Wir verwenden UCS Server in Verbindung mit OwnCloud Server. Kann das UCS Portal von extern deaktiviert werden, sodass nur das OwnCloud Portal über https://ExtIP/OwnCloud erreichbar ist? (Oder z.B. https://ExtIP umleiten auf https://ExtIP/OwnCloud)
Und somit das UCS Portal nur vom internen Netzwerk erreichbar?
Hey rg_14,
Eine Umleitung geht einfach:
root@dc1:~# ucr info apache2/startsite
apache2/startsite: univention/
If the URL of the Apache server is accessed over the IP address or the hostname, a redirect to the UCS startpage is done in the standard setting. This variable allows the configuration of the subpage where the redirect points to.
Categories: service-apache
In dem Fall also einfach folgendes eingeben:
ucr set apache2/startsite='OwnCloud/'
Ein Abschalten des Management-interfaces ist möglich (das schaltet dann aber gleich das komplette Webinterface ab, nicht nur von extern)
ucr set umc/http/autostart=no
systemctl stop univention-management-console-web-server.service
Gruß Lutz
Funktioniert, danke :-), allerdings musste owncloud/ klein geschrieben werden…
Hallo.
Falls du nicht die komplette UMC deaktivieren möchtest, kannst du auch eine .htaccess Datei anlegen.
Der Inhalt könnte folgendermaßen aussehen:
Order Deny,Allow
Deny from all
Allow from 127.0.0.1 192.168.0.0/24
Die Datei sollte unter /var/www/univention-management-console abgelegt werden mit dem Namen .htaccess.
Den Punkt beim Namen nicht vergessen.
Nach dem Allow from kannst du natürlich dein internes IP Netz konfigurieren. Somit hat von extern niemand mehr Zugriff auf die UMC.
LG Basti
2 Likes
Hallo,
kann es sein, dass diese .htaccess Konfigurationen nicht mehr greifen? Mir ist bei meinem Server zufällig aufgefallen, dass ich sehr wohl von außen die Management Console aufrufen kann obwohl ich in der .htaccess nur das interne Netz erlaubt habe!
Hat sich da beim Apache was geändert??
Gruß
Hi @Markus_H
Eigentlich sollte die Methode mit der .htaccess noch klappen. Ich wüsste nicht was dagegenspricht.
Vielleicht hilft dir dieser Beitrag weiter:
Allerdings verwenden wir aktuell nur mehr Apache Konfigurationen.
Siehe hier: How to deny access to /univention portal from internet - #2 by Moritz_Bunkus?
Das klappt bei uns ganz gut und ist auch update persistent.
Probier das einmal aus. Dann sollte der Zugriff von extern auch wieder verweigert werden.
LG Basti
Hi Basti,
danke dir! Ich denke, das hängt mit dem vorgelagerten Reverse Proxy zusammen? Der ist nämlich neu, bisher gingen die Anfragen direkt an das UCS System.
Ich habe es jetzt so gelöst, dass ich am Reverse proxy eine entsprechende Regel beim Zugriff auf das subdirectory gesetzt habe. Damit wird der Zugriff blockiert.
Grüße
Hallo @Markus_H
Wenn ein neuer ReverseProxy davorgeschalten wurde, klingt das für mich, als ob die originale IP Adresse nicht durchgereicht wird.
Wahrscheinlich hatte der Univention Server jetzt immer die Verbindung vom ReverseProxy erhalten und dieser war vermutlich im Allow drin.
Ist jetzt aber nur meine Vermutung.
Das könnte hier helfen:
https://confluence.jaytaala.com/display/TKB/Logging+remote+ip+address+when+using+reverse+proxy
Vielleicht hast du ja mehr Anforderungen, wo es wichtig ist die originale IP in den Logs zu sehen.
LG Basti
Hi Basti,
ja das macht Sinn! Der Reverse kommt ja mit seiner internen IP welche zugreifen darf.
Das muss ich mir noch anschauen, wäre natürlich schon gut wenn die originale IP durchgereicht wird 
Danke dir!
Gruß