Lesezeit ca. 10 Min.

Arbeitsplatz in Schuss halten


Logo von IT Administrator
IT Administrator - epaper ⋅ Ausgabe 11/2021 vom 29.10.2021

EGroupware administrieren

Artikelbild für den Artikel "Arbeitsplatz in Schuss halten" aus der Ausgabe 11/2021 von IT Administrator. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: IT Administrator, Ausgabe 11/2021

I n der April-Ausgabe 2020 hatten wir EGroupware 19.1 einem Test [1] unterzogen – mit sehr gutem Ergebnis. In diesem Artikel gehen wir einen Schritt weiter und betrachten die aktuelle Version 21.1 [2] aus Admin-Sicht. Um die Weiterentwicklung der unter der GPLv2 ent - wickelten Software kümmert sich die EGroupware GmbH aus Kaiserslautern. Die Groupware für den Webbrowser gibt es in zwei Varianten [3]: Die kostenfreie Community Edition (CE) enthält alle Grundfunktionen, und die Enterprise Line (EPL) kommt mit zusätzlichen Features und Anwendungen, erweitertem Support und Merkmalen, die insbesondere für Unternehmen oder große Organisationen interessant sind. Als Alternative zur eigenen On-Premises-Installation bietet der Hersteller EGroupware als SaaS-Lösung an, gehostet in deutschen Rechenzentren [4].

EGroupware ist flexibel und vor allem erweiterbar. Von Haus aus enthält ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von IT Administrator. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 11/2021 von Alles hybrid. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Alles hybrid
Titelbild der Ausgabe 11/2021 von FinFischer noch mächtiger. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
FinFischer noch mächtiger
Titelbild der Ausgabe 11/2021 von Am grünen See. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Am grünen See
Titelbild der Ausgabe 11/2021 von Sicher patchen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Sicher patchen
Mehr Lesetipps
Blättern im Magazin
Tipps, Tricks und Tools
Vorheriger Artikel
Tipps, Tricks und Tools
Ein steiniger Weg
Nächster Artikel
Ein steiniger Weg
Mehr Lesetipps

... die Webanwendung alles, was ein virtuelles Arbeitszimmer benötigt: Dateimanager, E-Mail, Kalender, Adressverwaltung, Projektmanagement, Aufgabenplaner, Kanban-Board, Kundenmanagement (CRM) und Ticketsystem sowie Zeiterfassung. Außerdem bietet die Software eine integrierte Office-Suite (Collabora Online), Remote-Desktop im Webbrowser (RDP/ VNC/SSH per Apache Guacamole), Vi- deokonferenz, Chat und Desktopfreigabe (Jitsi, BigBlueButton, Rocket.Chat), eine Anwendung zum videogestützten Lernen (smallPART), Telefonie-Integration (CTI) mit Möglichkeiten zum Koppeln von Telefonen (Softphones, Tischtelefone) und Compu tern/Smartphones und File Sharing (mit offenen und verdeckten Freigaben für Nutzer/Gruppen).

Die Groupware unterstützt den Import/ Export und die Synchronisation von Daten (ActiveSync, Card/Cal/WebDAV). Dank offener Schnittstellen ist die Erweiterung über Drittanwendungen oder eigene Applikationen problemlos möglich. Integrierte Webanwendungen sind per OpenID Connect/OAuth2 (Single Sign-on, SSO) an die bestehende Benutzerverwaltung angebunden. Eine eigene Web Application Firewall mit Zugriffsbegrenzungen, Zweifaktor-Authentifizierung (2FA) und die Möglichkeit, Loginregeln zu definieren, runden das Gesamtpaket ab.

Bürocontainer: Installation per Docker

Wer EGroupware selbst installieren will, braucht nicht viel: ein Linux-System und grundlegende Linux-Kenntnisse reichen aus – Admins sollten zumindest mit den wichtigsten Kommandos zum Paketmanagement vertraut sein. Die Groupware benötigt nicht viele Hardwareressourcen und läuft auch auf einem vServer, einer lokalen VM oder einem NAS; zum Testen reicht ein älterer PC. Eine Anleitung im GitHub-Wiki [5] erklärt die Installation. Spielen Sie das Paket "egroupware-docker" ein; die Installationsroutine kümmert sich um den Rest.

