EDV:NewSystem/Debian 40: Difference between revisions

From KIP Wiki
⧼kip-jumptonavigation⧽⧼kip-jumptosearch⧽
Line 4: Line 4:
== Vorab ==
== Vorab ==
{{Achtung|Falls das System dann für [[EDV:LDAP|LDAP]]/[[EDV:OpenAFS|AFS]]-Nutzer zum anmelden
{{Achtung|Falls das System dann für [[EDV:LDAP|LDAP]]/[[EDV:OpenAFS|AFS]]-Nutzer zum anmelden
(siehe [[EDV:NewSystem/Debian 40#Nutzeranmeldung über LDAP und KIP-AFS]])
(siehe [[EDV:NewSystem/Debian 40#Nutzeranmeldung über LDAP und KIP-AFS|Nutzeranmeldung über LDAP und KIP-AFS]])
freigeschaltet werden soll, sollte {{IconAchtung}} der lokale Nutzer eine '''andere''' Nutzerkennung als den [[KIP-Account]] haben.}}
freigeschaltet werden soll, sollte {{IconAchtung}} der lokale Nutzer eine '''andere''' Nutzerkennung als den [[KIP-Account]] haben.}}



Revision as of 12:52, 13 July 2007

Neues Debian 4.0 (etch) System einrichten

Wichtige Sachen die für ein neues Debian System benötigt werden ...

Vorab

Falls das System dann für LDAP/AFS-Nutzer zum anmelden

(siehe Nutzeranmeldung über LDAP und KIP-AFS) freigeschaltet werden soll, sollte Achtung.svg der lokale Nutzer eine andere Nutzerkennung als den KIP-Account haben.

Für eine Serverinstallation sollte beim installieren bei Tasksel die Standardinstallation ausgewählt sein/bleiben!

Nach dem ersten booten (ohne CD) sollte als erstes der sshd installiert werden, damit wir remote weitermachen können:

aptitude install openssh-server

Falls der Proxy noch nicht für APT eingestellt ist:

echo 'Acquire::http::Proxy "http://proxy3.kip.uni-heidelberg.de:3128";' >>/etc/apt/apt.conf
aptitude update

Wichtige Pakete

Wichtige Pakete die (fast) immer benötigt werden

Vorher Aktualisieren:

aptitude update
aptitude dist-upgrade
Falls nun ein neuer Kernel installiert wurde sollte ein reboot durchgeführt werden

Editoren:

aptitude install nedit vim-gtk xbase-clients

Monitoring:

aptitude install smartmontools hddtemp gkrellmd

Weiteres:

aptitude install rsync deborphan psmisc

OpenAFS installieren

Falls ein neuer Kernel installier wurde, sollte er jetzt auch verwendet werden:

# reboot

Pakete installieren (der Inhalt von /afs sollte dynamisch generiert werden):

aptitude install heimdal-clients openafs-client openafs-modules-source  module-assistant

Das Kernel-Modul bauen:

cd /usr/src
module-assistant prepare openafs
module-assistant build openafs

Modul installieren:

dpkg -i openafs-modules-2.6.18-4-686_1.4.2-6+2.6.18.dfsg.1-12etch2_i386.deb

OpenAFS Starten (und Konfiguration fürs nächste mal anpassen):

/etc/init.d/openafs-client force-start
fs newalias kip kip.uni-heidelberg.de
cp /afs/kip/common/etc/CellServDB /etc/openafs/
cp /afs/kip/common/etc/CellAlias /etc/openafs/

Der Befehl 'dnsdomainname' sollte 'kip.uni-heidelberg.de' zurückgeben! Falls dies nicht der Fall ist, fehlt in der /etc/hosts ein Eintrag mit den Kompetten Namen:

if [ -z `dnsdomainname` ]; then 
  sed "s/$HOSTNAME/$HOSTNAME.kip.uni-heidelberg.de  $HOSTNAME/" /etc/hosts >/etc/hosts.tmp && mv /etc/hosts.tmp /etc/hosts;  
fi
dnsdomainname

