summaryrefslogtreecommitdiff
diff options
context:
space:
mode:
authorIkiWiki <ikiwiki.info>2021-04-07 17:19:20 +0200
committerIkiWiki <ikiwiki.info>2021-04-07 17:19:20 +0200
commite73739f19406cb3cd15c0f4b9ac1f9d5cb56d2ce (patch)
treed6522d34adce4daddf9cbb507ab61d2996031674
parent4b688c3ac391af1b6dcb832f517e50325f63dd68 (diff)
parentb466cb3d91313cb8f80a901557a3f413bcb3e6d0 (diff)
Merge branch 'master' of /var/lib/gitolite3/repositories/wiki.starship-factory.ch
-rw-r--r--Infrastruktur/Cloud-Server.mdwn308
1 files changed, 227 insertions, 81 deletions
diff --git a/Infrastruktur/Cloud-Server.mdwn b/Infrastruktur/Cloud-Server.mdwn
index 8fe9391b..cadc113f 100644
--- a/Infrastruktur/Cloud-Server.mdwn
+++ b/Infrastruktur/Cloud-Server.mdwn
@@ -4,10 +4,11 @@ Der Cloud-Server dient zum Austausch von Dateien und Informationen zwischen den
Der Cloud-Server wurde von Bernd Kalbfuss (aka Langweiler) eingerichtet. Er wird aktuell von den folgenden Personen administriert:
-| Name | Spitzname | E-Mail |
-| -------------- | ---------- | ------------------------- |
-| Bernd Kalbfuss | Langweiler | langweiler@rueblitorte.de |
-| Fabian Thoma | | f@bianthoma.me |
+| Name | Spitzname | E-Mail |
+| --------------- | ---------- | ------------------------- |
+| Bernd Kalbfuss | Langweiler | langweiler@rueblitorte.de |
+| Fabian Thoma | | f@bianthoma.me |
+| Cedric Spindler | | cedric.spindler@gmail.com |
## Hardware
@@ -28,7 +29,7 @@ Der Cloud-Server läuft auf einem HP ProLiant ML110-Server der vermutlich 5. Gen
| Capabilities | lm fpu fpu_exception wp vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ht tm pbe syscall nx x86-64 constant_tsc arch_perfmon pebs bts rep_good nopl cpuid aperfmperf pni dtes64 monitor ds_cpl smx est tm2 ssse3 cx16 xtpr pdcm lahf_lm pti dtherm cpufreq |
| Configuration | cores=2 enabledcores=2 threads=2 |
-Der Server ist insgesamt 4 GB (2 x 2GB) RAM bestückt. Es handelt sich um SDR2 EEC RAM mit 800 MHz Taktfrequenz.
+Der Server ist insgesamt 6 GB (2 x 2GB, 2 x 1 GB) RAM bestückt. Es handelt sich um SDR2 ECC RAM mit 800 MHz Taktfrequenz.
Der Server ist mit den folgenden Laufwerken (Festplatten mit Magnetspeicher) ausgestattet:
@@ -41,17 +42,21 @@ Der Server ist mit den folgenden Laufwerken (Festplatten mit Magnetspeicher) aus
## Netzeinbindung
-Der Server ist über eine Gigabit-Ethernetschnittstelle mit dem lokalen Netz der Starship Factory verbunden.
+Der Server ist über eine Gigabit-Ethernetschnittstelle mit dem lokalen Netz der Starship Factory verbunden. Der primäre Hostname ist ***cloud.lab.starship-factory.ch***. Es sind die folgenden DNS-Einträge gesetzt:
-Der primäre Hostname ist "cloud.lab.starship-factory.ch". Es sind die folgenden DNS-Einträge gesetzt:
+| Netzwerk | Hostnamen | IPv4 | Bemerkung |
+| -------- | ------------------------------------------------------------ | ------------- | ---------------------------- |
+| LAN | cloud.lab.starship-factory.ch<br />ldab.lab.starship-factory.ch | 100.64.1.200 | Interne Adresses des Servers |
+| WAN | cloud.lab.starship-factory.ch<br />ldap.lap.starship-factory.ch | 5.226.148.123 | Externe Adresse des Routers |
-| Netzwerk | Hostname | IPv4 | Bemerkung |
-| -------- | ----------------------------- | ------------- | ---------------------------- |
-| LAN | cloud.lab.starship-factory.ch | 100.64.1.200 | Interne Adresses des Servers |
-| WAN | cloud.lab.starship-factory.ch | 5.226.148.123 | Externe Adresse des Routers |
+Auf dem WAN-Router sind für IPv4 die folgenden Port-Weiterleitungen eingerichtet:
-Die Ports 80 (http) und 443 (https) des Routers werden auf die entsprechenden Ports des Servers weitergeleitet.
