EDV:NewSystem/Ubuntu 704: Difference between revisions

From KIP Wiki
⧼kip-jumptonavigation⧽⧼kip-jumptosearch⧽
Line 4: Line 4:


== Vorab ==
== Vorab ==
{{Achtung|Falls das System dann für [[EDV:LDAP|LDAP]]/[[EDV:OpenAFS|AFS]]-Nutzer zum anmelden
{{Achtung|Falls das System dann für [[EDV:LDAP|LDAP]]/[[EDV:OpenAFS|AFS]]-Nutzer zum anmelden (siehe [[EDV:NewSystem/Ubuntu 704#Nutzeranmeldung über LDAP und KIP-AFS|Nutzeranmeldung über LDAP und KIP-AFS]]) freigeschaltet werden soll, sollte {{IconAchtung}} der lokale Nutzer eine '''andere''' Nutzerkennung als den [[KIP-Account]] haben.}}
(siehe [[EDV:NewSystem/Ubuntu 704#Nutzeranmeldung über LDAP und KIP-AFS]])
freigeschaltet werden soll, sollte {{IconAchtung}} der lokale Nutzer eine '''andere''' Nutzerkennung als den [[KIP-Account]] haben.}}


Nach dem ersten booten (ohne CD), sollte als erstes der '''sshd''' installiert werden,
Nach dem ersten booten (ohne CD), sollte als erstes der '''sshd''' installiert werden,

Revision as of 12:52, 13 July 2007

Neues Ubuntu 7.04 (Feisty Fawn) System einrichten

Wichtige Sachen die für ein neues Ubuntu System benötigt werden ...


Vorab

Falls das System dann für LDAP/AFS-Nutzer zum anmelden (siehe Nutzeranmeldung über LDAP und KIP-AFS) freigeschaltet werden soll, sollte Achtung.svg der lokale Nutzer eine andere Nutzerkennung als den KIP-Account haben.

Nach dem ersten booten (ohne CD), sollte als erstes der sshd installiert werden, damit wir in Zukunft die Maschine remote administrieren können. Allerdings muss dazu noch der APT-Proxy eingestellt und die Source-Listen aktualisert werden:

sudo bash
echo 'Acquire::http::Proxy "http://proxy.kip.uni-heidelberg.de:3128";' >>/etc/apt/apt.conf
aptitude update
aptitude update
aptitude install openssh-server 
Falls es notwendig ist sich ohne lokalem User sich als root anzumelden (wird nicht empfohlen),

kann man jetzt ein root-Passwort setzten oder einen ssh-key hinterlegen.

Die Option hiddenmenu in der /boot/grub/menu.list auskommentieren und Farbe einkommentieren:

cd /boot/grub
cp menu.lst menu.lst.bak
sed 's/^hiddenmenu/#hiddenmenu/' menu.lst.bak |sed 's/^#color/color/' >menu.lst

Wichtige Pakete

Wichtige Pakete die (fast) immer benötigt werden

Vorher Aktualisieren:

aptitude update
aptitude dist-upgrade
Falls nun ein neuer Kernel installiert wurde sollte ein reboot durchgeführt werden

Editoren:

aptitude install nedit vim-gtk xbase-clients

Monitoring:

aptitude install smartmontools hddtemp gkrellmd

Weiteres:

aptitude install rsync deborphan psmisc

OpenAFS installieren

Der Kernel 'generic'-Kernel sollte funktionieren (falls nicht, die i386-Version testen):

aptitude install kernel-image-2.6.20-16-generic

Falls ein neuer Kernel installiert wurde, am besten diesen auch booten:

reboot

Nun die Pakete installieren:

aptitude install heimdal-clients openafs-client openafs-modules-source  module-assistant

Jetzt das Kernel-Modul bauen:

cd /usr/src
module-assistant prepare openafs
module-assistant build openafs

Modul installieren:

dpkg -i openafs-modules-2.6.20-16-generic_1.4.4-1+2.6.20-16.*.deb

OpenAFS starten:

/etc/init.d/openafs-client force-start

Der Inhalt von /afs sollte dynamisch generiert werden, deshalb das Pakte nochmal neu konfigurieren:

dpkg-reconfigure openafs-client    # => generate /afs dynamic => yes
fs newalias kip kip.uni-heidelberg.de
cp /afs/kip/common/etc/CellServDB /etc/openafs/
cp /afs/kip/common/etc/CellAlias  /etc/openafs/

