EDV:NewSystem/Ubuntu 704: Difference between revisions
m (→Vorab) |
|||
Line 4: | Line 4: | ||
== Vorab == |
== Vorab == |
||
{{Achtung|Falls das System dann für [[EDV:LDAP|LDAP]]/[[EDV:OpenAFS|AFS]]-Nutzer zum anmelden |
|||
(siehe [[EDV:NewSystem/Ubuntu 704#Nutzeranmeldung über LDAP und KIP-AFS]]) |
|||
freigeschaltet werden soll, sollte {{IconAchtung}} der lokale Nutzer eine '''andere''' Nutzerkennung als den [[KIP-Account]] haben.}} |
|||
Nach dem ersten booten (ohne CD), sollte als erstes der '''sshd''' installiert werden, |
Nach dem ersten booten (ohne CD), sollte als erstes der '''sshd''' installiert werden, |
||
damit wir in Zukunft die Maschine remote administrieren können. |
damit wir in Zukunft die Maschine remote administrieren können. |
Revision as of 12:50, 13 July 2007
Neues Ubuntu 7.04 (Feisty Fawn) System einrichten
Wichtige Sachen die für ein neues Ubuntu System benötigt werden ...
Vorab
Falls das System dann für LDAP/AFS-Nutzer zum anmelden
(siehe EDV:NewSystem/Ubuntu 704#Nutzeranmeldung über LDAP und KIP-AFS) freigeschaltet werden soll, sollte der lokale Nutzer eine andere Nutzerkennung als den KIP-Account haben. |
Nach dem ersten booten (ohne CD), sollte als erstes der sshd installiert werden, damit wir in Zukunft die Maschine remote administrieren können. Allerdings muss dazu noch der APT-Proxy eingestellt und die Source-Listen aktualisert werden:
sudo bash echo 'Acquire::http::Proxy "http://proxy.kip.uni-heidelberg.de:3128";' >>/etc/apt/apt.conf aptitude update aptitude update aptitude install openssh-server
Falls es notwendig ist sich ohne lokalem User sich als root anzumelden (wird nicht empfohlen),
kann man jetzt ein root-Passwort setzten oder einen ssh-key hinterlegen. |
Die Option hiddenmenu in der /boot/grub/menu.list auskommentieren und Farbe einkommentieren:
cd /boot/grub cp menu.lst menu.lst.bak sed 's/^hiddenmenu/#hiddenmenu/' menu.lst.bak |sed 's/^#color/color/' >menu.lst
Wichtige Pakete
Wichtige Pakete die (fast) immer benötigt werden
Vorher Aktualisieren:
aptitude update aptitude dist-upgrade
Falls nun ein neuer Kernel installiert wurde sollte ein reboot durchgeführt werden |
Editoren:
aptitude install nedit vim-gtk xbase-clients
Monitoring:
aptitude install smartmontools hddtemp gkrellmd
Weiteres:
aptitude install rsync deborphan psmisc
OpenAFS installieren
Der Kernel 'generic'-Kernel sollte funktionieren (falls nicht, die i386-Version testen):
aptitude install kernel-image-2.6.20-16-generic
Falls ein neuer Kernel installiert wurde, am besten diesen auch booten:
reboot
Nun die Pakete installieren:
aptitude install heimdal-clients openafs-client openafs-modules-source module-assistant
Jetzt das Kernel-Modul bauen:
cd /usr/src module-assistant prepare openafs module-assistant build openafs
Modul installieren:
dpkg -i openafs-modules-2.6.20-16-generic_1.4.4-1+2.6.20-16.*.deb
OpenAFS starten:
/etc/init.d/openafs-client force-start
Der Inhalt von /afs sollte dynamisch generiert werden, deshalb das Pakte nochmal neu konfigurieren:
dpkg-reconfigure openafs-client # => generate /afs dynamic => yes fs newalias kip kip.uni-heidelberg.de cp /afs/kip/common/etc/CellServDB /etc/openafs/ cp /afs/kip/common/etc/CellAlias /etc/openafs/
