Difference between revisions of "Nms.fjfi.cvut.cz"

From NMS
Jump to: navigation, search
(Ostatní)
Line 126: Line 126:
 
* dinfo konfigurace
 
* dinfo konfigurace
 
* konfigurace cron tasků
 
* konfigurace cron tasků
 +
* ocsinventory
 +
** evidence hardware linuxových stanic
 +
*** <tt>ocsinventory-agent</tt>
 +
*** doinstalovat balík perl-LWP-Protocol-https chybějící v závislostech (done by puppet)
 +
** nutné zkonfigurovat přístupová práva v konfiguracích apache
 +
** používá MySQL databázi pro ukládání nasbíraných dat

Revision as of 16:47, 28 October 2014

Servery / Služby
Přístupné komukoliv
windows
srk
linux / unix
kmlinux
Omezený/individuální účet
linux / unix
bimbo · buon(KF) · km(KM) · lenochod(KJR) · linux · node(KM) · sunrise(KF) · unixlab(KFE) · vkstat(KM)
Služby
backup · DHCP · DNS · doména FJFI · eduroam · fileserver · IdM · forum · gitlab · lists · moodle · indico · mailgw · K4 · mailserver · NMS · openvpn · skolniftp · ssh · videokonference · VoIP · video · VPN · wififjfi · wiki · www
Učebny
e-sklipek · KFE unixlab · KFE pclab · PD1 · KM 105 · KM 115
Ostatní
Network · Blokované porty
[edit] · [view]

Základní informace o nms (Trojanova)

Správce 
Petr Vokáč
HW 
Supermicro X8STE, Intel(R) Core(TM) i7 CPU 920 @ 2.67GHz, 12GB RAM, 2x250 SATA HDD (Intel RAID1), chasis 2U (6x3.5 HDD)
OS 
CentOS6
Využití 
Network Monitoring, User Account Configuration, WiFiFJFI, FJFI VPN Server, Admin Wiki, DHCP, caching DNS, ...
Konto 
---

Základní informace o nms-br (Břehová)

Správce 
Petr Vokáč
HW 
ASUS 1U server RS120-E5/PA4, Intel(R) Xeon(R) CPU X3220 @ 2.40GHz, 4GB RAM, 2x250GB SATA HDD (RAID1)
OS 
CentOS7
Využití 
Network monitoring for Břehová, WiFiFJFI, DHCP, caching DNS, Network device registration support, ...
Konto 
---

Základní informace o nms-vh (Trója)

Správce 
Petr Vokáč
HW 
Asus AT5NM10-I Mini-ITX, CPU Atom 510, 2GB RAM
OS 
CentOS6
Využití 
Network monitoring for Trója, IPv6 router for Trója, DHCP, caching DNS, Network device registration support, ...
Konto 
---

Základní informace o nms-dp (Děčín)

Správce 
Petr Vokáč
HW 
Dell PowerEdge SC430, Intel(R) Pentium(R) 4 CPU 2.80GHz, 2.5GB RAM, HDD 80GB
OS 
CentOS6
Využití 
Network Monitoring for Děčín, DHCP, caching DNS, WiFiFJFI, ...
Konto 
---

Puppet

  • server 3.1.1 běží na nms.fjfi.cvut.cz (2.6.x verze nespolupracují s 3.x klienty), novější je i facter
  • pro zpřístupnění konfigurací se používá rubygem-passenger, konfigurace /etc/httpd/conf.d/puppet.conf
  • po instalaci z RPM je potřeba doinstalovat některé standardní moduly
puppet module install puppetlabs-stdlib
puppet module install puppetlabs-ntp
...
  • pro puppet server je možné používat alias puppet.fjfi.cvut.cz (funkční/důvěryhodné certifikáty serveru)
  • slouží ke konfiguraci zákládních služeb na serveru
    • fnspe_rsyslog -- centrální logování
    • fnspe_krb5 -- konfigurace kerberos klienta
    • fnspe_dns -- caching DNS (bind)
    • fnspe_ntp -- NTP client
    • fnspe_openvpn -- OpenVPN konfigurace (pro přístup k lokálním privátním subnetům)

DHCP

  • failover konfigurace (druhý server vždy v Trojance s vyjímkou Trojanka-Břehovka)
    • DHCP relay na CISCO
      • Břehová - VLAN1 relay (147.32.9.2, 147.32.9.4, 147.32.9.66), VLAN9 147.32.9.66
      • Trojanova - VLAN1 relay (147.32.9.2, 147.32.9.4, 147.32.9.66), VLAN9 147.32.9.2, VLAN13 relay (147.32.9.2, 147.32.9.4, 147.32.9.66)
      • Trója - VLAN1 147.32.25.2 + realy (147.32.9.2, 147.32.9.4)
  • konfigurace z informací o registrovaných zařízeních

