügung gestellt werden, damit die Benutzer die nötigen Dateien vom CRANIX-Server außerhalb des Schul/Firmennetzes herunterladen können

2.2 CRANIX einrichten

Nach der Konfiguration durch uns müssen Sie festlegen, welche Benutzer einen VPN-Zugang bekommen. Da Rechte im CRANIX über Gruppenzugehörigkeiten vergeben werden, müssen Sie nichts weiter tun, als die gewünschten Benutzer in die Gruppe VPNUSERS aufzunehmen. Navigieren Sie hierfür in den Menüpunkt Gruppen und suchen sich die VPNUSERS.

Sie könne entweder über den Stift Bearbeiten oder über den Gruppennamen die Gruppe bearbeiten.
Wählen Sie nun die Benutzer aus und fügen Sie über "+" der Gruppe hinzu.

• 

  Gruppe Übersicht

• 

  Gefilterte Ansicht

• 

  Erfolgreich hinzugefügt

Über die Gruppe können Sie die VPN-Zugänge steuern. Das bedeutet auch, dass ein Benutzer, der aus den VPNUSERS entfernt wurde, keine Verbindung mehr zum Cranix herstellen kann.

2.3 VPN-Client herunterladen

Der CRANIX bietet Ihnen die Möglichkeit, die für die VPN-Verbindung benötigte Software und Konfigurations-Datei in nur wenigen Schritten herunterzuladen. Hierfür müssen Sie sich nur an der Cranixoberfläche anmelden. In Ihrem Schulnetzwerk navigieren Sie wie gewohnt auf https://admin. Außerhalb des Schulnetzes müssen Sie auf die von uns eingerichtete Domäne gehen (https://musterkürzel.cephalix.eu:40444). Nach der Anmeldung befinden Sie sich auf Ihrer Profilseite. Wenn Sie Mitglied der VPNUSERS sind, haben Sie Zugriff auf die VPN-Schaltfläche.

• 

  Ohne VPN

• 

  Mit VPN

Auf der VPN Schaltfläche müssen Sie zuerst das gewünschte Betriebsystem auswählen. Im Anschluss können Sie sich den VPN-Client (OpenVPN bzw. Tunnelblick für OSX) und Ihre persönliche Konfiguration herunterladen.

2.4 VPN-Client installieren

2.4.1 Windows

Installieren Sie zuerst den OpenVPN-client "openvpn-install-Win10.exe" und im Anschluss die Konfiguration: "oss-vpn-installer-MUSTER-NAME-varkolyt.exe". Die Konfiguration ist die Datei, welche Ihren Benutzernamen im Namen enthält. Starten Sie beide Installationen jeweils über Rechtsklick -> "Als Administrator ausführen".

• OpenVPN Client Installation
• 

  Schritt 1

• 

  Schritt 2

• 

  Schritt 3

• 

  Schritt 4

• 

  Schritt 5

• 

  Abschluss

• OpenVPN Konfigurations Installation
• 

  Sicherheitswarnung von Win10 -> "Weitere informationen"

• 

  "Trotzdem ausführen"

• 

  Nicht verändern!

• 

  Konfiguration wurde kopiert

2.5 Verbindung aufbauen

2.5.1 Windows

Nach der erfolgreichen Installation befindet sich die Verknüpfung zu OpenVPN auf ihrem Desktop.

Starten Sie den Client über Rechtsklick -> Als Administrator ausführen.

 Wichtig 
 Sie müssen den Client "Als Administrator ausführen", da sonst die Namensauflösung im VPN-Netzwerk nicht korrekt funktionieren kann.

Sobald der Client läuft erscheint im Systray das Programm-Icon des OpenVPN. Durch einen Rechtsklick öffnen Sie das Programmmenü und können über "Verbinden" die VPN-Verbindung in Ihre Schule aufbauen.

• 

  OpenVPN

• 

  Verbinden

Sobald Sie auf "Verbinden" geklickt haben, wird die Verbindung aufgebaut, und es öffnet sich eine Fenster, in dem Sie nach Ihrem Benutzernamen und Passwort gefragt werden. Verwenden Sie hierfür Ihren Benutzernamen und Passwort aus der Schule.

• 

  Anmelden

• 

  Erfolgreiche Anmeldung

Um nun auf ihr Homeverzeichnis zugreifen zu können, geben sie im Datei-Explorer \\admin\<<BENUTERNAME>> ein und bestätigen Sie mit Enter. Im Anschluss werden Sie aufgefordert Ihre Zugangsdaten anzugeben. Geben Sie hier Ihre Zugangsdaten vom Cranix ein. Sobald Sie verbunden sind, sehen Sie ihr Homeverzeichnis (Z:).

