Difference between revisions of "Km.fjfi.cvut.cz"
From NMS
(Redirecting to Www.km) |
(→Instalace a konfigurace) |
||
| (4 intermediate revisions by the same user not shown) | |||
| Line 1: | Line 1: | ||
| − | + | {{Servers}} | |
| + | |||
| + | =Základní informace ([http://km.fjfi.cvut.cz km])= | ||
| + | |||
| + | ;Správce : [http://nms.fjfi.cvut.cz/user/who.php?uid=vokacpet Petr Vokáč] | ||
| + | ;HW : virtuální (Xen) - paravirtualizace x86_64 | ||
| + | ;OS : [http://www.centos.org CentOS7] | ||
| + | ;Využití : oficiální web KM, projekty lidí z KM, konference pořádané KM, ... | ||
| + | ;Konto : vytvářené na požádání správcem (vyhrazeno pro potřeby KM) | ||
| + | |||
| + | =Instalace a konfigurace= | ||
| + | * standardní (minimální) instalace operačního systému | ||
| + | ** aktuálně se pro lokální uživatelské učty používají uid < 1000 (900 a výše) | ||
| + | *** odpovídajícím způsobem upraveny konfigurace PAM modulů | ||
| + | *** může potenciálně kolidovat se systemévými učty pro něž jsou od RHEL7 vyhrazeny uid do 1000 | ||
| + | * standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...) | ||
| + | * specifický software a konfigurace | ||
| + | ** apache | ||
| + | *** data oficiálního webu KM uložena na standardní cestě <tt>/var/www/html</tt> | ||
| + | *** na tomto serveru jsou virtualhosty pro weby jednotlivých výzkumných skupin na KM (hostování několika domén) | ||
| + | *** web stránky virtualhostů jsou uložené ve <tt>www</tt> podadresáři domovského adresáře dané výzkumné skupiny | ||
| + | *** pro spávné fungování mod_rewrite je zapotřebí povolit <tt>Options FollowSymLinks</tt> pro adresáře, kde je "RewriteEngine On" (např. pro hlavní web KM) | ||
| + | ** mariadb | ||
| + | *** používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek" | ||
| + | **** nutné zkompilovat knihovnu (RPM balíček <tt>mysql-udf_charsets-1.0-1.src.rpm</tt>) | ||
| + | **** v systémové tabulce <tt>mysql.</tt> je pak zadefinována příslušná konverzní funkce | ||
| + | *** jméno (resp. prefix) databáze odpovídá lokálnímu účtu pro nějž byla daná databáze vytvořena | ||
| + | ** postfix | ||
| + | *** příjem pošty pro doménu <tt>@km.fjfi.cvut.cz</tt> | ||
| + | *** komunikace výhradně přes <tt>mailgw.fjfi.cvut.cz</tt> (<tt>relay_host</tt>) | ||
| + | ** dovecot | ||
| + | *** výběr pošty pro doménu <tt>@km.fjfi.cvut.cz</tt> | ||
| + | *** standardní konfigurace se SSL/TLS zabezpečením | ||
| + | ** samba | ||
| + | *** přístup k domovským adresářům resp. adresářům jednotlivých hostovaných výzkumných skupin KM | ||
| + | *** autentizace proti AD, ručně zařazení uživatelé s read-only a read-write právy | ||
| + | **** tento server byl přidán do domény pomoci <tt>net ads join</tt> | ||
| + | **** v budoucnu budou přístupová práva řesena přes skupiny v AD | ||
| + | ** vsftpd | ||
| + | *** aktuálně není spuštěno kvůli problémum CentOS7 běžícím na CentOS5 Xen Dom0 (mprotect syscall issue) | ||
| + | *** v budoucnu bude pravděpodobně úplně odstraněno kvůli špatné podpoře SSL/TLS ftp protokolu v klientech | ||
| + | ** firewall | ||
| + | firewall-cmd --permanent --add-service=ssh | ||
| + | firewall-cmd --permanent --add-service=http | ||
| + | firewall-cmd --permanent --add-service=https | ||
| + | firewall-cmd --permanent --add-service=pop3s | ||
| + | firewall-cmd --permanent --add-service=imaps | ||
| + | firewall-cmd --permanent --add-service=samba | ||
| + | firewall-cmd --permanent --add-service=ftp | ||
| + | firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.3" service name="smtp" accept' | ||
| + | firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.67" service name="smtp" accept' | ||
| + | firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1800::3" service name="smtp" accept' | ||
| + | firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1900::3" service name="smtp" accept' | ||
| + | # další specifická IP+porty pro monitoring, zálohování, ... | ||
| + | firewall-cmd --reload | ||
Latest revision as of 00:11, 11 August 2014
| Servery / Služby |
| Přístupné komukoliv |
| Omezený/individuální účet |
| Služby |
| backup · DHCP · DNS · doména FJFI · eduroam · fileserver · IdM · forum · gitlab · lists · moodle · indico · mailgw · K4 · mailserver · NMS · openvpn · skolniftp · ssh · videokonference · VoIP · video · VPN · wififjfi · wiki · www |
| Učebny |
| e-sklipek · KFE unixlab · KFE pclab · PD1 · KM 105 · KM 115 |
| Ostatní |
| Network · Blokované porty |
| [edit] · [view] |
Základní informace (km)
- Správce
- Petr Vokáč
- HW
- virtuální (Xen) - paravirtualizace x86_64
- OS
- CentOS7
- Využití
- oficiální web KM, projekty lidí z KM, konference pořádané KM, ...
- Konto
- vytvářené na požádání správcem (vyhrazeno pro potřeby KM)
Instalace a konfigurace
- standardní (minimální) instalace operačního systému
- aktuálně se pro lokální uživatelské učty používají uid < 1000 (900 a výše)
- odpovídajícím způsobem upraveny konfigurace PAM modulů
- může potenciálně kolidovat se systemévými učty pro něž jsou od RHEL7 vyhrazeny uid do 1000
- aktuálně se pro lokální uživatelské učty používají uid < 1000 (900 a výše)
- standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...)
- specifický software a konfigurace
- apache
- data oficiálního webu KM uložena na standardní cestě /var/www/html
- na tomto serveru jsou virtualhosty pro weby jednotlivých výzkumných skupin na KM (hostování několika domén)
- web stránky virtualhostů jsou uložené ve www podadresáři domovského adresáře dané výzkumné skupiny
- pro spávné fungování mod_rewrite je zapotřebí povolit Options FollowSymLinks pro adresáře, kde je "RewriteEngine On" (např. pro hlavní web KM)
- mariadb
- používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
- nutné zkompilovat knihovnu (RPM balíček mysql-udf_charsets-1.0-1.src.rpm)
- v systémové tabulce mysql. je pak zadefinována příslušná konverzní funkce
- jméno (resp. prefix) databáze odpovídá lokálnímu účtu pro nějž byla daná databáze vytvořena
- používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
- postfix
- příjem pošty pro doménu @km.fjfi.cvut.cz
- komunikace výhradně přes mailgw.fjfi.cvut.cz (relay_host)
- dovecot
- výběr pošty pro doménu @km.fjfi.cvut.cz
- standardní konfigurace se SSL/TLS zabezpečením
- samba
- přístup k domovským adresářům resp. adresářům jednotlivých hostovaných výzkumných skupin KM
- autentizace proti AD, ručně zařazení uživatelé s read-only a read-write právy
- tento server byl přidán do domény pomoci net ads join
- v budoucnu budou přístupová práva řesena přes skupiny v AD
- vsftpd
- aktuálně není spuštěno kvůli problémum CentOS7 běžícím na CentOS5 Xen Dom0 (mprotect syscall issue)
- v budoucnu bude pravděpodobně úplně odstraněno kvůli špatné podpoře SSL/TLS ftp protokolu v klientech
- firewall
- apache
firewall-cmd --permanent --add-service=ssh firewall-cmd --permanent --add-service=http firewall-cmd --permanent --add-service=https firewall-cmd --permanent --add-service=pop3s firewall-cmd --permanent --add-service=imaps firewall-cmd --permanent --add-service=samba firewall-cmd --permanent --add-service=ftp firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.3" service name="smtp" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.67" service name="smtp" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1800::3" service name="smtp" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1900::3" service name="smtp" accept' # další specifická IP+porty pro monitoring, zálohování, ... firewall-cmd --reload
