EDV:NewSystem/Ubuntu 704: Difference between revisions
No edit summary  |
 |
||
(12 intermediate revisions by the same user not shown) | |||
Line 2: | Line 2: | ||
Wichtige Sachen die für ein neues [http://www.ubuntu.com Ubuntu] System benötigt werden ... |
Wichtige Sachen die für ein neues [http://www.ubuntu.com Ubuntu] System benötigt werden ... |
||
Die CD-Images liegen natürlich auch im [[KIP-AFS]]: |
|||
/afs/kip/software/Linux-dist/ubuntu/7.04/ |
|||
== Vorab == |
== Vorab == |
||
{{Achtung|Falls das System dann für [[EDV:LDAP|LDAP]]/[[EDV:OpenAFS|AFS]]-Nutzer zum anmelden (siehe [[EDV:NewSystem/Ubuntu 704#Nutzeranmeldung über LDAP und KIP-AFS|Nutzeranmeldung über LDAP und KIP-AFS]]) freigeschaltet werden soll, sollte {{IconAchtung}} der lokale Nutzer eine '''andere''' Nutzerkennung als den [[KIP-Account]] haben.}} |
|||
Erstmal das Basissystem installieren ... |
|||
Nach dem ersten booten (ohne CD), sollte als erstes der '''sshd''' installiert werden, |
Nach dem ersten booten (ohne CD), sollte als erstes der '''sshd''' installiert werden, |
||
damit wir in Zukunft die Maschine remote administrieren können. |
damit wir in Zukunft die Maschine remote administrieren können. |
||
Line 14: | Line 20: | ||
aptitude install openssh-server |
aptitude install openssh-server |
||
{{Achtung|Falls es notwendig ist sich ohne |
{{Achtung|Falls es notwendig ist, sich ohne lokalen User, als '''root''' anzumelden (wird nicht empfohlen), |
||
kann man jetzt ein '''root-Passwort''' setzten oder einen '''ssh-key''' hinterlegen.}} |
kann man jetzt ein '''root-Passwort''' setzten oder einen '''ssh-key''' hinterlegen.}} |
||
Line 49: | Line 55: | ||
Nun die Pakete installieren: |
Nun die Pakete installieren: |
||
aptitude install heimdal-clients openafs-client openafs-modules-source module-assistant |
aptitude install heimdal-clients openafs-client openafs-modules-source module-assistant openafs-krb5 |
||
Jetzt das Kernel-Modul bauen: |
Jetzt das Kernel-Modul bauen: |
||
Line 108: | Line 114: | ||
aptitude install ntpdate ntp |
aptitude install ntpdate ntp |
||
Für ''ntpdate'' verwenden wir die selbe Konfiguration wie für ''ntp'', dazu in '''/etc/default/ |
Für ''ntpdate'' verwenden wir die selbe Konfiguration wie für ''ntp'', dazu in '''/etc/default/ntpdate''' die Option |
||
'''NTPDATE_USE_NTP_CONF''' auf '''yes''' setzten. |
'''NTPDATE_USE_NTP_CONF''' auf '''yes''' setzten. |
||
Line 216: | Line 222: | ||
== Nutzeranmeldung über [[EDV:LDAP|LDAP]] und [[KIP-AFS]] == |
== Nutzeranmeldung über [[EDV:LDAP|LDAP]] und [[KIP-AFS]] == |
||
{{Achtung|{{IconAchtung}} Einträge von lokalen Nutzer (/etc/passwd,...) haben (meist) Vorrang vor den LDAP-Nutzern!}} |
|||
Pakete installieren: |
Pakete installieren: |
||
aptitude install ldap-utils libnss-ldap libpam-ldap libsasl2-modules-gssapi-heimdal |
aptitude install ldap-utils libnss-ldap libpam-ldap libsasl2-modules-gssapi-heimdal libpam-openafs-session libpam-heimdal |
||
Die Fragen können wie folgt beantwortet werden, aber die Konfiguration wird dann sowieso überschrieben: |
Die Fragen können wie folgt beantwortet werden, aber die Konfiguration wird dann sowieso überschrieben: |
||
Line 229: | Line 237: | ||
|- |
|- |
||
