EDV:NewSystem/Debian 40: Difference between revisions
m (EDV:NewSystem/Debian 704 moved to EDV:NewSystem/Debian 40) |
m (→Vorab) |
||
Line 4: | Line 4: | ||
== Vorab == |
== Vorab == |
||
{{Achtung|Falls das System dann für [[EDV:LDAP|LDAP]]/[[EDV:OpenAFS|AFS]]-Nutzer zum anmelden |
{{Achtung|Falls das System dann für [[EDV:LDAP|LDAP]]/[[EDV:OpenAFS|AFS]]-Nutzer zum anmelden |
||
(siehe [[EDV:NewSystem/Debian 40#Nutzeranmeldung über LDAP und KIP-AFS]]) |
(siehe [[EDV:NewSystem/Debian 40#Nutzeranmeldung über LDAP und KIP-AFS|Nutzeranmeldung über LDAP und KIP-AFS]]) |
||
freigeschaltet werden soll, sollte {{IconAchtung}} der lokale Nutzer eine '''andere''' Nutzerkennung als den [[KIP-Account]] haben.}} |
freigeschaltet werden soll, sollte {{IconAchtung}} der lokale Nutzer eine '''andere''' Nutzerkennung als den [[KIP-Account]] haben.}} |
||
Revision as of 12:52, 13 July 2007
Neues Debian 4.0 (etch) System einrichten
Wichtige Sachen die für ein neues Debian System benötigt werden ...
Vorab
Falls das System dann für LDAP/AFS-Nutzer zum anmelden
(siehe Nutzeranmeldung über LDAP und KIP-AFS) freigeschaltet werden soll, sollte der lokale Nutzer eine andere Nutzerkennung als den KIP-Account haben. |
Für eine Serverinstallation sollte beim installieren bei Tasksel die Standardinstallation ausgewählt sein/bleiben!
Nach dem ersten booten (ohne CD) sollte als erstes der sshd installiert werden, damit wir remote weitermachen können:
aptitude install openssh-server
Falls der Proxy noch nicht für APT eingestellt ist:
echo 'Acquire::http::Proxy "http://proxy3.kip.uni-heidelberg.de:3128";' >>/etc/apt/apt.conf aptitude update
Wichtige Pakete
Wichtige Pakete die (fast) immer benötigt werden
Vorher Aktualisieren:
aptitude update aptitude dist-upgrade
Falls nun ein neuer Kernel installiert wurde sollte ein reboot durchgeführt werden |
Editoren:
aptitude install nedit vim-gtk xbase-clients
Monitoring:
aptitude install smartmontools hddtemp gkrellmd
Weiteres:
aptitude install rsync deborphan psmisc
OpenAFS installieren
Falls ein neuer Kernel installier wurde, sollte er jetzt auch verwendet werden:
# reboot
Pakete installieren (der Inhalt von /afs sollte dynamisch generiert werden):
aptitude install heimdal-clients openafs-client openafs-modules-source module-assistant
Das Kernel-Modul bauen:
cd /usr/src module-assistant prepare openafs module-assistant build openafs
Modul installieren:
dpkg -i openafs-modules-2.6.18-4-686_1.4.2-6+2.6.18.dfsg.1-12etch2_i386.deb
OpenAFS Starten (und Konfiguration fürs nächste mal anpassen):
/etc/init.d/openafs-client force-start fs newalias kip kip.uni-heidelberg.de cp /afs/kip/common/etc/CellServDB /etc/openafs/ cp /afs/kip/common/etc/CellAlias /etc/openafs/
Der Befehl 'dnsdomainname' sollte 'kip.uni-heidelberg.de' zurückgeben! Falls dies nicht der Fall ist, fehlt in der /etc/hosts ein Eintrag mit den Kompetten Namen:
