LPS:AFS www-projekt new

Z HelpDesk

https://rt.zcu.cz/rt/Ticket/Display.html?id=247506

1. založit nový projekt na AFS - viz https://helpdesk.zcu.cz/wiki/LPS:Konta#Zakl.C3.A1d.C3.A1n.C3.AD_projekt.C5.AF

2. přidat DNS záznamy pro stroj, kde bude web hostován

2,5. pokud web bude za novým SSO (Shibboleth/OIDC), pak je třeba "pošroubovat" https://553gw.iot.zcu.cz/oidc/ - propaguje se pak 17. minutu po každé celé hodině.

3. vytvořit AFS identitu projektu 

pts listentries -user | sort -n -k 2 |less

vybrat vhodné volné ID a vytvořit záznam

pts cu project_agt.www -id 362

3,5. požádat o https certifikát 

 cat>server-req.cfg

openssl req -new -keyout server.key.org -out server.csr -config server-req.cfg
openssl rsa -in server.key.org -out server.key

4. vytvořit principal v kerberu a zapsat do noveho keytabu 

kadmin:  ank -randkey -policy default_nohistory +requires_preauth project_agt/www
Principal "project_agt/www@ZCU.CZ" created.

kadmin:  ktadd -k /etc/apache2/keytab/project_agt.keytab project_agt/www

5. zmenit prava keytabu 

root@webz2:/etc/apache2/keytab# chown root.www-data *
root@webz2:/etc/apache2/keytab# chmod 640 *

6. přidat práva do projektu z bodu 1, odebrat původní práva 

indy@nemesis:/afs/zcu.cz/project/www/www-agt$ find -type d -exec fs sa {} project_agt.www rl \;

indy@nemesis:/afs/zcu.cz/project/www/www-agt$  find -type d -exec fs sa {} www-hosts.zcu none \;

7. požádat o https certifikát k danému projektu + změnit práva na crt a key na 600

8. upravit konfiguraci pro apache, viz napr. 

###########################
#
# VIRTUALNI WEB agt
# (gangur@kem.zcu.cz) RT #249887
#
###########################
<VirtualHost 147.228.4.62:80>
     ServerAdmin gangur@kem.zcu.cz
     DocumentRoot /afs/zcu.cz/project/www/www-agt/
     ServerName www.agt.zcu.cz
     ServerAlias agt.zcu.cz www.agt agt
     ErrorLog /var/log/apache2/www-agt-error.log
     TransferLog /var/log/apache2/www-agt-access.log

     AddDefaultCharset UTF-8
     ServerSignature off

     php_admin_value safe_mode on
     php_admin_value open_basedir ".:..:/var/software/data/phplib/:/tmp/:/afs/zcu.cz/project/www/www-agt/"  
     php_admin_value safe_mode_include_dir "/var/software/data/phplib/:/afs/zcu.cz/project/www/www-agt/"

     WaklogEnabled On
     WaklogLocationPrincipal project_agt/www@ZCU.CZ /etc/apache2/keytab/project_agt.keytab


     Redirect / https://agt.zcu.cz/
</VirtualHost>

<VirtualHost 147.228.4.62:443>
     ServerAdmin gangur@kem.zcu.cz
     DocumentRoot /afs/zcu.cz/project/www/www-agt/
     ServerName www.agt.zcu.cz
     ServerAlias agt.zcu.cz www.agt agt
     ErrorLog /var/log/apache2/ssl-agt-error.log
     TransferLog /var/log/apache2/ssl-agt-access.log

     AddDefaultCharset UTF-8
     ServerSignature off

     WaklogEnabled On
     WaklogLocationPrincipal project_agt/www@ZCU.CZ /etc/apache2/keytab/project_agt.keytab

     SSLEngine on
#     SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
     SSLVerifyDepth 3
     SSLCertificateFile /etc/apache2/ssl/www.agt.zcu.cz/server.crt
     SSLCertificateKeyFile /etc/apache2/ssl/www.agt.zcu.cz/server.key

#     <Directory /afs/zcu.cz/project/www/www-agt/>
#        AuthType WebAuth
#        Require valid-user
#     </Directory>

     php_admin_value safe_mode on
     php_admin_value open_basedir ".:..:/var/software/data/phplib/:/tmp/:/afs/zcu.cz/project/www/www-agt/"
     php_admin_value safe_mode_include_dir "/var/software/data/phplib/:/afs/zcu.cz/project/www/www-agt/"
</VirtualHost>


n. zadat do Nagia kontrolu platnosti https certifikatu

Citováno z „https://helpdesk.zcu.cz/index.php?title=LPS:AFS_www-projekt_new&oldid=62853