Difference between revisions of "Km.fjfi.cvut.cz"
From NMS
(→Instalace a konfigurace) |
|||
Line 11: | Line 11: | ||
=Instalace a konfigurace= | =Instalace a konfigurace= | ||
* standardní (minimální) instalace operačního systému | * standardní (minimální) instalace operačního systému | ||
+ | ** aktuálně se pro lokální uživatelské učty používají uid < 1000 (900 a výše) | ||
+ | *** odpovídajícím způsobem upraveny konfigurace PAM modulů | ||
+ | *** může potenciálně kolidovat se systemévými učty pro něž jsou od RHEL7 vyhrazeny uid do 1000 | ||
* standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...) | * standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...) | ||
* specifický software a konfigurace | * specifický software a konfigurace | ||
Line 21: | Line 24: | ||
**** nutné zkompilovat knihovnu (RPM balíček <tt>mysql-udf_charsets-1.0-1.src.rpm</tt>) | **** nutné zkompilovat knihovnu (RPM balíček <tt>mysql-udf_charsets-1.0-1.src.rpm</tt>) | ||
**** v systémové tabulce <tt>mysql.</tt> je pak zadefinována příslušná konverzní funkce | **** v systémové tabulce <tt>mysql.</tt> je pak zadefinována příslušná konverzní funkce | ||
+ | *** jméno (resp. prefix) databáze odpovídá lokálnímu účtu pro nějž byla daná databáze vytvořena | ||
** postfix | ** postfix | ||
*** příjem pošty pro doménu <tt>@km.fjfi.cvut.cz</tt> | *** příjem pošty pro doménu <tt>@km.fjfi.cvut.cz</tt> |
Revision as of 05:18, 4 August 2014
Servery / Služby |
Přístupné komukoliv |
Omezený/individuální účet |
Služby |
backup · DHCP · DNS · doména FJFI · eduroam · fileserver · IdM · forum · gitlab · lists · moodle · indico · mailgw · K4 · mailserver · NMS · openvpn · skolniftp · ssh · videokonference · VoIP · video · VPN · wififjfi · wiki · www |
Učebny |
e-sklipek · KFE unixlab · KFE pclab · PD1 · KM 105 · KM 115 |
Ostatní |
Network · Blokované porty |
[edit] · [view] |
Základní informace (km)
- Správce
- Petr Vokáč
- HW
- virtuální (Xen) - paravirtualizace x86_64
- OS
- CentOS7
- Využití
- oficiální web KM, projekty lidí z KM, konference pořádané KM, ...
- Konto
- vytvářené na požádání správcem (vyhrazeno pro potřeby KM)
Instalace a konfigurace
- standardní (minimální) instalace operačního systému
- aktuálně se pro lokální uživatelské učty používají uid < 1000 (900 a výše)
- odpovídajícím způsobem upraveny konfigurace PAM modulů
- může potenciálně kolidovat se systemévými učty pro něž jsou od RHEL7 vyhrazeny uid do 1000
- aktuálně se pro lokální uživatelské učty používají uid < 1000 (900 a výše)
- standardní puppet konfigurace pro server (certifikáty, logging, monitoring, ...)
- specifický software a konfigurace
- apache
- data oficiálního webu KM uložena na standardní cestě /var/www/html
- na tomto serveru jsou virtualhosty pro weby jednotlivých výzkumných skupin na KM (hostování několika domén)
- web stránky virtualhostů jsou uložené ve www podadresáři domovského adresáře dané výzkumné skupiny
- mariadb
- používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
- nutné zkompilovat knihovnu (RPM balíček mysql-udf_charsets-1.0-1.src.rpm)
- v systémové tabulce mysql. je pak zadefinována příslušná konverzní funkce
- jméno (resp. prefix) databáze odpovídá lokálnímu účtu pro nějž byla daná databáze vytvořena
- používá se speciální rozšíření mysql-udf_charsets poskytující konverzi textu na formát bez "hacku a carek"
- postfix
- příjem pošty pro doménu @km.fjfi.cvut.cz
- komunikace výhradně přes mailgw.fjfi.cvut.cz
- dovecot
- výběr pošty pro doménu @km.fjfi.cvut.cz
- standardní konfigurace se SSL/TLS zabezpečením
- samba
- přístup k domovským adresářům resp. adresářům jednotlivých hostovaných výzkumných skupin KM
- autentizace proti AD, ručně zařazení uživatelé s read-only a read-write právy
- tento server byl přidán do domény pomoci net ads join
- v budoucnu budou přístupová práva řesena přes skupiny v AD
- vsftpd
- aktuálně není spuštěno kvůli problémum CentOS7 běžícím na CentOS5 Xen Dom0 (mprotect syscall issue)
- v budoucnu bude pravděpodobně úplně odstraněno kvůli špatné podpoře SSL/TLS ftp protokolu v klientech
- firewall
- apache
firewall-cmd --permanent --add-service=ssh firewall-cmd --permanent --add-service=http firewall-cmd --permanent --add-service=https firewall-cmd --permanent --add-service=pop3s firewall-cmd --permanent --add-service=imaps firewall-cmd --permanent --add-service=samba firewall-cmd --permanent --add-service=ftp firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.3" service name="smtp" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="147.32.9.67" service name="smtp" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1800::3" service name="smtp" accept' firewall-cmd --permanent --add-rich-rule='rule family="ipv6" source address="2001:718:2:1900::3" service name="smtp" accept' # další specifická IP+porty pro monitoring, zálohování, ... firewall-cmd --reload