ansible-role-nextcloud/README.md

Nextcloud
=========

Diese Rolle installiert [Nextcloud](https://nextcloud.com). Sie umfasst:

- Einrichtung der Datenbank
- Installation und Ersteinrichtung von Nextcloud
- Anlegen eines Zertifikates + Konfigurarion des Reverse Proxies
- Anlegen eines PHP-FPM-Master-Prozesses mit socket activation

# Verfügbare Variablen

Zur Konfiguration von Nextcloud stehen zwei Dictionaries zur Verfügung. Unter `groups_vars/all/nextcloud.yaml`
befinden sich im Dictionary `default_occ_config` die Default-Einstellungen für alle Instanzen.

Zur individuellen Konfiguration können weitere Variablen in den `host_vars` unter `nextcloud_instaces` als Dictionary
`occ_config` angegeben werden. Beide Dictionaries werden beim Ausführen des Playbooks gemergt.

Die Struktur der Dictonaries muss dabei zwingend der Nextcloud-Syntax folgen. Diese lässt sich auf eine bestenden Instanz mit [occ](https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/occ_command.html#config-commands) ausgeben:
```Shell
occ config:list --private
```

Beispiel-Konfiguration:


```YAML
default_occ_config:
  system:
    default_language: de
    default_locale: de_DE

nextcloud_instances:
  - name: coop.systemausfall.org
    user: nextcloud
    database: nextcloud
    database_type: PostgreSQL
    hiddenservice: true
    occ_config:
      apps:
        core:
          backgroundjobs_mode: cron
      system:
        mail_from: noreply
        mail_domain: systemausfall.org
```

# Ausführen der Rolle
## Vorbereitungen

Nextcloud lässt sich per Kommandozeile mittels [occ](https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/occ_command.html#file-operations-label)
recht umfangreich konfigurieren und steuern. Wichtig ist, dass die PHP-Variable `apc.enable_cli: 1` gesetzt ist.
Dies übernimmt die Rolle `senselab.php` passieren, wenn in den ensprechenden `host_vars` des Nextcloud-Servers folgendes gesetzt ist:
```YAML
php_cli_config:
  apc.enable_cli: 1
  memory_limit: 512M
  ...
```

## Neue Nextcloud-Instanz anlegen

- Trage die Informationen zur neuen Instanz in die entsprechende `host_vars`-Datei unter `nextcloud_instances` ein:
  | Variable | Wert | Beschreibung |
  |----------|------|--------------|
  | `name` | string | Domain-Name der Instanz |
  | `alias`| string | Array mit weiteren Domain-Alias-Namen für diese Instanz |
  | `user` | string | Name eines anzulegenden Systemnutzers, der den PHP-FPM-Prozess ausführt |
  | `database` | string | Name der anzulegenden Datenbank |
  | `database_type` | string | `MariaDB` oder `PostgreSQL` |
  | `hiddenservice` | bol | Richtet für die Instanz einen Onion Service ein |
- Lege in den `host_vars` den Webserver-Typ fest:
  | Variable | Wert | Beschreibung |
  |----------|------|--------------|
  | `nextcloud_webserver` | string | `Apache` oder `Nginx` |
- Starte anschließend das Playbook:
  ```Shell
  ansible-playbook playbooks/nextcloud.yml
  ```
- Bei der Erstinstallation einer Nextcloud-Instanz gibt die Rolle anschließend die Anmeldeinformationen für den Admin-Zugang aus.

## Tasks einzeln ausführen

Tasks können auch einzeln ausgeführt werden. Der Tasks `configuration` sollte immer mit `hiddenservice` ausgeführt werden (Reihenfolge ist wichtig):
```Shell
ansible-playbook playbooks/nextcloud.yml --tags configuration,hiddenservice
```

# Aktualisierung des Cores/ von Apps

Mit dem Skript `nextcloud-updater` können alle Nextcloud-Instanzen und die installierten Apps gleichzeitig aktualisiert werden.