+| Dienst | Port WAN-Router | Port Cloud-Server |
+| ------ | --------------- | ----------------- |
+| http | 80 | 80 |
+| https | 443 | 443 |
+| ssh | 49160 | 22 |
## Grundkonfiguration
@@ -74,21 +79,20 @@ Die Laufwerke sind wie folgt partitioniert und in das Dateisystem eingebunden:
| | | md0p2 | / | |
| 3 | sdd | md1 | /srv/dev-disk-by-id-md-name-debian-1 | RAID0 device |
-Die RAID-Speicher sind als Soft-Raids mittels md konfiguriert. Der Bootloader Grub ist im MBR des Laufwerks sda installiert. Er ist so konfiguriert, dass er aus der Partition sda1 bootet.
+Die RAID-Speicher sind als Soft-Raids mittels *md* konfiguriert. Der Bootloader *Grub* ist im MBR des Laufwerks *sda* installiert. Er ist so konfiguriert, dass er aus der Partition *sda1* bootet.
-### Betriebssystem
-Als Betriebssystem kommt GNU/Linux zum Einsatz. Als Distribution wird OpenMediaVault, welches auf Debian basiert.
+### Betriebssystem
-Die Web-Konfigurationsoberfläche von OpenMediaVault ist über die folgenden Adressen zu erreichen:
+Als Betriebssystem kommt *GNU/Linux* zum Einsatz. Als Distribution wird [OpenMediaVault](https://www.openmediavault.org/), welches auf *Debian* basiert, verwendet. Die Web-Konfigurationsoberfläche von *OpenMediaVault* ist über die folgenden Adressen zu erreichen:
| Protokoll | URL |
| --------- | --------------------- |
| http | http://<host\>:5000/ |
| https | https://<host\>:5001/ |
-Die Anmeldung erfolgt mittels des Benutzers *admin* oder einem anderen zuvor angelegten Benutzerkontos.
+Die Anfrage via *http* wird automatisch auf *https* umgeleitet. Die Anmeldung erfolgt mittels des Benutzers *admin* oder einem anderen zuvor angelegten Benutzerkontos.
Das Verzeichnis */var/lib/docker/volumes* wurde mittels eines symbolischen Links vom Wurzeldateisystem auf *md0p2* in das Verzeichnis */srv/dev-disk-by-id-md-name-debian-1/docker/volumes* auf der grösseren Datenpartition *md1* verlagert.
@@ -96,81 +100,111 @@ Das Verzeichnis */var/lib/docker/volumes* wurde mittels eines symbolischen Links
Um die Sicherheit zu erhöhen, wurde die *Uncomplicated Firewall (ufw)* installiert und aktiviert. Die *default policy* ist *deny*. Die folgenden Ports wurden für den externen Zugriff explizit freigegeben:
- To Action From
- -- ------ ----
- 22/tcp ALLOW Anywhere
- 80/tcp ALLOW Anywhere
- 443/tcp ALLOW Anywhere
- Samba ALLOW Anywhere
- 21/tcp ALLOW Anywhere
- 115/tcp ALLOW Anywhere
- 5001 ALLOW Anywhere
- 5000 ALLOW Anywhere
- 389 ALLOW 172.0.0.0/8
- 8091 ALLOW Anywhere
- 22/tcp (v6) ALLOW Anywhere (v6)
- 80/tcp (v6) ALLOW Anywhere (v6)
- 443/tcp (v6) ALLOW Anywhere (v6)
- Samba (v6) ALLOW Anywhere (v6)
- 21/tcp (v6) ALLOW Anywhere (v6)
- 115/tcp (v6) ALLOW Anywhere (v6)
- 5001 (v6) ALLOW Anywhere (v6)
- 5000 (v6) ALLOW Anywhere (v6)
- 8091 (v6) ALLOW Anywhere (v6)
-
-Weiterhin wurde das Paket *fail2ban* installiert, um *brute force*-Angriffen vorzubeugen.
-
-Die Möglichkeit der Anmeldung von *root* mittels *SSH* wurde deaktiviert.
