UCS Portal Extern abschalten

Wir verwenden UCS Server in Verbindung mit OwnCloud Server. Kann das UCS Portal von extern deaktiviert werden, sodass nur das OwnCloud Portal über https://ExtIP/OwnCloud erreichbar ist? (Oder z.B. https://ExtIP umleiten auf https://ExtIP/OwnCloud)
Und somit das UCS Portal nur vom internen Netzwerk erreichbar?

Hey rg_14,
Eine Umleitung geht einfach:

root@dc1:~# ucr info apache2/startsite
apache2/startsite: univention/
 If the URL of the Apache server is accessed over the IP address or the hostname, a redirect to the UCS startpage is done in the standard setting. This variable allows the configuration of the subpage where the redirect points to.
 Categories: service-apache

In dem Fall also einfach folgendes eingeben:

ucr set apache2/startsite='OwnCloud/'

Ein Abschalten des Management-interfaces ist möglich (das schaltet dann aber gleich das komplette Webinterface ab, nicht nur von extern)

ucr set umc/http/autostart=no
systemctl stop univention-management-console-web-server.service

Gruß Lutz

Funktioniert, danke :-), allerdings musste owncloud/ klein geschrieben werden…

Hallo.

Falls du nicht die komplette UMC deaktivieren möchtest, kannst du auch eine .htaccess Datei anlegen.
Der Inhalt könnte folgendermaßen aussehen:

Order Deny,Allow
Deny from all
Allow from 127.0.0.1 192.168.0.0/24

Die Datei sollte unter /var/www/univention-management-console abgelegt werden mit dem Namen .htaccess.
Den Punkt beim Namen nicht vergessen.

Nach dem Allow from kannst du natürlich dein internes IP Netz konfigurieren. Somit hat von extern niemand mehr Zugriff auf die UMC.

LG Basti

2 Likes

Funktioniert…
geht das auch irgendwie für das erste Übersichtsportal (https://ExtIP/univention)?

Hallo,

kann es sein, dass diese .htaccess Konfigurationen nicht mehr greifen? Mir ist bei meinem Server zufällig aufgefallen, dass ich sehr wohl von außen die Management Console aufrufen kann obwohl ich in der .htaccess nur das interne Netz erlaubt habe!
Hat sich da beim Apache was geändert??

Gruß

Hi @Markus_H

Eigentlich sollte die Methode mit der .htaccess noch klappen. Ich wüsste nicht was dagegenspricht.
Vielleicht hilft dir dieser Beitrag weiter:

Allerdings verwenden wir aktuell nur mehr Apache Konfigurationen.
Siehe hier: How to deny access to /univention portal from internet - #2 by Moritz_Bunkus?

Das klappt bei uns ganz gut und ist auch update persistent.
Probier das einmal aus. Dann sollte der Zugriff von extern auch wieder verweigert werden.

LG Basti

Hi Basti,

danke dir! Ich denke, das hängt mit dem vorgelagerten Reverse Proxy zusammen? Der ist nämlich neu, bisher gingen die Anfragen direkt an das UCS System.
Ich habe es jetzt so gelöst, dass ich am Reverse proxy eine entsprechende Regel beim Zugriff auf das subdirectory gesetzt habe. Damit wird der Zugriff blockiert.

Grüße

Hallo @Markus_H

Wenn ein neuer ReverseProxy davorgeschalten wurde, klingt das für mich, als ob die originale IP Adresse nicht durchgereicht wird.
Wahrscheinlich hatte der Univention Server jetzt immer die Verbindung vom ReverseProxy erhalten und dieser war vermutlich im Allow drin.

Ist jetzt aber nur meine Vermutung.
Das könnte hier helfen:
https://confluence.jaytaala.com/display/TKB/Logging+remote+ip+address+when+using+reverse+proxy

Vielleicht hast du ja mehr Anforderungen, wo es wichtig ist die originale IP in den Logs zu sehen.

LG Basti

Hi Basti,

ja das macht Sinn! Der Reverse kommt ja mit seiner internen IP welche zugreifen darf.
Das muss ich mir noch anschauen, wäre natürlich schon gut wenn die originale IP durchgereicht wird :+1:

Danke dir!

Gruß

Mastodon