Dirk Deimeke, Jahrgang 1968, beschäftigt sich seit 1996 aktiv mit Linux. Zusätzlich zu seinem Engagement für Ubuntu Linux unterstützt er das Projekt "Taskwarrior", eine Aufgabenverwaltung für die Kommandozeile und die Blogsoftware "Serendipity". 2008 in die Schweiz ausgewandert, arbeitet er seit Juni 2014 als Senior System Engineer Unix/Linux für die Bank Vontobel AG. In seiner verbleibenden freien Zeit widmet er sich der eigenen Unternehmung "My own IT - Dirk Deimeke", die im Rahmen einer "digitalen Nachbarschaftshilfe" Privatpersonen und Organisationen darin unterstützt, die Autonomie über ihre eigenen Daten zu behalten. Neben Artikeln in seinem Blog hält er Vorträge und Workshops auf Open-Source-Konferenzen.

Container mit Docker, Automatisierung mit Ansible, Datei-Server und Userverwaltung mit LDAP und Samba

Vorwort ... 33
Über dieses Buch ... 43
1. Der Administrator ... 47

1.1 ... Der Beruf des Systemadministrators ... 47

1.2 ... Nützliche Fähigkeiten und Fertigkeiten ... 54

1.3 ... Das Verhältnis des Administrators zu Normalsterblichen ... 57

1.4 ... Unterbrechungsgesteuertes Arbeiten ... 59

1.5 ... Einordnung der Systemadministration ... 60

1.6 ... Ethischer Verhaltenskodex ... 64

1.7 ... Administration -- eine Lebenseinstellung? ... 65

TEIL I Grundlagen ... 67

2. Der Bootvorgang ... 69

2.1 ... Der Bootloader GRUB 2 ... 69

2.2 ... Bootloader Recovery ... 76

2.3 ... Der Kernel und die initrdignorespaces ... 77

2.4 ... systemd ignorespaces ... 83

3. Festplatten und andere Devices ... 97

3.1 ... RAIDignorespaces ... 97

3.2 ... Rein logisch: Logical Volume Manager (LVM) ... 110

3.3 ... udev ... 133

3.4 ... Alles virtuell? '>/proc' ... 137

4. Dateisysteme ... 145

4.1 ... Dateisysteme: von Bäumen, Journalen und einer Kuh ... 145

4.2 ... Praxis ... 149

4.3 ... Fazit ... 162

5. Berechtigungen ... 163

5.1 ... User, Gruppen und Dateisystemstrukturen ... 163

5.2 ... Dateisystemberechtigungen ... 166

5.3 ... Erweiterte POSIX-ACLs ... 170

5.4 ... Erweiterte Dateisystemattribute ... 179

5.5 ... Quotas ... 181

5.6 ... Pluggable Authentication Modules (PAM) ... 188

5.7 ... Konfiguration von PAM ... 194

5.8 ... ulimit ... 195

5.9 ... Abschlussbemerkung ... 197

TEIL II Aufgaben ... 199

6. Paketmanagement ... 201

6.1 ... Paketverwaltung ... 201

6.2 ... Pakete im Eigenbau ... 206

6.3 ... Updates nur einmal laden: Cache ... 219

6.4 ... Alles meins: Mirror ... 224

7. Backup und Recovery ... 237

7.1 ... Backup gleich Disaster Recovery? ... 237

7.2 ... Backupstrategien ... 238

7.3 ... Datensicherung mit tar ... 241

7.4 ... Datensynchronisation mit rsync ... 243

7.5 ... Imagesicherung mit dd ignorespaces ... 250

7.6 ... Disaster Recovery mit ReaR ... 255

TEIL III Dienste ... 269

8. Webserver ... 271

8.1 ... Apache ... 271

8.2 ... nginx ... 289

8.3 ... PHP ... 294

8.4 ... Fortgeschrittene TLS-Konfiguration und Sicherheitsfunktionen ... 301

9. FTP-Server ... 307

9.1 ... Einstieg ... 307

9.2 ... Download-Server ... 308

9.3 ... Zugriff von Usern auf ihre Homeverzeichnisse ... 310

9.4 ... FTP über SSL (FTPS) ... 311

9.5 ... Anbindung an LDAP ... 313

10. Mailserver ... 315

10.1 ... Postfix ... 315

10.2 ... POP3/IMAP-Server mit Dovecot ... 335

10.3 ... Anti-Spam/Anti-Virus mit Rspamd ... 348

10.4 ... Monitoring und Logfile-Auswertung ... 370

11. Datenbank ... 371

11.1 ... MariaDB in der Praxis ... 371

11.2 ... Tuning ... 384

11.3 ... Backup und Point-In-Time-Recovery ... 394

12. Syslog ... 397

12.1 ... Der Aufbau von Syslog-Nachrichten ... 397

12.2 ... systemd mit journalctl ... 399

12.3 ... Der Klassiker: Syslogd ... 408

12.4 ... Syslog-ng ... 410

12.5 ... Rsyslog ... 416

12.6 ... Loggen über das Netz ... 418

12.7 ... Syslog in eine Datenbank schreiben ... 420

12.8 ... Fazit ... 423

13. Proxy-Server ... 425

13.1 ... Einführung des Stellvertreters ... 425

13.2 ... Proxys in Zeiten des Breitbandinternets ... 426

13.3 ... Herangehensweisen und Vorüberlegungen ... 427

13.4 ... Grundkonfiguration ... 427

13.5 ... Authentifizierung ... 440

13.6 ... Log-Auswertung: Calamaris und Sarg ... 455

