Hinweis: Dieser deutsche Text wird zu Ihrer Erleichterung zur Verfügung gestellt. Er wurde maschinell übersetzt und nicht manuell nachbearbeitet. Die englischsprachige Originalversion gilt als die offizielle Version und enthält immer die aktuellen Informationen.

Installation und Einrichtung von SafeLinx für Nomad – Teil 1

Safelinx dient als sicherer Zugangspunkt von zB HCL Nomad (Notes-Client für mobile Geräte wie iOS oder Android) auf die interne Domino-Serverstruktur. SafeLinx kann auch als sicherer Zugangspunkt zu den internen Domino-Servern für HCL Traveler oder HCL Verse fungieren. Er ist der einzige Reverse-Proxy auf dem Markt, der nicht nur für Webanwendungen (Port 80/440) sondern auch Notes (Port 1352) sicher durchroutet.

by Marc Thomas

Warum SafeLinx?

Safelinx dient als sicherer Zugangspunkt von zB HCL Nomad (Notes-Client für mobile Geräte wie iOS oder Android) auf die interne Domino-Serverstruktur. SafeLinx kann auch als sicherer Zugangspunkt zu den internen Domino-Servern für HCL Traveler oder HCL Verse fungieren. Er ist der einzige Reverse-Proxy auf dem Markt, der nicht nur für Webanwendungen (Port 80/440) sondern auch Notes (Port 1352) sicher durchroutet.

Der Inhalt von SafeLinx ist so umfangreich, dass wir Ihnen Schritt für Schritt eine nahezu nahtlose guide. Aufgrund der Lautstärke sahen wir uns jedoch auch gezwungen, dies in zwei Hauptabschnitte aufzuteilen:

  • die Installation eines SafeLinx Servers (Teil 1 = dieser Beitrag) und
  • die Einrichtung eines SafeLinx Servers (Teil 2)

Anforderungen

Für die Installation von SafeLinx müssen einige Bedingungen erfüllt sein. Dies sind in der Regel ein gültiges SSL-Zertifikat und ein dedizierter Server (meist in der DMZ).

Ich würde auch empfehlen, die Dokumentation von SafeLinx 1.1 als Referenz für alle Fälle zur Hand zu haben. Sie finden es unter: https://help.hcltechsw.com/safelinx/1.1/index.html

Was genau macht ein SafeLinx-Server?

Grundsätzlich dient ein SafeLinx Server als „Reverse Proxy“, wie man ihn traditionell von einem Webserver kennt.
SafeLinx kann auch als Web-Proxy fungieren, nimmt aber in diesem Fall NRPC-Pakete (Port 1352), also das Notes-Protokoll, an und leitet diese Pakete nach innen durch die DMZ an einen Domino-Server weiter.

Neben Nomad kann SafeLinx auch als zentraler Einstiegspunkt in die DMZ für folgende HCL-Produkte dienen:

  • HCL Nomad
  • HCL Sametime
  • HCL-iNotes
  • HCL-Vers
  • HCL Notes Traveler

Besser noch, SafeLinx kann von HCL-Kunden, die auf die CCB-Lizenz umgestiegen sind oder bereits verwenden, kostenlos genutzt werden.

Übersicht über die vereinfachte Architektur
Übersicht über die vereinfachte Architektur

Die Komponenten

In meinem Fall habe ich folgende Komponenten verwendet:

Betriebssystem:8 CentOS
SafeLinx-Server 1.1:HCL-SafeLinx-110-x86_64.tar.gz
DB2-Express-C:v11.5.4_linuxx64_server_dec.tar.gz
SafeLinx-Administrator:HCL-SafeLinx-Administrator-110-x64.exe

Zunächst jedoch ein Wort zum verwendeten Datenspeicher

Neben DB2 können Sie auch Oracle (Linux) oder MS-SQL (Windows) verwenden. Welche Versionen genau finden Sie im Veröffentlichungsnotizen.
Beim Testen und/oder in einer kleinen Umgebung mit bis zu 100 Benutzern können Sie jedoch auch ohne dedizierten Datenspeicher nur im Dateisystem arbeiten. Der SafeLinx-Administrator fragt beim ersten Start, ob das Dateisystem als Datenspeicher verwendet werden soll.