# Hinweise
## Serverseitige Verschlüsselung

- Bei der serverseitigen Verschlüsselung wird der Schlüssel im Klartext auf dem Server gespeichert. Sofern die Daten also nicht auf einem externen Speicher liegen, bringt dies keinen Sicherheitsgewinn.
- In unseren Tests führte die serverseitige Verschlüsselung teilweise zu Problemen bei der Entschlüsselung.
- Per [occ](https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/occ_command.html?highlight=occ+encryption#encryption-label) lässt sich die Verschlüsselung wieder deaktivieren und alle Daten können in einem Schritt entschlüsselt werden.
  - Möglicherweise liegen dann immer noch Daten verschlüsselt vor (Dazu gibt es diverse Fehlerberichte). Mit dem PHP-Skript von [Syseleven](https://github.com/syseleven/nextcloud-tools/blob/master/rescue/decrypt-all-files.php) können die Daten entschlüsselt werden.
nextcloud: Erstelle README 2022-07-26 16:53:28 +02:00			`Nextcloud`
			`=========`

			`Diese Rolle installiert [Nextcloud](https://nextcloud.com). Sie umfasst:`

			`- Einrichtung der Datenbank`
			`- Installation und Ersteinrichtung von Nextcloud`
			`- Anlegen eines Zertifikates + Konfigurarion des Reverse Proxies`
			`- Anlegen eines PHP-FPM-Master-Prozesses mit socket activation`

Nextcloud: Setup NC configuration via occ import 2023-10-22 20:29:30 +02:00			`# Verfügbare Variablen`

			Zur Konfiguration von Nextcloud stehen zwei Dictionaries zur Verfügung. Unter `groups_vars/all/nextcloud.yaml`
			befinden sich im Dictionary `default_occ_config` die Default-Einstellungen für alle Instanzen.

			Zur individuellen Konfiguration können weitere Variablen in den `host_vars` unter `nextcloud_instaces` als Dictionary
			`occ_config` angegeben werden. Beide Dictionaries werden beim Ausführen des Playbooks gemergt.

			`Die Struktur der Dictonaries muss dabei zwingend der Nextcloud-Syntax folgen. Diese lässt sich auf eine bestenden Instanz mit [occ](https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/occ_command.html#config-commands) ausgeben:`
			```Shell
			`occ config:list --private`
			```

			`Beispiel-Konfiguration:`


			```YAML
			`default_occ_config:`
			`system:`
			`default_language: de`
			`default_locale: de_DE`

			`nextcloud_instances:`
			`- name: coop.systemausfall.org`
			`user: nextcloud`
			`database: nextcloud`
Enable PostgreSQL database support 2023-10-25 17:44:18 +02:00			`database_type: PostgreSQL`
Nextcloud: Setup NC configuration via occ import 2023-10-22 20:29:30 +02:00			`hiddenservice: true`
			`occ_config:`
			`apps:`
			`core:`
			`backgroundjobs_mode: cron`
			`system:`
			`mail_from: noreply`
			`mail_domain: systemausfall.org`
			```

nextcloud: Fix typos, re-add hiddenservice-task 2023-10-22 21:41:16 +02:00			`# Ausführen der Rolle`
Nextcloud: Configure PHP cli via role 2023-10-23 07:51:09 +02:00			`## Vorbereitungen`

			`Nextcloud lässt sich per Kommandozeile mittels [occ](https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/occ_command.html#file-operations-label)`
			recht umfangreich konfigurieren und steuern. Wichtig ist, dass die PHP-Variable `apc.enable_cli: 1` gesetzt ist.
			Dies übernimmt die Rolle `senselab.php` passieren, wenn in den ensprechenden `host_vars` des Nextcloud-Servers folgendes gesetzt ist:
			```YAML
			`php_cli_config:`
			`apc.enable_cli: 1`
			`memory_limit: 512M`
			`...`
			```

