Installera en ny server
En server på stacken bör ha några saker installerade och konfigurerade innan den tas i drift, självklart finns det undantag. Här kommer en kort genomgång om vad som behöver installeras och konfigureras upp på en ny server.
Jag kommer inte gå in på specifika detaljer då en stackenserver kan köra en mängd av olika operativssystem. Instruktionerna här kommer vara generella för att gå att tillämpa på så många olika system som möjligt. Skapa en ny sida om du vill du skiva dokumentation för en speciellt system och länka dit.
Contents
AFS
Om du ska sätta upp en AFS-server läs vidare på Installera AFS-Server. Nästan alla servrar är AFS-klienter, det finns två implementationer som används. Arla och OpenAFS.
Arla
Arla is a free AFS implementation. The main goal is to make a fully functional client with all capabilities of AFS as formerly sold by Transarc and today available as OpenAFS. Other stuff, such as servers and management tools are being developed, but currently not considered stable.
OpenAFS
AFS is a distributed filesystem product, pioneered at Carnegie Mellon University and supported and developed as a product by Transarc Corporation (now IBM Pittsburgh Labs). It offers a client-server architecture for federated file sharing and replicated read-only content distribution, providing location independence, scalability, security, and transparent migration capabilities. AFS is available for a broad range of heterogeneous systems including UNIX, Linux, MacOS X, and Microsoft Windows
IBM branched the source of the AFS product, and made a copy of the source available for community development and maintenance. They called the release OpenAFS.
Kerberos
Kerberos is a computer network authentication protocol, which allows nodes communicating over a non-secure network to prove their identity to one another in a secure manner. Its designers aimed primarily at a client–server model, and it provides mutual authentication — both the user and the server verify each other's identity. Kerberos protocol messages are protected against eavesdropping and replay attacks.
Det finns två implementationer av Kerberos, den som kommer från MIT och en mer lokal som är utvecklad är i Sverige. Jag rekommenderar starkt Heimdal.
MIT Kerberos
MIT makes an implementation of Kerberos freely available, under copyright permissions similar to those used for BSD.
Heimdal
Heimdal is an implementation of Kerberos 5 (and some more stuff) largely written in Sweden (which was important when we started writing it, less so now). It is freely available under a three clause BSD style license.
Konfiguration
Kerberos
På många system får du göra en serie av val vid installationen. Om så ej är fallet, eller om du vill ändra något så hittar du konfigurationfilen i /etc/krb5.conf på UNIX-system. Det kan räcka med att sätta default_realm till STACKEN.KTH.SE men eventuellt måste du ange adressen till kdc m.m.
Exempel (/etc/krb5.conf)
/.../ default_realm = STACKEN.KTH.SE allow_weak_crypto = true /.../ STACKEN.KTH.SE = { kdc = kerberos.stacken.kth.se kdc = kerberos-1.stacken.kth.se admin_server = kerberos.stacken.kth.se } /../
allow_weak_crypto behövs (tyvärr) för att det ska gå att logga in på maskinen med hjälp av kerberos. Om det går att unvika, unvik inställningen. Men som det är uppsatt i dag så måste vi ha den inställningen.
SSH
Det är rekommenderat att konfigurera OpenSSH så man kan använda ssh med kerberos för att logga in på maskinen. För att det ska funka behöver du ändra ett par inställningar i sshd_config. Självklart förusätter det att den varsionen av OpenSSH man har installerad har stödj för kerberos byggt in.
PermitRootLogin without-password KerberosAuthentication yes KerberosOrLocalPasswd yes KerberosTicketCleanup yes GSSAPIAuthentication yes GSSAPIKeyExchange yes
För att det ska funka så måste /etc/hostname innehålla datorns fulla adress. T.ex. cookie.stacken.kth.se för servern cookie.
Du vill också kopiera in .k5login i /root/.k5login med lista på alla /root principaler som skall få logga in som root.
E-Post
Jag rekommenderar starkt att servern konfigureras upp så att den kan skicka e-post. Det är bra att olika systemtjänster kan skicka e-post om något är fel. Du kan skicka e-posten själv eller skicka genom smtp.stacken.kth.se som är våran mail-server.
Notera att man skall inte peka ut brev (gamla servern) eller vingummi (nya servern) utom när man vet väldigt väl vad man gör, smtp aliaset skall användas just för att vi skall kunna peka på rätt maskin utan att ha sönder konfigurationen på ett antal maskiner.
CERT
För att skapa Stacken CERT så rekommenderas att läsa och följa anvisningarna i
/afs/stacken.kth.se/admin/CA/Private/README
Installerade servrar
Här finns ett antal exempel på server-installationer som kan vara till inspiration.