EDV:NewSystem/Ubuntu 704: Difference between revisions

From KIP Wiki
⧼kip-jumptonavigation⧽⧼kip-jumptosearch⧽
 
(5 intermediate revisions by the same user not shown)
Line 2: Line 2:
Wichtige Sachen die für ein neues [http://www.ubuntu.com Ubuntu] System benötigt werden ...
Wichtige Sachen die für ein neues [http://www.ubuntu.com Ubuntu] System benötigt werden ...


Die CD-Images liegen natürlich auch im [[KIP-AFS]]:
/afs/kip/software/Linux-dist/ubuntu/7.04/


== Vorab ==
== Vorab ==
{{Achtung|Falls das System dann für [[EDV:LDAP|LDAP]]/[[EDV:OpenAFS|AFS]]-Nutzer zum anmelden (siehe [[EDV:NewSystem/Ubuntu 704#Nutzeranmeldung über LDAP und KIP-AFS|Nutzeranmeldung über LDAP und KIP-AFS]]) freigeschaltet werden soll, sollte {{IconAchtung}} der lokale Nutzer eine '''andere''' Nutzerkennung als den [[KIP-Account]] haben.}}
{{Achtung|Falls das System dann für [[EDV:LDAP|LDAP]]/[[EDV:OpenAFS|AFS]]-Nutzer zum anmelden (siehe [[EDV:NewSystem/Ubuntu 704#Nutzeranmeldung über LDAP und KIP-AFS|Nutzeranmeldung über LDAP und KIP-AFS]]) freigeschaltet werden soll, sollte {{IconAchtung}} der lokale Nutzer eine '''andere''' Nutzerkennung als den [[KIP-Account]] haben.}}

Erstmal das Basissystem installieren ...


Nach dem ersten booten (ohne CD), sollte als erstes der '''sshd''' installiert werden,
Nach dem ersten booten (ohne CD), sollte als erstes der '''sshd''' installiert werden,
Line 16: Line 20:
aptitude install openssh-server
aptitude install openssh-server


{{Achtung|Falls es notwendig ist sich ohne lokalem User sich als '''root''' anzumelden (wird nicht empfohlen),
{{Achtung|Falls es notwendig ist, sich ohne lokalen User, als '''root''' anzumelden (wird nicht empfohlen),
kann man jetzt ein '''root-Passwort''' setzten oder einen '''ssh-key''' hinterlegen.}}
kann man jetzt ein '''root-Passwort''' setzten oder einen '''ssh-key''' hinterlegen.}}


Line 110: Line 114:
aptitude install ntpdate ntp
aptitude install ntpdate ntp


Für ''ntpdate'' verwenden wir die selbe Konfiguration wie für ''ntp'', dazu in '''/etc/default/ntpdata''' die Option
Für ''ntpdate'' verwenden wir die selbe Konfiguration wie für ''ntp'', dazu in '''/etc/default/ntpdate''' die Option
'''NTPDATE_USE_NTP_CONF''' auf '''yes''' setzten.
'''NTPDATE_USE_NTP_CONF''' auf '''yes''' setzten.


Line 222: Line 226:


Pakete installieren:
Pakete installieren:
aptitude install ldap-utils libnss-ldap libpam-ldap libsasl2-modules-gssapi-heimdal libpam-openafs-session
aptitude install ldap-utils libnss-ldap libpam-ldap libsasl2-modules-gssapi-heimdal libpam-openafs-session libpam-heimdal


Die Fragen können wie folgt beantwortet werden, aber die Konfiguration wird dann sowieso überschrieben:
Die Fragen können wie folgt beantwortet werden, aber die Konfiguration wird dann sowieso überschrieben:
Line 233: Line 237:
|-
|-
| DN
| DN
| dc=kip.uni-heidelberg,dc=de
| dc=kip,dc=uni-heidelberg,dc=de
|-
|-
| LDAP-Version
| LDAP-Version

Latest revision as of 07:56, 19 December 2007

Neues Ubuntu 7.04 (Feisty Fawn) System einrichten

Wichtige Sachen die für ein neues Ubuntu System benötigt werden ...

