OpenOrion Red Hat 7

Z HelpDesk
Tento dokument již není udržován!
Operační systém RedHat 7 již není podporován, přesto vám mohou některé poznatky v tomto

dokumentu být napomocny při konfiguraci vašeho operačního systému.


Tento dokument je základní technickou dokumentací projektu Open Orion pro platformu Red Hat Linux 7.0. Jedná se o prototypový dokument projektu Open Orion.

Open Orion

Smysl a cíle projektu Open Orion jsou popsány samostatným dokumentem. V tomto dokumentu lze nalézt základní podklady pro konfiguraci konkrétní distribuce OS Linux tak, že jsou využity standardní programové balíky dovolující jistou integraci resp. spolupráci v rámci výpočetního prostředí ZČU - Orion.

Red Hat Linux 7.0

Red Hat Linux není standardně na ZČU podporován. Pro použití jako pracovní stanice příslušně technicky orientovaného uživatele výpočetního prostředí ZČU (takového, který se o svoji stanici sám stará a instaluje si ji) je však jednou z vhodných voleb. Distribuce Red Hat Linux 7.0 (dále jen RH7) standardně obsahuje komponenty, které patří mezi klíčové prvky Orionu, zejména Kerberos 5.

Základní použití

Základní a přímočařé použití RH7 spočívá ve využití podpory Kerberos 5 pro bezpečný a transparentní přístup k výpočetním prostředkům Orionu, zejména centrálním serverům. Jedná se o variantu c) z obecné specifikace projektu Open Orion. Uživatelé pracují zcela nezávisle lokálně a mají k dispozici software pro bezpečný a plnohodnotný vzdálený přístup k centrálním zdrojům. Mějme RH7 lokálně instalovaný podle nejlepšího vědomí a svědomí jeho správce. Uživatelská konta i aplikace jsou naprosto standardním způsobem v rukou správce. První podmínkou pro použití Kerbera je synchronní čas. Doporučujeme použití protokolu NTP (balík ntp, servery pro standarní konfiguraci v podmínkách ZČU jsou clock1.zcu.cz a clock2.zcu.cz). Dále je nutno nainstalovat balík kerberos-workstation. Konfiguraci tohoto balíku je nutno provést dle informací uvedených v základním dokumentu projektu Open Orion (jméno Kerberos realmu a serverů). Lze doporučit "nestandardní" konfiguraci použitím Orion verze konfiguračního souboru /etc/krb5.conf, který je k dispozici tamtéž. Nyní by měly fungovat základní standardní příkazy pro získání, vypsání a zrušení Kerberos identity uživatele - kinit, klist a kdestroy. Základní užití je takové, že uživatel (přihlášený lokálním jménem a heslem) zadá příkaz kinit a svoje Orion heslo. Od této chvíle může používat svojí Kerberos identitu až do vydání příkazu kdestroy (nebo vypršení časového limitu). Uživatel používá přístupový software, který dokáže jeho Kerboros identitu použít. Poznámky
Je-li uživatelské jméno na lokálním stroji jiné, než v Orionu, je nutno to náležitě zohlednit. Např.:

kinit <jméno> telnet -l <uživatelské jméno> <stroj>

Kroky k plnému použití

Na cestě k variantě b) z obecné specifikace projektu Open Orion je ještě několik kroků. Všechny tyto kroky také otevírají prostor pro naši vlastní iniciativu, neboť ve své podstatě nabízejí řadu variant konfigurace lokálního stroje. Přímočará cesta k plnému nasazení dle varianty b) by vypadala poněkud jednodušeji, níže naznačené kroky jsou popsány spíše s důrazem na naznačení hlavních možností, které variabilní navržení systému otevírá.

Kerberos ověření pro lokální přihlášení

Mezi další možnosti patří zejména využití centrální autentizační služby (Kerberos) pro ověřování uživatelů při přihlášení na stanici. Uživatelská konta jsou zřizována a udržována lokálně, avšak (některá z nich) nemají lokálně definované a uložené heslo. Namísto toho používají centrální heslo (Orionu). Navíc je zajištěna funkcionalita SSO (Single Sign On), tj. další přístup uživatele k centrálním službám a prostředkům je realizován s možností transparentního předání prokázané identity.

Tuto funkcionalitu zajistíme s pomocí balíku pam_krb5:

  • Nainstalujeme standardní RH7 RPM balík pam_krb5.
  • Nakonfigurujeme PAM subsystém:

Dokumentaci lze najít /usr/share/doc/pam_krb5. Základní konfigurace lze zřejmě dosáhnout použitím dodaného příkladu, tj. pomocí:

cp /usr/share/doc/pam_krb5/pam.d/login /etc/pam.d 

přičemž za zásadní lze považovat řádky:

auth    sufficient      /lib/security/pam_unix.so shadow md5 nullok likeauth 
auth    required        /lib/security/pam_krb5.so use_fist_pass 

V tomto případě dojde nejprve k pokusu o lokální autentizaci uživatele (např. dle hesla v /etc/shadow) a pouze v případě, že tato není uspěšná, dojde k autentizaci pomocí kerbera. Chování PAM modulu lze dále ovlivnit konfigurací ve výše zmíněném souboru /etc/krb5.conf.

