Drift/Oversikt

From Programvareverkstedet
Revision as of 23:49, 2 September 2023 by Eirikwit (talk | contribs)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

Dette er en generell oversikt over hva det er PVV har av nåværende systemer. PVV har følgende systemer vi vedlikeholder:

Brukerautentifikasjon (kerberos og PAM)

For å autentifisere PVV brukere bruker vi kerberos-heimdall. Dette er hostet på KDC mastern vår Maskiner/balduzius, og skal være lastbalansert med andre kdc slaver. Hver passordsjekk blir sendt til en av KDCene for godkjenning. Hver maskin har brukerne oppført i /etc/passwd fila, og kerberos oppført som passord-sjekkeren i PAM i /etc/pam.d. (Dette blir autokonfigurert med salt)

For webtjenester bruker vi simplesamlphp servert på idp.pvv.ntnu.no, som kjører på Maskiner/Spikkjeposche. Denne SAML IDP-en bruker igjen kerberos via PAM til å faktisk autentifisere brukere.

I tillegg til standard bruker principaler har vi admin principaler. For å gjøre endringer i kerberos trenger du en admin principal bruker. For å få en admin princiopal bruken må du først være medlem i drift og spørr en eldre drifter, enten drifskoordinator eller noen med lignende kjennskap til systemet.

Hjemmeområder (NFS)

Hjemmeområdene til PVV er hostet på homepvv.pvv.ntnu.no (per i dag så er dette Maskiner/Microbel), og blir montert på de andre maskinene med NFS. Hjemmeområdene monteres automatisk med tjenesten autofs. (Dette blir autokonfigurert med salt) For å kunne koble deg til med NFS må maskinen din være oppført i /netgroup, hvilket er distribuert med salt. /netgroup ligger i /salt/standard/passwd mappen på Salt-Masteren. Hvert hjemmeområde har ei diskkvote, oppført i salt under /pillar/files.

Konfigurasjonsdistribusjon (salt)

Vi bruker salt-stack til å distribuere konfigurasjon til alle PVV maskiner. Denne inkluderer ei liste over alle PVV brukerene, standardinstillinger, pakker og hjemmeområde+kerberos oppsettet vårt. Dette oppsettet antar i stor grad en debian distribusjon, men fungerer også delsvis for andre linux distribusjoner. Salt-masteren vår er Maskiner/Sleipner. Salt er versjonskontrollert med git på salt-masteren. Hver bruker på salt-masteren sjekker automatisk ut sin egen kopi av salt-repoet, og må ‘pushe’ endringer til hoved-repoet. For å logge inn på Fenris må du lage en principal brukeren selv som root. Når du skal koble til Salt-masteren bruk passordene til admin principaler istedet for standard brukerprincipaler.

Epost (Exim og Dovecot)

Eposten til PVV er hostet på mail.pvv.ntnu.no. Denne maskinen bruker Exim til å ta imot over SMTP. Den skriver mail til de monterte hjemmeområdene i ~/mail. Hvis brukeren har ei ~/.forward fil vil epost videresendes til. Inkommende epost kan bli automatisk behandled hvis brukeren definerer handlingene fila ~/.procmail.

For å lese epost kan du kjøre mutt lokalt på ei PVV maskin eller logge inn via IMAP. IMAP er servert av Dovecot som kjører på samme maskine som Exim gjør. Dovecot autentifiserer brukere med PAM.

Nettsider (lighttp og apache)

Nettsiden til pvv er et makkverk av gammelt og nytt.

Maskiner/Spikkjeposche er hoved nettsidehosten vår. Den terminerer https og eventuelt videresender forespursler som skal til andre maskiner. Spikkepøsche tar imot forespursler til top-domenet og underdomenene www, idp, wiki og webmail. Fra Spikkjeposhe serverer vi:

  • Ei lekker hjemmesnekret nettside laget med PHP.
  • En mediawiki wiki.
  • 4 forskjellige webmail tjenester, som alle igjen bruker IMAP for å snakke med Dovecot.
  • SimpleSamlPhp IDPen vår
  • Noen statiske filer

Maskiner/Tom serverer vi ei mappe i hjemmeområdene til hver pvv bruker: ~/web-docs/. Disse er tilgjengelige på www.pvv.ntnu.no/~brukernavn/.

Andre maskiner serverer også nettsider, men de er tilgjengelige på andre underdomener og blir ikke proxiet gjennom Spikkepøsche:

Databaser

PostgreSQL og MySQL. Nettsidene våre bl.a. bruker disse. De kjører på Knakelibrak.

VMer

Vi bruker en kombinasjon av fysiske og virtuelle maskiner her på PVV. VMene er hostet med VMWare ESXi, på Maskiner/asgore. Vi vil også ta ibruk en docker-compose løsning for enklere tjenester, men en tjener for dette er enda ikke stelt istand.