Willkommen zu unserem neuen Blogbeitrag rund um IGEL OS! Nach unserem ersten Artikel „IGEL – Wie kann ich als IT-Verantwortlicher meine Anwender optimal unterstützen?“ möchten wir heute ein weiteres praxisnahes Thema vorstellen: den Einsatz eines eigenen WebDAV-Servers für Ihre IGEL-Infrastruktur.
Unser Kollege Adrian del Moral Garcia bringt dabei seine jahrelange Erfahrung mit IGEL-Technologien ein. Als einer der von IGEL ausgezeichneten IGEL Champions kennt er die Herausforderungen in der Praxis und zeigt, wie ein eigener WebDAV-Server die Verwaltung Ihrer Infrastruktur deutlich erleichtern kann.
Viele IT-Verantwortliche fragen sich anfangs: „Wenn IGEL doch ein eigenes öffentliches Repository bereitstellt, warum sollte ich ein eigenes aufsetzen?“ Die Antwort darauf hängt vor allem von den Anforderungen in Produktion, Sicherheit und Skalierbarkeit ab – und genau diese Aspekte beleuchten wir im Folgenden.
In vielen Produktions- oder Rüstungsumgebungen gelten klare Confidentiality-Regeln:
Die Endgeräte dürfen keine direkte Verbindung ins Internet aufbauen.
Hier wird WebDAV interessant, denn:
Statt dass jeder einzelne ThinClient Firmware oder Apps aus dem Internet zieht, können alle Clients die Daten aus dem internen Netzwerk beziehen.
Das spart Bandbreite und wirkt stabilisierend.
Security-Teams schätzen die Möglichkeit, die bereitgestellten Images und Applikationen selbst zu hosten, zu prüfen und kontrolliert freizugeben.
Ein interner WebDAV-Server bietet genau das.
Je nach Unternehmensgröße können Sie…
Ob das eine kleine VM ist oder ein physisches Gerät (z. B. ein NUC), spielt technisch keine Rolle.
Auch wenn Adrians Hintergrund in der Microsoft-Welt liegt, sollte ein Repository-Server vor allem einfach, stabil und kosteneffizient sein. Linux erfüllt diese Anforderungen ideal:
Keine zusätzlichen Lizenzkosten
Keine Abhängigkeiten von Active Directory
Minimal benötigte Ports (22 für SSH, 443 für WebDAV)
Leicht zu automatisieren
Extrem stabil im Dauerbetrieb
Als Beispiel verwendet er in diesem Beitrag Ubuntu Server 24.04 LTS.
Hinweis: In diesem Beitrag wird nicht erklärt, wie man einen Linux-Server grundlegend installiert oder SSH-Zugänge einrichtet – dafür gibt es zahlreiche Anleitungen. Für das Arbeiten am WebDAV-Server empfiehlt Adrian aber SSH mit Ed25519- oder RSA-Keys, um sicher und bequem Befehle per Copy-Paste nutzen zu können.
Im Folgenden wird die vollständige Konfiguration vorgestellt, wie Adrian del Moral Garcia sie in seinen Projekten regelmäßig einsetzt. Die Werte können selbstverständlich an die individuellen Gegebenheiten angepasst werden.
Serverparameter
Hinweis: Egal ob selbstsigniert, PKI-intern oder kommerziell – wichtig ist nur, dass UMS und IGEL ThinClients das CA-/Root-Zertifikat kennen. Sonst schlägt die Verbindung zum Repository fehl. Planen Sie diesen Schritt vorab ein.
sudo apt update
sudo apt install apache2 apache2-utils
sudo nano /etc/apache2/ports.conf
sudo ufw allow https
sudo ufw allow ssh
sudo ufw enable
IGEL gibt den Einsatz von SAN-Zertifikaten vor. Um die Verwaltung zu vereinfachen, wird eine OpenSSL-Konfigurationsdatei verwendet, die alle relevanten Angaben übersichtlich zusammenfasst.
Zertifikatsverzeichnis anlegen
sudo mkdir -p /etc/apache2/ssl
OpenSSL-Konfigurationsdatei erstellen
sudo nano /etc/apache2/ssl/openssl-san.cnf
Inhalt:
[ req ]
default_bits = 2048
distinguished_name = dn
x509_extensions = v3_req
prompt = no
[ dn ]
C = DE
ST = Bavaria
L = Munich
O = Service
OU = IT
CN = webdav01.if-tech.de
[ v3_req ]
subjectAltName = @alt_names
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
[ alt_names ]
DNS.1 = webdav01.if-tech.de
DNS.2 = webdav01
IP.1 = 10.100.2.100
IP.2 = 10.100.3.100
Kurzbeschreibung
In der Konfigurationsdatei werden die üblichen Domain-Eigenschaften des Zertifikats festgelegt. Ob Sie dabei echte oder Platzhalter-Werte verwenden, bleibt Ihnen überlassen – entscheidend ist lediglich, dass die SAN-Einträge zu Ihrer WebDAV-Umgebung passen.
