hidden:Linux Jump-Station in CN-441/164

From Lsdf
Jump to navigationJump to search
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.

Dieser Rechner dient als Zugangsrechner, Gateway, Timehost, Traphost etc. für Geräte im Management-Netz 172.18.92.0/22

Installation

  • von DVD SL 6.4 als Web-Server, Plattenpartitionierung 500MB /boot, 16GB swap, Rest /
  • yum update
  • reboot wg. neuem Kernel

Netzwerk

Schnittstellen

  • eth0
[root@scc-cn-r164-l ~]# cat /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=scc-cn-r164-l.scc.kit.edu
NETWORKING_IPV6=no
GATEWAY=141.52.36.1

[root@scc-cn-r164-l ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
TYPE=Ethernet
UUID=81597989-ab6a-4b11-a3eb-50d898c4aa14
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=none
HWADDR=D8:9D:67:27:7E:08
IPADDR=141.52.36.36
PREFIX=24
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System eth0"
  • eth1 (IP-Adresse muss noch auf 172.18.92.200 geändert werden, wenn die alte Jump-Station abgeschaltet wird)
[root@scc-cn-r164-l ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
TYPE=Ethernet
UUID=81597989-ab6a-4b11-a3eb-50d898c4aa14
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=none
HWADDR=D8:9D:67:27:7E:09
IPADDR=172.18.92.199
PREFIX=22
DEFROUTE=no
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System eth1"

[root@scc-cn-r164-l ~]# cat /etc/resolv.conf 
search scc.kit.edu lsdf.kit.edu
nameserver 141.52.3.3
nameserver 141.52.8.18

NAT

Damit man aus dem privaten Management-Netz ins Internet kommt, wird iptables so konfiguriert, dass es Network Address Translation (NAT) macht. Das Default Gateway der ILO-RSA-iDRAC etc. -Boards muss 172.18.92.200 sein.

  • Original /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
  • nach aktivierung des NAT mit
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface eth1 -j ACCEPT
/etc/init.d/iptables save

sieht die /etc/sysconfig/iptables so aus.. weiterhin wurden alle Ports auf eth1 aufgemacht in dem -i eth0 in die Zeile -A INPUT -i eth0 -j REJECT --reject-with icmp-host-prohibited eingefügt wurde 

# Generated by iptables-save v1.4.7 on Thu Feb 20 16:25:10 2014
*nat
:PREROUTING ACCEPT [169:44555]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [3:228]
-A POSTROUTING -o eth0 -j MASQUERADE 
COMMIT
# Completed on Thu Feb 20 16:25:10 2014
# Generated by iptables-save v1.4.7 on Thu Feb 20 16:25:10 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [207:32868]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i lo -j ACCEPT 
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 
-A INPUT -i eth0 -j REJECT --reject-with icmp-host-prohibited 
# -A FORWARD -j REJECT --reject-with icmp-host-prohibited   Diese Zeile muss raus, sonst funktinoiert das NAT nicht !
-A FORWARD -i eth1 -j ACCEPT 
COMMIT
# Completed on Thu Feb 20 16:25:10 2014
  • jetzt noch IPv4-Forwarding einschalten: In /etc/sysctl.conf die Zeile ""net.ipv4.ip_forward = 1"" eintragen

Nacharbeiten am Betriebssystem

  • Uhr stellen
    • /etc/init.d/ntpdate start
    • chkconfig ntpdate on
    • /etc/init.d/ntpd start
    • chkconfig ntpd on
  • epel-Repo für weitere Software hinzufügen: 
    yum install yum-conf-epel

Weitere Pakete

  • nc zb. zum Testen der Firewall
  • net-snmp weil diser Host snmptraps verarbeiten soll
  • xorg-x11-xauth für X11-Forwarding
  • xorg-x11-apps für X11-Testanwendungen (xclock, xeyes ...)

DHCP-Server

  • Für die IP-Adress-Verwaltung wird ein DHCP-Server installiert, der auch als solcher funktioniert
    • yum install dhcp

