Alle Beiträge von Don Matteo

lebt in der Schweiz, ist System Engineer MCP bei A-Enterprise GmbH. Mitglied des UNBLOG Network. Author und Blogger zu den Themen, Linux und Open Source. Tutorials für Windows, VMware, Synology, Fortinet.

Network Time Protocol Linux Installation

Linux Systemzeit Synchronisation mit Network Time Protocol (NTP)

Network Time Protocol – NTP Synchronisation der Systemzeit mit der Atomzeit der NTP-Server. Dieser Beitrag zeigt die NTP-Service Bereitstellung und Konfiguration in der Linux Befehlszeile. Eine korrekte Systemzeit ist für Computersysteme essentiell und schafft überhaupt die Voraussetzung für ein reibungslosen Beitrieb der interagierenden Dienste. Zur Überprüfung und ändern der Systemzeit dienen folgende Befehlszeilentools.

Zur Abfrage der aktuellen Systemzeit mit date und timedatectl:

Der Zeitabgleich auf einem Server wird von einem NTP-Daemon ausgeführt, mit Synchronisation der Systemzeit für eine ordnungsgemässe Funktion der Systeme. Die Atomzeit kann von NTP-Server im Internet synchronisiert werden, wie zum Beispiel Google Public Network Time Protocol (NTP) time.google.com

Die NTP-Daemon Bereitstellung

Der NTP-Daemon auf Debian Linux basiertem System Installieren:

Der NTP-Daemon auf RHEL/CentOS/Fedora System Installieren:

NTP Pool Server pool.ntp.org versucht den nächstgelegenen verfügbaren Server zu finden. Das Projekt NTP-Pool ist ein dynamischer Pool von Zeitservern. Die NTP Pool Server kann man in /etc/ntp.conf editieren.

Bevor der ntpd-Dienst gestartet werden kann, muss die Systemzeit grob (im Bereich weniger Minuten) eingestellt werden. Das kann manuell mit date oder hier mit timedatectl set-time oder über den NTP Pool mit ntpdate pool.ntp.org gemacht werden.

Nach einigen Minuten kann der Status des Dienstes abgerufen werden. Die Ausgabe des Kommandos ntpq -p sollte in etwa wie folgt aussehen.

Der bereitgestellte NTP-Daemon nun ausführen und in systemd für den automatischen start verlinken:

Die systemd-timesyncd Konfiguration

Der Service systemd-timesyncd ist bei vielen Distributionen bereits installliert. Die Konfigurationsdateien steuern die Zeitsynchronisation des NTP-Netzwerks.

Die Network Time Synchronization für den Service systemd-timesyncd beinhaltet die Datei /etc/systemd/timesyncd.conf

Die Konfigurationsdatei timesyncd.conf kann wie folgt sein.

Damit systemd-timesyncd automatisch gestartet wird, aktiviert der Befehl enable den Service entsprechend:

Bei einem systemd-basierten System führt man folgenden Befehl aus, um den Servicestatus zu überprüfen:

Die Ausgabe auf Zeile 7 und 8 bedeutet, dass der Zeitabgleich nicht ausgeführt wird. Mit folgendem Befehl wird die Synchronisation aktiviert:

Der NTP Servicestatus erneut abfragen, nach einigen Sekunden zeigt die Ausgabe System clock synchronized: yes und NTP service: active:

Die Kerberos-Authentifizierung

Die Kerberos-Authentifizierung ist gegenwärtig die Standard-Authentifizierungstechnologie unter Windows, auch Apple macOS, FreeBSD und Linux Systeme nutzen Kerberos-Implementierungen. Bei der Authentifizierung in einer Umgebung mit Kerberos, kommt eine synchrone Systemzeit für interagierende System eine fundamentale Bedeutung zu.

Da Kerberos drei Entitäten für die Authentifizierung verlangt, die Ticket-Autorisierung durch eine dritte Partei, darf die Systemzeit eine bestimmte Drift Limite nicht überschreiten, ein Ticket das durch Kerberos erstellt wird, ist nach einer gewissen Zeit abgelaufen, das Ticket wird ungültig.

