Difference between revisions of "Adminintroduktion"
m (Mindre ändring) |
m |
||
| Line 38: | Line 38: | ||
== Felsökning/Nödlösning == | == Felsökning/Nödlösning == | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
Använd i första hand SSH, om det går. Lite beroende OS, dist eller månfas så varierar flaggorna på SSH. | Använd i första hand SSH, om det går. Lite beroende OS, dist eller månfas så varierar flaggorna på SSH. | ||
Några varianter du kan prova med är: | Några varianter du kan prova med är: | ||
| Line 55: | Line 46: | ||
$ssh root@datan.stacken.kth.se -o GSSAPIAuthentication=yes | $ssh root@datan.stacken.kth.se -o GSSAPIAuthentication=yes | ||
| + | |||
| + | |||
| + | kinit funkar på dem flästa servrarna så du kan "ssh hoppa" mellan dem! | ||
| + | |||
| + | Om du har något lokalt fel på datorn som hindrar dig att köra | ||
| + | $ ssh root@"other.kth.se" | ||
| + | så "kan" du göra något sådant | ||
| + | $ ssh ${USER:?}@shell.stacken.kth.se | ||
| + | $ kinit ${USER:?}/root | ||
| + | $ ssh root@"other".kth.se | ||
== Telnet == | == Telnet == | ||
Revision as of 22:16, 9 January 2025
Introduktion för nya systemadministratörer på Stacken.
Contents
Villkor och Behörigheter
Som en admin så "bör" man ha tillgång till följande resurser
- epostlistan staff@stacken.kth.se
- kerberos inlogging för ${USER:?}/root samt ${USER:?}/admin
- matrix chatten för staff
En admin kan få möjlighet till en nyckel för serverhallen!
Som administratör är det ett NÖDVÄNDIGT VILLKÅR att en har skrivit under ansvarsförbindelsen. (Den finns i en låda i serverummet)
Behörigheter
Keberos är systemet stackens användare och admins använder för att autentisera sin ssh, afs-katalog (och telenet om det är NÖDVÄNDIGT). Som systemanvändare kommer du ha tillgång till personliga, root- och adminbiljetter. Sin personliga används ex för afs-katalogen och shell.stacken.kth.se, medans root används för att komma in i maskiner såsom raider.stacken.kth.se. Adminbiljetten används bla för att ändra rättigheterna till ens alla biljetter. Tex så kan det vara av intresse add updatera biljetternas lifetime ibland, så man inte blir utlåst ur systemet!
Dessa serverar har ofta docker-containers eller hostar vm så det finns mer komplexitet än detta.
Exempel Kerberoes
Till en början [hyperlänk:se till att kerberoes är installerat och konfigurerat.] För att få ens root biljett
$ pagsh (om man vill spara en uthämtad biljett innan den förstörs)
$ kauth ${USER:?}/root@STACKEN.KTH.SE (notera stora bokstäver)
Nu kan du ssh in i en "dator" med root såhär:
$ ssh root@"dator".stacken.kth.se
Notera att du måste ligga i /root/.k5login på filsystemet av "dator":n.
Felsökning/Nödlösning
Använd i första hand SSH, om det går. Lite beroende OS, dist eller månfas så varierar flaggorna på SSH. Några varianter du kan prova med är:
$ssh -K root@datan.stacken.kth.se
$ssh -KX root@datan.stacken.kth.se
$ssh root@datan.stacken.kth.se -o GSSAPIAuthentication=yes
kinit funkar på dem flästa servrarna så du kan "ssh hoppa" mellan dem!
Om du har något lokalt fel på datorn som hindrar dig att köra
$ ssh root@"other.kth.se"
så "kan" du göra något sådant
$ ssh ${USER:?}@shell.stacken.kth.se
$ kinit ${USER:?}/root
$ ssh root@"other".kth.se
Telnet
Telnet är deprecated och bör undvikas.
$ telnet -l root datan.stacken.kth.se
Om du loggar in från en stackendator eller en dator på stackens nätverk behöver du inte skriva stacken.kth.se.
Det här ska fungera även om du inte kan logga in på datan som dig själv, till exempel om afs är trasigt.
Om den här metoden ändå inte fungerar så beror nästa steg på vilken dator det är du ska logga in på; om de har seriekonsol ansluten till konsnoll kan du använda den, en del datorer har särskillda övervakningskort som kan ge konsol via webbläsare. I värsta fall behöver man gå till datorhallen och koppla in en terminal eller skärm och tangentbord.
Kerberos - Severs
Kerberosservrarna hör till de maskiner man inte kan logga in på alls om man inte är i datorhallen. För de här maskinerna är det maximal säkerhet som gäller.
Lyckligvis behöver man nästan aldrig logga in på en kerberosserver, i stort sett allt man kan behöva göra görs med kommandot kadmin från vilken dator som hellst. När man kör kadmin får man ett kadminskal, där man kan köra kommandon för att få information om konton (get), skapa nya konton / instanser (add), ändra på konton / instanser (modify), etc. När du försöker göra något som kräver behövrighet kommer kadmin att fråga om ditt adminlösenord (dvs lösenordet för $USER/admin@STACKEN.KTH.SE).
Kadmin har inbyggd hjälp, som nås med help.
AFS
PDC har en del dokument om AFS.
Stacken tar backup på afsdata per volym. Vissa volymnamn (t ex de som börjar på ftp) filteras bort, eftersom vi inte vill slösa backuputrymme på sådant vi har speglat hem och enkelt kan spegla igen.
För närvarande kan vi inte ta backup på volymer som är större än 2G, så om det ska tas backup på en volym bör dess quota inte sättas högre än så.
Vi har en del statistikverktyg för att se hur vårt filserverutrymme utnyttjas. Dessa verktyg har också motsvarigheter man kan köra på kommandoraden (med fs och vos) för att se aktuell status utan att vänta på periodisk updatering.
Säkerhet
Skriv bara in ditt root- och adminlösenord på en maskin som du litar på (t.ex. din egen dator). Gör aldrig en kadmin eller en kinit/kauth på en maskin du inte litar på, eller på en av stackens servrar.
