Difference between revisions of "Vingummi"

(Beskrev hur vi använder libnss-db för användare från stacken)
 
(2 intermediate revisions by 2 users not shown)
Line 1: Line 1:
Blivande ny epostserver.
+
Gammal epost-server som gick sönder sommaren 2018. En ny lösning sattes upp på [[Mail]].
  
 
== Konfiguration ==
 
== Konfiguration ==
Line 32: Line 32:
  
 
Klart, du ska nu kunna nå användarna, prova med t.ex. ''id nsg''.
 
Klart, du ska nu kunna nå användarna, prova med t.ex. ''id nsg''.
 +
 +
=== HTTPS-konfiguration för maliman ===
 +
 +
I /etc/apache2/conf.d/mailman.conf bor det config för ett gäng olika lists.*-domäner. För att inte kasta "This page is not secure"-fel i ansiktet på besökare till de sidorna är HTTPS-bitarna av det konfigurerade med hjälp av letsencrypt.
 +
 +
Själva konfigurationsfilen är dock ganska geggig.
 +
 +
Det är uppsatt så att alla anrop på de här domänerna som går via HTTP omdirigeras till HTTPS, och certifikatet de använder bor under /etc/letsencrypt enligt hur certbot vill att det ska fungera, på ett ungefär.
 +
 +
De här certifikaten bör uppdateras automatiskt. Det finns ett cron.daily-script för det.
  
 
[[Category: Maskiner]]
 
[[Category: Maskiner]]
 +
[[Category: Epost]]

Latest revision as of 14:27, 29 December 2018

Gammal epost-server som gick sönder sommaren 2018. En ny lösning sattes upp på Mail.

Konfiguration

Stacken-användare (passwd)

För att inte förorena /etc/passwd med användare från stackens passwd-fil så har vi använt libnss-db för att sätta upp en separat DB och konfigurerat nsswitch.conf att använda den.

Konfigurationen är uppsatt på samma sätt som på klienterna under Klienter, bortsett från att auth med libpam-krb5 ej är installerat. Vi vill bara ha användarna i systemet, användarna ska inte kunna logga in.

Installera libnss-db, och redigera config.

$ sudo apt-get install libnss-db
$EDITOR /etc/default/libnss-db

Ändra ETC och DBS till:

ETC = /etc/stacken
DBS = passwd shadow

Ändra i nsswitch.conf och lägg till db på passwd och shadow.

$ $EDITOR /etc/nsswitch.conf
passwd:         compat db
shadow:         compat db

Det finns ett cron-job i AFS som kopierar in stackens användare till rätt ställe, lägg en symlink till det i cron.hourly.

$ cd /etc/cron.hourly/
$ ln -s /afs/stacken.kth.se/i386_linux6/etc/cron.hourly/update-stacken-passwd-db-deb

Kör det manuellt en gång så du slipper vänta.

/etc/cron.hourly/update-stacken-passwd-db-deb

Klart, du ska nu kunna nå användarna, prova med t.ex. id nsg.

HTTPS-konfiguration för maliman

I /etc/apache2/conf.d/mailman.conf bor det config för ett gäng olika lists.*-domäner. För att inte kasta "This page is not secure"-fel i ansiktet på besökare till de sidorna är HTTPS-bitarna av det konfigurerade med hjälp av letsencrypt.

Själva konfigurationsfilen är dock ganska geggig.

Det är uppsatt så att alla anrop på de här domänerna som går via HTTP omdirigeras till HTTPS, och certifikatet de använder bor under /etc/letsencrypt enligt hur certbot vill att det ska fungera, på ett ungefär.

De här certifikaten bör uppdateras automatiskt. Det finns ett cron.daily-script för det.