Difference between revisions of "Adminintroduktion"

m
m
 
(2 intermediate revisions by 2 users not shown)
Line 4: Line 4:
  
 
== Villkor och Behörigheter==
 
== Villkor och Behörigheter==
Som en admin så "bör" man ha tillgång till följande resurser
+
Som en admin så ''bör'' man ha tillgång till följande resurser
*epostlistan staff@stacken.kth.se
+
* epostlistan staff@stacken.kth.se
*kerberos inlogging för ${USER:?}/root samt ${USER:?}/admin
+
* kerberos inlogging för ${USER:?}/root samt ${USER:?}/admin
*matrix chatten för staff
+
* matrix chatten för staff
  
 
En admin kan få möjlighet till en nyckel för serverhallen!
 
En admin kan få möjlighet till en nyckel för serverhallen!
  
Som administratör är det ett NÖDVÄNDIGT VILLKÅR att en har skrivit under ansvarsförbindelsen.
+
Som administratör är det ett NÖDVÄNDIGT VILLKOR att en har skrivit under ansvarsförbindelsen. (Mallar finns i en låda i datorhallen).
(Den finns i en låda i serverummet)
 
  
 
== Behörigheter ==
 
== Behörigheter ==
Keberos är systemet stackens användare och admins använder för att autentisera sin ssh, afs-katalog (och telenet om det är NÖDVÄNDIGT).  
+
Kerberos är systemet Stackens användare och admins använder för att autentisera sig själva för åtkomst till, bland annat, SSH och AFS.
Som systemanvändare kommer du ha tillgång till personliga, root- och adminbiljetter.
+
Som administratör kommer du ha tillgång till personliga, root- och admininstanser.
Sin personliga används ex för afs-katalogen och shell.stacken.kth.se, medans root används för att komma in
+
Personlig instans används t.ex. för din AFS hemkatalog och skalservrar, medans root används för att komma in
i maskiner såsom raider.stacken.kth.se. Adminbiljetten används bla för att ändra rättigheterna till ens
+
i servicemaskiner såsom raider.stacken.kth.se. Admininstansen används bl.a. för att ändra rättigheterna till instanser. T.ex. så kan det vara av intresse att uppdatera instansers livslängd ibland, så man inte blir utlåst ur systemet.
alla biljetter. Tex så kan det vara av intresse add updatera biljetternas lifetime ibland, så man inte blir utlåst ur systemet!
 
  
Dessa serverar har ofta docker-containers eller hostar vm så det finns mer komplexitet än detta.
+
== Exempel Kerberos ==
 +
Till en början konfigurera och installera kerberoes såhär [[Kerberos_och_AFS_för_användare]]
  
 
== Exempel Kerberoes ==
 
Till en början [hyperlänk:se till att kerberoes är installerat och konfigurerat.]
 
 
För att få ens root biljett
 
För att få ens root biljett
 
   
 
   
Line 31: Line 27:
 
  $ kauth ${USER:?}/root@STACKEN.KTH.SE    (notera stora bokstäver)
 
  $ kauth ${USER:?}/root@STACKEN.KTH.SE    (notera stora bokstäver)
 
   
 
   
Nu kan du ssh in i en "dator" med root såhär:
+
Nu kan du SSH:a in i en "dator" med root såhär:
  
 
  $ ssh root@"dator".stacken.kth.se
 
  $ ssh root@"dator".stacken.kth.se
Line 38: Line 34:
  
 
== Felsökning/Nödlösning ==
 
== Felsökning/Nödlösning ==
 +
Installera heimdal till din kerberoes så kanske det kommer att funka!
 +
 
Använd i första hand SSH, om det går. Lite beroende OS, dist eller månfas så varierar flaggorna på SSH.
 
Använd i första hand SSH, om det går. Lite beroende OS, dist eller månfas så varierar flaggorna på SSH.
 
Några varianter du kan prova med är:
 
Några varianter du kan prova med är:
Line 47: Line 45:
 
  $ssh root@datan.stacken.kth.se -o GSSAPIAuthentication=yes
 
  $ssh root@datan.stacken.kth.se -o GSSAPIAuthentication=yes
  
 
+
== Kerberos - Serverar ==
kinit funkar på dem flästa servrarna så du kan "ssh hoppa" mellan dem!
 
 
 
Om du har något lokalt fel på datorn som hindrar dig att köra
 
$ ssh root@"other.kth.se"
 
så "kan" du göra något sådant
 
$ ssh ${USER:?}@shell.stacken.kth.se
 
$ kinit ${USER:?}/root
 
$ ssh root@"other".kth.se
 
 
 
== Telnet ==
 
 
 
Telnet är deprecated och bör undvikas.
 
 
 
$ telnet -l root datan.stacken.kth.se
 
 
 
Om du loggar in från en stackendator eller en dator på stackens nätverk behöver du inte skriva stacken.kth.se.
 
