Wie http*S* erzwingen?

Hallo Gemeinde,

ich habe gerade meinen ersten UC-Server aufgesetzt (wie im anderen Thema zu lesen. Sorry für zwei Themen kurz hinternander, aber sind zwei Themen, ich dachte macht mehr Sinn das zu splitten), und da dieser offen im Internet steht und auch “bekannt” ist (er soll u. a. als Zarafa-Server für meine E-Mail laufen, entsprechend gibts also MX-Einträge im DNS), würde ich ihn gerne soweit wie möglich absichern.

Was mich daher jetzt so auf den ersten Blick stört ist, dass die Management-Konsole sowie Zarafa (und auch Agorum Core, die zweite pp die ich auf dem Server gerne Nutzen würde) über den Browser auch per HTTP erreichbar sind. Wo kann ich am besten Einstellen, dass (im Idealfall) der komplette UCS-Sever garnicht mehr auf HTTP / Port 80 lauscht, sondern nur noch auf HTTPS?

Und vielleicht weiß ja auch jemand hier (ich weiß, ich stelle echt Ansprüche :-)) wie ich auch bei den anderen Zarafa und Agorum Protokollen jeweils SSL erzwingen kann.

Ach ja, bevor ich danke sage, noch der obligatorische Disclaimer: In den Manuals habe ich bis jetzt leider nichts gefunden, bei Tante Google auch nicht.

ALso, vielen Dank schon mal!

Viele Grüße
Marco

Hallo,

eine mögliche Variante wäre meines Erachtens das Verwenden einer .htaccess Datei.

Erst folgende Univention Configuration Registry Variable setzen:

ucr set apache2/allowoverride=All

Dann in /var/www die Datei .htaccess mit folgendem Inhalt erstellen:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Nach einem abschließenden

/etc/init.d/apache2 restart

sollten alle Seitenaufrufe im Browser auf https umgeleitet werden.

Viele Grüße
Ulf Friedel

Hallo,

ich mußte feststellen, daß die von mir genannte Variante nicht für die Weboberflächen von Zarafa und Agorum greift.

Damit dies auch für Zarafa und Agorum funktioniert, muss folgendes in /etc/apache2/httpd.conf

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Das von mir genannte setzen der UCR Variable und das Erstellen der .htaccess Datei können dann entfallen.

Viele Grüße
Ulf Friedel

Super, vielen Dank für die Antwort. Werde ich asap ausprobieren!

Eine Datei /etc/apache2/httpd.conf gibt es bei mir nicht.
Auf dem ganzen Server gibt es keine solche Datei…

jedenfalls gibt mir “find -name httpd.conf” nichts aus.

Hallo,

das ist ein sehr alter Thread der hier ausgegraben wurde. Mittlerweile gibt es eine separate UCR Variable für das Erzwingen von HTTPS: ucr set apache2/force_https=yes, anschließend muss apache2 noch neugestartet werden.

Diesen und weitere Tipps rund um UCS Sicherheit findet man in folgendem Knowledge Base Artikel: UCS and security hardening

Ja, danke! Das habe ich erst kürzlich gefunden und vergessen hier bescheid zu geben. Das Thema ist alt, aber man findet es über Google. Von daher ist es sicher nicht schlecht, dass das hier auch steht!