Kerberos ist auch für Websites und SSO-Implementierungen plattformübergreifend zum Standard geworden. In Active Directory Domain Services (AD DS), ist bei der Integration von NAS und anderen Geräte, für den Zugriff auf Netzwerkressourcen für eine übereinstimmende Systemzeit zu sorgen. Für die Protokollierung wie Syslog ist die präzise Zeit, der Timestamp für die Auswertung der Ereignisse, und bei der Fehler Analyse bedeutend.

Linux Mint 20 Cinnamon: apt install ntp ntpdate

Linux Zeitzone in Console Festlegen

Zeitzone ändern bei RHEL/CentOS und Fedora

Dieser Beitrag zeigt die Abfrage und das festlegen der Zeitzone in der Befehlszeile bei RHEL/CentOS 8 und Fedora 30. Eine korrekte Systemzeit ist für Computersysteme essentiell und schafft überhaupt die Voraussetzung für ein reibungslosen Beitrieb der interagierenden Dienste. Zur Überprüfung und Bearbeitung der Zeitzoneneinstellung dient das Befehlszeilentool timedatectl.

Hier die Zeitzoneneinstellung Abfrage ohne zusätzliche Argumente:

Die Zeitzoneneinstellung ändern und festlegen:

Abfragen der geänderten Zeitzoneneinstellung:

Die verfügbaren Zeitzonen mit folgendem Command ausgeben:

Da es viele Zeitzonen gibt, wird die Abfrage sehr lange, mit grep die Abfrage eingegrenzt:

OpenVPN Client Installation

Die OpenVPN Installation auf Windows, macOS und Linux

VPN (Virtual Privat Network) erfreut sich einer immer breiteren Nutzung. OpenVPN ist eine freie Anwendung zum Aufbau eines Virtuellen Privaten Netzwerkes über eine verschlüsselte TLS-Verbindung. Der vermehrt beliebte OpenVPN Client ermöglicht VPN Verbindungen, um beispielsweise bei arbeiten im Home-Office, oder mit einer Privat Cloud von überall auf seine Daten zugreifen zu können. In diesem Beitrag wird die Client Bereitstellung und der Einsatz von OpenVPN gezeigt. OpenVPN ist kostenlos für zahlreiche Betriebssysteme verfügbar, neben Windows gibt es ein Client für macOS, wowie für iOS, Linux und Android Geräte.

So wird’s gemacht

Inhalt

OpenVPN Client Windows Installation

OpenVPN für Windows kann von der Community Webseite hier heruntergeladen werden, bei Windows 10 wird mit Doppelklick auf OpenVPN-2.5.0-I601-amd64.msi das Setup gestartet.

Mit Customize geht es durch den Setup-Assistenten für die angepasste Installation, da wir nur die Client Komponenten benötigen, selektieren wir die Auswahl.

Mit Install Now und anschliessendem klick auf OK bei der Windows Kontensteuerung die Installation starten.

Der komplette OpenVPN Setup Ablauf wie folgt.

Mit Close den Setup-Assistent abschliessen und OpenVPN starten.

OpenVPN starten

Ein Blick in die Taskleiste zeigt nun das OpenVPN Symbol

OVPN Datei beim Client importieren

Der OpenVPN Access Server gibt es für Windows, Linux und FreeBSD, dazu gibt es in zunehmender Anzahl Geräte die als OpenVPN Server genutzt werden, wie solche auf pfSense und OPNsense oder OpenWrt, von kommerziellen Hersteller wie Sophos vormals Astaro oder Synology NAS und weitere mehr.

Die zuvor beim VPN Server oder Router exportierte Datei mit der Konfiguration für den Client, wie beispielsweise openvpn.zip wird entpackt, es werden für gewöhnlich die Dateien ca.crt, README.txt und VPNConfig.ovpn extrahiert.

  Die Konfigurationsdatei hier in diesem Beispiel VPNConfig.ovpn kann ein anderen Dateiname haben.

Die Datei VPNConfig.ovpn muss in der Regel editiert werden, dazu öffnet man diese in Notepad und ändert bei YOUR_SERVER_IP mit der Public IP Adresse des VPN Routers, oder der Firewall auf dieser das NAT mapping zum VPN terminierenden Gateway ist.