In dieser Konstellation muss keines der oben genannten Datenbankprodukte vorab installiert werden.

Installation DB2

Es ist von Vorteil, wenn auf dem Linux-Server eine GUI verfügbar ist, um DB2 als Datenspeicher zu verwenden. Alternativ kann man die GUI per X11 und SSH durchschleifen, aber ich wollte es hier nicht zu kompliziert machen.

Installieren von DB2 unter CentOS 8

Ich habe die einfache Option gewählt, indem ich den vorgeschlagenen "Standard" unter CentOS8 verwendet habe.

yum groupinstall "Server with GUI"

Anschließend kann die GUI über „startx“ gestartet werden. Die Installation und Einrichtung der DB2 Express-C-Instanz erfolgt dann direkt aus dem entpackten Paket.

"./db2setup"

startet das Setup des DB2-Servers. Die einzelnen Schritte zur Installation sind nicht sehr umfangreich und können schnell durchgeführt werden.

Wählen Sie im zweiten Schritt eine typische DB2-Installation aus.

Geben Sie die Passwörter für Administratorbenutzer in den folgenden beiden Fenstern des Einrichtungsassistenten an.

Obwohl diese Kennwörter später für die Verbindung zum DB2-Datenspeicher nicht benötigt werden, sollten sie wie alle Kennwörter sicher dokumentiert werden. Die Installation selbst kann einige Zeit in Anspruch nehmen, da das Paket recht groß ist (ca. 2 GB).

Sobald die Installation erfolgreich abgeschlossen ist, können wir diesen ersten Schritt abschließen.

Die DB2-Instanz ist jetzt installiert und kann sofort verwendet werden.

Installation des SafeLinx-Servers (Linux)

Unmittelbar danach installieren wir den SafeLinx Server. Dazu wechseln wir auf das bereits entpackte Paket auf dem Server.

./install_wg

Sofern die Prüfung erfolgreich war, sucht das Installationsprogramm nach dem DB2-Server und gibt an, welche Version es gefunden hat.

Abschließend werden Sie gefragt, ob der SafeLinx Server beim Booten des Rechners automatisch gestartet werden soll. Bitte bestätigen Sie dies mit „Y“.

Die Installation des SafeLinx Servers und damit der zentralen Serverkomponenten ist nun abgeschlossen.

Installation des SafeLinx-Administrators

Der SafeLinx Administrator ist für die Verwaltung und Handhabung von SafeLinx Servern verantwortlich. Dieser SafeLinx Administrator kann sowohl unter Windows als auch unter Linux verwendet werden. Dies ist ein Java-basiertes Tool.

Für dieses Beispiel werde ich es unter Windows installieren.

Die Installation geht in der Regel sehr schnell.

Wie bereits erwähnt, basiert SafeLinx Administrator auf JAVA und ist kein normales Windows-Programm.

Sie starten also keine „EXE“, sondern eine Batch-Datei.

Grundkonfiguration SafeLinx Administrator

Wir können SafeLinx Administrator sofort nach der Installation starten. Wir müssen beim ersten Start ein „Login-Profil“ erstellen.

Beim ersten Start muss ein „normales“ Profil erstellt werden. Sie können auch die IP-Adresse des SafeLinx-Servers verwenden, wenn Sie keinen auflösbaren DNS-Namen für den Server haben.

Das Standardpasswort lautet: „sl4!admin“

Leider ist dies in der Dokumentation nicht so offensichtlich. Der Benutzername ist „admin“.

Der erste Dialog erscheint nach der Anmeldung, in dem SafeLinx guides uns durch die grundlegende Einrichtung.

