Difference between revisions of "Adminintroduktion"
m (stavning) |
m |
||
| (5 intermediate revisions by 2 users not shown) | |||
| Line 1: | Line 1: | ||
''Introduktion för nya systemadministratörer på Stacken.'' | ''Introduktion för nya systemadministratörer på Stacken.'' | ||
| − | |||
| − | |||
| − | Som | + | == Villkor och Behörigheter== |
| + | Som en admin så ''bör'' man ha tillgång till följande resurser | ||
| + | * epostlistan staff@stacken.kth.se | ||
| + | * kerberos inlogging för ${USER:?}/root samt ${USER:?}/admin | ||
| + | * matrix chatten för staff | ||
| − | + | En admin kan få möjlighet till en nyckel för serverhallen! | |
| − | + | Som administratör är det ett NÖDVÄNDIGT VILLKOR att en har skrivit under ansvarsförbindelsen. (Mallar finns i en låda i datorhallen). | |
| − | + | == Behörigheter == | |
| + | Kerberos är systemet Stackens användare och admins använder för att autentisera sig själva för åtkomst till, bland annat, SSH och AFS. | ||
| + | Som administratör kommer du ha tillgång till personliga, root- och admininstanser. | ||
| + | Personlig instans används t.ex. för din AFS hemkatalog och skalservrar, medans root används för att komma in | ||
| + | i servicemaskiner såsom raider.stacken.kth.se. Admininstansen används bl.a. för att ändra rättigheterna till instanser. T.ex. så kan det vara av intresse att uppdatera instansers livslängd ibland, så man inte blir utlåst ur systemet. | ||
| − | + | == Exempel Kerberos == | |
| − | + | Till en början konfigurera och installera kerberoes såhär [[Kerberos_och_AFS_för_användare]] | |
| − | + | För att få ens root biljett | |
| + | |||
| + | $ pagsh (om man vill spara en uthämtad biljett innan den förstörs) | ||
| + | $ kauth ${USER:?}/root@STACKEN.KTH.SE (notera stora bokstäver) | ||
| + | |||
| + | Nu kan du SSH:a in i en "dator" med root såhär: | ||
| − | + | $ ssh root@"dator".stacken.kth.se | |
| − | |||
| − | + | Notera att du måste ligga i /root/.k5login på filsystemet av "dator":n. | |
| − | + | == Felsökning/Nödlösning == | |
| + | Installera heimdal till din kerberoes så kanske det kommer att funka! | ||
| − | + | Använd i första hand SSH, om det går. Lite beroende OS, dist eller månfas så varierar flaggorna på SSH. | |
| + | Några varianter du kan prova med är: | ||
| − | + | $ssh -K root@datan.stacken.kth.se | |
| − | + | $ssh -KX root@datan.stacken.kth.se | |
| − | $ | + | $ssh root@datan.stacken.kth.se -o GSSAPIAuthentication=yes |
| − | + | == Kerberos - Serverar == | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | == Kerberos == | ||
Kerberosservrarna hör till de maskiner man inte kan logga in på alls om man inte är i datorhallen. För de här maskinerna är det maximal säkerhet som gäller. | Kerberosservrarna hör till de maskiner man inte kan logga in på alls om man inte är i datorhallen. För de här maskinerna är det maximal säkerhet som gäller. | ||
| Line 48: | Line 54: | ||
== AFS == | == AFS == | ||
| − | |||
[http://www.pdc.kth.se/search?SearchableText=afs PDC har en del dokument om AFS]. | [http://www.pdc.kth.se/search?SearchableText=afs PDC har en del dokument om AFS]. | ||
Latest revision as of 00:34, 10 January 2025
Introduktion för nya systemadministratörer på Stacken.
Contents
Villkor och Behörigheter
Som en admin så bör man ha tillgång till följande resurser
- epostlistan staff@stacken.kth.se
- kerberos inlogging för ${USER:?}/root samt ${USER:?}/admin
- matrix chatten för staff
En admin kan få möjlighet till en nyckel för serverhallen!
Som administratör är det ett NÖDVÄNDIGT VILLKOR att en har skrivit under ansvarsförbindelsen. (Mallar finns i en låda i datorhallen).
Behörigheter
Kerberos är systemet Stackens användare och admins använder för att autentisera sig själva för åtkomst till, bland annat, SSH och AFS. Som administratör kommer du ha tillgång till personliga, root- och admininstanser. Personlig instans används t.ex. för din AFS hemkatalog och skalservrar, medans root används för att komma in i servicemaskiner såsom raider.stacken.kth.se. Admininstansen används bl.a. för att ändra rättigheterna till instanser. T.ex. så kan det vara av intresse att uppdatera instansers livslängd ibland, så man inte blir utlåst ur systemet.
Exempel Kerberos
Till en början konfigurera och installera kerberoes såhär Kerberos_och_AFS_för_användare
För att få ens root biljett
$ pagsh (om man vill spara en uthämtad biljett innan den förstörs)
$ kauth ${USER:?}/root@STACKEN.KTH.SE (notera stora bokstäver)
Nu kan du SSH:a in i en "dator" med root såhär:
$ ssh root@"dator".stacken.kth.se
Notera att du måste ligga i /root/.k5login på filsystemet av "dator":n.
Felsökning/Nödlösning
Installera heimdal till din kerberoes så kanske det kommer att funka!
Använd i första hand SSH, om det går. Lite beroende OS, dist eller månfas så varierar flaggorna på SSH. Några varianter du kan prova med är:
$ssh -K root@datan.stacken.kth.se
$ssh -KX root@datan.stacken.kth.se
$ssh root@datan.stacken.kth.se -o GSSAPIAuthentication=yes
Kerberos - Serverar
Kerberosservrarna hör till de maskiner man inte kan logga in på alls om man inte är i datorhallen. För de här maskinerna är det maximal säkerhet som gäller.
Lyckligvis behöver man nästan aldrig logga in på en kerberosserver, i stort sett allt man kan behöva göra görs med kommandot kadmin från vilken dator som hellst. När man kör kadmin får man ett kadminskal, där man kan köra kommandon för att få information om konton (get), skapa nya konton / instanser (add), ändra på konton / instanser (modify), etc. När du försöker göra något som kräver behövrighet kommer kadmin att fråga om ditt adminlösenord (dvs lösenordet för $USER/admin@STACKEN.KTH.SE).
Kadmin har inbyggd hjälp, som nås med help.
AFS
PDC har en del dokument om AFS.
Stacken tar backup på afsdata per volym. Vissa volymnamn (t ex de som börjar på ftp) filteras bort, eftersom vi inte vill slösa backuputrymme på sådant vi har speglat hem och enkelt kan spegla igen.
För närvarande kan vi inte ta backup på volymer som är större än 2G, så om det ska tas backup på en volym bör dess quota inte sättas högre än så.
Vi har en del statistikverktyg för att se hur vårt filserverutrymme utnyttjas. Dessa verktyg har också motsvarigheter man kan köra på kommandoraden (med fs och vos) för att se aktuell status utan att vänta på periodisk updatering.
Säkerhet
Skriv bara in ditt root- och adminlösenord på en maskin som du litar på (t.ex. din egen dator). Gör aldrig en kadmin eller en kinit/kauth på en maskin du inte litar på, eller på en av stackens servrar.