+```3
+To Action From
+-- ------ ----
+22/tcp ALLOW Anywhere
+80/tcp ALLOW Anywhere
+443/tcp ALLOW Anywhere
+Samba ALLOW Anywhere
+21/tcp ALLOW Anywhere
+115/tcp ALLOW Anywhere
+5001 ALLOW Anywhere
+5000 ALLOW Anywhere
+389 ALLOW 172.0.0.0/8
+22/tcp (v6) ALLOW Anywhere (v6)
+80/tcp (v6) ALLOW Anywhere (v6)
+443/tcp (v6) ALLOW Anywhere (v6)
+Samba (v6) ALLOW Anywhere (v6)
+21/tcp (v6) ALLOW Anywhere (v6)
+115/tcp (v6) ALLOW Anywhere (v6)
+5001 (v6) ALLOW Anywhere (v6)
+5000 (v6) ALLOW Anywhere (v6)
+```
+
+Weiterhin wurde das Paket *fail2ban* installiert, um *"Brute force"*-Angriffen vorzubeugen. Die Möglichkeit der Anmeldung von *root* mittels *SSH* wurde deaktiviert.
### Nginx
-Auf dem Server ist ein Nginx Web-Server installiert und als inverser Proxy konfiguriert. Über diesen werden externe Http-Anfragen an Docker-Container weitergeleitet und gegebenenfalls verschlüsselt (Https).
+Auf dem Cloud-Server ist ein *Nginx*-Web-Server installiert und als inverser Proxy konfiguriert. Über diesen werden externe *http*-Anfragen an die Docker-Container weitergeleitet und gegebenenfalls verschlüsselt (*https*). Konkret ermöglicht der Reverse Proxy den Zugriff auf die *NextCloud*-Instanz sowie die Konfigurationsoberfläche für den *LDAP*-Server.
-Die Konfiguration ist in der Datei */etc/nginx/sites-available* hinterlegt. Die Konfiguration ist durch Verlinkung in das Verzeichnis */etc/nginx/sites-enabled* aktiviert.
+Die Konfiguration ist in der Datei */etc/nginx/sites-available/nextcloud-reverse-proxy* hinterlegt. Die Konfiguration ist durch Verlinkung in das Verzeichnis */etc/nginx/sites-enabled* aktiviert.
**/etc/nginx/sites-available/nextcloud-reverse-proxy**
server {
listen 80;
- server_name cloud.lab.starship-factory.ch localhost;
+ server_name cloud.lab.starship-factory.ch ldap.lab.starship-factory.ch;
+ if ($host = ldap.lab.starship-factory.ch) {
+ return 301 https://$host$request_uri;
+ } # managed by Certbot
+
if ($host = cloud.lab.starship-factory.ch) {
return 301 https://$host$request_uri;
} # managed by Certbot
+
+ return 404; # managed by Certbot
}
server {
listen 443 ssl;
- server_name cloud.lab.starship-factory.ch;
+ server_name cloud.lab.starship-factory.ch;
+ # Apply letsencrypt nginx ssl configuration
+ include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
# If you use Lets Encrypt, you should just need to change the domain.
# Otherwise, change this to the path to full path to your domains public certificate file.
- ssl_certificate /etc/letsencrypt/live/cloud.lab.starship-factory.ch/fullchain.pem; # managed by Certbot
- ssl_certificate_key /etc/letsencrypt/live/cloud.lab.starship-factory.ch/privkey.pem; # managed by Certbot
- # Defining option to share SSL Connection with Passed Proxy
- #ssl_session_cache builtin:1000 shared:SSL:10m;
- # Defining used protocol versions.
- ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
- # Defining ciphers to use.
- ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
- # Enabling ciphers
- ssl_prefer_server_ciphers on;
+ ssl_certificate /etc/letsencrypt/live/cloud.lab.starship-factory.ch/fullchain.pem; # managed by Certbot
+ ssl_certificate_key /etc/letsencrypt/live/cloud.lab.starship-factory.ch/privkey.pem; # managed by Certbot
+ ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
+
# Log Location. the Nginx User must have R/W permissions. Usually by ownership.
- access_log /var/log/nginx/access.log;
+ access_log /var/log/nginx/access.log;
+ # Allow up to 512M upload size
+ client_max_body_size 512M;
+
location / {
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_pass http://cloud.lab.starship-factory.ch:8080;
- proxy_read_timeout 90;
+ proxy_read_timeout 30;
+ }
+ }
+
+ server {
+ listen 443 ssl;
+ server_name ldap.lab.starship-factory.ch;
+
+ # Apply letsencrypt nginx ssl configuration
+ include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
+
+ # If you use Lets Encrypt, you should just need to change the domain.
