Drift/Oversikt: Difference between revisions
mNo edit summary |
|||
(3 intermediate revisions by 2 users not shown) | |||
Line 7: | Line 7: | ||
For webtjenester bruker vi simplesamlphp servert på idp.pvv.ntnu.no, som kjører på [[Maskiner/Spikkjeposche]]. Denne SAML IDP-en bruker igjen kerberos via PAM til å faktisk autentifisere brukere. | For webtjenester bruker vi simplesamlphp servert på idp.pvv.ntnu.no, som kjører på [[Maskiner/Spikkjeposche]]. Denne SAML IDP-en bruker igjen kerberos via PAM til å faktisk autentifisere brukere. | ||
I tillegg til standard bruker principaler har vi admin principaler. For å gjøre endringer i kerberos trenger du en admin principal bruker. | I tillegg til standard bruker principaler har vi admin principaler. For å gjøre endringer i kerberos trenger du en admin principal bruker. For å få en admin princiopal bruken må du først være medlem i drift og spørr en eldre drifter, enten drifskoordinator eller noen med lignende kjennskap til systemet. | ||
== Hjemmeområder (NFS) == | == Hjemmeområder (NFS) == | ||
Hjemmeområdene til PVV er hostet på homepvv.pvv.ntnu.no, og blir montert på de andre maskinene med NFS. Hjemmeområdene monteres automatisk med tjenesten <code>autofs</code>. (Dette blir autokonfigurert med salt) For å kunne koble deg til med NFS må maskinen din være oppført i <code> | Hjemmeområdene til PVV er hostet på homepvv.pvv.ntnu.no (per i dag så er dette [[Maskiner/Microbel]]), og blir montert på de andre maskinene med NFS. Hjemmeområdene monteres automatisk med tjenesten <code>autofs</code>. (Dette blir autokonfigurert med salt) For å kunne koble deg til med NFS må maskinen din være oppført i <code>/netgroup</code>, hvilket er distribuert med salt. <code>/netgroup</code> ligger i <code>/salt/standard/passwd</code> mappen på Salt-Masteren. Hvert hjemmeområde har ei diskkvote, oppført i salt under <code>/pillar/files</code>. | ||
== Konfigurasjonsdistribusjon (salt) == | == Konfigurasjonsdistribusjon (salt) == | ||
Vi bruker salt-stack til å distribuere konfigurasjon til alle PVV maskiner. Denne inkluderer ei liste over alle PVV brukerene, standardinstillinger, pakker og hjemmeområde+kerberos oppsettet vårt. Dette oppsettet antar i stor grad en debian distribusjon, men fungerer også delsvis for andre linux distribusjoner. Salt-masteren vår er [[Maskiner/Sleipner]]. Salt er versjonskontrollert med git på salt-masteren. Hver bruker på salt-masteren sjekker automatisk ut sin egen kopi av salt-repoet, og må ‘pushe’ endringer til hoved-repoet. For å logge inn på Fenris må du lage brukeren selv som root. Salt-masteren | Vi bruker salt-stack til å distribuere konfigurasjon til alle PVV maskiner. Denne inkluderer ei liste over alle PVV brukerene, standardinstillinger, pakker og hjemmeområde+kerberos oppsettet vårt. Dette oppsettet antar i stor grad en debian distribusjon, men fungerer også delsvis for andre linux distribusjoner. Salt-masteren vår er [[Maskiner/Sleipner]]. Salt er versjonskontrollert med git på salt-masteren. Hver bruker på salt-masteren sjekker automatisk ut sin egen kopi av salt-repoet, og må ‘pushe’ endringer til hoved-repoet. For å logge inn på Fenris må du lage en principal brukeren selv som root. Når du skal koble til Salt-masteren bruk passordene til admin principaler istedet for standard brukerprincipaler. | ||
== Epost (Exim og Dovecot) == | == Epost (Exim og Dovecot) == | ||
Line 40: | Line 40: | ||
* [https://git.pvv.ntnu.no/ gogs] | * [https://git.pvv.ntnu.no/ gogs] | ||
* [https://dev.pvv.ntnu.no/ dev] | * [https://dev.pvv.ntnu.no/ dev] (TRAC) | ||
* [https://list.pvv.ntnu.no/ list] (mailman) | * [https://list.pvv.ntnu.no/ list] (mailman) | ||
* TODO: har vi mer? | * TODO: har vi mer? | ||
Line 47: | Line 47: | ||
PostgreSQL og MySQL. Nettsidene våre bl.a. bruker disse. De kjører på Knakelibrak. | PostgreSQL og MySQL. Nettsidene våre bl.a. bruker disse. De kjører på Knakelibrak. | ||
= VMer = | |||
Vi bruker en kombinasjon av fysiske og virtuelle maskiner her på PVV. | |||
VMene er hostet med VMWare ESXi, på [[Maskiner/asgore]]. | |||
Vi vil også ta ibruk en docker-compose løsning for enklere tjenester, men en tjener for dette er enda ikke stelt istand. |
Latest revision as of 22:49, 2 September 2023
Dette er en generell oversikt over hva det er PVV har av nåværende systemer. PVV har følgende systemer vi vedlikeholder:
Brukerautentifikasjon (kerberos og PAM)
For å autentifisere PVV brukere bruker vi kerberos-heimdall. Dette er hostet på KDC mastern vår Maskiner/balduzius, og skal være lastbalansert med andre kdc slaver. Hver passordsjekk blir sendt til en av KDCene for godkjenning. Hver maskin har brukerne oppført i /etc/passwd
fila, og kerberos oppført som passord-sjekkeren i PAM i /etc/pam.d
. (Dette blir autokonfigurert med salt)
For webtjenester bruker vi simplesamlphp servert på idp.pvv.ntnu.no, som kjører på Maskiner/Spikkjeposche. Denne SAML IDP-en bruker igjen kerberos via PAM til å faktisk autentifisere brukere.