Nun noch die Kerberos-Konfiguration korrigieren:

cp /afs/kip/common/etc/krb5.conf /etc/

Der Befehl 'dnsdomainname' sollte 'kip.uni-heidelberg.de' zurückgeben! Falls dies nicht der Fall ist, fehlt in der /etc/hosts ein Eintrag mit den Kompetten Namen:

if [ -z `dnsdomainname` ]; then 
  sed "s/$HOSTNAME/$HOSTNAME.kip.uni-heidelberg.de  $HOSTNAME/" /etc/hosts >/etc/hosts.tmp && mv /etc/hosts.tmp /etc/hosts;  
fi
dnsdomainname

Profile-Dateien für 'root'

Am einfachsten alles vom AFS kopieren (sind auch noch mehr Profiledateien dabei):

chmod 700 /root
cp -rv /afs/kip/common/profiles/new-System_ubuntu704-feisty/root /

Apt Sources Liste

Am besten wieder vom AFS kopieren:

cp /etc/apt/sources.list /etc/apt/sources.list.org
cp /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/apt/sources.list /etc/apt/sources.list
aptitude update

Und auch die Keys importieren:

apt-key list
for f in /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/apt/keys/*.key; do 
  echo -n "Insert keyfile: $f: " && apt-key add $f; 
done
apt-key list
aptitude update

Root-Homeverzeichnis schützen

Leider ist das Homeverzeichnis von root nicht mehr geschützt, deswegen machen wir das einfach:

ls -ld /root
chmod 700 /root

Zeit syncronisieren mit (NTP)

installieren:

aptitude install ntpdate ntp

Für ntpdate verwenden wir die selbe Konfiguration wie für ntp, dazu in /etc/default/ntpdata die Option NTPDATE_USE_NTP_CONF auf yes setzten.

ntp configurieren (/etc/ntp.conf):

cp /etc/ntp.conf /etc/ntp.conf.org
cat /etc/ntp.conf | sed 's/^server /#server /' > /etc/ntp.conf.new
mv -f /etc/ntp.conf.new /etc/ntp.conf

echo "server ntp.kip.uni-heidelberg.de" >> /etc/ntp.conf
echo "server ntp2.kip.uni-heidelberg.de" >> /etc/ntp.conf
echo "server 129.206.119.11          # aixfile1.urz.uni-heidelberg.de" >> /etc/ntp.conf
echo "server 129.206.119.12          # aixfile2.urz.uni-heidelberg.de" >> /etc/ntp.conf
echo "server 129.206.119.41          # aixterm1.urz.uni-heidelberg.de" >> /etc/ntp.conf
echo "server 129.206.119.42          # aixterm2.urz.uni-heidelberg.de" >> /etc/ntp.conf
echo "server 129.206.119.43          # aixterm3.urz.uni-heidelberg.de" >> /etc/ntp.conf

ntpdate und ntp starten (ntpdate ist nur einmalig):

/etc/init.d/ntp stop
ntpdate-debian
/etc/init.d/ntp start
/sbin/hwclock -w

ssh - Konfiguration anpassen

Für die ssh-Clients X generell einschalten

# echo " Host *" >> /etc/ssh/ssh_config
cp /etc/ssh/ssh_config /etc/ssh/ssh_config.bak
cp /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/ssh/ssh_config /etc/ssh/ssh_config

Wichtige Optionen für Manuelle Konfiguration:

Host *
  ForwardX11 yes
  ForwardX11Trusted yes
  SendEnv LANG LC_*
  HashKnownHosts yes
  GSSAPIAuthentication yes
  GSSAPIDelegateCredentials yes

syslog einstellen

echo '*.*    @syslog.kip.uni-heidelberg.de'  >>/etc/syslog.conf
/etc/init.d/sysklogd restart

postfix einstellen

Test ob postfix installiert ist:

aptitude search postfix

Die /etc/postfix/main.cf kontrollieren: ($HOSTNAME ist der kurze Hostname)

myhostname = $HOSTNAME
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = $HOSTNAME.kip.uni-heidelberg.de, dali, localhost.localdomain, localhost
relayhost = mail.kip.uni-heidelberg.de
mynetworks = 127.0.0.0/8
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

Nun noch die /etc/mailname:

echo "$HOSTNAME.kip.uni-heidelberg.de" > /etc/mailname

/etc/aliases anpassen:

