LPS:AFS www-projekt new
https://rt.zcu.cz/rt/Ticket/Display.html?id=247506
1. založit nový projekt na AFS - viz https://helpdesk.zcu.cz/wiki/LPS:Konta#Zakl.C3.A1d.C3.A1n.C3.AD_projekt.C5.AF
2. přidat DNS záznamy pro stroj, kde bude web hostován
2,5. pokud web bude za novým SSO (Shibboleth/OIDC), pak je třeba "pošroubovat" https://553gw.iot.zcu.cz/oidc/ - propaguje se pak 17. minutu po každé celé hodině.
3. vytvořit AFS identitu projektu
pts listentries -user | sort -n -k 2 |less vybrat vhodné volné ID a vytvořit záznam pts cu project_agt.www -id 362
3,5. požádat o https certifikát
cat>server-req.cfg openssl req -new -keyout server.key.org -out server.csr -config server-req.cfg openssl rsa -in server.key.org -out server.key
4. vytvořit principal v kerberu a zapsat do noveho keytabu
kadmin: ank -randkey -policy default_nohistory +requires_preauth project_agt/www Principal "project_agt/www@ZCU.CZ" created. kadmin: ktadd -k /etc/apache2/keytab/project_agt.keytab project_agt/www
5. zmenit prava keytabu
root@webz2:/etc/apache2/keytab# chown root.www-data * root@webz2:/etc/apache2/keytab# chmod 640 *
6. přidat práva do projektu z bodu 1, odebrat původní práva
indy@nemesis:/afs/zcu.cz/project/www/www-agt$ find -type d -exec fs sa {} project_agt.www rl \; indy@nemesis:/afs/zcu.cz/project/www/www-agt$ find -type d -exec fs sa {} www-hosts.zcu none \;
7. požádat o https certifikát k danému projektu + změnit práva na crt a key na 600
8. upravit konfiguraci pro apache, viz napr.
########################### # # VIRTUALNI WEB agt # (gangur@kem.zcu.cz) RT #249887 # ########################### <VirtualHost 147.228.4.62:80> ServerAdmin gangur@kem.zcu.cz DocumentRoot /afs/zcu.cz/project/www/www-agt/ ServerName www.agt.zcu.cz ServerAlias agt.zcu.cz www.agt agt ErrorLog /var/log/apache2/www-agt-error.log TransferLog /var/log/apache2/www-agt-access.log AddDefaultCharset UTF-8 ServerSignature off php_admin_value safe_mode on php_admin_value open_basedir ".:..:/var/software/data/phplib/:/tmp/:/afs/zcu.cz/project/www/www-agt/" php_admin_value safe_mode_include_dir "/var/software/data/phplib/:/afs/zcu.cz/project/www/www-agt/" WaklogEnabled On WaklogLocationPrincipal project_agt/www@ZCU.CZ /etc/apache2/keytab/project_agt.keytab Redirect / https://agt.zcu.cz/ </VirtualHost> <VirtualHost 147.228.4.62:443> ServerAdmin gangur@kem.zcu.cz DocumentRoot /afs/zcu.cz/project/www/www-agt/ ServerName www.agt.zcu.cz ServerAlias agt.zcu.cz www.agt agt ErrorLog /var/log/apache2/ssl-agt-error.log TransferLog /var/log/apache2/ssl-agt-access.log AddDefaultCharset UTF-8 ServerSignature off WaklogEnabled On WaklogLocationPrincipal project_agt/www@ZCU.CZ /etc/apache2/keytab/project_agt.keytab SSLEngine on # SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL SSLVerifyDepth 3 SSLCertificateFile /etc/apache2/ssl/www.agt.zcu.cz/server.crt SSLCertificateKeyFile /etc/apache2/ssl/www.agt.zcu.cz/server.key # <Directory /afs/zcu.cz/project/www/www-agt/> # AuthType WebAuth # Require valid-user # </Directory> php_admin_value safe_mode on php_admin_value open_basedir ".:..:/var/software/data/phplib/:/tmp/:/afs/zcu.cz/project/www/www-agt/" php_admin_value safe_mode_include_dir "/var/software/data/phplib/:/afs/zcu.cz/project/www/www-agt/" </VirtualHost>
n. zadat do Nagia kontrolu platnosti https certifikatu