Die CD-Images liegen natürlich auch im KIP-AFS:

/afs/kip/software/Linux-dist/ubuntu/7.04/

Vorab

Falls das System dann für LDAP/AFS-Nutzer zum anmelden (siehe Nutzeranmeldung über LDAP und KIP-AFS) freigeschaltet werden soll, sollte Achtung.svg der lokale Nutzer eine andere Nutzerkennung als den KIP-Account haben.

Erstmal das Basissystem installieren ...

Nach dem ersten booten (ohne CD), sollte als erstes der sshd installiert werden, damit wir in Zukunft die Maschine remote administrieren können. Allerdings muss dazu noch der APT-Proxy eingestellt und die Source-Listen aktualisert werden:

sudo bash
echo 'Acquire::http::Proxy "http://proxy.kip.uni-heidelberg.de:3128";' >>/etc/apt/apt.conf
aptitude update
aptitude update
aptitude install openssh-server 
Falls es notwendig ist, sich ohne lokalen User, als root anzumelden (wird nicht empfohlen),

kann man jetzt ein root-Passwort setzten oder einen ssh-key hinterlegen.

Die Option hiddenmenu in der /boot/grub/menu.list auskommentieren und Farbe einkommentieren:

cd /boot/grub
cp menu.lst menu.lst.bak
sed 's/^hiddenmenu/#hiddenmenu/' menu.lst.bak |sed 's/^#color/color/' >menu.lst

Wichtige Pakete

Wichtige Pakete die (fast) immer benötigt werden

Vorher Aktualisieren:

aptitude update
aptitude dist-upgrade
Falls nun ein neuer Kernel installiert wurde sollte ein reboot durchgeführt werden

Editoren:

aptitude install nedit vim-gtk xbase-clients

Monitoring:

aptitude install smartmontools hddtemp gkrellmd

Weiteres:

aptitude install rsync deborphan psmisc

OpenAFS installieren

Der Kernel 'generic'-Kernel sollte funktionieren (falls nicht, die i386-Version testen):

aptitude install kernel-image-2.6.20-16-generic

Falls ein neuer Kernel installiert wurde, am besten diesen auch booten:

reboot

Nun die Pakete installieren:

aptitude install heimdal-clients openafs-client openafs-modules-source  module-assistant openafs-krb5

Jetzt das Kernel-Modul bauen:

cd /usr/src
module-assistant prepare openafs
module-assistant build openafs

Modul installieren:

dpkg -i openafs-modules-2.6.20-16-generic_1.4.4-1+2.6.20-16.*.deb

OpenAFS starten:

/etc/init.d/openafs-client force-start

Der Inhalt von /afs sollte dynamisch generiert werden, deshalb das Pakte nochmal neu konfigurieren:

dpkg-reconfigure openafs-client    # => generate /afs dynamic => yes
fs newalias kip kip.uni-heidelberg.de
cp /afs/kip/common/etc/CellServDB /etc/openafs/
cp /afs/kip/common/etc/CellAlias  /etc/openafs/

Nun noch die Kerberos-Konfiguration korrigieren:

cp /afs/kip/common/etc/krb5.conf /etc/

Der Befehl 'dnsdomainname' sollte 'kip.uni-heidelberg.de' zurückgeben! Falls dies nicht der Fall ist, fehlt in der /etc/hosts ein Eintrag mit den Kompetten Namen:

if [ -z `dnsdomainname` ]; then 
  sed "s/$HOSTNAME/$HOSTNAME.kip.uni-heidelberg.de  $HOSTNAME/" /etc/hosts >/etc/hosts.tmp && mv /etc/hosts.tmp /etc/hosts;  
fi
dnsdomainname

Profile-Dateien für 'root'