Nach speichern von VPNConfig.ovpn wird die Konfiguration importiert.

Mit Rechtsklick über dem Icon im Systemtry öffnet sich das Kontextmenü, aus diesem man Datei importieren wählt.

Abbildung: OpenVPN Verbindung importieren

Tip! Wenn man die Datei VPNConfig.ovpn umbenennt zB. Home-Office.ovpn, erscheint im Kontextmenü Verbinden der entsprechende Name als Ziel.

Mit Verbinden aus dem Kontextmenü wird man zur Eingabe von Benutzer und Passwort aufgefordert, es ist dies der Benutzer auf dem VPN Router, oder bei verwendung der LDAP authentifizierung die des Servers. Mit einer Zertifikat Ausstellung für die Verbindung, ist ein Benutzer Login auth-user-pass nicht erforderlich, anstelle kommt remote-cert-tls server zum Einsatz.

Abbildung: OpenVPN Verbindung

Bei erfolgreicher Verbindung erscheint das OpenVPN Symbol grün.

OpenVPN Connect macOS Installation

OpenVPN Connect v3 Client für macOS ist ein vollständiges Installationsprogramm für macOS, nach der Installation kann die ovpn-Datei importiert werden, für eine OpenVPN Connect Verbindung zu einem Access Server. Wenn das heruntergeladene OpenVPN Connect v3 for macOS hier auf einem Mac installiert wird, auf dem OpenVPN Connect v3 bereits installiert und konfiguriert ist, wird auf die neue Version aktualisiert, wobei alle Einstellungen beibehalten werden.

Die OVPN-Datei importieren bei macOS Catalina.

OpenVPN Client Linux Installation

Mit der Standard Installation ist OpenVPN in der Regel zusammen mit den Netzwerk-Verbindungstools bereits installiert, in diesem Fall kann man direkt zu OVPN-Konfigurationsdatei importieren gehen. Am einfachsten ist der OpenVPN Client unter Verwendung der Standard Repository bereitzustellen, bei Red Hat basierten Linux Distribution wie Fedora oder CentOS, werden hierfür die folgenden Befehle als root ausgeführt:

Den OpenVPN Client bei Debian und Ubuntu basierten Distributionen wie folgt installieren:

Ausführen des OpenVPN-Clients mit der von VPN Router heruntergeladenen Konfigurationsdatei-ovpn, unter verwendung des Argument -config, um die Konfigurationsdatei zu übergeben:

  Die Konfigurationsdatei in diesem Beispiel VPNConfig.ovpn kann ein anderen Dateiname haben. Wenn man die Datei VPNConfig.ovpn umbenennt zB. Office-Bern.ovpn, erscheint im Kontextmenü Verbinden der entsprechende Name als Ziel.

Ebenfalls kann die Verbindung über ein GUI Client hergestellt werden, hierzu das OpenVPN GUI aus der Shell installieren:

OVPN-Konfigurationsdatei importieren

Nun kann durch ein Klick auf das Netzwerksymbol – VPN Verbindungen – VPN konfigurieren der Verbindungsmanager aufgerufen werden.

Abbildung: OpenVPN GUI Ubuntu

Mit einem Klick auf HinzufügenGespeicherte VPN-Konfiguration importieren – Erstellt man eine neue VPN Verbindung. Im nächsten Schritt importieren wir die zuvor heruntergeladene Konfigurationsdatei VPNConfig.ovpn. Die Verbindung kann nun aus der Taskleiste gestartet werden.

Bei Linux Mint mit Cinnamon desktop klickt man in der Taskleiste auf das Netzwerk Icon und geht auf Netzwerkeinstellungen.

Auf + klicken um eine neue Netzwerkverbindung zu erstellen.

Gespeicherte VPN-Konfiguration importieren aus der Datei VPNConfig.ovpn. Nach eingabe von Benutzer und Passwort kann die gespeicherte Verbindung in der Taskleiste gestartet werden.

Die OVPN-Datei importieren über den Network Manger von Linux Mint Cinnamon Desktop.