Profile-Dateien für 'root'

Am einfachsten alles vom AFS kopieren (sind auch noch mehr Profiledateien dabei):

chmod 700 /root
cp -rv /afs/kip/common/profiles/new-System_debian40-etch/root /

Apt Sources Liste

Am besten wieder vom AFS kopieren:

cp /etc/apt/sources.list /etc/apt/sources.list.org
cp /afs/kip/common/profiles/new-System_debian40-etch/etc/apt/sources.list /etc/apt/sources.list
aptitude update

Schlüssel Importieren:

apt-key list
for f in /afs/kip/common/profiles/new-System_debian40-etch/etc/apt/keys/*.key; do 
  echo -n "Insert keyfile: $f: " && apt-key add $f; 
done
apt-key list
aptitude update

Root-Homeverzeichnis schützen

Leider ist das Homeverzeichnis von root nicht mehr geschützt, deswegen machen wir das einfach:

ls -ld /root
chmod 700 /root


Zeit syncronisieren (NTP)

installieren:

aptitude install ntpdate ntp

Für ntpdate verwenden wir die selbe Konfiguration wie für ntp, dazu in /etc/default/ntpdata die Option NTPDATE_USE_NTP_CONF auf yes setzten.

ntp configurieren (/etc/ntp.conf):

cp /etc/ntp.conf /etc/ntp.conf.org
cat /etc/ntp.conf | sed 's/^server /#server /' > /etc/ntp.conf.new
mv -f /etc/ntp.conf.new /etc/ntp.conf

echo "
server ntp.kip.uni-heidelberg.de
server ntp2.kip.uni-heidelberg.de
server 129.206.119.11          # aixfile1.urz.uni-heidelberg.de
server 129.206.119.12          # aixfile2.urz.uni-heidelberg.de
server 129.206.119.41          # aixterm1.urz.uni-heidelberg.de
server 129.206.119.42          # aixterm2.urz.uni-heidelberg.de
server 129.206.119.43          # aixterm3.urz.uni-heidelberg.de
" >> /etc/ntp.conf

ntpdate und ntp starten (ntpdate ist nur einmalig):

/etc/init.d/ntp stop
ntpdate-debian
/etc/init.d/ntp start
/sbin/hwclock -w

ssh - Konfiguration anpassen

Für die ssh-Clients X generell einschalten

# echo " Host *" >> /etc/ssh/ssh_config
echo "   ForwardX11 yes" >> /etc/ssh/ssh_config
echo "   ForwardX11Trusted yes" >> /etc/ssh/ssh_config

syslog einstellen

echo -e '*.*\t@syslog.kip.uni-heidelberg.de'  >>/etc/syslog.conf
/etc/init.d/sysklogd restart

exim4 einstellen

Test ob exim installiert ist:

aptitude search exim4

Die /etc/exim4/update-exim4.conf.conf neu erstellen:

cp /etc/exim4/update-exim4.conf.conf /etc/exim4/update-exim4.conf.conf.old
grep '^#' /etc/exim4/update-exim4.conf.conf.old > /etc/exim4/update-exim4.conf.conf
echo "
dc_eximconfig_configtype='smarthost'
dc_other_hostnames='$HOSTNAME.kip.uni-heidelberg.de'
dc_local_interfaces='127.0.0.1'
dc_readhost='$HOSTNAME.kip.uni-heidelberg.de'
dc_relay_domains=
dc_minimaldns='false'
dc_relay_nets='127.0.0.1/24'
dc_smarthost='mail.kip.uni-heidelberg.de'
CFILEMODE='644'
dc_use_split_config='false'
dc_hide_mailname='false'
dc_mailname_in_oh='true'
dc_localdelivery='mail_spool'" >>/etc/exim4/update-exim4.conf.conf

echo "$HOSTNAME.kip.uni-heidelberg.de" > /etc/mailname

/etc/aliases anpassen:

Sie sollten da Ihre E-Mail-Adressen eintragen!
cat /etc/aliases | sed 's/^\(root\|sesselm\|weis\):/#\1:/' > /etc/aliases.new
echo "
root: sesselm, weis

sesselm: sesselm@kip.uni-heidelberg.de
weis: weis@kip.uni-heidelberg.de
" >> /etc/aliases.new
mv /etc/aliases.new /etc/aliases

Exim updaten und neu starten:

update-exim4.conf
/etc/init.d/exim4 restart
echo "Init-Mail-Test from Host '$HOSTNAME' - $RANDOM" | mail -s "Init-Mail-test from $HOSTNAME" root

Locales generieren

locale-gen
locale-gen de_DE de_DE@euro

Backup mit ADSM

Eine ITSM-Client-ID im URZ beantragen:

http://www.urz.uni-heidelberg.de/ITSM/anmeldung-hd.shtml

Pakete installieren:

cd /afs/kip/software/Linux/ADSM/Version_5.3.4_debian
dpkg -i tivsm-{api,ba,hsm,kip}_*.deb

Konfigurationsdatei anpassen (wie in der E-Mail vom URZ mitgeteilt):

cd /opt/tivoli/tsm/client/ba/bin/
vi dsm.sys
vi dsm.opt

Einmal das Passwort eingeben und Konfiguration testen:

dsmc query schedule

Wenn das funktioniert hat kann der 'daemon' aktiviert werden:

vi /etc/default/adsm
/etc/init.d/adsm start

Eventuell erstes Backup:

dsmc incremental

Nutzeranmeldung über LDAP und KIP-AFS

Achtung.svg Einträge von lokalen Nutzer (/etc/passwd,...) haben (meist) Vorrang vor den LDAP-Nutzern!

Pakete installieren:

aptitude install ldap-utils libnss-ldap libpam-ldap libsasl2-modules-gssapi-heimdal

Die Fragen können wie folgt beantwortet werden, aber die Konfiguration wird dann sowieso überschrieben:

Attribut Wert
URI ldap://ldap.kip.uni-heidelberg.de/ ldap://ldap2.kip.uni-heidelberg.de/
DN dc=kip.uni-heidelberg,dc=de
LDAP-Version 3
LDAP-Root-Zugang <Feld löschen>
LDAP-Root-Passwort <Nix eingeben>
Lokaler-Root als Datenbank-Administrator Nein
Benötigt LDAP-Datenbank Anmeldung Nein

Orgnial-Konfiguration sichern:

cp /etc/libnss-ldap.conf /etc/libnss-ldap.conf.org
cp /etc/pam_ldap.conf    /etc/pam_ldap.conf.org
cp /etc/nsswitch.conf    /etc/nsswitch.conf.org

Nun Konfiguration kopieren und testen:

/bin/cp -b /afs/kip/common/etc/kip.crt                /etc/ssl/
/bin/cp -b /afs/kip/common/etc/LDAP/ldap.conf         /etc/ldap/
/bin/cp -b /afs/kip/common/etc/LDAP/libnss-ldap.conf  /etc/
/bin/cp -b /afs/kip/common/etc/LDAP/pam_ldap.conf     /etc/
/bin/cp -b /afs/kip/common/etc/LDAP/nsswitch.conf     /etc/
/etc/init.d/nscd restart
getent passwd

Den Link für die Heimatverzeichnisse anlegen:

ln -s /afs/kip.uni-heidelberg.de/user /afsuser

PAM-Konfiguration kopieren:

cp -b /afs/kip/common/profiles/new-System_debian40-etch/etc/pam.d/common-* /etc/pam.d/

Nun eventuell einschränken auf bestimmte KIP-Gruppen:

Dazu ist es nur notwendigt in der /etc/pam_ldap.conf einen 'pam_filter' zu aktivieren:
pam_filter  &(objectclass=posixAccount)(|(KIPGroup=S3)(KIPGroup=F10))
vi /etc/pam_ldap.conf

Falls auch die Namensauflösung eingeschränkt werden soll, die 'libnss-ldap.conf' entsprechend ändern:

vi /etc/libnss-ldap.conf
/etc/init.d/nscd restart