Nach der Bestätigung wird der Datenspeicher abgefragt und hier wählen wir die ODBC-Schnittstelle für die DB2-Verbindung aus.

Im Folgenden werden Kennwörter für die DB2-Instanz vergeben, die SafeLinx verwenden soll (frei wählbar).

Ich würde empfehlen, am Anfang alle drei Elemente für die Protokollebene (Fehler/Protokoll/Warnung) auszuwählen und fortzufahren.

Die Grundeinstellung ist abgeschlossen.

Außerdem werden Sie gefragt, ob Sie einen eigenen Benutzer oder ein eigenes Passwort einrichten möchten.

Bitte bestätigen Sie dieses Fenster mit „Ja“ und vergeben Sie Ihr eigenes SafeLinx-Passwort für den „Access Manager“ und bestätigen Sie mit „OK“.

Einer der letzten Schritte fragt nach dem FlexNet-Lizenzserver. Da zu diesem Zeitpunkt keine Eingabe oder Verbindung zum FlexNet License Server erforderlich ist, kann die Frage abgelehnt werden.

Einrichtung des Safelinx-Serverknotens

Der letzte Schritt für heute besteht darin, den Safelinx-Knoten zu erstellen und zu aktivieren.

Der Assistent zum Hinzufügen eines weiteren SafeLinx Server-Knotens erscheint nach der letzten Frage zum FlexNet-Server.

Hier sollte nur der DNS-Name des SafeLinx Servers angegeben werden, unter dem die logische Maschine erreichbar ist.
Einfach markiert in der Hierarchie belassen und mit „Weiter“ bestätigen.

Damit ist die Einrichtung des Knotens abgeschlossen.

Es gibt einige abschließende Fragen, die Sie wie folgt beantworten.

Wir werden den http-Dienst im nächsten Teil unserer blog Serie. Dort finden Sie auch die entsprechende Konfiguration für HCL Nomad. Sofern Sie nicht ohne uns fortfahren möchten, antworten Sie bitte mit „Nein“.

Da wir in unserem Szenario keinen mobilen Zugang benötigen, beantworten Sie auch diese Frage mit „Nein“.

Hier können Sie zusätzliche Benutzer für den SafeLinx Server definieren. Dies ist jedoch auch zu einem späteren Zeitpunkt problemlos möglich.

Wir werden nun gefragt, ob wir den SafeLinx Server starten wollen.

Natürlich möchten wir damit beginnen. Bitte wählen Sie hier „Ja“.

Das System bestätigt, dass der Startbefehl an den Server gesendet wurde.

Im nächsten Teil werden wir SafeLinx einrichten und eine Konfiguration für HCL Nomad erstellen. Fühlen Sie sich frei, unten mit Anregungen und Fragen zu kommentieren. Ich freue mich, wenn dieser Artikel bei der Grundinstallation von SafeLinx geholfen hat.

Warum SafeLinx?

Safelinx dient als sicherer Zugangspunkt von zB HCL Nomad (Notes-Client für mobile Geräte wie iOS oder Android) auf die interne Domino-Serverstruktur. SafeLinx kann auch als sicherer Zugangspunkt zu den internen Domino-Servern für HCL Traveler oder HCL Verse fungieren. Er ist der einzige Reverse-Proxy auf dem Markt, der nicht nur für Webanwendungen (Port 80/440) sondern auch Notes (Port 1352) sicher durchroutet.

Der Inhalt von SafeLinx ist so umfangreich, dass wir Ihnen Schritt für Schritt eine nahezu nahtlose guide. Aufgrund der Lautstärke sahen wir uns jedoch auch gezwungen, dies in zwei Hauptabschnitte aufzuteilen:

  • die Installation eines SafeLinx Servers (Teil 1 = dieser Beitrag) und
  • die Einrichtung eines SafeLinx Servers (Teil 2)

Anforderungen

Für die Installation von SafeLinx müssen einige Bedingungen erfüllt sein. Dies sind in der Regel ein gültiges SSL-Zertifikat und ein dedizierter Server (meist in der DMZ).

