Die diesjährige FrOSCon nutzen wir als Release-Datum für die neue Version des invis-Servers. Wir haben uns mit der Veröffentlichung dieser Version viel Zeit gelassen, entsprechend viel hat sich geändert.
Im Einzelnen:
Netzwerke
Auch wenn es überrascht, erst mit Version 11.0 können invis-Server Setup wie auch das invis-Portal neben privaten Klasse C, auch mit privaten Klasse B Netzen (172.16.0.0 bis 172.31.255.255) fehlerfrei umgehen. Damit können invis-Server auch in größeren Netzwerken ihre Arbeit verrichten, als sie in der anvisierten Zielgruppe eigentlich vorzufinden sind.
Zertifikatsverwaltung
Ab Version 11.0 nutzen invis-Server die Software easy-rsa in Version 3 zur Verwaltung von Schlüsseln und Zertifikaten. Damit ändert sich einiges grundlegend. Zunächst machen wir Schluss mit 2 verschiedenen Zertifizierungsstellen (CA) auf dem invis-Server. Bisher war es so, dass für OpenVPN eine eigene CA aufgebaut und, parallel zur CA für Web-, LDAP- und Mail-Dienste, betrieben wurde. Weiterhin wurden Zertifikate und Schlüssel nachdem sie ihr Lebensende erreicht hatten vollständig neu generiert. Ab jetzt können die Zertifikate auf Basis Ihrer Signing-Requests erneuert werden. Möglich ist es jetzt auch mit einfachen Mitteln VPN-Client Zertifikate zurückzuziehen (revoke). Alle Aufgaben zur Verwaltung von Schlüsseln und Zertifikaten werden jetzt mit nur einem einfachen Tool „inviscerts„ durchgeführt.
Die Umstellung der Zertifikatsverwaltung macht ein automatisches Upgrade eines invis-Servers der 10.x Versionen leider unmöglich. Bei einem Upgrade muss die gesamte „Privat Key Infrastrukture“ (PKI) des Servers händisch neu aufgebaut werden. Eine entsprechende Anleitung ist im Wiki des Projekts zu finden.
LDAP Zugriffe
Vor ein paar Monaten haben die Samba Entwickler mit einer Sicherheitsaktualisierung einen verschlüsselten oder durch Kerberos authentifizierten LDAP Zugriff erzwungen. Bisher haben wir dies durch die Samba-Konfigurationszeile „ldap server require strong auth = no“ umgangen. Mit Version 11.0 haben wir alle Dienste so umgestellt, dass wir den erhöhten Sicherheitsanforderungen seitens Samba gerecht werden.
Mailkontenverwaltung
Unsere deutlich in die Jahre gekommene Software „CorNAz“, mit der Anwender selbst Ihre externen Email-Konten verwalten können, haben wir einer Generalüberholung unterzogen. „CorNAz“ wurde modularisiert, was langfristig eine Integration von CorNAz in das invis-Portal ermöglicht. Weiterhin pflegt CorNAz jetzt auch die Mail-Attribute „mail“ und „othermailbox“ der Benutzerkonten im Active Directory mit. Dies vereinfacht den Umgang mit Email-Addressen gerade in Verbindung mit Groupware-Systemen wie Zarafa deutlich.
Groupware
Unverändert bleibt Kopano (ehemals Zarafa) die bevorzugte Groupware des invis-Servers. Da Kopano aber sicherlich nicht allen Einsatzszenarien einer Groupware gerecht werden kann, hatten wir beim invis-Classic Group-e als Alternative im Portfolio. Leider war Group-e nicht kompatibel zum Active Directory. Die Hoffnung dass sich das ändert wurde im Frühsommer 2016 leider zerschlagen. Endo7, die Group-e Entwickler aus Bozen teilten uns mit, dass die Group-e Entwicklung eingestellt wurde. Die Suche nach einer adäquaten Alternative endete bei Tine 2.0. Wir haben Tine 2.0 jetzt soweit integriert, dass sich damit experimentieren lässt. Ein Produktiveinsatz wäre allerdings noch verfrüht.
Sonstiges
Neben reichlich Bugfixes, wie zum Beispiel, dass invis-Server ihre interne Netzwerkschnittstelle jetzt auch wieder ohne angeschlossenes Netzwerkkabel aktivieren, sind ein paar kleinere Erweiterungen hinzugekommen.
Erwähnenswert wäre, dass das invis-Portal jetzt auch über den lokalen Namen des Servers verschlüsselt erreichbar ist. Dies vereinfacht die Anbindung der neuen Kopano DeskApp an einen invis-Server deutlich. Weiterhin steht Active-Sync im lokalen Netz jetzt auch unverschlüsselt über Port 80 zur Verfügung, ein Zugeständnis an eine einfache Outlook-Anbindung an Kopano via Active-Sync.
Mit dem „pwsettings“ haben wir ein neues Script in die invis-Toolbox aufgenommen mit dem auf einfachem Wege die Passwort-Einstellungen des Active-Directories an die eigenen Anforderungen angepasst werden können.
Alles in Allem sollte das die neue Major-Release Nummer rechtfertigen. Auf der FrOSCon sind alle Neuerungen zu bestaunen.
Stefan