| DN |
| DN |
||
| dc=kip |
| dc=kip,dc=uni-heidelberg,dc=de |
||
|- |
|- |
||
| LDAP-Version |
| LDAP-Version |
||
Line 272: | Line 280: | ||
Nun eventuell '''einschränken''' auf bestimmte KIP-Gruppen: |
Nun eventuell '''einschränken''' auf bestimmte KIP-Gruppen: |
||
{{Achtung|Dazu ist es nur notwendigt in der '''/etc/pam_ldap.conf''' einen ''''pam_filter'''' zu aktivieren: |
|||
⚫ | |||
<pre>pam_filter &(objectclass=posixAccount)(|(KIPGroup=S3)(KIPGroup=F10))</pre> |
|||
}} |
|||
vi /etc/pam_ldap.conf |
vi /etc/pam_ldap.conf |
||
Falls auch die Namensauflösung eingeschränkt werden soll, die 'libnss-ldap.conf' entsprechend ändern: |
|||
⚫ | |||
/etc/init.d/nscd restart |
/etc/init.d/nscd restart |
||
[[Category:EDV|NewSystem]] |
|||
[[Category:EDV_HowTo|NewSystem]] |
Latest revision as of 07:56, 19 December 2007
Neues Ubuntu 7.04 (Feisty Fawn) System einrichten
Wichtige Sachen die für ein neues Ubuntu System benötigt werden ...
Die CD-Images liegen natürlich auch im KIP-AFS:
/afs/kip/software/Linux-dist/ubuntu/7.04/
Vorab
Falls das System dann für LDAP/AFS-Nutzer zum anmelden (siehe Nutzeranmeldung über LDAP und KIP-AFS) freigeschaltet werden soll, sollte der lokale Nutzer eine andere Nutzerkennung als den KIP-Account haben. |
Erstmal das Basissystem installieren ...
Nach dem ersten booten (ohne CD), sollte als erstes der sshd installiert werden, damit wir in Zukunft die Maschine remote administrieren können. Allerdings muss dazu noch der APT-Proxy eingestellt und die Source-Listen aktualisert werden:
sudo bash echo 'Acquire::http::Proxy "http://proxy.kip.uni-heidelberg.de:3128";' >>/etc/apt/apt.conf aptitude update aptitude update aptitude install openssh-server
Falls es notwendig ist, sich ohne lokalen User, als root anzumelden (wird nicht empfohlen),
kann man jetzt ein root-Passwort setzten oder einen ssh-key hinterlegen. |
Die Option hiddenmenu in der /boot/grub/menu.list auskommentieren und Farbe einkommentieren:
cd /boot/grub cp menu.lst menu.lst.bak sed 's/^hiddenmenu/#hiddenmenu/' menu.lst.bak |sed 's/^#color/color/' >menu.lst
Wichtige Pakete
Wichtige Pakete die (fast) immer benötigt werden
Vorher Aktualisieren:
aptitude update aptitude dist-upgrade
Falls nun ein neuer Kernel installiert wurde sollte ein reboot durchgeführt werden |
Editoren:
aptitude install nedit vim-gtk xbase-clients
Monitoring:
aptitude install smartmontools hddtemp gkrellmd
Weiteres:
aptitude install rsync deborphan psmisc
OpenAFS installieren
Der Kernel 'generic'-Kernel sollte funktionieren (falls nicht, die i386-Version testen):
aptitude install kernel-image-2.6.20-16-generic
Falls ein neuer Kernel installiert wurde, am besten diesen auch booten:
reboot
Nun die Pakete installieren:
aptitude install heimdal-clients openafs-client openafs-modules-source module-assistant openafs-krb5
Jetzt das Kernel-Modul bauen:
cd /usr/src module-assistant prepare openafs module-assistant build openafs
Modul installieren:
dpkg -i openafs-modules-2.6.20-16-generic_1.4.4-1+2.6.20-16.*.deb
OpenAFS starten:
/etc/init.d/openafs-client force-start
Der Inhalt von /afs sollte dynamisch generiert werden, deshalb das Pakte nochmal neu konfigurieren:
