Difference between revisions of "Km.fjfi.cvut.cz"
From NMS
(→Instalace a konfigurace) |
(→Instalace a konfigurace) |
||
(2 intermediate revisions by the same user not shown) | |||
Line 11: | Line 11: | ||
=Instalace a konfigurace= | =Instalace a konfigurace= | ||
* standardní (minimální) instalace operačního systému | * standardní (minimální) instalace operačního systému | ||
+ | ** aktuálně se pro lokální uživatelské učty používají uid < 1000 (900 a výše) | ||
+ | *** odpovídajícím způsobem upraveny konfigurace PAM modulů | ||
+ | *** může potenciálně kolidovat se systemévými učty pro něž jsou od RHEL7 vyhrazeny uid do 1000 | ||
* standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...) | * standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...) | ||
* specifický software a konfigurace | * specifický software a konfigurace | ||
Line 17: | Line 20: | ||
*** na tomto serveru jsou virtualhosty pro weby jednotlivých výzkumných skupin na KM (hostování několika domén) | *** na tomto serveru jsou virtualhosty pro weby jednotlivých výzkumných skupin na KM (hostování několika domén) | ||
*** web stránky virtualhostů jsou uložené ve <tt>www</tt> podadresáři domovského adresáře dané výzkumné skupiny | *** web stránky virtualhostů jsou uložené ve <tt>www</tt> podadresáři domovského adresáře dané výzkumné skupiny | ||
+ | *** pro spávné fungování mod_rewrite je zapotřebí povolit <tt>Options FollowSymLinks</tt> pro adresáře, kde je "RewriteEngine On" (např. pro hlavní web KM) | ||
** mariadb | ** mariadb | ||
*** používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek" | *** používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek" | ||
**** nutné zkompilovat knihovnu (RPM balíček <tt>mysql-udf_charsets-1.0-1.src.rpm</tt>) | **** nutné zkompilovat knihovnu (RPM balíček <tt>mysql-udf_charsets-1.0-1.src.rpm</tt>) | ||
**** v systémové tabulce <tt>mysql.</tt> je pak zadefinována příslušná konverzní funkce | **** v systémové tabulce <tt>mysql.</tt> je pak zadefinována příslušná konverzní funkce | ||
+ | *** jméno (resp. prefix) databáze odpovídá lokálnímu účtu pro nějž byla daná databáze vytvořena | ||
** postfix | ** postfix | ||
*** příjem pošty pro doménu <tt>@km.fjfi.cvut.cz</tt> | *** příjem pošty pro doménu <tt>@km.fjfi.cvut.cz</tt> | ||
− | *** komunikace výhradně přes <tt>mailgw.fjfi.cvut.cz</tt> | + | *** komunikace výhradně přes <tt>mailgw.fjfi.cvut.cz</tt> (<tt>relay_host</tt>) |
** dovecot | ** dovecot | ||
*** výběr pošty pro doménu <tt>@km.fjfi.cvut.cz</tt> | *** výběr pošty pro doménu <tt>@km.fjfi.cvut.cz</tt> |
Latest revision as of 00:11, 11 August 2014
Servery / Služby |
Přístupné komukoliv |
Omezený/individuální účet |
Služby |
backup · DHCP · DNS · doména FJFI · eduroam · fileserver · IdM · forum · gitlab · lists · moodle · indico · mailgw · K4 · mailserver · NMS · openvpn · skolniftp · ssh · videokonference · VoIP · video · VPN · wififjfi · wiki · www |
Učebny |
e-sklipek · KFE unixlab · KFE pclab · PD1 · KM 105 · KM 115 |
Ostatní |
Network · Blokované porty |
[edit] · [view] |
Základní informace (km)
- Správce
- Petr Vokáč
- HW
- virtuální (Xen) - paravirtualizace x86_64
- OS
- CentOS7
- Využití
- oficiální web KM, projekty lidí z KM, konference pořádané KM, ...
- Konto
- vytvářené na požádání správcem (vyhrazeno pro potřeby KM)
Instalace a konfigurace
- standardní (minimální) instalace operačního systému
- aktuálně se pro lokální uživatelské učty používají uid < 1000 (900 a výše)
- odpovídajícím způsobem upraveny konfigurace PAM modulů
- může potenciálně kolidovat se systemévými učty pro něž jsou od RHEL7 vyhrazeny uid do 1000
- aktuálně se pro lokální uživatelské učty používají uid < 1000 (900 a výše)
- standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...)
- specifický software a konfigurace
- apache
- data oficiálního webu KM uložena na standardní cestě /var/www/html
- na tomto serveru jsou virtualhosty pro weby jednotlivých výzkumných skupin na KM (hostování několika domén)
- web stránky virtualhostů jsou uložené ve www podadresáři domovského adresáře dané výzkumné skupiny
- pro spávné fungování mod_rewrite je zapotřebí povolit Options FollowSymLinks pro adresáře, kde je "RewriteEngine On" (např. pro hlavní web KM)
- mariadb
- používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
- nutné zkompilovat knihovnu (RPM balíček mysql-udf_charsets-1.0-1.src.rpm)
- v systémové tabulce mysql. je pak zadefinována příslušná konverzní funkce
- jméno (resp. prefix) databáze odpovídá lokálnímu účtu pro nějž byla daná databáze vytvořena
- používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
- postfix
- příjem pošty pro doménu @km.fjfi.cvut.cz
- komunikace výhradně přes mailgw.fjfi.cvut.cz (relay_host)
- dovecot
- výběr pošty pro doménu @km.fjfi.cvut.cz
- standardní konfigurace se SSL/TLS zabezpečením
- samba
- přístup k domovským adresářům resp. adresářům jednotlivých hostovaných výzkumných skupin KM
- autentizace proti AD, ručně zařazení uživatelé s read-only a read-write právy
- tento server byl přidán do domény pomoci net ads join
- v budoucnu budou přístupová práva řesena přes skupiny v AD
- vsftpd
- aktuálně není spuštěno kvůli problémum CentOS7 běžícím na CentOS5 Xen Dom0 (mprotect syscall issue)
- v budoucnu bude pravděpodobně úplně odstraněno kvůli špatné podpoře SSL/TLS ftp protokolu v klientech
- firewall
- apache
firewall-cmd --permanent --add-service=ssh firewall-cmd --permanent --add-service=http firewall-cmd --permanent --add-service=https firewall-cmd --permanent --add-service=pop3s firewall-cmd --permanent --add-service=imaps firewall-cmd --permanent --add-service=samba firewall-cmd --permanent --add-service=ftp firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.3" service name="smtp" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.67" service name="smtp" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1800::3" service name="smtp" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1900::3" service name="smtp" accept' # další specifická IP+porty pro monitoring, zálohování, ... firewall-cmd --reload