 
 
Det här ska fungera även om du inte kan logga in på datan som dig själv, till exempel om afs är trasigt.
 
 
 
Om den här metoden ändå inte fungerar så beror nästa steg på vilken dator det är du ska logga in på; om de har seriekonsol ansluten till konsnoll kan du använda den, en del datorer har särskillda övervakningskort som kan ge konsol via webbläsare. I värsta fall behöver man gå till datorhallen och koppla in en terminal eller skärm och tangentbord.
 
 
 
== Kerberos - Severs ==
 
  
 
Kerberosservrarna hör till de maskiner man inte kan logga in på alls om man inte är i datorhallen. För de här maskinerna är det maximal säkerhet som gäller.
 
Kerberosservrarna hör till de maskiner man inte kan logga in på alls om man inte är i datorhallen. För de här maskinerna är det maximal säkerhet som gäller.
Line 78: Line 54:
  
 
== AFS ==
 
== AFS ==
 
  
 
[http://www.pdc.kth.se/search?SearchableText=afs PDC har en del dokument om AFS].
 
[http://www.pdc.kth.se/search?SearchableText=afs PDC har en del dokument om AFS].

Latest revision as of 00:34, 10 January 2025

Introduktion för nya systemadministratörer på Stacken.


Villkor och Behörigheter

Som en admin så bör man ha tillgång till följande resurser

  • epostlistan staff@stacken.kth.se
  • kerberos inlogging för ${USER:?}/root samt ${USER:?}/admin
  • matrix chatten för staff

En admin kan få möjlighet till en nyckel för serverhallen!

Som administratör är det ett NÖDVÄNDIGT VILLKOR att en har skrivit under ansvarsförbindelsen. (Mallar finns i en låda i datorhallen).

Behörigheter

Kerberos är systemet Stackens användare och admins använder för att autentisera sig själva för åtkomst till, bland annat, SSH och AFS. Som administratör kommer du ha tillgång till personliga, root- och admininstanser. Personlig instans används t.ex. för din AFS hemkatalog och skalservrar, medans root används för att komma in i servicemaskiner såsom raider.stacken.kth.se. Admininstansen används bl.a. för att ändra rättigheterna till instanser. T.ex. så kan det vara av intresse att uppdatera instansers livslängd ibland, så man inte blir utlåst ur systemet.

Exempel Kerberos

Till en början konfigurera och installera kerberoes såhär Kerberos_och_AFS_för_användare

För att få ens root biljett

$ pagsh                            (om man vill spara en uthämtad biljett innan den förstörs)
$ kauth ${USER:?}/root@STACKEN.KTH.SE     (notera stora bokstäver)

Nu kan du SSH:a in i en "dator" med root såhär:

$ ssh root@"dator".stacken.kth.se

Notera att du måste ligga i /root/.k5login på filsystemet av "dator":n.

Felsökning/Nödlösning

Installera heimdal till din kerberoes så kanske det kommer att funka!

Använd i första hand SSH, om det går. Lite beroende OS, dist eller månfas så varierar flaggorna på SSH. Några varianter du kan prova med är:

$ssh -K root@datan.stacken.kth.se
$ssh -KX root@datan.stacken.kth.se
$ssh root@datan.stacken.kth.se -o GSSAPIAuthentication=yes

Kerberos - Serverar

Kerberosservrarna hör till de maskiner man inte kan logga in på alls om man inte är i datorhallen. För de här maskinerna är det maximal säkerhet som gäller.

Lyckligvis behöver man nästan aldrig logga in på en kerberosserver, i stort sett allt man kan behöva göra görs med kommandot kadmin från vilken dator som hellst. När man kör kadmin får man ett kadminskal, där man kan köra kommandon för att få information om konton (get), skapa nya konton / instanser (add), ändra på konton / instanser (modify), etc. När du försöker göra något som kräver behövrighet kommer kadmin att fråga om ditt adminlösenord (dvs lösenordet för $USER/admin@STACKEN.KTH.SE).

Kadmin har inbyggd hjälp, som nås med help.

AFS

PDC har en del dokument om AFS.

Stacken tar backup på afsdata per volym. Vissa volymnamn (t ex de som börjar på ftp) filteras bort, eftersom vi inte vill slösa backuputrymme på sådant vi har speglat hem och enkelt kan spegla igen.

För närvarande kan vi inte ta backup på volymer som är större än 2G, så om det ska tas backup på en volym bör dess quota inte sättas högre än så.

Vi har en del statistikverktyg för att se hur vårt filserverutrymme utnyttjas. Dessa verktyg har också motsvarigheter man kan köra på kommandoraden (med fs och vos) för att se aktuell status utan att vänta på periodisk updatering.

Säkerhet

Skriv bara in ditt root- och adminlösenord på en maskin som du litar på (t.ex. din egen dator). Gör aldrig en kadmin eller en kinit/kauth på en maskin du inte litar på, eller på en av stackens servrar.