Univention Corporate Server als Groupware-Server für externe Mitarbeiter

Gebloggt:Univention Management Console absichern

| Redakteur: Thomas Drilling

Drillings Open-Source-Eck
Drillings Open-Source-Eck (Bild: Thomas Drilling)

Hier ein kleiner Tipp, der sich im Zusammenhang mit einem Kunden beim Betrieb eines Univention Corporate Server als Mailserver und Groupware-Server ergeben hat. Das Thema ist nicht spezifisch für Univention Corporate Server, sondern betrifft allgemein die sichere Konfiguration eines Webservers, lässt sich also für nahezu jeden Apache-basierten Webserver, der Anwendungen nach „innen“ (Intranet“ und „außen“ zur Verfügung stellen soll, anwenden.

Bei meinem Kunden ist es so, dass dieser Univention Corporate Server als Mailserver bzw. zusammen mit Zarafa als Grouware-Server nutzt. Das ist ein typisches Einsatzszenario für UCS bei kleinen Unternehmen, von denen derzeit sehr viele von Microsoft Small Business Server auf UCS migrieren, weil Microsoft unter anderem den Support für MS Exchange 2003 eingestellt hat. Der SBS wurde ja mit der Version 2011 bekanntlich ebenfalls eingestellt. Die Kombination UCS+Zarafa bietet für kleine Unternehmen mit begrenztem Budget den Vorteil, einen MS-SBS transparent ersetzen zu können, einschließlich ActiveSync-Support. UCS kann aber noch mehr und sogar sämtliche MS-Dienste übernehmen, in dem er als Domain Controller fungiert, aber das gehört jetzt nicht hier her. Meinem Kunden ging es primär um ActiveSync und Groupware-Access aus dem Internet.

Hier sollte UCS so konfiguriert werden, dass die Mailserver und Groupware-Funktionen einschließlich Active Sync für externe Mitarbeiter aus dem Internet erreichbar sind, was sich via Port-Forwarding auf dem Router für 80 und 443 relativ einfach lösen lässt (HTTP sollte man übrigens besser ganz verbieten), nicht aber die Weboberfläche zur Administration (Univention Management Console). Zwar sollte die Berechtigungssteuerung eine unberechtigten Zugriff auf diese unterbinden, sicherer ist es aber allemal, wenn die UMC über das Internet gar nicht erst sichtbar, bzw. erreichbar ist. Konfiguriert wird das System nur aus dem lokalen Netz.

Dies kann man bei allen ähnlichen Szenarien, es gibt ja nicht nur UCS als webbasierten Linux-Allround-Server mit Groupware-Komponente, mit virtuellen Apache-Hosts (vhosts) und einer einfachen .htacess-Datei lösen. Dazu muss man lediglich eine passende .htacess-Datei im Verzeichnis des vhosts oder in das Unterverzeichnis der UMC unter /var/www/univention-management-console erzeugen. In der ist dann geregelt, dass alle Zugriffe die von „außen“, also vom Router aus kommen, geblockt werden.

Order Deny,Allow'
Allow from <lokales Netz> (z.B. 192.160.2.0/24)
Deny from <Router> (z.B. 192.168.2.254)
Deny from all

Das gleiche macht man besser auch für das Verzeichnis /var/www/ucs-overview, dann tritt das UCS-Management-Interface nach außen gar nicht mehr in Erscheinung.