Als Abhängigkeiten landen Docker, Nginx (einmal als Reverse Proxy, einmal als Webserver, der EGroupware ausführt), Maria - DB, PHP, diverse Konfigurations- und Logdateien auf dem Server. Wer Nginx durch Apache als Reverse Proxy ersetzen möchte, kann dies bei der Installation bestimmen. Fast alle Komponenten, darunter der EGroupware-Webserver (nicht der Reverse Proxy), der Datenbank-Server, PHP, der EGroupware-Push-Server (zur Echtzeit-Ak tualisierung der Ansicht im Brow serfenster), Watchtower (zur automatischen Aktualisierung von Docker- Containern), Collabora Online, Guacamole, Rocket.Chat und andere Applikationen, kommen in eigenen Docker-Containern, die das automatische Ausliefern von Updates maßgeblich erleichtern.

Automatische Upgrades

Durch den Einsatz der Docker-Container sind alle Komponenten immer aufeinander abgestimmt und die integrierten Applikationen zueinander kompatibel. Außerdem befindet sich so stets aktuelle und sichere Software auf dem Server, was den Verwaltungsaufwand für Admins verringert. Um die Aktualisierung der Anwendungen und die Auflösung der Abhängigkeiten kümmert sich der Hersteller. Die genauen Hintergründe zu Docker in EGroupware erklärt ein Forumsartikel [6].

Der Watchtower-Container ist eine Art Aufpasser, der laufende Versionen der Docker-Container aktualisiert. Das Werkzeug ist in EGroupware so konfiguriert, dass es nachts um 4 Uhr prüft, ob es Updates gibt. Sind neue Container vorhanden, lädt Watchtower diese Images herunter, fährt vorhandene Container ordnungsgemäß herunter und startet die aktualisierte Version mit den passenden Optionen neu. Wer möchte, kann sich darüber per E-Mail benachrichtigen lassen, den Automatismus abschalten oder die Zeitvorgaben modifizieren. Dazu passen Sie die Datei "/etc/ egroupware-docker/docker-compose.override.yml" an, deren Einstellungen dann Vorrang haben vor der mit dem Paket ausgelieferten Datei "docker-compose.yml".

In dieser vom Hersteller ausgelieferten Konfigurationsdatei ist "WATCHTO- WER_CLEANUP=true" gesetzt, was dafür sorgt, dass bei einem Update über Watchtower anschließend automatisch auf - geräumt wird. Das heißt, dass nach der Aktualisierung obsolete Docker-Daten gelöscht werden. Wer den Automatismus für die eigene EGroupware-Installation abgeschaltet hat, muss sich selbst dem Housekeeping widmen, damit die Platte nicht irgendwann vollläuft [7].

EGroupware absichern

Der Zugriff auf die Groupware im Browser sollte immer über HTTPS erfolgen, damit die Kommunikation zwischen Webbrowser und EGroupware-Server abhörsicher ist und die Zugangsdaten verschlüsselt übertragen werden. Aus diesem Grund sollten Sie den Reverse Proxy (nicht den EGroupware-Webserver im Docker Container) zwingend mit einem SSL-Zertifikat ausstatten – auch wenn EGroupware ausschließlich im lokalen Netzwerk läuft. Eine Anleitung im Forum [8] beschreibt, wie Admins das mit Let's Encrypt erledigen und dazu ein gültiges Zertifikat mit einer guten Konfiguration einrichten.

EGroupware kann gegen verschiedene Systeme authentifizieren: Standard ist die lokale SQL-Datenbank, in der die Benutzerzugänge gespeichert sind. Alternativ authentifiziert die Webanwendung gegen LDAP, Active Directory, Mailserver und SAML 2/Shibboleth (Single Sign-on). Damit integriert sich die Groupware gut in alle möglichen Umgebungen, von der großen Firma bis hin zum universitären Umfeld. Sie richten die gewünschte Authentifizierung direkt nach der Installation über das Setup (www.<unterneh men.com egroupware/setup) ein. In dem Zusammenhang sollten Sie zudem den Zugriff auf das Setup auf lokale IP-Adressen beschränken und den Zutritt von außen verbieten.

Die Zweifaktor-Authentifizierung (2FA), das Blockieren nach falscher Passworteingabe, Cookies, Passwortrichtlinien und andere sicherheitsrelevante Einstellungen passieren im Menü "Admin / Konfiguration" der Anwendung im Reiter "Sicherheit" (Bild 1). Sie sollten sich hier in Ruhe umschauen und die Einstellungen gegebenenfalls an die eigenen Wünsche oder Vorgaben anpassen. Wer die EPL-Variante von EGroupware einsetzt, kann zusätzlich eine Web Application Firewall konfigurieren, die der Kasten "Einlasskontrolle fürs Büro" vorstellt.