Nun noch die Kerberos-Konfiguration korrigieren:
cp /afs/kip/common/etc/krb5.conf /etc/
Der Befehl 'dnsdomainname' sollte 'kip.uni-heidelberg.de' zurückgeben! Falls dies nicht der Fall ist, fehlt in der /etc/hosts ein Eintrag mit den Kompetten Namen:
if [ -z `dnsdomainname` ]; then sed "s/$HOSTNAME/$HOSTNAME.kip.uni-heidelberg.de $HOSTNAME/" /etc/hosts >/etc/hosts.tmp && mv /etc/hosts.tmp /etc/hosts; fi dnsdomainname
Profile-Dateien für 'root'
Am einfachsten alles vom AFS kopieren (sind auch noch mehr Profiledateien dabei):
chmod 700 /root cp -rv /afs/kip/common/profiles/new-System_ubuntu704-feisty/root /
Apt Sources Liste
Am besten wieder vom AFS kopieren:
cp /etc/apt/sources.list /etc/apt/sources.list.org cp /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/apt/sources.list /etc/apt/sources.list aptitude update
Und auch die Keys importieren:
apt-key list for f in /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/apt/keys/*.key; do echo -n "Insert keyfile: $f: " && apt-key add $f; done apt-key list aptitude update
Root-Homeverzeichnis schützen
Leider ist das Homeverzeichnis von root nicht mehr geschützt, deswegen machen wir das einfach:
ls -ld /root chmod 700 /root
Zeit syncronisieren mit (NTP)
installieren:
aptitude install ntpdate ntp
Für ntpdate verwenden wir die selbe Konfiguration wie für ntp, dazu in /etc/default/ntpdata die Option NTPDATE_USE_NTP_CONF auf yes setzten.
ntp configurieren (/etc/ntp.conf):
cp /etc/ntp.conf /etc/ntp.conf.org cat /etc/ntp.conf | sed 's/^server /#server /' > /etc/ntp.conf.new mv -f /etc/ntp.conf.new /etc/ntp.conf echo "server ntp.kip.uni-heidelberg.de" >> /etc/ntp.conf echo "server ntp2.kip.uni-heidelberg.de" >> /etc/ntp.conf echo "server 129.206.119.11 # aixfile1.urz.uni-heidelberg.de" >> /etc/ntp.conf echo "server 129.206.119.12 # aixfile2.urz.uni-heidelberg.de" >> /etc/ntp.conf echo "server 129.206.119.41 # aixterm1.urz.uni-heidelberg.de" >> /etc/ntp.conf echo "server 129.206.119.42 # aixterm2.urz.uni-heidelberg.de" >> /etc/ntp.conf echo "server 129.206.119.43 # aixterm3.urz.uni-heidelberg.de" >> /etc/ntp.conf
ntpdate und ntp starten (ntpdate ist nur einmalig):
/etc/init.d/ntp stop ntpdate-debian /etc/init.d/ntp start /sbin/hwclock -w
ssh - Konfiguration anpassen
Für die ssh-Clients X generell einschalten
# echo " Host *" >> /etc/ssh/ssh_config cp /etc/ssh/ssh_config /etc/ssh/ssh_config.bak cp /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/ssh/ssh_config /etc/ssh/ssh_config
Wichtige Optionen für Manuelle Konfiguration:
Host * ForwardX11 yes ForwardX11Trusted yes SendEnv LANG LC_* HashKnownHosts yes GSSAPIAuthentication yes GSSAPIDelegateCredentials yes
syslog einstellen
echo '*.* @syslog.kip.uni-heidelberg.de' >>/etc/syslog.conf /etc/init.d/sysklogd restart
postfix einstellen
Test ob postfix installiert ist:
aptitude search postfix
Die /etc/postfix/main.cf kontrollieren: ($HOSTNAME ist der kurze Hostname)
myhostname = $HOSTNAME alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = $HOSTNAME.kip.uni-heidelberg.de, dali, localhost.localdomain, localhost relayhost = mail.kip.uni-heidelberg.de mynetworks = 127.0.0.0/8 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all