nextcloud: Fix typos, re-add hiddenservice-task 2023-10-22 21:41:16 +02:00			`## Neue Nextcloud-Instanz anlegen`
nextcloud: Erstelle README 2022-07-26 16:53:28 +02:00
nextcloud: Hinweis auf host_vars in README 2022-10-08 22:51:37 +02:00			- Trage die Informationen zur neuen Instanz in die entsprechende `host_vars`-Datei unter `nextcloud_instances` ein:
nextcloud: Erstelle README 2022-07-26 16:53:28 +02:00			`\| Variable \| Wert \| Beschreibung \|`
			`\|----------\|------\|--------------\|`
			\| `name` \| string \| Domain-Name der Instanz \|
			\| `alias`\| string \| Array mit weiteren Domain-Alias-Namen für diese Instanz \|
			\| `user` \| string \| Name eines anzulegenden Systemnutzers, der den PHP-FPM-Prozess ausführt \|
Enable PostgreSQL database support 2023-10-25 17:44:18 +02:00			\| `database` \| string \| Name der anzulegenden Datenbank \|
			\| `database_type` \| string \| `MariaDB` oder `PostgreSQL` \|
Nextcloud: Setup NC configuration via occ import 2023-10-22 20:29:30 +02:00			\| `hiddenservice` \| bol \| Richtet für die Instanz einen Onion Service ein \|
Enable Nginx as webserver 2023-10-25 18:04:18 +02:00			- Lege in den `host_vars` den Webserver-Typ fest:
			`\| Variable \| Wert \| Beschreibung \|`
			`\|----------\|------\|--------------\|`
			\| `nextcloud_webserver` \| string \| `Apache` oder `Nginx` \|
nextcloud: Erstelle README 2022-07-26 16:53:28 +02:00			`- Starte anschließend das Playbook:`
			```Shell
			`ansible-playbook playbooks/nextcloud.yml`
			```
Nextcloud: Setup NC configuration via occ import 2023-10-22 20:29:30 +02:00			`- Bei der Erstinstallation einer Nextcloud-Instanz gibt die Rolle anschließend die Anmeldeinformationen für den Admin-Zugang aus.`
nextcloud: Erstelle README 2022-07-26 16:53:28 +02:00
nextcloud: Fix typos, re-add hiddenservice-task 2023-10-22 21:41:16 +02:00			`## Tasks einzeln ausführen`

			Tasks können auch einzeln ausgeführt werden. Der Tasks `configuration` sollte immer mit `hiddenservice` ausgeführt werden (Reihenfolge ist wichtig):
			```Shell
			`ansible-playbook playbooks/nextcloud.yml --tags configuration,hiddenservice`
			```

nextcloud: Erstelle README 2022-07-26 16:53:28 +02:00			`# Aktualisierung des Cores/ von Apps`

			Mit dem Skript `nextcloud-updater` können alle Nextcloud-Instanzen und die installierten Apps gleichzeitig aktualisiert werden.
nextcloud: Hinweise zur Entschlüsselung 2022-07-27 18:14:32 +02:00
			`# Hinweise`
			`## Serverseitige Verschlüsselung`

			`- Bei der serverseitigen Verschlüsselung wird der Schlüssel im Klartext auf dem Server gespeichert. Sofern die Daten also nicht auf einem externen Speicher liegen, bringt dies keinen Sicherheitsgewinn.`
			`- In unseren Tests führte die serverseitige Verschlüsselung teilweise zu Problemen bei der Entschlüsselung.`
			`- Per [occ](https://docs.nextcloud.com/server/latest/admin_manual/configuration_server/occ_command.html?highlight=occ+encryption#encryption-label) lässt sich die Verschlüsselung wieder deaktivieren und alle Daten können in einem Schritt entschlüsselt werden.`
			`- Möglicherweise liegen dann immer noch Daten verschlüsselt vor (Dazu gibt es diverse Fehlerberichte). Mit dem PHP-Skript von [Syseleven](https://github.com/syseleven/nextcloud-tools/blob/master/rescue/decrypt-all-files.php) können die Daten entschlüsselt werden.`