Sie sollten da Ihre E-Mail-Adressen eintragen!
cat /etc/aliases | sed 's/^\(root\|sesselm\|weis\):/#\1:/' > /etc/aliases.new
echo "
root: sesselm, weis

sesselm: sesselm@kip.uni-heidelberg.de
weis: weis@kip.uni-heidelberg.de
" >> /etc/aliases.new
mv /etc/aliases.new /etc/aliases
newaliases

Test:

echo "Init-Mail-Test from Host '$HOSTNAME' - $RANDOM" | mail -s "Init-Mail-test from $HOSTNAME" root

Locales generieren

locale-gen
locale-gen de_DE de_DE@euro

Backup mit ADSM

Eine ITSM-Client-ID im URZ beantragen:

http://www.urz.uni-heidelberg.de/ITSM/anmeldung-hd.shtml

Pakete installieren:

cd /afs/kip/software/Linux/ADSM/Version_5.3.4_debian
dpkg -i tivsm-{api,ba,hsm,kip}_*.deb

Konfigurationsdatei anpassen (wie in der E-Mail vom URZ mitgeteilt):

cd /opt/tivoli/tsm/client/ba/bin/
vi dsm.sys
vi dsm.opt

Einmal das Passwort eingeben und Konfiguration testen:

dsmc query schedule

Wenn das funktioniert hat kann der 'daemon' aktiviert werden:

vi /etc/default/adsm
/etc/init.d/adsm start

Eventuell erstes Backup:

dsmc incremental

Nutzeranmeldung über LDAP und KIP-AFS

Achtung.svg Einträge von lokalen Nutzer (/etc/passwd,...) haben (meist) Vorrang vor den LDAP-Nutzern!

Pakete installieren:

aptitude install ldap-utils libnss-ldap libpam-ldap libsasl2-modules-gssapi-heimdal

Die Fragen können wie folgt beantwortet werden, aber die Konfiguration wird dann sowieso überschrieben:

Attribut Wert
URI ldap://ldap.kip.uni-heidelberg.de/ ldap://ldap2.kip.uni-heidelberg.de/
DN dc=kip.uni-heidelberg,dc=de
LDAP-Version 3
LDAP-Root-Zugang <Feld löschen>
LDAP-Root-Passwort <Nix eingeben>
Lokaler-Root als Datenbank-Administrator Nein
Benötigt LDAP-Datenbank Anmeldung Nein

Orgnial-Konfiguration sichern:

cp /etc/libnss-ldap.conf /etc/libnss-ldap.conf.org
cp /etc/pam_ldap.conf    /etc/pam_ldap.conf.org
cp /etc/nsswitch.conf    /etc/nsswitch.conf.org

Nun Konfiguration kopieren und testen:

/bin/cp -b /afs/kip/common/etc/kip.crt                /etc/ssl/
/bin/cp -b /afs/kip/common/etc/LDAP/ldap.conf         /etc/ldap/
/bin/cp -b /afs/kip/common/etc/LDAP/libnss-ldap.conf  /etc/
/bin/cp -b /afs/kip/common/etc/LDAP/pam_ldap.conf     /etc/
/bin/cp -b /afs/kip/common/etc/LDAP/nsswitch.conf     /etc/
/etc/init.d/nscd restart
getent passwd

Den Link für die Heimatverzeichnisse anlegen:

ln -s /afs/kip.uni-heidelberg.de/user /afsuser

Nervende Groups-Meldung korrigieren:

sed 's/$(groups)/$(groups 2>\/dev\/null)/' /etc/bash.bashrc >/etc/bash.bashrc.tmp
mv /etc/bash.bashrc.tmp /etc/bash.bashrc

PAM-Konfiguration kopieren:

cp -b /afs/kip/common/profiles/new-System_ubuntu704-feisty/etc/pam.d/common-* /etc/pam.d/

Nun eventuell einschränken auf bestimmte KIP-Gruppen:

Dazu ist es nur notwendigt in der /etc/pam_ldap.conf einen 'pam_filter' zu aktivieren:
pam_filter  &(objectclass=posixAccount)(|(KIPGroup=S3)(KIPGroup=F10))
vi /etc/pam_ldap.conf

Falls auch die Namensauflösung eingeschränkt werden soll, die 'libnss-ldap.conf' entsprechend ändern:

vi /etc/libnss-ldap.conf
/etc/init.d/nscd restart