13.7 ... Unsichtbar: transparent proxy ... 458

13.8 ... Ab in den Pool -- Verzögerung mit delay_pools ... 459

13.9 ... Familienbetrieb: Sibling, Parent und Co. ... 462

13.10 ... Cache-Konfiguration ... 466

14. Kerberos ... 471

14.1 ... Begriffe im Zusammenhang mit Kerberos ... 472

14.2 ... Die Funktionsweise von Kerberos ... 472

14.3 ... Installation und Konfiguration des Kerberos-Servers ... 473

14.4 ... Initialisierung und Testen des Kerberos-Servers ... 481

14.5 ... Kerberos und PAM ... 487

14.6 ... Neue Benutzer mit Kerberos-Principal anlegen ... 489

14.7 ... Hosts und Dienste ... 490

14.8 ... Konfiguration des Kerberos-Clients ... 494

14.9 ... Replikation des Kerberos-Servers ... 496

14.10 ... Kerberos-Policies ... 504

14.11 ... Kerberos in LDAP einbinden ... 507

14.12 ... Neue Benutzer in den LDAP-Baum aufnehmen ... 526

14.13 ... Authentifizierung am LDAP-Server über 'GSSAPI' ... 527

14.14 ... Konfiguration des LAM Pro ... 533

15. Samba 4 ... 537

15.1 ... Vorüberlegungen ... 537

15.2 ... Konfiguration von Samba 4 als Domaincontroller ... 538

15.3 ... Testen des Domaincontrollers ... 546

15.4 ... Benutzer- und Gruppenverwaltung ... 552

15.5 ... Benutzer- und Gruppenverwaltung über die Kommandozeile ... 553

15.6 ... Die Remote Server Administration Tools (RSAT) ... 564

15.7 ... Gruppenrichtlinien ... 567

15.8 ... Linux-Clients in der Domäne ... 577

15.9 ... Zusätzliche Server in der Domäne ... 588

15.10 ... Die Replikation der Freigabe 'sysvol' einrichten ... 602

15.11 ... Was geht noch mit Samba 4? ... 607

16. NFS ... 609

16.1 ... Unterschiede zwischen NFSv3 und NFSv4 ... 609

16.2 ... Funktionsweise von NFSv4 ... 610

16.3 ... Einrichten des NFSv4-Servers ... 611

16.4 ... Konfiguration des NFSv4-Clients ... 616

16.5 ... Konfiguration des idmapd ... 617

16.6 ... Optimierung von NFSv4 ... 619

16.7 ... NFSv4 und Firewalls ... 621

16.8 ... NFS und Kerberos ... 622

17. LDAP ... 629

17.1 ... Einige Grundlagen zu LDAP ... 630

17.2 ... Zu den hier verwendeten Distributionen ... 638

17.3 ... Installation der Symas-Pakete ... 639

17.4 ... Die Verbindung zum LDAP-Server über TLS absichern ... 656

17.5 ... Einrichtung des sssd ... 660

17.6 ... Grafische Werkzeuge für die LDAP-Verwaltung ... 666

17.7 ... Änderungen mit 'ldapmodify' ... 667

17.8 ... Absichern des LDAP-Baums mit ACLs ... 669

17.9 ... Grundlegende ACLs ... 673

17.10 ... Der neue LDAP-Admin ... 676

17.11 ... Absichern der Passwörter ... 678

17.12 ... ACLs mit regulären Ausdrücken ... 679

17.13 ... Filter zur Suche im LDAP-Baum ... 685

17.14 ... Verwendung von Overlays ... 690

17.15 ... Replikation des DIT ... 696

17.16 ... Weiterleitungen für den Mailserver Postfix ... 712

17.17 ... Benutzerauthentifizierung von Dovecot über LDAP ... 714

17.18 ... Benutzerauthentifizierung am Proxy Squid über LDAP ... 717

17.19 ... Benutzerauthentifizierung am Webserver Apache über LDAP ... 720

17.20 ... Und was geht sonst noch alles mit LDAP? ... 723

18. Druckserver ... 725

18.1 ... CUPS administrieren ... 726

18.2 ... Policies ... 731

18.3 ... Drucker und Klassen einrichten und verwalten ... 736

18.4 ... Druckerquotas ... 739

18.5 ... CUPS über die Kommandozeile ... 740

18.6 ... PPD-Dateien ... 743

18.7 ... Noch mehr Druck ... 744

TEIL IV Infrastruktur ... 745

19. Hochverfügbarkeit ... 747

19.1 ... Das Beispiel-Setup ... 747

19.2 ... Installation ... 748

19.3 ... Einfache Vorarbeiten ... 749

19.4 ... Shared Storage mit DRBD ... 749

19.5 ... Grundkonfiguration der Clusterkomponenten ... 755

19.6 ... Dienste hochverfügbar machen ... 762

20. Virtualisierung ... 775

20.1 ... Einleitung ... 775

20.2 ... Für den Sysadmin ... 776

20.3 ... Servervirtualisierung ... 780

20.4 ... Netzwerkgrundlagen ... 784

20.5 ... Management und Installation ... 785

20.6 ... Umzugsunternehmen: Live Migration ... 802

21. Containervirtualisierung mit Docker und Podman ... 805

21.1 ... Einführung, Installation und Grundlagen für den Betrieb ... 805

21.2 ... Management von Images und Containern ... 815

21.3 ... Docker-Networking ... 832

21.4 ... Containerdaten...