Beschränkung aufs Wesentliche

Wie für alle komplexen Anwendungen gilt auch für EGroupware: Admins sollten nicht benötigte Features und Funktionen deaktivieren. Fast alle Einrichtungen laufen über den bereits erwähnten Menüpunkt "Admin" in der linken Seitenleiste. Hier kümmern Sie sich um Passwörter der EGroupware-Benutzer, richten den Look der Startseite ein, sehen die Zugangsprotokolle der Sitzungen ein, löschen den Webserver-Cache, testen den Push-Server oder betrachten die Cronjobs und richten sie neu ein.

Einlasskontrolle fürs Büro

Mit EGroupware 21.1 haben die Entwickler eine Web Application Firewall (WAF) für die EPL-Version eingeführt, die den Zugriff von außen regelt. Möchte Sie im Unternehmen beispielsweise nur einer kleinen Gruppe von Nutzern den Zutritt aus externen Netzen erlauben, unterbinden Sie zunächst den Zugang für alle außerhalb des lokalen Netzes. Dann legen Sie eine Gruppe namens Extern an, deren Mitglieder sich bei EGroupware anmelden können, auch wenn sie aus einem externen Netz kommen. Dabei gilt es zu beachten, dass die Firewall nur interaktive Log - ins über das EGroupware-Webinterface erfasst, nicht aber die Synchronisation mit externen Clients, den WebDAV-Zugriff oder Dateifreigaben.

Sie konfigurieren diese zusätzliche Sicherheitsebene über das Menü "Admin / Anwendungen / EPL-Funktionen / Firewall/2.-ter Faktor". Hier richten sie über "Hinzufügen"Regeln für den Login ein, die nacheinander durchlaufen. Per Dialog tragen Sie einen IP-

Adressbereich, DNS oder Classless Inter-Domain Routing (CIDR) ein, wählen Start- und Endzeit, einen oder mehrere Wochentage, Benutzerkonten oder Gruppen, stellen einen zweiten Faktor und eine Aktion ein. Vorhandene Regelsätze lassen sich per Drag & Drop verschieben, um die Reihenfolge zu ändern.

Sie sollten Ihre Regeln in jedem Fall überprüfen – dafür gibt es den Button "Test". Um nicht den Ast abzusägen, auf dem Sie sitzen, starten Sie für ihre Tests am besten eine zweite Sitzung in einem anonymen Tab oder in einem weiteren Browser. Da die Firewall nur auf die Logins reagiert, bleiben Sie so in jedem Fall angemeldet.

Im Bereich Benutzerkonten definieren Sie unter anderem allgemeine Benutzereinstellungen, Zugriffsrechte und Gruppenzugehörigkeiten. Per Rechtsklick auf einen vorhandenen Eintrag öffnen Sie ein Kontextmenü, das schnellen Zugriff auf wichtige Konfigurationsmöglichkeiten bietet. Interessant wird es im Bereich "Benutzergruppen": Jede Gruppe hat gesonderte Rechte, und so ist hier die entscheidende Stelle, um den Zugriff auf bestimmte Daten einzustellen. Dabei gilt es zu beachten, dass persönliche Einstellungen die der Gruppe überschreiben und die Zugriffsrechte des Benutzers sich daraus ergeben, was für ihn selbst und seine Gruppen gesetzt ist.

Sie sollten den Zugriff für Anwender so weit begrenzen, dass diese immer nur das sehen, was sie wirklich brauchen – so gerät deren Arbeitsbereich schlanker und wirkt nicht so überfrachtet. Sie definieren damit sinnvolle Voreinstellungen für die Benutzer und blenden so beispielsweise bestimmte Anwendungen und Funktionen aus, was vor allem in Unternehmen und Organisationen mit weniger technikaffinen Anwendern sinnvoll sein kann. Es geht noch einen Schritt weiter: Sie können Einstellungen erzwingen, sodass diese für die Benutzer gar nicht mehr veränderbar beziehungsweise sichtbar sind.

Noch ein abschließender Tipp zur Synchronisation: Hier justieren Sie genau, welche Daten Benutzer mit ihren mobilen Geräten abgleichen dürfen. EGroupware unterstützt verschiedene Protokolle und Methoden zur Synchronisation, darunter CalDAV für Kalender und CardDAV für Adressen. Auch der Abgleich via eSync, das auf dem ActiveSync-Protokoll basiert, ist möglich.