dpkg-reconfigure openafs-client # => generate /afs dynamic => yes fs newalias kip kip.uni-heidelberg.de cp /afs/kip/common/etc/CellServDB /etc/openafs/ cp /afs/kip/common/etc/CellAlias /etc/openafs/
Nun noch die Kerberos-Konfiguration korrigieren:
cp /afs/kip/common/etc/krb5.conf /etc/
Der Befehl 'dnsdomainname' sollte 'kip.uni-heidelberg.de' zurückgeben! Falls dies nicht der Fall ist, fehlt in der /etc/hosts ein Eintrag mit den Kompetten Namen:
if [ -z `dnsdomainname` ]; then sed "s/$HOSTNAME/$HOSTNAME.kip.uni-heidelberg.de $HOSTNAME/" /etc/hosts >/etc/hosts.tmp && mv /etc/hosts.tmp /etc/hosts; fi dnsdomainname
Profile-Dateien für 'root'
Am einfachsten alles vom AFS kopieren (sind auch noch mehr Profiledateien dabei):
chmod 700 /root cp -rv /afs/kip/common/profiles/new-System_ubuntu704-feisty/root /
Apt Sources Liste
Am besten wieder vom AFS kopieren:
cp /etc/apt/sources.list /etc/apt/sources.list.org cp /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/apt/sources.list /etc/apt/sources.list aptitude update
Und auch die Keys importieren:
apt-key list for f in /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/apt/keys/*.key; do echo -n "Insert keyfile: $f: " && apt-key add $f; done apt-key list aptitude update
Root-Homeverzeichnis schützen
Leider ist das Homeverzeichnis von root nicht mehr geschützt, deswegen machen wir das einfach:
ls -ld /root chmod 700 /root
Zeit syncronisieren mit (NTP)
installieren:
aptitude install ntpdate ntp
Für ntpdate verwenden wir die selbe Konfiguration wie für ntp, dazu in /etc/default/ntpdate die Option NTPDATE_USE_NTP_CONF auf yes setzten.
ntp configurieren (/etc/ntp.conf):
cp /etc/ntp.conf /etc/ntp.conf.org cat /etc/ntp.conf | sed 's/^server /#server /' > /etc/ntp.conf.new mv -f /etc/ntp.conf.new /etc/ntp.conf echo "server ntp.kip.uni-heidelberg.de" >> /etc/ntp.conf echo "server ntp2.kip.uni-heidelberg.de" >> /etc/ntp.conf echo "server 129.206.119.11 # aixfile1.urz.uni-heidelberg.de" >> /etc/ntp.conf echo "server 129.206.119.12 # aixfile2.urz.uni-heidelberg.de" >> /etc/ntp.conf echo "server 129.206.119.41 # aixterm1.urz.uni-heidelberg.de" >> /etc/ntp.conf echo "server 129.206.119.42 # aixterm2.urz.uni-heidelberg.de" >> /etc/ntp.conf echo "server 129.206.119.43 # aixterm3.urz.uni-heidelberg.de" >> /etc/ntp.conf
ntpdate und ntp starten (ntpdate ist nur einmalig):
/etc/init.d/ntp stop ntpdate-debian /etc/init.d/ntp start /sbin/hwclock -w
ssh - Konfiguration anpassen
Für die ssh-Clients X generell einschalten
# echo " Host *" >> /etc/ssh/ssh_config cp /etc/ssh/ssh_config /etc/ssh/ssh_config.bak cp /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/ssh/ssh_config /etc/ssh/ssh_config
Wichtige Optionen für Manuelle Konfiguration:
Host * ForwardX11 yes ForwardX11Trusted yes SendEnv LANG LC_* HashKnownHosts yes GSSAPIAuthentication yes GSSAPIDelegateCredentials yes
syslog einstellen
echo '*.* @syslog.kip.uni-heidelberg.de' >>/etc/syslog.conf /etc/init.d/sysklogd restart
postfix einstellen
Test ob postfix installiert ist:
aptitude search postfix
Die /etc/postfix/main.cf kontrollieren: ($HOSTNAME ist der kurze Hostname)
