Write a lot of SRV-DOC

SRV-DOC-Inhalt.tex

@@ -56,27 +56,48 @@ Anschließend wird der OpenSSH-Dienst aktiviert und gestartet.
 
 \paragraph{sudo}
 Das IT-Team arbeitet mit passwortbasierten SSH-Sitzungen unter dem Benutzer \texttt{root}.
-Damit in der Übergangsphase auf dem Server Anpassungen auch ohne Kenntnis des \texttt{root}-Passworts durchgeführt werden können
+Damit in der Übergangsphase auf dem Server Anpassungen auch ohne Kenntnis des \texttt{root}-Passworts durchgeführt werden können, wird ein lokaler Benutzer eingerichtet.
 \begin{lstlisting}
 # apt-get install sudo
 # adduser jpt
 # gpasswd -a jpt sudo
 \end{lstlisting}
+Nach erfolgreicher Übergabe des Servers an das IT-Team kann dieser Benutzer wieder entfernt werden.
 
-
-\paragraph{Hostname}
-\texttt{/etc/hostname} und \texttt{/etc/hosts} anpassen
-
+\paragraph{apt}
+Um in der DMZ weiterhin Updates einspielen zu können, wird der vom IT-Team zur Verfügung gestellte Proxyserver in die Konfiguration von \texttt{apt} eingetragen.
 \begin{lstlisting}
+# echo 'Acquire::http::Proxy "http://proxy.inform.hs-hannover.de:3128";'
+	> /etc/apt/apt.conf.d/80proxy
+\end{lstlisting}
+Das IT-Team stellt Debian-Pakete zur Verfügung, mit die Grundkonfiguration des Servers an die Vorgaben des IT-Teams angepasst werden kann.
+Um diese Pakete zu installieren, werden die Paketquellen des IT-Teams konfiguriert:
+\begin{lstlisting}
+# echo "deb http://http.edu.inform.hs-hannover.de/depot/debian/stretch/ Packages/"
+	> /etc/apt/sources.list.d/inform.list
+\end{lstlisting}
+Als nächstes wird der GPG-Key importiert, mit dem die Pakete signiert sind:
+\begin{lstlisting}
+# wget -O repositoryKeyFile http://http.edu.inform.hs-hannover.de/repository/repositoryKeyFile
+# apt-key add repositoryKeyFile
+\end{lstlisting}
+Anschließend können die Pakete über \texttt{apt-get} installiert werden
+\begin{lstlisting}
+# apt-get update
+# apt-get install f4-i-srv-config-all-*
+\end{lstlisting}
 
-# cat /etc/apt/sources.list.d/inform.list
-deb http:/http.edu.inform.hs-hannover.de/depot/debian/stretch/Packages /
+\paragraph{Netzwerkkonfiguration}
+Als nächstes werden die IP-Adressen der Maschine und des Dienstes in \texttt{/etc/network/interfaces} konfiguriert.
+Die IP-Adressen der Maschine werden direkt für die Netzwerkkarte des Servers konfiguriert.
 
-# cat /etc/apt/apt.conf.d/80proxy
-Acquire::http::Proxy "http://proxy.inform.hs-hannover.de:3128";
+Die IP-Adressen für den VPN-Dienst werden als Alias konfiguriert.
+Durch die Verwendung des Alias ist ein manueller Failover im Betrieb möglich, indem das Alias-Interface dem defekten Server deaktiviert wird und auf einem bereitstehenden Server aktiviert wird.
+Effektiv \enquote{wandert} die Dienst-IP somit vom defekten Server auf den bereitstehenden Server.
+Benutzer des VPN-Dienst bekommen abgesehen von einer Verbindungsunterbrechung nichts von dem defekten Server mit.
 
-# cat /etc/network/interfaces
-[...]
+Die resultierende Konfiguration für die IP-Adressen der Maschine sieht so aus:
+\begin{lstlisting}
 auto eno1
 allow-hotplug eno1
 
@@ -87,50 +108,41 @@ iface eno1 inet static
 iface eno1 inet6 static
 	address 2001:638:614:1780::131/64
 	gateway 201:638:614:1780::1
-
-#- virtual service interface
+\end{lstlisting}
+Die Konfiguration des Alias sieht so aus:
+\begin{lstlisting}
+#- virtual service alias
 iface eno1:0 inet static
 	address 141.71.38.7/24
 	gateway 141.71.38.1
 iface eno1:0 inet6 static
 	address 2001:638:614:1780::7/64
 	gateway 201:638:614:1780::1
-
-# cat /etc/sysctl.d/04-enable-ipv4-forwarding.conf
-net.ipv4.conf.all.forwarding = 1
-
-# cat /etc/sysctl.d/04-enable-ipv4-forwarding.conf
-net.ipv6.conf.all.forwarding = 1
 \end{lstlisting}
 
-
-\paragraph{Netzwerkkonfiguration}
-IP-Adressen (physisch und für den Dienst)
-Forwarding für IPv4 und IPv6 aktivieren
-
-\paragraph{}
-APT via Proxy proxy.inform.hs-hannover.de:3128
-Zusätzliches Repository
+\paragraph{IP-Forwarding einschalten}
+Da die Benutzer des VPN in der Lage sein sollen, das Netzwerk der Abteilung Informatik zu erreichen, muss IP-Forwarding auf dem VPN-Server aktiviert werden:
 \begin{lstlisting}
-wget -O repositoryKeyFile http://http.edu.inform.hs-hannover.de/repository/repositoryKeyFile
-apt-key add repositoryKeyFile
+# echo "net.ipv4.conf.all.forwarding = 1" > /etc/sysctl.d/04-enable-ipv4-forwarding.conf
+# echo "net.ipv6.conf.all.forwarding = 1" > /etc/sysctl.d/06-enable-ipv6-forwarding.conf
 \end{lstlisting}
-
-\paragraph{Zusätzliche Pakete installieren}
-Es werden noch Pakete des IT-Teams installiert, die bestimmte Komponenten mit einer einheitlichen Konfiguration versorgen.
-\begin{lstlisting}
-apt-get install F4-I-SRV-Config-ALL-*
-\end{lstlisting}
-
+Über \texttt{sysctl -p} werden die vorgenommenen Einstellungen aktiviert.
 
 \paragraph{OpenVPN}
-apt-get install openvpn
-\dots
+Nun wird OpenVPN installiert und konfiguriert.
+\begin{lstlisting}
+# apt-get install openvpn
+\end{lstlisting}
+
 Zertifikate beantragen und 
+
 Konfiguration einspielen
-\dots
-systemctl enable openvpn@TODO.service
-systemctl start openvpn@TODO.service
+
+Nun wird der OpenVPN-Dienst aktiviert und gestartet.
+\begin{lstlisting}
+# systemctl enable openvpn@vpnserver.service
+# systemctl start openvpn@vpnserver.service
+\end{lstlisting}
 
 \paragraph{iptables}
 Zugriffe aus dem VPN in die DMZ sind verboten