Difference between revisions of "Kmlinux"
(→Základní informace) |
(→Data na Novellu) |
||
Line 129: | Line 129: | ||
===FTP=== | ===FTP=== | ||
===Data na Novellu=== | ===Data na Novellu=== | ||
+ | Pomocí programu <tt>ncpmount</tt> si můžete přimountovat data, která máte na novel discích. Celý příkaz vypadá následovně: <tt>ncpmount -A tjn.fjfi.cvut.cz -S tjn -U username.vcetne.kontextu mount_point</tt>, kde tjn je příslušný novel server, uživatelské jméno musí být zadáno celé včetně kontextu (většinou username.studenti.fjfi) a mount_point je adresář, do kterého se novel disky připojí. Po skončení práce by bylo ještě slušné disky odpojit příkazem ncpumount mount_point. | ||
+ | |||
===Data na Windows=== | ===Data na Windows=== | ||
===Backup=== | ===Backup=== |
Revision as of 12:33, 13 February 2008
Servery / Služby |
Přístupné komukoliv |
Omezený/individuální účet |
Služby |
backup · DHCP · DNS · doména FJFI · eduroam · fileserver · IdM · forum · gitlab · lists · moodle · indico · mailgw · K4 · mailserver · NMS · openvpn · skolniftp · ssh · videokonference · VoIP · video · VPN · wififjfi · wiki · www |
Učebny |
e-sklipek · KFE unixlab · KFE pclab · PD1 · KM 105 · KM 115 |
Ostatní |
Network · Blokované porty |
[edit] · [view] |
Základní informace
- Správce
- Petr Vokáč
- HW
- virtuální (Xen) - proměnlivá konfigurace ;-)
fyzický hw:
- Motherbord - H8DME-2, 2*PCI Express 8, 4*PCI-X, 2*1Gb, 16*DDR2
- CPU 2*Dual-Core AMD Opteron(tm) Processor 2218
- 16GB RAM
- 12*500GB HDD, řadič ARECA 1260 PCI Express - 2*RAID6 (2TB+2TB)
- 2*1Gb LAN
- management AOC-SIMSO+ (KVM přes oddělenou LAN)
- OS
- CentOS5
- aplikace
- aplikace s ČVUT multilicencí (Matlab, Maple, Mahtematica, ...)
- volně dostupné (Eclipse, Netbeans, Java, root, ...)
- nainstalováno více verzí, pro i386 a x86_64 architektury
- po dohodě je možné nainstalovat libovolnou další aplikaci (jejíž licence to umožňuje)
- adresář s aplikacemi /fjfi/apps je exportován přes NFSv2, NFSv3, NFSv4 a je možné si ho připojit kdekoliv na ČVUT
- Konto
- vytvářené (a rušené) automaticky jako hlavní FJFI konto
Přístup
Pro přístup ke kmlinuxu použijte svoje hlavní uživatelské jméno a heslo na FJFI. Pro první aktivaci hlavního FJFI konta je potřeba znát jméno/heslo do Usermapu/KOSu (to lze využít i pro změnu hesla, pokud jste ho zapomněli).
Terminálový přístup
Na server je možné přihlášení pomocí ssh. Pro Windows existuje například ssh klient putty (v konfiguraci je vhodné zapnout kódování UTF-8, jinak se speciální znaky nebudou zobrazovat korektně). V případě, že máte pouze webovský browser s podporou Java appletů, mužete využít následující aplikaci.
Fingerprinty pro SSH na kmlinuxu (jsou uvedeny také jako SSHFP záznamy v DNS):
1024 2f:1c:94:d0:84:25:b3:03:a9:53:a8:e8:f8:6d:fe:10 ssh_host_rsa_key.pub 1024 4d:ad:e4:bd:c1:fc:ff:59:1b:50:e4:09:7d:9b:b9:72 ssh_host_dsa_key.pub
Přihlašování SSH klíči
Tento způsob přináší jak lepší zabezpečení hesla (závislé jen na důvěryhodnosti stroje z nějž se přihlašujete) tak i větší pohodlí (možnost logovat se "bez hesla"). Na stroji z nějž se chcete přihlašovat si musíte vygenerovat SSH klíče:
# vygenerování SSH klíčů (je možné zadat i prázdné heslo, ale to zavisí na tom # jak moc jste paranoidní a jak moc důvěřujete stroji na němž klíče generujete, # pro přihlašování "bez hesla" je asi lepší použít ssh-agent) ssh-keygen -t dsa -b 2048
Vygenerované klíče se uloží do ~/.ssh/id_dsa.pub (veřejný klíč) resp. ~/.ssh/id_dsa (privátní klíč). Veřejný klíč nakopírujte/přidejte do ~/.ssh/authorized_keys na stroji, kam se chcete přihlašovat pomocí právě vygenerovaného klíče.