I tillegg til standard bruker principaler har vi admin principaler. For å gjøre endringer i kerberos trenger du en admin principal bruker. For å få en admin princiopal bruken må du først være medlem i drift og spørr en eldre drifter, enten drifskoordinator eller noen med lignende kjennskap til systemet.
Hjemmeområder (NFS)
Hjemmeområdene til PVV er hostet på homepvv.pvv.ntnu.no (per i dag så er dette Maskiner/Microbel), og blir montert på de andre maskinene med NFS. Hjemmeområdene monteres automatisk med tjenesten autofs
. (Dette blir autokonfigurert med salt) For å kunne koble deg til med NFS må maskinen din være oppført i /netgroup
, hvilket er distribuert med salt. /netgroup
ligger i /salt/standard/passwd
mappen på Salt-Masteren. Hvert hjemmeområde har ei diskkvote, oppført i salt under /pillar/files
.
Konfigurasjonsdistribusjon (salt)
Vi bruker salt-stack til å distribuere konfigurasjon til alle PVV maskiner. Denne inkluderer ei liste over alle PVV brukerene, standardinstillinger, pakker og hjemmeområde+kerberos oppsettet vårt. Dette oppsettet antar i stor grad en debian distribusjon, men fungerer også delsvis for andre linux distribusjoner. Salt-masteren vår er Maskiner/Sleipner. Salt er versjonskontrollert med git på salt-masteren. Hver bruker på salt-masteren sjekker automatisk ut sin egen kopi av salt-repoet, og må ‘pushe’ endringer til hoved-repoet. For å logge inn på Fenris må du lage en principal brukeren selv som root. Når du skal koble til Salt-masteren bruk passordene til admin principaler istedet for standard brukerprincipaler.
Epost (Exim og Dovecot)
Eposten til PVV er hostet på mail.pvv.ntnu.no. Denne maskinen bruker Exim til å ta imot over SMTP. Den skriver mail til de monterte hjemmeområdene i ~/mail
. Hvis brukeren har ei ~/.forward
fil vil epost videresendes til. Inkommende epost kan bli automatisk behandled hvis brukeren definerer handlingene fila ~/.procmail
.
For å lese epost kan du kjøre mutt
lokalt på ei PVV maskin eller logge inn via IMAP. IMAP er servert av Dovecot som kjører på samme maskine som Exim gjør. Dovecot autentifiserer brukere med PAM.
Nettsider (lighttp og apache)
Nettsiden til pvv er et makkverk av gammelt og nytt.
Maskiner/Spikkjeposche er hoved nettsidehosten vår. Den terminerer https og eventuelt videresender forespursler som skal til andre maskiner. Spikkepøsche tar imot forespursler til top-domenet og underdomenene www, idp, wiki og webmail. Fra Spikkjeposhe serverer vi:
- Ei lekker hjemmesnekret nettside laget med PHP.
- En mediawiki wiki.
- 4 forskjellige webmail tjenester, som alle igjen bruker IMAP for å snakke med Dovecot.
- SimpleSamlPhp IDPen vår
- Noen statiske filer
På Maskiner/Tom serverer vi ei mappe i hjemmeområdene til hver pvv bruker: ~/web-docs/
. Disse er tilgjengelige på www.pvv.ntnu.no/~brukernavn/
.
Andre maskiner serverer også nettsider, men de er tilgjengelige på andre underdomener og blir ikke proxiet gjennom Spikkepøsche:
Databaser
PostgreSQL og MySQL. Nettsidene våre bl.a. bruker disse. De kjører på Knakelibrak.
VMer
Vi bruker en kombinasjon av fysiske og virtuelle maskiner her på PVV. VMene er hostet med VMWare ESXi, på Maskiner/asgore. Vi vil også ta ibruk en docker-compose løsning for enklere tjenester, men en tjener for dette er enda ikke stelt istand.