myhostname = $HOSTNAME alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = $HOSTNAME.kip.uni-heidelberg.de, dali, localhost.localdomain, localhost relayhost = mail.kip.uni-heidelberg.de mynetworks = 127.0.0.0/8 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all
Nun noch die /etc/mailname:
echo "$HOSTNAME.kip.uni-heidelberg.de" > /etc/mailname
/etc/aliases anpassen:
Sie sollten da Ihre E-Mail-Adressen eintragen! |
cat /etc/aliases | sed 's/^\(root\|sesselm\|weis\):/#\1:/' > /etc/aliases.new echo " root: sesselm, weis sesselm: sesselm@kip.uni-heidelberg.de weis: weis@kip.uni-heidelberg.de " >> /etc/aliases.new mv /etc/aliases.new /etc/aliases newaliases
Test:
echo "Init-Mail-Test from Host '$HOSTNAME' - $RANDOM" | mail -s "Init-Mail-test from $HOSTNAME" root
Locales generieren
locale-gen locale-gen de_DE de_DE@euro
Backup mit ADSM
Eine ITSM-Client-ID im URZ beantragen:
Pakete installieren:
cd /afs/kip/software/Linux/ADSM/Version_5.3.4_debian dpkg -i tivsm-{api,ba,hsm,kip}_*.deb
Konfigurationsdatei anpassen (wie in der E-Mail vom URZ mitgeteilt):
cd /opt/tivoli/tsm/client/ba/bin/ vi dsm.sys vi dsm.opt
Einmal das Passwort eingeben und Konfiguration testen:
dsmc query schedule
Wenn das funktioniert hat kann der 'daemon' aktiviert werden:
vi /etc/default/adsm /etc/init.d/adsm start
Eventuell erstes Backup:
dsmc incremental
Nutzeranmeldung über LDAP und KIP-AFS
Einträge von lokalen Nutzer (/etc/passwd,...) haben (meist) Vorrang vor den LDAP-Nutzern! |
Pakete installieren:
aptitude install ldap-utils libnss-ldap libpam-ldap libsasl2-modules-gssapi-heimdal libpam-openafs-session libpam-heimdal
Die Fragen können wie folgt beantwortet werden, aber die Konfiguration wird dann sowieso überschrieben:
Attribut | Wert |
---|---|
URI | ldap://ldap.kip.uni-heidelberg.de/ ldap://ldap2.kip.uni-heidelberg.de/ |
DN | dc=kip,dc=uni-heidelberg,dc=de |
LDAP-Version | 3 |
LDAP-Root-Zugang | <Feld löschen> |
LDAP-Root-Passwort | <Nix eingeben> |
Lokaler-Root als Datenbank-Administrator | Nein |
Benötigt LDAP-Datenbank Anmeldung | Nein |
Orgnial-Konfiguration sichern:
cp /etc/libnss-ldap.conf /etc/libnss-ldap.conf.org cp /etc/pam_ldap.conf /etc/pam_ldap.conf.org cp /etc/nsswitch.conf /etc/nsswitch.conf.org
Nun Konfiguration kopieren und testen:
/bin/cp -b /afs/kip/common/etc/kip.crt /etc/ssl/ /bin/cp -b /afs/kip/common/etc/LDAP/ldap.conf /etc/ldap/ /bin/cp -b /afs/kip/common/etc/LDAP/libnss-ldap.conf /etc/ /bin/cp -b /afs/kip/common/etc/LDAP/pam_ldap.conf /etc/ /bin/cp -b /afs/kip/common/etc/LDAP/nsswitch.conf /etc/ /etc/init.d/nscd restart getent passwd
Den Link für die Heimatverzeichnisse anlegen:
ln -s /afs/kip.uni-heidelberg.de/user /afsuser
Nervende Groups-Meldung korrigieren:
sed 's/$(groups)/$(groups 2>\/dev\/null)/' /etc/bash.bashrc >/etc/bash.bashrc.tmp mv /etc/bash.bashrc.tmp /etc/bash.bashrc
PAM-Konfiguration kopieren:
cp -b /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/pam.d/common-* /etc/pam.d/
Nun eventuell einschränken auf bestimmte KIP-Gruppen:
Dazu ist es nur notwendigt in der /etc/pam_ldap.conf einen 'pam_filter' zu aktivieren:
pam_filter &(objectclass=posixAccount)(|(KIPGroup=S3)(KIPGroup=F10)) |
vi /etc/pam_ldap.conf
Falls auch die Namensauflösung eingeschränkt werden soll, die 'libnss-ldap.conf' entsprechend ändern:
vi /etc/libnss-ldap.conf /etc/init.d/nscd restart