Mailserver nachrüsten

Frühere EGroupware-Versionen fungierten lediglich als E-Mail-Client, seit Anfang des Jahres 2021 ist allerdings ein vollwertiger Mailserver verfügbar – eine gute Lösung für Unternehmen, die EGroupware onpremises betreiben und einen Mailserver in die Installation integrieren möchten. Er gehört nicht zur Standardinstallation, ist aber schnell nachgerüstet. Der Hersteller bietet dazu eigene Installationspakete für Debian und Ubuntu an [9]. Sie installieren das Paket "egroupware-mail", das einen Container mit Postfix und Dovecot inklusive Push-Extension für die Push-Funktionalität im EGroupware-Webclient ins System integriert.

Die komplette Verwaltung des Mailservers läuft anschließend über EGroupware. Sofern das Mailserver-Paket installiert ist und Sie einen neuen Benutzerzugang erzeugen, werden automatisch die entsprechenden Postfächer generiert. Die Einrichtung für bestehende Accounts gelingt über die EGroupware-Weboberfläche für Admins, im Menü "Admin / Benutzerkonten", mit einem Rechtsklick auf einen Eintrag und ein E-Mail-Konto aus dem Kontextmenü. Auf mehreren Tabs konfigurieren Sie hier die Identität, eine Signatur, die IMAP-Ordnerstruktur, Aliase und Weiterleitungen sowie die Verschlüsselung mit S/MIME. PGP-Verschlüsselung realisiert EGroupware über das Browser-Plug-in Mailvelope [10]. Der private Schlüssel bleibt jeweils bei den Anwendern (nicht beim EGroupware-Hoster oder Betreiber), und den öffentlichen Schlüssel richten Nutzer im E- Mail-Modul ein.

Interessant ist im Zusammenhang mit dem EGroupware-Mailserver, dass Sie den Benutzern erlauben können, selbst mehrere E-Mail-Konten anzulegen. So kann die Groupware falls gewünscht die Aufgaben eines Webmailers übernehmen. Zudem ist es möglich, Konten für ganze Benutzergruppen anzulegen und so zum Beispiel Postfächer für Abteilungen im Unternehmen zu generieren. EGroupware kennt Platzhalter, und so richten Sie für zwei Benutzergruppen an unterschiedlichen Standorten auch unterschiedliche Signaturen mit voneinander abweichenden Adressen und Telefonnummern ein.

Installation von Drittanwendungen

EGroupware ist mehr als eine Groupware – genau genommen handelt es sich eher um eine Plattform zum Integrieren eigener und externer Webanwendungen. Da der Hersteller das Rad nicht neu erfinden möchte, ist es relativ unkompliziert, das Browserbüro zu erweitern. Fester Bestandteil von EGroupware ist Collabora Online, eine angepasste Version von LibreOffice Online für die Cloud. Seit Version 17.1 gehört die Office Suite fest dazu.

Weitere Applikationen wie Apache Guacamole oder Rocket.Chat stehen in eigenen Docker-Containern als Installationspakete für EGroupware zur Verfügung. Je nach externer Anwendung kümmert sich die Installationsroutine auch um die Einbindung und die Konfiguration. Dazu gehört die Authentifizierung – auf Wunsch per Open- ID Connect/OAuth2. Ein OpenID Connect/OAuth2-Server ist in EGroupware integriert; er erlaubt anderen Diensten, sich gegen die Benutzerdatenbank von EGroupware zu authentifizieren.

Link-Codes

[1] Test EGroupware 19.1 laz41

[2] EGroupware 21.1 laz42

[3] Unterschiede CE- und EPL-Version laz43

[4] EGroupware-Hosting in der deutschen Cloud laz44

[5] Docker-Installation von EGroupware laz45

[6] Details zur Docker-Integration laz46

[7] Manuelles Container-Update laz47

[8] SSL-Verschlüsselung mit Let’s Encrypt laz48

[9] EGroupwareMail laz49

[10] Mailvelope laz40

[11] Backup von EGroupware laz4a

[12] EGroupware-Forum laz4b

Für weitere externe Anwendungen gilt, dass die Integration als iFrame möglich sein muss. Um eine Webapplikation eines Drittanbieters als iFrame einzubetten, muss dies nicht nur EGroupware erlauben, sondern auch die einzubettende Anwendung selbst. Für Single Sign-on muss die Anwendung außerdem OAuth2 beherrschen. Da EGroupware den Netzwerkverkehr nicht tunnelt, muss die Drittanwendung selbst über das Netz erreichbar sein.