if [ -z `dnsdomainname` ]; then sed "s/$HOSTNAME/$HOSTNAME.kip.uni-heidelberg.de $HOSTNAME/" /etc/hosts >/etc/hosts.tmp && mv /etc/hosts.tmp /etc/hosts; fi dnsdomainname
Profile-Dateien für 'root'
Am einfachsten alles vom AFS kopieren (sind auch noch mehr Profiledateien dabei):
chmod 700 /root cp -rv /afs/kip/common/profiles/new-System_debian40-etch/root /
Apt Sources Liste
Am besten wieder vom AFS kopieren:
cp /etc/apt/sources.list /etc/apt/sources.list.org cp /afs/kip/common/profiles/new-System_debian40-etch/etc/apt/sources.list /etc/apt/sources.list aptitude update
Schlüssel Importieren:
apt-key list for f in /afs/kip/common/profiles/new-System_debian40-etch/etc/apt/keys/*.key; do echo -n "Insert keyfile: $f: " && apt-key add $f; done apt-key list aptitude update
Root-Homeverzeichnis schützen
Leider ist das Homeverzeichnis von root nicht mehr geschützt, deswegen machen wir das einfach:
ls -ld /root chmod 700 /root
Zeit syncronisieren (NTP)
installieren:
aptitude install ntpdate ntp
Für ntpdate verwenden wir die selbe Konfiguration wie für ntp, dazu in /etc/default/ntpdata die Option NTPDATE_USE_NTP_CONF auf yes setzten.
ntp configurieren (/etc/ntp.conf):
cp /etc/ntp.conf /etc/ntp.conf.org cat /etc/ntp.conf | sed 's/^server /#server /' > /etc/ntp.conf.new mv -f /etc/ntp.conf.new /etc/ntp.conf echo " server ntp.kip.uni-heidelberg.de server ntp2.kip.uni-heidelberg.de server 129.206.119.11 # aixfile1.urz.uni-heidelberg.de server 129.206.119.12 # aixfile2.urz.uni-heidelberg.de server 129.206.119.41 # aixterm1.urz.uni-heidelberg.de server 129.206.119.42 # aixterm2.urz.uni-heidelberg.de server 129.206.119.43 # aixterm3.urz.uni-heidelberg.de " >> /etc/ntp.conf
ntpdate und ntp starten (ntpdate ist nur einmalig):
/etc/init.d/ntp stop ntpdate-debian /etc/init.d/ntp start /sbin/hwclock -w
ssh - Konfiguration anpassen
Für die ssh-Clients X generell einschalten
# echo " Host *" >> /etc/ssh/ssh_config echo " ForwardX11 yes" >> /etc/ssh/ssh_config echo " ForwardX11Trusted yes" >> /etc/ssh/ssh_config
syslog einstellen
echo -e '*.*\t@syslog.kip.uni-heidelberg.de' >>/etc/syslog.conf /etc/init.d/sysklogd restart
exim4 einstellen
Test ob exim installiert ist:
aptitude search exim4
Die /etc/exim4/update-exim4.conf.conf neu erstellen:
cp /etc/exim4/update-exim4.conf.conf /etc/exim4/update-exim4.conf.conf.old grep '^#' /etc/exim4/update-exim4.conf.conf.old > /etc/exim4/update-exim4.conf.conf echo " dc_eximconfig_configtype='smarthost' dc_other_hostnames='$HOSTNAME.kip.uni-heidelberg.de' dc_local_interfaces='127.0.0.1' dc_readhost='$HOSTNAME.kip.uni-heidelberg.de' dc_relay_domains= dc_minimaldns='false' dc_relay_nets='127.0.0.1/24' dc_smarthost='mail.kip.uni-heidelberg.de' CFILEMODE='644' dc_use_split_config='false' dc_hide_mailname='false' dc_mailname_in_oh='true' dc_localdelivery='mail_spool'" >>/etc/exim4/update-exim4.conf.conf echo "$HOSTNAME.kip.uni-heidelberg.de" > /etc/mailname