Ich würde auch empfehlen, die Dokumentation von SafeLinx 1.1 als Referenz für alle Fälle zur Hand zu haben. Sie finden es unter: https://help.hcltechsw.com/safelinx/1.1/index.html

Was genau macht ein SafeLinx-Server?

Grundsätzlich dient ein SafeLinx Server als „Reverse Proxy“, wie man ihn traditionell von einem Webserver kennt.
SafeLinx kann auch als Web-Proxy fungieren, nimmt aber in diesem Fall NRPC-Pakete (Port 1352), also das Notes-Protokoll, an und leitet diese Pakete nach innen durch die DMZ an einen Domino-Server weiter.

Neben Nomad kann SafeLinx auch als zentraler Einstiegspunkt in die DMZ für folgende HCL-Produkte dienen:

  • HCL Nomad
  • HCL Sametime
  • HCL-iNotes
  • HCL-Vers
  • HCL Notes Traveler

Besser noch, SafeLinx kann von HCL-Kunden, die auf die CCB-Lizenz umgestiegen sind oder bereits verwenden, kostenlos genutzt werden.

Übersicht über die vereinfachte Architektur
Übersicht über die vereinfachte Architektur

Die Komponenten

In meinem Fall habe ich folgende Komponenten verwendet:

Betriebssystem:8 CentOS
SafeLinx-Server 1.1:HCL-SafeLinx-110-x86_64.tar.gz
DB2-Express-C:v11.5.4_linuxx64_server_dec.tar.gz
SafeLinx-Administrator:HCL-SafeLinx-Administrator-110-x64.exe

Zunächst jedoch ein Wort zum verwendeten Datenspeicher

Neben DB2 können Sie auch Oracle (Linux) oder MS-SQL (Windows) verwenden. Welche Versionen genau finden Sie im Veröffentlichungsnotizen.
Beim Testen und/oder in einer kleinen Umgebung mit bis zu 100 Benutzern können Sie jedoch auch ohne dedizierten Datenspeicher nur im Dateisystem arbeiten. Der SafeLinx-Administrator fragt beim ersten Start, ob das Dateisystem als Datenspeicher verwendet werden soll.

In dieser Konstellation muss keines der oben genannten Datenbankprodukte vorab installiert werden.

Installation DB2

Es ist von Vorteil, wenn auf dem Linux-Server eine GUI verfügbar ist, um DB2 als Datenspeicher zu verwenden. Alternativ kann man die GUI per X11 und SSH durchschleifen, aber ich wollte es hier nicht zu kompliziert machen.

Installieren von DB2 unter CentOS 8

Ich habe die einfache Option gewählt, indem ich den vorgeschlagenen "Standard" unter CentOS8 verwendet habe.

yum groupinstall "Server with GUI"

Anschließend kann die GUI über „startx“ gestartet werden. Die Installation und Einrichtung der DB2 Express-C-Instanz erfolgt dann direkt aus dem entpackten Paket.

"./db2setup"

startet das Setup des DB2-Servers. Die einzelnen Schritte zur Installation sind nicht sehr umfangreich und können schnell durchgeführt werden.

Wählen Sie im zweiten Schritt eine typische DB2-Installation aus.

Geben Sie die Passwörter für Administratorbenutzer in den folgenden beiden Fenstern des Einrichtungsassistenten an.

Obwohl diese Kennwörter später für die Verbindung zum DB2-Datenspeicher nicht benötigt werden, sollten sie wie alle Kennwörter sicher dokumentiert werden. Die Installation selbst kann einige Zeit in Anspruch nehmen, da das Paket recht groß ist (ca. 2 GB).

Sobald die Installation erfolgreich abgeschlossen ist, können wir diesen ersten Schritt abschließen.

