Owncloud in DMZ

german

#1

Hallo,

ich habe ein Verständnisproblem zu Owncloud und Univention. Ich kann OC in UCS per App-Store installieren, aber dann läuft OC auf dem Hauptserver im internen Netz. Der Webserver steht in einer DMZ, und dort gehört Owncloud m.E. auch hin, da ich ja von außerhalb darauf zugreifen will.
Ist es möglich, auch die DMZ über den Eintrag der Netzwerkadresse im UCS “zu betreuen”? Netzadresse und auch Domänenname sind natürlich anders als die des LAN. Ein Join kann daher wohl nicht erfolgen. Andererseits ließe sich dann der Webserver als z.B. Member-Server realisieren und OC dort hineininstallieren. Am liebsten mit Anbindung an die Benutzerverwaltung.
Ich bezweifle, dass das geht, aber wer weiß? Vielleicht kann mich diesbezüglich jemand aufklären.

Gruß - swimmer


#2

Hallo,

grundsätzlich können Sie auch einen UCS in einer DMZ betreiben. In der Wiki gibt es dazu eine grundsätzliche Betrachtung. [wiki]UCS_in_the_DMZ[/wiki].
Für den erfolgreichen Join wäre es zunächst wichtig, dass der Master erreichbar ist. Dazu gibt es Hinweise in der SDB: Auf welche TCP/UDP-Ports des UCS Masters müssen andere UCS-System zugreifen können?.
Auf ein solches System können Sie dann ownCloud über das App Center installieren and haben somit die Vorteile der zentralen Benutzerverwaltung.

Viele Grüße,
Dirk Ahrnke


#3

Hallo Herr Ahrnke,

ich hatte nun endlich Zeit, einmal den Weg zu versuchen, den Sie beschrieben haben. Der UCS Member Server konnte auch in der DMZ installiert werden und der UCS-Domain beitreten. Wenn ich aber versuche, Owncloud auf diesem Member Server zu installieren, kommt die Fehlermeldung, eine Verbindung zum UCS Master sei nicht moeglich. Wozu wird da welche Verbindung hergestellt und ueber welchen Port?
Irgendwelche Ideen?

Gruss
Ralph Sikau


#4

Hallo,

LDAP und DNS scheiden nach meinem Verständnis aus, da ja Join geklappt hat, vorausgesetzt am Firewall hat sich in der Zwischenzeit nichts geändert.

Es ist aber klar, daß das OwnCloud Paket Veränderungen am Master vornehmen muß, evtl. Schema erweitern oder anderes. Der Mechanismus ist mir nicht klar, ich würde aber vermuten, daß einiges davon über den Standard LDAP Kanal nicht gehen kann. Aus der langen Liste der bereits zitierten SDB-Artikels würde ich zuerst mal nach Port 6670 (UMC) schauen. Ich glaube mich auch an Zugriffe per SSH zu erinnern, aber laut dieser Tabelle wurde dies nur bis UCS 3.0 genutzt.

Mein Weg wäre wahrscheinlich, auf dem Firewall mitzulesen, was abgewiesen wird.

Grüße
Frank Greif.


#5

Hallo!

[quote=“greif”]Mein Weg wäre wahrscheinlich, auf dem Firewall mitzulesen, was abgewiesen wird.
[/quote]
Ja, na klar! Auf die Idee hätte ich auch selbst kommen können. Danke für den “Tritt”.
Es war übrigens Port 443, der noch freigeschaltet werden musste.

Grüße
Ralph Sikau