Eine Besonderheit gilt es für die Integration von Apache Guacamole zu beachten. Die Software für den Fernzugriff auf andere Desktops per RDP, VNC oder SSH speichert ihre Konfiguration in der EGroupware-Datenbank ab und nutzt dazu eigene Tabellen (Bild 3). Informationen zu Benutzern und Gruppen stellt die Datenbank umgekehrt per View an Guacamole zu Verfügung. Diese enge Verzahnung hat einen wesentlichen Vorteil für Admins: Die Guacamole-Daten sind somit auch in der EGroupware-eigenen Datensicherung enthalten.

Backup nicht vergessen

Zum Schluss ein Hinweis: EGroupware unterstützt Sie bei der Datensicherung, dennoch müssen Sie sich selbst um die Einrichtung kümmern – ein automatisches Backup gehört nicht zur Voreinstellung. Alle Konfigurationsmöglichkeiten, Zugriffe auf existierende Sicherungen und eine Möglichkeit zum Wiederherstellen versammelt der Menüpunkt "Admin / DB Datensicherung und Wiederherstellung".

Es ist möglich, mehrmals täglich zu sichern; die Empfehlung von Seiten des Herstellers lautet, mindestens 20 Backups aufzubewahren. Da es sich hier um einen einfachen Datenbank-Dump (mit ein paar EGroupware-Konfigurationsdateien) handelt, fallen in der Regel keine großen Datenmengen an, und der Vorgang nimmt nicht viel Zeit in Anspruch. Vorhandene Backups laden Sie als Bzip2-Archive herunter und archivieren sie zusätzlich an anderer Stelle. Natürlich können Sie solche Sicherungen auch zu einem anderen EGroupware-Server hochladen und dort wieder einspielen – es muss sich dabei nicht um dieselbe Linux-Distribution handeln. Wer einem Backup im EGroupware-Webinterface einen eigenen Namen gibt (Schaltfläche "Umbenennen"), sorgt dafür, dass es beim automatischen Aufräumen nicht gelöscht wird. In einem solchen Fall bietet sich das Feld rechts neben dem Button "Löschen" an, um eigene Notizen festzuhalten.

Sie sollten ebenfalls das virtuelle Dateisystem berücksichtigen, in dem EGroupware die Daten des internen Dateimanagers ablegt. Diese werden selbstverständlich nicht in der Datenbank erfasst und damit auch nicht automatisch gesichert. Es ist möglich, die Anwenderdaten aus dem Dateimanager über EGroupware direkt zu sichern. Das ist allerdings nur sinnvoll, wenn es sich um kleine Datenmengen handelt. Haken Sie dazu die Checkbox an, um das Backup (und Restore) der Dateiumgebung (Datei-Verzeichnis) zu aktivieren (benötigt die PHP-Bibliothek ZipArchive).

Alternativ sichern Sie das Verzeichnis "/var/lib/egroupware" auf dem EGroupware-Server mit einer Backupsoftware Ihrer Wahl. Das hat den Vorteil, dass zusätzlich zu den Dateien aus dem Dateimanager auch die Header-Datei (mit den Datenbank-Passwörtern), Dateien externer Anwendungen (zum Beispiel von Guacamole, Rocket.Chat und Collabora Online), Protokolle der Installation et cetera erfasst werden. Ein Artikel im EGroupware-Forum [11] enthält weitere Informationen zum Thema Backup.

Fazit

EGroupware braucht sich in puncto Funktionalität nicht hinter den großen Plattformen zu verstecken: Die Software stellt eine komplette Office-Umgebung im Browser zur Verfügung und ist dank offener Schnittstellen erweiterbar. Die Groupware ist leichtgewichtig und benötigt wenig Ressourcen, weder im Hinblick auf die Hardware noch während des Betriebs oder beim Backup.

Was die Verwaltung betrifft, ist ganz klar zu sagen: EGroupware ist kein Spielzeug – es ist unerlässlich, dass Sie sich am Anfang einarbeiten und die Software ordentlich konfigurieren. Alle Module sind aber gut aufeinander abgestimmt und Aktualisierungen unterlaufen ausführlichen Tests, bevor sie ausgeliefert werden. Der tägliche Admin-Job ist damit gut zu bewerkstelligen. Wer dennoch auf Schwierigkeiten stößt, kann sich Support beim Hersteller kaufen oder einen Blick ins Community- Forum [12] werfen. (ln)