/etc/aliases anpassen:
Sie sollten da Ihre E-Mail-Adressen eintragen! |
cat /etc/aliases | sed 's/^\(root\|sesselm\|weis\):/#\1:/' > /etc/aliases.new echo " root: sesselm, weis sesselm: sesselm@kip.uni-heidelberg.de weis: weis@kip.uni-heidelberg.de " >> /etc/aliases.new mv /etc/aliases.new /etc/aliases
Exim updaten und neu starten:
update-exim4.conf /etc/init.d/exim4 restart echo "Init-Mail-Test from Host '$HOSTNAME' - $RANDOM" | mail -s "Init-Mail-test from $HOSTNAME" root
Locales generieren
locale-gen locale-gen de_DE de_DE@euro
Backup mit ADSM
Eine ITSM-Client-ID im URZ beantragen:
Pakete installieren:
cd /afs/kip/software/Linux/ADSM/Version_5.3.4_debian dpkg -i tivsm-{api,ba,hsm,kip}_*.deb
Konfigurationsdatei anpassen (wie in der E-Mail vom URZ mitgeteilt):
cd /opt/tivoli/tsm/client/ba/bin/ vi dsm.sys vi dsm.opt
Einmal das Passwort eingeben und Konfiguration testen:
dsmc query schedule
Wenn das funktioniert hat kann der 'daemon' aktiviert werden:
vi /etc/default/adsm /etc/init.d/adsm start
Eventuell erstes Backup:
dsmc incremental
Nutzeranmeldung über LDAP und KIP-AFS
Einträge von lokalen Nutzer (/etc/passwd,...) haben (meist) Vorrang vor den LDAP-Nutzern! |
Pakete installieren:
aptitude install ldap-utils libnss-ldap libpam-ldap libsasl2-modules-gssapi-heimdal
Die Fragen können wie folgt beantwortet werden, aber die Konfiguration wird dann sowieso überschrieben:
Attribut | Wert |
---|---|
URI | ldap://ldap.kip.uni-heidelberg.de/ ldap://ldap2.kip.uni-heidelberg.de/ |
DN | dc=kip.uni-heidelberg,dc=de |
LDAP-Version | 3 |
LDAP-Root-Zugang | <Feld löschen> |
LDAP-Root-Passwort | <Nix eingeben> |
Lokaler-Root als Datenbank-Administrator | Nein |
Benötigt LDAP-Datenbank Anmeldung | Nein |
Orgnial-Konfiguration sichern:
cp /etc/libnss-ldap.conf /etc/libnss-ldap.conf.org cp /etc/pam_ldap.conf /etc/pam_ldap.conf.org cp /etc/nsswitch.conf /etc/nsswitch.conf.org
Nun Konfiguration kopieren und testen:
/bin/cp -b /afs/kip/common/etc/kip.crt /etc/ssl/ /bin/cp -b /afs/kip/common/etc/LDAP/ldap.conf /etc/ldap/ /bin/cp -b /afs/kip/common/etc/LDAP/libnss-ldap.conf /etc/ /bin/cp -b /afs/kip/common/etc/LDAP/pam_ldap.conf /etc/ /bin/cp -b /afs/kip/common/etc/LDAP/nsswitch.conf /etc/ /etc/init.d/nscd restart getent passwd
Den Link für die Heimatverzeichnisse anlegen:
ln -s /afs/kip.uni-heidelberg.de/user /afsuser
PAM-Konfiguration kopieren:
cp -b /afs/kip/common/profiles/new-System_debian40-etch/etc/pam.d/common-* /etc/pam.d/
Nun eventuell einschränken auf bestimmte KIP-Gruppen:
Dazu ist es nur notwendigt in der /etc/pam_ldap.conf einen 'pam_filter' zu aktivieren:
pam_filter &(objectclass=posixAccount)(|(KIPGroup=S3)(KIPGroup=F10)) |
vi /etc/pam_ldap.conf
Falls auch die Namensauflösung eingeschränkt werden soll, die 'libnss-ldap.conf' entsprechend ändern:
vi /etc/libnss-ldap.conf /etc/init.d/nscd restart