cat ~/.ssh/id_dsa.pub | ssh username@kmlinux.fjfi.cvut.cz ">> ~/.ssh/authori/authorized_keys"
Přihlašování s Kerberos ticketem
Stejně jako u SSH klíčů i tento způsob zabrání odchycení hesla (samozřejme s vyjímkou stroje, kde to heslo zadáváte) a zjednoduší vícenásobné přihlašování, protože Kerberos ticket má platnost několik hodin. Bohužel konfigurace Kerberos klienta je o trochu složitější a je dobré mít na stanici root práva. Nejprve je nutné upravit soubor /etc/krb5.conf, který by měl obsahovat následující údaje:
[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = FJFI.CVUT.CZ dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 26h renew_lifetime = 14d forwardable = yes [realms] FJFI.CVUT.CZ = { kdc = krb1.fjfi.cvut.cz:88 kdc = krb2.fjfi.cvut.cz:88 kdc = krb3.fjfi.cvut.cz:88 kdc = krb4.fjfi.cvut.cz:88 admin_server = krb.fjfi.cvut.cz:749 default_domain = fjfi.cvut.cz } [domain_realm] fjfi.cvut.cz = FJFI.CVUT.CZ .fjfi.cvut.cz = FJFI.CVUT.CZ
Poté by mělo být možné získat Kerberos ticket, který slouží pro autentizaci ke "kerberizovaným službám" (jako jen např. SSH):
# pokud máte lokální jméno stejné a výše uvedenou konfiguraci v /etc/krb5.conf # nemusíte příkazu kinit předavat žádné parametry kinit [username@FJFI.CVUT.CZ] [-r 7d] [-l 7d] # výpis Kerberos ticketů klist # zneplatnění kerberos ticketu kdestroy
S platným kerberos ticketem nebude SSH server vyžadovat žádné další přihlašovací heslo. V případě, že se dotáže na heslo, tak buď nemáte platný Kerberos ticket k účtu k němuž se snažíte přihlásit nebo ssh klient, který používáte nepodporuje Kerberos (zkontrolujte také jestli je povoleno "GSSAPIAuthentication yes" v konfiguraci ssh klienta např. /etc/ssh/ssh_config reps. ~/.ssh/config).
screen
Pokud chcete stejný terminál použivat pokaždě, když se znovu přihlásíte, můžete využít vlastností aplikace screen. Tuto aplikaci je také výhodné použít v případě, že spouštíte nějaký dlouho trvající proces, kde si nejste jisti, že se mezitím z nějakého důvodu nerozpadne spojení se serverem. Seznam nejdůležitejších příkazů:
# vytvoření nové session screen -U -S jméno # vylistování existujících session screen -list # připojení k existující session screen -U -A -d -r jméno # následují zkratkové klávesy pro ovládání běžícího screenu ctrl+a d # přerušení práce ve screenu ctrl+a c # vytvoření nového virtuálního terminálu ctrl+a a # pošle do terminálu ctrl+a ctrl+a k # zrušení aktuálního virtuálního terminálu ctrl+a 0-9 # přechod mezi nultým až devátým virtuálním terminálem ctrl+a p # předchozí virtuální terminál ctrl+a n # následující virtuální terminál ctrl+a x # zamčení screenu ctrl+a esc # kopírovací / skrolovací mód
Grafický přístup
X11
V linuxu existuje několik způsobů pro vzdálené spouštění grafických aplikací. Jeden ze způsobů je podporován přímo X serverem a ssh klientem (není-li v globální konfiguraci povoleno přesměrování X11 spojení, je potřeba spustit ssh klienta s parametrem -X resp. -Y). Bohužel tento způsob není vždy úplně optimální a to jak z hlediska rychlosti, tak i z hlediska pohodlí (např. ve windows je potřeba nejprve spustit X server, např. ten z cygwinu). Navíc tímto způsobem není možné uchovat běžící grafickou aplikaci po odhlášení od serveru.
VNC
TODO:
NX
Zatím není podporováno (zkonfigurováno). Jedná se o optimalizovaný / komprimovaný X protokol, který má výrazně nižší naroky na přenosovou rychlost.
Přístup k datům
SCP
Fuse
Samba (MS sdílení)
FTP
Data na Novellu
Pomocí programu ncpmount si můžete přimountovat data, která máte na novel discích. Celý příkaz vypadá následovně: ncpmount -A tjn.fjfi.cvut.cz -S tjn -U username.vcetne.kontextu mount_point, kde tjn je příslušný novel server, uživatelské jméno musí být zadáno celé včetně kontextu (většinou username.studenti.fjfi) a mount_point je adresář, do kterého se novel disky připojí. Po skončení práce by bylo ještě slušné disky odpojit příkazem ncpumount mount_point.
Data na Windows
Backup
Tunely
Některé služby nejsou přístupné z jiných strojů případně mimo IP rozsah adres FJFI (např. MySQL, PostgreSQL, ...). Pokud k nim chcete přesto přistupovat i z jiných IP adres, máte možnost tunelovat je přes SSH. K vytvoření tunelu použijte buď běžné ssh nebo pod windows mužete použít putty resp. plink.
# příklad použití ssh pro zpřístupnění MySQL ssh -f -C -N -L 3306:kmlinux.fjfi.cvut.cz:3306 username@kmlinux.fjfi.cvut.cz # příklad použití plink pro zpřístupnění MySQL plink username@kmlinux.fjfi.cvut.cz -L 3306:kmlinux.fjfi.cvut.cz:3306
Uvedené příklady zajistí, ze příslušný port z kmlinuxu bude "namapovaný" na adresu localhostu (127.0.0.1) na počítači, kde jste tento příkaz spustili.