RADVD

  • zkonfigurováno na FJFI zakončení IPv6 tunelů, tj. nms-br, nms-tr, nms-vh

Logging

  • rsyslog @ nms
    • zkonfigurován pro příjem logů z ostatních zařízení
    • podpora standardního remote logging 514/udp, ale i zabezpečeného syslog-tls
    • klienty je potřeba zkonfigurovat tak, aby i při použití TCP loggingu nekolabovali, když log server neběží
    • (většinou) nepotřebujeme reliable logging a je možné v případě potřeby logovací hlášky zahazovat
  • mailsql
    • daemon pro parsování log souborů postfix+amavis a jejich ukládání do databáze
    • log daemon zkonfigurován tak, aby přijímal "mail" logy od mailgw a ukládal je do /dev/shm

Monitoring

  • nagios
 yum install nagios nagios-plugins-all nagios-plugins-bacula nagios-plugins-uptime
 systemctl enable nagios
 #systemctl start nagios # až po dokončení konfigurace
  • konfigurace uloženy v /etc/nagios (některé lze generovat skriptem - routery/switche/ap)
  • některé vlastní monitorovací pluginy přidány do /usr/lib64/nagios/plugins (např.: check_openvpn, check_radius_simple, check_radius_eap, check_mysql_ping.sh, check_kdc_user, check_imap_login.php, check_certificate.pl, check_bacula.pl, check_kdc)
  • některé přidané pluginy potřebují další nainstalované balíčky (např. bacula-console, freeradius-utils, ...), ty lze dohledat podle (ne)fungujícího monitoringu a příkazu, které jsou používány


Ostatní

  • konfigurace parametrů jádra (sysctl.conf) - puppet
  • konfigurace síťových rozhraní - /etc/sysconfig/network-scripts/ifcfg-*
  • konfigurace firewallu (iptables, ip6tables, ipset)
yum install iptables-services ipset
# add missing ipset startup script from Fedora 20 ipset-service package
systemctl disable firewalld
systemctl enable ipset
systemctl enable iptables
systemctl enable ip6tables
# create configuration files using Iptables.py script
  • puppet agent
# install puppet client
rpm -Uvh http://mirror.slu.cz/epel/7/x86_64/e/epel-release-7-1.noarch.rpm
yum install puppet
echo "server = puppet.fjfi.cvut.cz" >> /etc/puppet/puppet.conf
# apply puppet configuration for this node and enable automatic updates
puppet agent -t -d
systemctl enable puppet
systemctl start puppet
  • arpmon
yum install MySQL-python python-ldap python-netaddr libnet
rpm -Uvh python-pycap-0.2-14.el7.x86_64.rpm arpmon-0.9.16-0.noarch.rpm
# use backup of configs /etc/arpmon.conf.enp3s0*
systemctl enable arpmon@enp3s0.service
systemctl start arpmon@enp3s0.service
  • dinfo (dočasně, bude nahrazeno něčím rozumnějším)
yum install python-dns
rpm -Uvh dinfo-0.9.8-0.noarch.rpm
# edit list of services in /etc/sysconfig/dinfo
systemctl enable dinfo
systemctl start dinfo
  • bacula
yum install bacula-client
# use backup of /etc/bacula/bacula-fd.conf
systemctl enable bacula-fd
systemctl start bacula-fd
  • ipsec (libreswan)
    • zabezpečené spojení mezi NMS servery (tj. včetně dat v GRE tunelech pro privátní adresy)
    • používá lokálně vygenerované vzájemně důvěryhodné certifikáty
  • httpd (konfigurace wififjfi logování)
  • tftp-server
  • presmerovani mailu pro root uzivatele /etc/aliases + newaliases
  • dinfo konfigurace
  • konfigurace cron tasků
  • ocsinventory
    • evidence hardware linuxových stanic
      • ocsinventory-agent
      • doinstalovat balík perl-LWP-Protocol-https chybějící v závislostech (done by puppet)
    • nutné zkonfigurovat přístupová práva v konfiguracích apache
    • používá MySQL databázi pro ukládání nasbíraných dat
Retrieved from "https://nms.fjfi.cvut.cz/wiki/index.php?title=Nms.fjfi.cvut.cz&oldid=3188"