• 

  Homeverzeichnis

• 

  Anmeldung Datenzugriff

3 Microsoft/Office 365

Das cranix-ms365 Modul bietet die Möglichkeit, die Mitglieder ausgewählter primären Benutzergruppen eines CRANIX Servers mit einer Microsoft 365 Domäne zu synchronisieren. Dabei werden folgende Aktionen auf der Administrationsoberfläche des CRANIX-Servers mit der Microsoft 365 Domäne synchronisiert:

• Anlegen von Benutzern -> Benutzername, Passwort nach und Vorname sowie Mitgliedschaft in der primären Gruppe werden beim Anlegen in die Microsoft 365 Domäne synchronisiert.
• Löschen von Benutzern
• Bearbeiten von Benutzern
• Änderung der Gruppenmitgliedschaft von Benutzern
• Änderung des Passwortes von Benutzern
• Import von Benutzerlisten
• Anlegen von Gruppen -> Name und Beschreibung werden beim Anlegen in die Microsoft 365 Domäne synchronisiert.
• Löschen von Gruppen
• Bearbeiten von Gruppen
• Änderung von Mitglieder der Gruppen

Wichtig Bitte beachten Sie, dass die Änderung des Passwortes an einem Windows-Client nicht mit der Microsoft 365 Domäne synchronisiert werden kann. Auch kann die Änderung des Passwortes auf der Microsoft 365 nicht mit dem CRANIX-Server synchronisiert werden. Deshalb ist es wichtig, dass, nach der Installation des cranix-ms365 Modules, die Benutzer Ihre Passwörter ausschließlich über die Administrationsoberfläche des CRANIX-Servers ändern.

Die Einrichtung der Synchronisation erfolgt durch unsere Mitarbeitern. Dazu brauchen wir die Zugangsdaten des Hauptadministrators zu Ihrer Microsoft 365 Domäne. Nach der Einrichtung der Synchronisation werden die vorhandene Benutzer in die Domäne Synchronisiert. Dabei bekommt jeder Benutzer ein zufälliges oder bestimmtes Passwort in der Microsoft 365 Domäne. Anschließen werden die o.g. Aktionen in Hintergrund durchgeführt und Sie müssen eigentlich nichts beachten, außer dass einige Synchronisierungsprozesse nicht sofort in der Microsoft 365 Domäne sichtbar sind.

Die Konfiguration der Synchronisation samt Zugangsdaten werden in die Datei /opt/cranix-ms365/config gespeichert. Diese Datei ist nur vom Benutzer root lesbar und kann aus Sicherheitsgründen nur von der Konsole bearbeitet werden. Die Datei enthält folgende Variablen:

• OFFICE_DOMAIN Ihre Microsoft 365 Domäne.
• DOMAIN_TEACHERS Die Microsoft 365 Domäne für Lehrer, wenn diese nicht identisch ist mit der OFFICE_DOMAIN.
• DOMAIN_STUDENTS Die Microsoft 365 Domäne für Schüler, wenn diese nicht identisch ist mit der OFFICE_DOMAIN.
• Die Lizenzen von Microsoft 365 bestimmen, welche Anwendungen für einen Benutzer zur Verfügung stehen. Deshalb kann man die Lizenzen gruppenweise Angeben: LICENCE_<GROUPNAME>. Folgende Variablen sind schon in der Konfigurationsdatei vorhanden: LICENCE_TEACHERS und LICENCE_STUDENTS.
• ROLES_TO_SYNCHRONIZE Hier wird festgelegt, welche Benutzer mit der Microsoft 365 Domäne synchronisiert werden. Es mach zBp. wenig Sinn die Workstationsbenutzer zu synchronisieren.
• Allgemeine Angaben zum Institut:
  • COUNTRY Das Land
  • COUNTRYISO Das ISO-Code des Landes (DE)
  • STATE Das Bundesland
  • CITY Die Stadt
  • POSTALCODE Postleitzahl
• SYNC_PASSWORD Bei Bedarf kann man die Synchronisierung der Passwörter der Benutzer mit der Microsoft 365 Domäne abstellen. In diesem Fall müssen die Benutzer ihre Passwörter auf der Microsoft 365 Domäne separat pflegen.
• CREATE_PDF Ist diese Variable auf yes gesetzt, werden für den Systemadministratoren für neu angelegten Benutzer PDF-Dateien generiert.
• CREATE_WELCOME_LETTER Ist diese Variable auf yes gesetzt, wird für alle neu angelegten Benutzer bzw. bei der Erstsynchronisation in das Homeverzeichnis des Benutzers ein Brief mit dem Microsoft 365 Domäne Zugangsdaten erstellt.
• SECRET Secret zur Tokengeneirerung
• TENANT_ID Das Tenant-ID der Microsoft 365 Domäne.
• CLIENT_ID Das Client-ID des cranix-ms365 Modules.