Nun noch die /etc/mailname:
echo "$HOSTNAME.kip.uni-heidelberg.de" > /etc/mailname
/etc/aliases anpassen:
Sie sollten da Ihre E-Mail-Adressen eintragen! |
cat /etc/aliases | sed 's/^\(root\|sesselm\|weis\):/#\1:/' > /etc/aliases.new echo " root: sesselm, weis sesselm: sesselm@kip.uni-heidelberg.de weis: weis@kip.uni-heidelberg.de " >> /etc/aliases.new mv /etc/aliases.new /etc/aliases newaliases
Test:
echo "Init-Mail-Test from Host '$HOSTNAME' - $RANDOM" | mail -s "Init-Mail-test from $HOSTNAME" root
Locales generieren
locale-gen locale-gen de_DE de_DE@euro
Backup mit ADSM
Eine ITSM-Client-ID im URZ beantragen:
Pakete installieren:
cd /afs/kip/software/Linux/ADSM/Version_5.3.4_debian dpkg -i tivsm-{api,ba,hsm,kip}_*.deb
Konfigurationsdatei anpassen (wie in der E-Mail vom URZ mitgeteilt):
cd /opt/tivoli/tsm/client/ba/bin/ vi dsm.sys vi dsm.opt
Einmal das Passwort eingeben und Konfiguration testen:
dsmc query schedule
Wenn das funktioniert hat kann der 'daemon' aktiviert werden:
vi /etc/default/adsm /etc/init.d/adsm start
Eventuell erstes Backup:
dsmc incremental
Nutzeranmeldung über LDAP und KIP-AFS
Einträge von lokalen Nutzer (/etc/passwd,...) haben (meist) Vorrang vor den LDAP-Nutzern! |
Pakete installieren:
aptitude install ldap-utils libnss-ldap libpam-ldap libsasl2-modules-gssapi-heimdal
Die Fragen können wie folgt beantwortet werden, aber die Konfiguration wird dann sowieso überschrieben:
Attribut | Wert |
---|---|
URI | ldap://ldap.kip.uni-heidelberg.de/ ldap://ldap2.kip.uni-heidelberg.de/ |
DN | dc=kip.uni-heidelberg,dc=de |
LDAP-Version | 3 |
LDAP-Root-Zugang | <Feld löschen> |
LDAP-Root-Passwort | <Nix eingeben> |
Lokaler-Root als Datenbank-Administrator | Nein |
Benötigt LDAP-Datenbank Anmeldung | Nein |
Orgnial-Konfiguration sichern:
cp /etc/libnss-ldap.conf /etc/libnss-ldap.conf.org cp /etc/pam_ldap.conf /etc/pam_ldap.conf.org cp /etc/nsswitch.conf /etc/nsswitch.conf.org
Nun Konfiguration kopieren und testen:
/bin/cp -b /afs/kip/common/etc/kip.crt /etc/ssl/ /bin/cp -b /afs/kip/common/etc/LDAP/ldap.conf /etc/ldap/ /bin/cp -b /afs/kip/common/etc/LDAP/libnss-ldap.conf /etc/ /bin/cp -b /afs/kip/common/etc/LDAP/pam_ldap.conf /etc/ /bin/cp -b /afs/kip/common/etc/LDAP/nsswitch.conf /etc/ /etc/init.d/nscd restart getent passwd
Den Link für die Heimatverzeichnisse anlegen:
ln -s /afs/kip.uni-heidelberg.de/user /afsuser
Nervende Groups-Meldung korrigieren:
sed 's/$(groups)/$(groups 2>\/dev\/null)/' /etc/bash.bashrc >/etc/bash.bashrc.tmp mv /etc/bash.bashrc.tmp /etc/bash.bashrc
PAM-Konfiguration kopieren:
cp -b /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/pam.d/common-* /etc/pam.d/
Nun eventuell einschränken auf bestimmte KIP-Gruppen:
Dazu ist es nur notwendigt in der /etc/pam_ldap.conf einen 'pam_filter' zu aktivieren:
pam_filter &(objectclass=posixAccount)(|(KIPGroup=S3)(KIPGroup=F10)) |
vi /etc/pam_ldap.conf
Falls auch die Namensauflösung eingeschränkt werden soll, die 'libnss-ldap.conf' entsprechend ändern:
vi /etc/libnss-ldap.conf /etc/init.d/nscd restart