LDAP

  • siehe [1]
  • yum install openldap-clients
  • yum install nss-pam-ldapd
    • Dependency Installed: nscd.x86_64 0:2.12-1.132.el6 pam_ldap.x86_64 0:185-11.el6
  • /etc/nsswitch.conf anpassen
passwd: files sss
group: files sss
shadow: files sss
  • /etc/nslcd.conf für den "local LDAP name service daemon" (nslcd) anpassen
  • Dienstkonto einrichten lassen (Patrick von der Hagen)
  • ldapsearch -LLL -H ldaps://kit-ldap-01.scc.kit.edu -b 'ou=unix,ou=IDM,dc=kit,dc=edu' -D 'uid=scc-jumpstation-lsdfhpss,ou=ProxyUser,ou=IDM,dc=kit,dc=edu' -w 'AshsiepdoatEipdecfak' cn='iy1773' liefert mal ein Ergebnis
  • yum install authconfig-gtk
    • mal schauen, ob man damit die Authentifizierung gegen LDAP konfigurieren kann...
    • [root@scc-cn-r164-l ~]# authconfig-gtk findet schon ein paar richtige Infos ...und startet etwas ..
      • Starting sssd: [ OK ]
      • Starting oddjobd: [ OK ]
      • /etc/nsswitch.conf sieht dann so aus:
passwd: files sss
group: files sss 
shadow: files sss
  • /etc/sssd/sssd.conf anpassen
[domain/default]

ldap_id_use_start_tls = True
cache_credentials = True
ldap_search_base = ou=unix,ou=IDM,dc=kit,dc=edu
krb5_realm = EXAMPLE.COM
krb5_server = kerberos.example.com
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
ldap_uri = ldap://kit-ldap-01.scc.kit.edu/
ldap_tls_cacertdir = /etc/openldap/cacerts
ldap_default_bind_dn = uid=scc-jumpstation-lsdfhpss,ou=ProxyUser,ou=IDM,dc=kit,dc=edu
ldap_default_authtok_type = password
ldap_default_authtok = AshsiepdoatEipdecfak
ldap_tls_reqcert = never
[sssd]
services = nss, pam
config_file_version = 2

domains = default
[nss]

[pam]

[sudo]

[autofs]

[ssh]

[pac]
  • jetzt funktioniert ein getent passwd iy1773, ein getent shadow iy1773 liefert kein Ergebnis ....
  • login via ssh geht auch !

Benutzer

  • Gruppenname: SCC-Service-Extern
Broussard, Kayla         IBM US       HPSS System Engineer           kbabin@us.ibm.com              le7848
Kerr, Jae                IBM US       HPSS Deployment Lead           jrkerr@us.ibm.com              vv8488
Giddens, Alan            IBM US       GHI Deployment Lead            agiddens@us.ibm.com            mg7325  
Batchelder, Scott        IBM US       HPSS & GHI Deployment Backup   scbatche@us.ibm.com            ox7620
Hermann, Jonathan        IBM-DE       IT Specialist - HPSS Admin     jonathan.hermann@de.ibm.com    ns3128
Jenke, Kay-Christian     IBM-DE       Advisory IT Specialist Storage kay-christian.jenke@de.ibm.com ir6341

Backup

mkdir TSM
cd TSM
wget ftp://ftp.scc.kit.edu/pub/tsm/scc/client/linux/x86_64/v641/6.4.1.3/6.4.1.3-TIV-TSMBAC-LinuxX86.tar
tar -xvf 6.4.1.3-TIV-TSMBAC-LinuxX86.tar 
yum localinstall gskcrypt64-8.0.14.26.linux.x86_64.rpm
yum localinstall gskssl64-8.0.14.26.linux.x86_64.rpm 
yum localinstall TIVsm-API64.x86_64.rpm 
yum localinstall TIVsm-BA.x86_64.rpm
cd /opt/tivoli/tsm/client/ba/bin/
vim dsm.sys
cd /etc/init
vim dsmc.conf
initctl start dsmc
  • dsm.sys
Servername             grid0
Nodename               scc-cn-r164-l
TCPPORT                1603
COMMmethod             TCPip
TCPServeraddress       scc-tsm-nb03.scc.kit.edu
PASSWORDACCESS         GENERATE
SCHEDLOGname           /var/log/tsm/dsmsched_ba.log
ERRORLOGname           /var/log/tsm/dsmerror_ba.log
SCHEDLOGretention      14 D
ERRORLOGretention      14 D
  • /etc/init/dsmc.conf
# dsmc
#
# This service starts the Tivoli Storage Manager "dsmc sched" backup
# process and respawns it as the scheduled backup happens or the
# dsmc process gets killed or dies.

start on runlevel 2
start on runlevel 3
start on runlevel 4
start on runlevel 5

stop on runlevel 0
stop on runlevel 1
stop on runlevel 6

respawn
exec /usr/bin/dsmc sched >/dev/null 2>&1
  • passwort noch ändern mit dsmc set password
Retrieved from "https://wiki.scc.kit.edu/lsdf/index.php?title=hidden:Linux_Jump-Station_in_CN-441/164&oldid=2165"