Die DB2-Instanz ist jetzt installiert und kann sofort verwendet werden.

Installation des SafeLinx-Servers (Linux)

Unmittelbar danach installieren wir den SafeLinx Server. Dazu wechseln wir auf das bereits entpackte Paket auf dem Server.

./install_wg

Sofern die Prüfung erfolgreich war, sucht das Installationsprogramm nach dem DB2-Server und gibt an, welche Version es gefunden hat.

Abschließend werden Sie gefragt, ob der SafeLinx Server beim Booten des Rechners automatisch gestartet werden soll. Bitte bestätigen Sie dies mit „Y“.

Die Installation des SafeLinx Servers und damit der zentralen Serverkomponenten ist nun abgeschlossen.

Installation des SafeLinx-Administrators

Der SafeLinx Administrator ist für die Verwaltung und Handhabung von SafeLinx Servern verantwortlich. Dieser SafeLinx Administrator kann sowohl unter Windows als auch unter Linux verwendet werden. Dies ist ein Java-basiertes Tool.

Für dieses Beispiel werde ich es unter Windows installieren.

Die Installation geht in der Regel sehr schnell.

Wie bereits erwähnt, basiert SafeLinx Administrator auf JAVA und ist kein normales Windows-Programm.

Sie starten also keine „EXE“, sondern eine Batch-Datei.

Grundkonfiguration SafeLinx Administrator

Wir können SafeLinx Administrator sofort nach der Installation starten. Wir müssen beim ersten Start ein „Login-Profil“ erstellen.

Beim ersten Start muss ein „normales“ Profil erstellt werden. Sie können auch die IP-Adresse des SafeLinx-Servers verwenden, wenn Sie keinen auflösbaren DNS-Namen für den Server haben.

Das Standardpasswort lautet: „sl4!admin“

Leider ist dies in der Dokumentation nicht so offensichtlich. Der Benutzername ist „admin“.

Der erste Dialog erscheint nach der Anmeldung, in dem SafeLinx guides uns durch die grundlegende Einrichtung.

Nach der Bestätigung wird der Datenspeicher abgefragt und hier wählen wir die ODBC-Schnittstelle für die DB2-Verbindung aus.

Im Folgenden werden Kennwörter für die DB2-Instanz vergeben, die SafeLinx verwenden soll (frei wählbar).

Ich würde empfehlen, am Anfang alle drei Elemente für die Protokollebene (Fehler/Protokoll/Warnung) auszuwählen und fortzufahren.

Die Grundeinstellung ist abgeschlossen.

Außerdem werden Sie gefragt, ob Sie einen eigenen Benutzer oder ein eigenes Passwort einrichten möchten.

Bitte bestätigen Sie dieses Fenster mit „Ja“ und vergeben Sie Ihr eigenes SafeLinx-Passwort für den „Access Manager“ und bestätigen Sie mit „OK“.

Einer der letzten Schritte fragt nach dem FlexNet-Lizenzserver. Da zu diesem Zeitpunkt keine Eingabe oder Verbindung zum FlexNet License Server erforderlich ist, kann die Frage abgelehnt werden.

Einrichtung des Safelinx-Serverknotens

Der letzte Schritt für heute besteht darin, den Safelinx-Knoten zu erstellen und zu aktivieren.

Der Assistent zum Hinzufügen eines weiteren SafeLinx Server-Knotens erscheint nach der letzten Frage zum FlexNet-Server.

Hier sollte nur der DNS-Name des SafeLinx Servers angegeben werden, unter dem die logische Maschine erreichbar ist.
Einfach markiert in der Hierarchie belassen und mit „Weiter“ bestätigen.

Damit ist die Einrichtung des Knotens abgeschlossen.

Es gibt einige abschließende Fragen, die Sie wie folgt beantworten.