Am einfachsten alles vom AFS kopieren (sind auch noch mehr Profiledateien dabei):

chmod 700 /root
cp -rv /afs/kip/common/profiles/new-System_ubuntu704-feisty/root /

Apt Sources Liste

Am besten wieder vom AFS kopieren:

cp /etc/apt/sources.list /etc/apt/sources.list.org
cp /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/apt/sources.list /etc/apt/sources.list
aptitude update

Und auch die Keys importieren:

apt-key list
for f in /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/apt/keys/*.key; do 
  echo -n "Insert keyfile: $f: " && apt-key add $f; 
done
apt-key list
aptitude update

Root-Homeverzeichnis schützen

Leider ist das Homeverzeichnis von root nicht mehr geschützt, deswegen machen wir das einfach:

ls -ld /root
chmod 700 /root

Zeit syncronisieren mit (NTP)

installieren:

aptitude install ntpdate ntp

Für ntpdate verwenden wir die selbe Konfiguration wie für ntp, dazu in /etc/default/ntpdate die Option NTPDATE_USE_NTP_CONF auf yes setzten.

ntp configurieren (/etc/ntp.conf):

cp /etc/ntp.conf /etc/ntp.conf.org
cat /etc/ntp.conf | sed 's/^server /#server /' > /etc/ntp.conf.new
mv -f /etc/ntp.conf.new /etc/ntp.conf

echo "server ntp.kip.uni-heidelberg.de" >> /etc/ntp.conf
echo "server ntp2.kip.uni-heidelberg.de" >> /etc/ntp.conf
echo "server 129.206.119.11          # aixfile1.urz.uni-heidelberg.de" >> /etc/ntp.conf
echo "server 129.206.119.12          # aixfile2.urz.uni-heidelberg.de" >> /etc/ntp.conf
echo "server 129.206.119.41          # aixterm1.urz.uni-heidelberg.de" >> /etc/ntp.conf
echo "server 129.206.119.42          # aixterm2.urz.uni-heidelberg.de" >> /etc/ntp.conf
echo "server 129.206.119.43          # aixterm3.urz.uni-heidelberg.de" >> /etc/ntp.conf

ntpdate und ntp starten (ntpdate ist nur einmalig):

/etc/init.d/ntp stop
ntpdate-debian
/etc/init.d/ntp start
/sbin/hwclock -w

ssh - Konfiguration anpassen

Für die ssh-Clients X generell einschalten

# echo " Host *" >> /etc/ssh/ssh_config
cp /etc/ssh/ssh_config /etc/ssh/ssh_config.bak
cp /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/ssh/ssh_config /etc/ssh/ssh_config

Wichtige Optionen für Manuelle Konfiguration:

Host *
  ForwardX11 yes
  ForwardX11Trusted yes
  SendEnv LANG LC_*
  HashKnownHosts yes
  GSSAPIAuthentication yes
  GSSAPIDelegateCredentials yes

syslog einstellen

echo '*.*    @syslog.kip.uni-heidelberg.de'  >>/etc/syslog.conf
/etc/init.d/sysklogd restart

postfix einstellen

Test ob postfix installiert ist:

aptitude search postfix

Die /etc/postfix/main.cf kontrollieren: ($HOSTNAME ist der kurze Hostname)

myhostname = $HOSTNAME
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = $HOSTNAME.kip.uni-heidelberg.de, dali, localhost.localdomain, localhost
relayhost = mail.kip.uni-heidelberg.de
mynetworks = 127.0.0.0/8
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

Nun noch die /etc/mailname:

echo "$HOSTNAME.kip.uni-heidelberg.de" > /etc/mailname

/etc/aliases anpassen:

Sie sollten da Ihre E-Mail-Adressen eintragen!
cat /etc/aliases | sed 's/^\(root\|sesselm\|weis\):/#\1:/' > /etc/aliases.new
echo "
root: sesselm, weis

sesselm: sesselm@kip.uni-heidelberg.de
weis: weis@kip.uni-heidelberg.de
" >> /etc/aliases.new
mv /etc/aliases.new /etc/aliases
newaliases