Klient souborového systému (AFS)

Pro RH7 máme k dispozici balík OpenAFS (OpenAFS latest release). Použijeme RPM balíky openafs, openafs-kernel a openafs-client a nakonfigurujeme je dle informací uvedených v základní dokumentaci (použijeme soubor CellServDB).

Podrobnější postup:
Instalace příslušných rpm souborů (openafs, openafs-kernel a openafs-client).


Základní konfigurace:

/usr/vice/etc/ThisCell  -  jméno buňky, tj. zcu.cz 
/usr/vice/etc/CellServDB - konfigurace buněk (db servery), přepsat Orion verzí souboru 
 

Možnost další konfigurace:

/usr/vice/etc/cacheinfo - umístění a velikost lokální AFS cache (implicitně 100MB v /usr/vice/etc/cache) /etc/sysconfig/afs - další konfigurace, především parametry pro doladění výkonu

Spuštění AFS klienta:

startovací skript /etc/init.d/afs

/etc/init.d/afs start  - spustí AFS (při prvním spuštění se vytváří AFS cache) 
/etc/init.d/afs stop  - zastaví AFS 

Získání autentizace uživatele pro AFS (token):
Nejjednodušší variantou (nikoli pro uživatele) je zřejmě v tuto chvíli použít standardní RH7 balík krbafs-utils. Pak, má-li uživatel svoji Kerberos 5 identitu (získanou např. příkazem kinit), stačí zadat následující příkazy:
krb524init afslog

Nyní máme k dispozici přístup k souborovému systému včetně možnosti příslušné uživatelské autentizace. Pro pohodlnější práci uživatelů doděláme několik symbolických linků:

ln -s /afs/zcu.cz/ /zcu 
ln -s /zcu/users /users

Využití centrálního registru uživatelů

Ve výše uvedeném případě má každý uživatel lokálně existující konto, což konkrétně znamená především položku v souboru /etc/passwd, /etc/groups a domácí adresář (může zde být i položka v /etc/shadow, předpokládejme však nyní, že heslo není uloženo nikde na lokálním stroji, ale používá se autentizace pomocí Kerbera).

Zmiňme se nyní o možnosti konfigurace, při níž nejsou lokální uživatelská konta potřeba, respektive jsou distribuována prostřednictvím centrální služby. Takovou službou je LDAP. Na klientské straně může být nakonfigurován modul nss_ldap tak, že se na lokální stroj promítají položky výše uvedených souborů distribuované příslušnou adresářovou službou.

Základní postup:

  • Instalace standardního RH7 balíku nss_ldap.
  • Konfigurace informací o LDAP serveru:

Soubor /etc/ldap.conf, zadáme údaje o serveru (host), kořenu rfc2307 stromu (base) a portu. Tyto údaje jsou v základní dokumentaci.

  • Konfigurace chování nss:

Soubor /etc/nsswitch.conf, přidání klíčového slova ldap do příslušných položek. Základní konfigurace:

passwd: files ldap group: ldap files

V tuto chvíli se začnou promítat informace distribuované přes LDAP do konfigurace lokálního stroje tak, jako by byly uvedeny přímo v lokálních souborech. Položky uvedené v lokálním souboru passwd mají přednost před položkami v LDAPu, položky uvedené v lokálním souboru group se použijí pouze v případě, že stejná položka není v LDAPu.

Základní funkčnost lze ověřit např. příkazem id <uživatelské jméno>

Položky distribuované přes LDAP obsahují informaci o domovském adresáři. Je zde implicitní cesta k centrálně poskytovanému domovskému adresáři uživatele na AFS.

Další možnosti

Omezení přístupu ke stanici dle skupin uživatelů. Standardní pam moduly by měly být snadno konfigurovatelné pro takovéto chování, přičemž údaje o příslušnosti skupině jsou získávány přes nss_ldap.

Lze také uvažovat o řízení přístupu ke stanici lokálním souborem, k čemuž je pravděpodobně velmi vhodný modul pam_listfile ze standardního balíku pam modulů.

Problémy, nestandardní věci

Je-li konfigurace provedena základním výše uvedeným způsobem, uživatel používá jako svůj domovský adresář ten, který má v Orionu na AFS. Zde jsou startovací skripty, které počítají s jistou konfigurací software, zejména SW modules pro správu SW balíků. Zde je řada možností problémů a jejich řešení.

Zbývá dořešit

  • Kvalita této dokumentace (zejména její správnost a úplnost - některé věci viz text výše).
  • Získání ticketů pro AFS při přihlášení. pam modul (pam_krb5afs) z RH7 balíku pam_krb5 nefunguje v našem prostředí (s naším krb524).