+ # Otherwise, change this to the path to full path to your domains public certificate file.
+ ssl_certificate /etc/letsencrypt/live/cloud.lab.starship-factory.ch/fullchain.pem; # managed by Certbot
+ ssl_certificate_key /etc/letsencrypt/live/cloud.lab.starship-factory.ch/privkey.pem; # managed by Certbot
+ ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
+
+ # Log Location. the Nginx User must have R/W permissions. Usually by ownership.
+ access_log /var/log/nginx/access.log;
+
+ # Forward to NextCloud server
+ location / {
+ proxy_set_header Host $host;
+ proxy_set_header X-Real-IP $remote_addr;
+ proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+ proxy_set_header X-Forwarded-Proto $scheme;
+ proxy_pass http://cloud.lab.starship-factory.ch:8090/;
+ proxy_read_timeout 30;
}
}
-Die SSL-Zertifikate wurden mittels Let's Encrypt certbot erstellt und werden regelmässig erneuert. Hier zu ist das folgende Skript im Verzeichnis */etc/cron.monthly/* hinterlegt.
+Die SSL-Zertifikate wurden mittels des Let's Encrypt *certbot* erstellt und werden regelmässig erneuert. Hier zu ist das folgende Skript hinterlegt:
-**renew-certificates**
+**/etc/cron.monthly/renew-certificates**
#!/bin/bash
@@ -198,8 +232,9 @@ Um den Rechner in einen für das Backup sicheren Modus zu bringen und im Anschlu
echo "Switching host to backup mode."
- # Stop all docker containers
- /usr/bin/systemctl stop docker
+ # Pause critical docker containers
+ /usr/bin/docker pause nextcloud
+ /usr/bin/docker pause database
**/usr/local/bin/production-mode**
@@ -207,23 +242,128 @@ Um den Rechner in einen für das Backup sicheren Modus zu bringen und im Anschlu
echo "Switching host to production mode."
- # Stop all docker containers
- /usr/bin/systemctl start docker
+ # Unpause critical docker containers
+ /usr/bin/docker unpause database
+ /usr/bin/docker unpause nextcloud
+
+## LDAP
+
+Zur Benutzerverwaltung und Authentifizierung wurde auf dem Cloud-Server ein *OpenLDAP*-Server sowie die Konfigurationsoberfläche *phpldapadmin* installiert. Der LDAP-Server kann lokal auf dem Cloud-Server via *ldap* über der Port 389 unverschlüsselt sowie allgemein via *ldaps* über den Port 636 verschlüsselt angesprochen werden. Die Konfigurationsoberfläche ist über den Reverse Proxy unter der Adresse https://ldap.lab.starship-factory.ch/ zu erreichen.
+
+### Docker
+
+Der *OpenLDAP*-Server sowie die Administrationsoberfläche *phpldapadmin* wurden mittels *Docker* eingerichtet. Konkret wurden hierfür die folgenden Abbilder von *hub.docker.com* mittels `docker pull` bezogen:
+
+| Repository | Tag | Image ID | Size |
+| ------------------- | ------ | ------------ | ----- |
+| osixia/phpldapadmin | latest | dbb580facde3 | 309MB |
+| osixia/openldap | latest | 31d1d6e16394 | 257MB |
+
+Die Container wurden mittels `docker-compose` anhand der folgenden Datei erstellt:
+
+**docker-compose.yml**
+
+ version: '3'
+
+ volumes:
+ db:
+ conf:
+ certs:
+ admin:
+
+ services:
+ ldap:
+ image: osixia/openldap
+ container_name: openldap
+ restart: always
+ ports:
+ - "389:389"
+ - "636:636"
+ volumes:
+ - db:/var/lib/ldap
+ - conf:/etc/ldap
+ - certs:/container/service/slapd/assets/certs
+ environment:
+ - LDAP_ORGANISATION=starship-factory
+ - LDAP_DOMAIN=starship-factory.ch
+ - LDAP_ADMIN_PASSWORD=<Passwort>
+ - LDAP_TLS_CRT_FILENAME=cert.pem
+ - LDAP_TLS_KEY_FILENAME=privkey.pem
+ - LDAP_TLS_CA_CRT_FILENAME=chain.pem
+ - LDAP_TLS_VERIFY_CLIENT=try
+
+ phpldapamin:
+ image: osixia/phpldapadmin
+ container_name: phpldapadmin
+ restart: always
+ volumes:
+ - admin:/var/www/phpldapadmin
+ links:
+ - ldap:ldap-host
+ ports:
+ - "8090:80"
+ - "8091:443"
+ environment:
+ - PHPLDAPADMIN_LDAP_HOSTS=ldap-host
+ - PHPLDAPADMIN_HTTPS=false
+
+***Hinweis:*** Wird der OpenLDAP-Container mittels `docker-compose down` und im Anschluss `docker-compose up -d` erneut erstellt, so kommt es zu einer Fehlermeldung, da die Datei *ldap.conf* im Volumen *ldap_conf* fehlt. Es besteht lediglich ein symbolischer Link auf eine Datei, welche nicht mehr existiert. Der LDAP-Server startet in diesem Fall nicht, wie mittels `docker logs -f openldap` nachvollzogen werden kann. Um den Fehler zu beheben, muss die Datei aus dem Ordner *ldap_conf.bak* ergänzt werden.