Test:

echo "Init-Mail-Test from Host '$HOSTNAME' - $RANDOM" | mail -s "Init-Mail-test from $HOSTNAME" root

Locales generieren

locale-gen
locale-gen de_DE de_DE@euro

Backup mit ADSM

Eine ITSM-Client-ID im URZ beantragen:

http://www.urz.uni-heidelberg.de/ITSM/anmeldung-hd.shtml

Pakete installieren:

cd /afs/kip/software/Linux/ADSM/Version_5.3.4_debian
dpkg -i tivsm-{api,ba,hsm,kip}_*.deb

Konfigurationsdatei anpassen (wie in der E-Mail vom URZ mitgeteilt):

cd /opt/tivoli/tsm/client/ba/bin/
vi dsm.sys
vi dsm.opt

Einmal das Passwort eingeben und Konfiguration testen:

dsmc query schedule

Wenn das funktioniert hat kann der 'daemon' aktiviert werden:

vi /etc/default/adsm
/etc/init.d/adsm start

Eventuell erstes Backup:

dsmc incremental

Nutzeranmeldung über LDAP und KIP-AFS

Achtung.svg Einträge von lokalen Nutzer (/etc/passwd,...) haben (meist) Vorrang vor den LDAP-Nutzern!

Pakete installieren:

aptitude install ldap-utils libnss-ldap libpam-ldap libsasl2-modules-gssapi-heimdal libpam-openafs-session libpam-heimdal

Die Fragen können wie folgt beantwortet werden, aber die Konfiguration wird dann sowieso überschrieben:

Attribut Wert
URI ldap://ldap.kip.uni-heidelberg.de/ ldap://ldap2.kip.uni-heidelberg.de/
DN dc=kip,dc=uni-heidelberg,dc=de
LDAP-Version 3
LDAP-Root-Zugang <Feld löschen>
LDAP-Root-Passwort <Nix eingeben>
Lokaler-Root als Datenbank-Administrator Nein
Benötigt LDAP-Datenbank Anmeldung Nein

Orgnial-Konfiguration sichern:

cp /etc/libnss-ldap.conf /etc/libnss-ldap.conf.org
cp /etc/pam_ldap.conf    /etc/pam_ldap.conf.org
cp /etc/nsswitch.conf    /etc/nsswitch.conf.org

Nun Konfiguration kopieren und testen:

/bin/cp -b /afs/kip/common/etc/kip.crt                /etc/ssl/
/bin/cp -b /afs/kip/common/etc/LDAP/ldap.conf         /etc/ldap/
/bin/cp -b /afs/kip/common/etc/LDAP/libnss-ldap.conf  /etc/
/bin/cp -b /afs/kip/common/etc/LDAP/pam_ldap.conf     /etc/
/bin/cp -b /afs/kip/common/etc/LDAP/nsswitch.conf     /etc/
/etc/init.d/nscd restart
getent passwd

Den Link für die Heimatverzeichnisse anlegen:

ln -s /afs/kip.uni-heidelberg.de/user /afsuser

Nervende Groups-Meldung korrigieren:

sed 's/$(groups)/$(groups 2>\/dev\/null)/' /etc/bash.bashrc >/etc/bash.bashrc.tmp
mv /etc/bash.bashrc.tmp /etc/bash.bashrc

PAM-Konfiguration kopieren:

cp -b /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/pam.d/common-* /etc/pam.d/

Nun eventuell einschränken auf bestimmte KIP-Gruppen:

Dazu ist es nur notwendigt in der /etc/pam_ldap.conf einen 'pam_filter' zu aktivieren:
pam_filter  &(objectclass=posixAccount)(|(KIPGroup=S3)(KIPGroup=F10))
vi /etc/pam_ldap.conf

Falls auch die Namensauflösung eingeschränkt werden soll, die 'libnss-ldap.conf' entsprechend ändern:

vi /etc/libnss-ldap.conf
/etc/init.d/nscd restart