Möchten Sie später mehrere WebDAV-Server mit demselben Zertifikat betreiben, können Sie dafür zusätzliche DNS.x- oder IP.x-Einträge anlegen. Die im Beispiel gezeigten Einträge DNS.2 und IP.2 dienen als Vorlage, wie die Liste fortgeführt werden kann. Wichtig: Die Nummerierung beginnt immer bei 1 und muss fortlaufend erfolgen.
sudo openssl req -x509 -nodes -days 365 \
-newkey rsa:2048 \
-keyout /etc/apache2/ssl/webdav.key \
-out /etc/apache2/ssl/webdav.crt \
-config /etc/apache2/ssl/openssl-san.cnf
sudo mkdir -p /var/www/webdav
sudo chown -R www-data:www-data /var/www/webdav
sudo chmod 755 /var/www/webdav
sudo mkdir -p /var/lib/dav
sudo touch /var/lib/dav/lockdb
sudo chown www-data:www-data /var/lib/dav/lockdb
IGEL OS verwendet Digest-Authentifizierung – daher werden zwei WebDAV-Benutzer eingerichtet. Mit den folgenden Befehlen legen Sie die Kennwörter für Ihre WebDAV-Benutzer fest.
Der Wert „WebDAV Repository“ bezeichnet den sogenannten Realm. Dieser muss exakt mit dem Eintrag in der späteren Apache-Konfiguration übereinstimmen. Der Realm ist ein zentraler Bestandteil des Digest-Hashs; wird er nicht korrekt angegeben, können sich die Clients nicht authentifizieren.
sudo a2enmod auth_digest
sudo systemctl restart apache2
sudo htdigest -c /etc/apache2/webdav.digest „WebDAV Repository“ umsrw
sudo htdigest /etc/apache2/webdav.digest „WebDAV Repository“ umsro
sudo chown root:www-data /etc/apache2/webdav.digest
sudo chmod 640 /etc/apache2/webdav.digest
sudo a2enmod ssl dav dav_fs authz_user
sudo systemctl reload apache2
sudo nano /etc/apache2/sites-available/webdav.conf
Dateiinhalt:
<VirtualHost *:443>
ServerName webdav01.if-tech.de
SSLEngine on
SSLCertificateFile /etc/apache2/ssl/webdav.crt
SSLCertificateKeyFile /etc/apache2/ssl/webdav.key
RequestReadTimeout header=60-120,MinRate=1 body=0
Timeout 600
DocumentRoot /var/www/webdav
DAVLockDB /var/lib/dav/lockdb
<Directory „/var/www/webdav“>
Options Indexes
AllowOverride None
DAV On
AuthType Digest
AuthName „WebDAV Repository“
AuthUserFile /etc/apache2/webdav.digest
Require valid-user
<LimitExcept GET PROPFIND OPTIONS>
Require user umsrw
</LimitExcept>
</Directory>
ErrorLog ${APACHE_LOG_DIR}/webdav_error.log
LogFormat „%h %l %u %t \“%r\“ %>s %b“ dav
CustomLog ${APACHE_LOG_DIR}/webdav_access.log dav
</VirtualHost>
Auf den ersten Blick mag es so erscheinen, als seien viele Einstellungen erforderlich. Die Erfahrung zeigt jedoch, dass vor allem bestimmte Parameter entscheidend sind, um Verbindungsabbrüche bei höherer Last zu vermeiden – beispielsweise beim Hochladen großer Dateien aus der UMS oder wenn viele Thin Clients gleichzeitig herunterladen.
In diesem Abschnitt werden außerdem direkt die Logdateien definiert, sodass Sie bei der Erstinbetriebnahme sofort nachvollziehen können, was passiert. Für die ersten Tests empfiehlt es sich, sowohl webdav_access.log als auch webdav_error.log parallel im Blick zu behalten.
Der übrige Teil der Konfiguration sollte weitgehend selbsterklärend sein.
sudo a2ensite webdav.conf
sudo systemctl reload apache2
Damit sich Apache nicht beschwert, wird noch der Servername ergänzt:
echo „ServerName webdav01.if-tech.de“ | sudo tee -a /etc/apache2/apache2.conf
Bis zu diesem Punkt haben Sie die Anleitung, die in der Praxis bereits mehrfach erfolgreich getestet wurde. Für die weiteren Schritte können Sie den offiziellen IGEL-Anleitungen folgen. In Zukunft ist auch eine komprimierte Zusammenfassung dieser Schritte geplant, um Ihnen die Arbeit zusätzlich zu erleichtern.
Über Ihr Feedback würden wir uns selbstverständlich sehr freuen!