+
+### Konfiguration
+
+Um die mit dem Let's Encrypt *certbot* erstellten Zertifikate dem LDAP-Server verfügbar zu machen, wurde das Skript `renew-certificates` wie erfolgt erweitert:
+
+**/etc/cron.monthly/renew-certificates**
+
+```33
+#!/bin/bash
+
+LDAP_CONTAINER=openldap
+SRC_PATH=/etc/letsencrypt/live/cloud.lab.starship-factory.ch
+DST_PATH=/container/service/slapd/assets/certs
+
+...
+
+# Copy certificates to openldap docker container
+docker cp -L ${SRC_PATH}/cert.pem ${LDAP_CONTAINER}:${DST_PATH}
+docker cp -L ${SRC_PATH}/privkey.pem ${LDAP_CONTAINER}:${DST_PATH}
+docker cp -L ${SRC_PATH}/chain.pem ${LDAP_CONTAINER}:${DST_PATH}
+# Restart openldap docker container
+docker restart ${LDAP_CONTAINER}
+```
+
+Weiterhin wurden in der Konfiguration des *OpenLDAP*-Servers der Gruppe *cn=ldap-admins,ou=groups,dc=starship-factory,dc=ch* vollständige Schreibrechte eingeräumt sowie der Gruppe *cn=ldap-auth-users,ou=groups,dc=starship-factory,dc=ch* vollständge Leserechte.
+
+**ldap:/etc/ldap/slapd.d/cn=config/olcDatabase=\{1\}mdb.ldif**
+
+ ...
+ olcAccess: {2}to * by self read
+ by dn="cn=admin,dc=example,dc=org" write
+ by group.exact="cn=ldap-admins,ou=groups,dc=starship-factory,dc=ch" write
+ by group.exact="cn=ldap-auth-users,ou=groups,dc=starship-factory,dc=ch" read
+ by * none
+ ...
+
+Die erste Gruppe dient zur Verwaltung der Administratoren, die zweite Gruppe zur Anlage von System-Nutzern, welche zur Authentifizierung gegen den LDAP-Server benötigt werden.
+
+***Hinweis:*** Die Datei *olcDatabase=\{1\}mdb.ldif* befindet sich im Docker-Volumen *ldap_conf*, welches im Verzeichnis */srv/dev-disk-by-id-md-name-debian-1/docker/volumes/ldap_conf/* gespeichert ist. Die Modifikation der *OpenLDAP*-Konfiguration sollte im Normalfall mittels des Befehls `ldapmodify` erfolgen. Da alle Versuche, die Zugriffsrechte mittels `ldapmodify` zu manipulieren scheiterten, wurde letztendlich der Weg der direkten Manipulation der Konfigurationsdatei gewählt.
## NextCloud
+Zum Austausch von Dateien und Informationen zwischen den Mitgliedern der Starship Factory wurde auf dem Cloud-Server eine *NextCloud*-Intanz installiert. Die *NextCloud* ist über den Reverse Proxy unter der Adresse https://cloud.lab.starship-factory.ch/ zu erreichen.