Wir werden den http-Dienst im nächsten Teil unserer blog Serie. Dort finden Sie auch die entsprechende Konfiguration für HCL Nomad. Sofern Sie nicht ohne uns fortfahren möchten, antworten Sie bitte mit „Nein“.

Da wir in unserem Szenario keinen mobilen Zugang benötigen, beantworten Sie auch diese Frage mit „Nein“.

Hier können Sie zusätzliche Benutzer für den SafeLinx Server definieren. Dies ist jedoch auch zu einem späteren Zeitpunkt problemlos möglich.

Wir werden nun gefragt, ob wir den SafeLinx Server starten wollen.

Natürlich möchten wir damit beginnen. Bitte wählen Sie hier „Ja“.

Das System bestätigt, dass der Startbefehl an den Server gesendet wurde.

Im nächsten Teil werden wir SafeLinx einrichten und eine Konfiguration für HCL Nomad erstellen. Fühlen Sie sich frei, unten mit Anregungen und Fragen zu kommentieren. Ich freue mich, wenn dieser Artikel bei der Grundinstallation von SafeLinx geholfen hat.

Kommentare (8 Kommentare)
  • Marc Thomas sagt:

    Hallo Steven, ja! Es hat etwas länger gedauert, als ich dachte, aber es ist auf der Ziellinie und wird in Kürze verfügbar sein.

  • Steven Wang sagt:

    Hallo Marc.

    Tolle Dokumentation

    Gibt es ein Teil 2 Dokument?

    Vielen Dank

  • Kerbe sagt:

    schön aufschreiben...danke...

    Eine Sache, die in dem Dokument fehlt, ist für mich die Installation von 'ksh' und das Öffnen von Port 9555 auf der Firewall. Die folgenden Befehle (vor './install_wg') sind (vorausgesetzt, Sie sind bereits 'root'):

    yum intall ksh
    firewall-cmd –zone = public –add-port = 9555 / tcp –permanent
    firewall-cmd -reload

    • Marc sagt:

      Hallo Nick,

      Teil II dieses Artikels ist in Arbeit. Übrigens: Ja! Ich war bereits während der Installationsphase „root“. Dieser Artikel sollte den Leuten einen schnellen Einstieg in SafeLinx geben. Aber jeder Kunde hat seine eigenen Spezialitäten. Ksh- und Firewall-Kommentare sind natürlich gültige Kommentare. Dank dafür!

  • Marc Thomas sagt:

    Hallo Kris, du hast vollkommen recht. Danke für die Aufmerksamkeit bei den kleinen Dingen! 🙂 Wir korrigieren den Tippfehler umgehend. Es ist natürlich Port 1352.

  • Kris De Bisschop sagt:

    Hallo, danke für die Dokumentation, aber Vorsicht, das Dokument hat einen Fehler im Satz „aber in diesem Fall akzeptiert es NRPC-Pakete (Port 1353), also das Notes-Protokoll“. Der Port ist 1352. Die meisten von uns wissen das, aber wenn wir Neulinge haben…

  • Hubertus sagt:

    Hallo Marc,
    tolle Dokumentation. 😉
    Der Kunde kann fragen, wo er die software für DB2 Express-C.
    Ist das kostenlos?
    Herzliche Grüße
    Hubertus

    • Marc Thomas sagt:

      Hallo Hubertus,

      vielen Dank für Ihren Kommentar. Den Downloadlink erhalten Sie nach dem Login bei IBM mit Ihrer IBM ID unter folgendem Link.

      https://www.ibm.com/de-de/products/db2-database

      Klicken Sie auf „Kostenlos testen“ und melden Sie sich mit Ihrer IBM ID an. Wenn Sie keine haben, müssen Sie eine erstellen.
      Die community Edition von DB2 kann mit den genannten Einschränkungen kostenlos verwendet werden.

      Grüße Marc

Hinterlasse uns einen Kommentar

Weitere Informationen finden Sie in unserem Datenschutzerklärung.