+
### Docker
-Die NextCloud wurde mittels Docker-Containern eingerichtet. Konkret wurden hierfür die folgenden Images von hub.docker.com mittels *docker pull* gezogen:
+Die *NextCloud* wurde mittels *Docker* eingerichtet. Konkret wurden hierfür die folgenden Abbilder von *hub.docker.com* mittels `docker pull` bezogen:
-| Repository | Tag | Image ID | Created | Size |
-| ---------- | ------ | ------------ | ----------- | ----- |
-| nextcloud | latest | a7a0780a23a7 | 2 weeks ago | 835MB |
-| mariadb | latest | e27cf5bc24fe | 3 weeks ago | 401MB |
+| Repository | Tag | Image ID | Size |
+| ---------- | ------ | ------------ | ----- |
+| nextcloud | latest | a7a0780a23a7 | 835MB |
+| mariadb | latest | e27cf5bc24fe | 401MB |
-Die Container wurden mittels *docker-compose* anhand der folgenden Datei erstellt:
+Die Container wurden mittels `docker-compose` anhand der folgenden Datei erstellt:
-**docker-compse.yml**
+**docker-compose.yml**
version: '3'
@@ -245,10 +385,10 @@ Die Container wurden mittels *docker-compose* anhand der folgenden Datei erstell
networks:
- nextcloud
environment:
- - MYSQL_ROOT_PASSWORD=YuuQPyZ6Rne5HjES
- - MYSQL_PASSWORD=QixZ7yRq1ZxtcSBv
+ - MYSQL_ROOT_PASSWORD=<Passwort>
+ - MYSQL_PASSWORD=<Passwort>
- MYSQL_DATABASE=nextcloud
- - MYSQL_USER=nextcloudQixZ7yRq1ZxtcSBv
+ - MYSQL_USER=<Passwort>
app:
image: nextcloud
container_name: nextcloud
@@ -262,7 +402,7 @@ Die Container wurden mittels *docker-compose* anhand der folgenden Datei erstell
networks:
- nextcloud
environment:
- - MYSQL_PASSWORD=QixZ7yRq1ZxtcSBv
+ - MYSQL_PASSWORD=<Passwort>
- MYSQL_DATABASE=nextcloud
- MYSQL_USER=nextcloud
- MYSQL_HOST=db
@@ -270,9 +410,9 @@ Die Container wurden mittels *docker-compose* anhand der folgenden Datei erstell
### Konfiguration
-Damit integrierte Apps, insbesondere OnlyOffice in Kombination mit dem inversen Proxy und der Weiterleitung von *Http* auf *Https* funktionieren, wurde in der Datei *config.php* der Eintrag *overwrite.cli.url* auf '' und die Einstellung *overwriteprotocol* auf 'https' gesetzt. Außerdem wurde der vollständige Name des Hosts unter *trusted_domains* eingetragen.
+Damit integrierte Apps, insbesondere *OnlyOffice* in Kombination mit dem inversen Proxy und der Weiterleitung von *http* auf *https* funktionieren, wurde in der Datei *config.php* der Eintrag *overwrite.cli.url* auf '' und die Einstellung *overwriteprotocol* auf 'https' gesetzt. Außerdem wurde der vollständige Name des Hosts unter *trusted_domains* eingetragen.
-**config.php**
+**nextcloud:/var/www/html/config/config.php**
...
'trusted_domains' =>
@@ -283,8 +423,16 @@ Damit integrierte Apps, insbesondere OnlyOffice in Kombination mit dem inversen
'overwriteprotocol' => 'https',
...
-Die Datei *config.php* befindet sich im Docker-Volumen *nextcloud_nextcloud*, welches im Verzeichnis */srv/dev-disk-by-id-md-name-debian-1/docker/volumes/nextcloud_nextcloud/*
-gespeichert ist.
+***Hinweis:*** Die Datei *config.php* befindet sich im Docker-Volumen *nextcloud_nextcloud*, welches im Verzeichnis */srv/dev-disk-by-id-md-name-debian-1/docker/volumes/nextcloud_nextcloud/* gespeichert ist.
+
+Die Datei */etc/crontab* wurde um den folgenden Eintrag erweitert, damit Hintegrundaufgaben in der *NextCloud* zuverlässig ausgeführt werden.
+
+**/etc/crontab**
+
+ ...
+ # Execute NextCloud background jobs in docker container
+ */5 * * * * root /usr/bin/docker exec nextcloud runuser -u www-data -- php -f /var/www/html/cron.php >/dev/null 2>&1
+ ...
### LDAP
@@ -309,5 +457,3 @@ Die folgenden Anwendungen wurden zusätzlich installiert und aktiviert:
* Announcements
* Notes
-
-