Hinweise für die Nutzung von Clients in Linux/Unix
Transcription
Hinweise für die Nutzung von Clients in Linux/Unix
FORSCHUNGSZENTRUM JÜLICH GmbH Zentralinstitut für Angewandte Mathematik D-52425 Jülich, Tel. (02461) 61–6402 Beratung und Betrieb, Tel. (02461) 61–6400 Technische Kurzinformation FZJ-ZAM-TKI-0275 Willi Homberg, Cornelia Geyer 18.05.2006 Hinweise für die Nutzung von Clients in Linux/Unix-Workstation-Gruppen Mit den Linux/Unix-Workstation-Gruppen bietet das ZAM Unterstützung bei Installation und Betrieb von Arbeitsplatzrechnern in den Instituten des FZJ. 1 Begriffsbestimmung Jede Workstation-Gruppe besteht aus einem (evtl. von mehreren Gruppen gemeinsam benutzten) Server und mehreren Gruppen-Clients. Der Gruppen-Server ist ein NIS/NFS-Server, der die Benutzerdaten und optionale Software an die Gruppen-Clients exportiert und die Benutzerverwaltung regelt. Die Clients stellen den eigentlichen Arbeitsplatz der Benutzer dar. Server und Clients sind im JuNet eindeutig durch Hostnamen identifiziert. Für jeden Hostnamen gibt es auch einen AliasNamen, der u.a. das Institut und eine Client-Nummer enthält. So ist z.B. ippwsg1c25 der Alias des 25. Clients in der ersten Workstation-Gruppe des IPP. 2 Ein-/Ausschalten von Rechnern und Monitoren Die Gruppen-Clients einer Workstation-Gruppe sind grundsätzlich anders zu behandeln als eine standalone Maschine. Um den Betrieb der Gruppe insgesamt nicht zu beeinträchtigen, seien hier einige Empfehlungen gegeben: Inhalt 1 Begriffsbestimmung 2 Ein-/Ausschalten von Rechnern und Monitoren 3 Die KDE Oberfläche 4 Mail Konfiguration und Web-Browser 3 5 Drucker 3 6 Übersicht über installierte Software und gruppenspezifische Software 3 Remote-Ausführen von Jobs mittels ssh 3 7 1 8 Regelmäßig auf den Clients ablaufende Tasks und Linux-Sicherheit 4 1 9 Office-Anwendungen 4 2 10 Samba Shares 4 11 Lokale Daten auf den Clients 4 12 Datensicherung auf der Gruppe 12.1 Sicherung der Benutzerdaten im Heimatverzeichnis . . . . . . . . . . . . . . . . . . . 12.2 Restore von Benutzerdaten . . . . . . . . . 4 4 5 • Der Rechner sollte nicht ausgeschaltet werden, da er für Administrationszwecke zur Verfügung stehen muss (z.B. Software-Upgrades). Auch für Aufgaben anderer Benutzer der Gruppe sollte er bereit stehen. • Der Monitor sollte hier nachts, am Wochenende und bei längerer Abwesenheit abgeschaltet werden. Generell sollten Monitore nicht in kurzen Zeitabständen ein- und ausgeschaltet werden. 3 Die KDE Oberfläche Auf den Linux-Clients wird das KDE (K Desktop (siehe: ”KDE - K Desktop Environment auf Linux-Rechnern” [1]). Environment) angeboten Es gibt eine Kontrollleiste, die in der Regel am unteren Bildschirmrand erscheint und Anwendungen (z.B. Konqueror, KDE File Manager) enthält, die durch Icons dargestellt und durch Anklicken mit der linken Maustaste gestartet werden. Ein Arbeitsfenster (Konsole) zur Eingabe von Befehlen öffnet man mit einem Klick auf den ”Monitor”. Es gibt standardmäßig 2 (erweiterbar auf 16) Desktop-Switches (virtuelle Bildschirme), daneben befindet sich die Taskleiste, die die geöffneten Anwendungen enthält. Das Anklicken einer Anwendung bringt diese in den Vordergrund. Anwendungsprogramme kann man über das K-menü (in der Kontrollleiste ganz links) starten. Auf dem Bildschirmhintergrund sind ebenfalls Anwendungen abgelegt, die durch Anklicken mit der rechten Maustaste gestartet werden; mit dem ”Schloss” wird der Bildschirm gesperrt und mit dem darunter liegenden Logout-Symbol wird die Session beendet. Generelle Hinweise zur Nutzung der KDE-Oberfläche findet man unter [2]. 2 Für das Arbeiten auf der Shell-Konsole wird mit der (einmaligen) Eingabe von profilesetup (unter /usr/local/bin) einige Standard-Profiles ins Heimatverzeichnis kopiert, wodurch eine BashUmgebung (mit Kommando-Ergänzung per TAB-Taste, etc.) hergestellt wird. 4 Mail Konfiguration und Web-Browser Aus der ”Mozilla-Suite” werden thunderbird und firefox benutzt. Hinweise zur Konfiguration, wie man mit Hilfe des IMAP4-Protokolls auf E-Mails zugreift, die auf dem Mail-Server abgelegt sind, findet man in TKI-0392 oder unter [3]. 5 Drucker Auf den Clients wird als Printing-System (ab SuSE 10.0) in den WS-Gruppen CUPS eingesetzt. Diese Drucker spricht man mittels des lpr-Kommandos in der Shell an (lpr -Pzam13pd ausdruck.ps) oder dem GUI kprinter (kprinter ausdruck.ps). Neue Features des CUPS sind u.a., dass verschiedene Dateiformate von dem System erkannt und automatisch konvertiert werden (z.B. PDF, Text, GIF, JPEG, ...). Informationen über seine Jobs lassen sich via Web-Browser abfragen (www.localhost:631). Sobald ein Job beim Printserver abgeliefert ist, gilt er lokal als gedruckt. Zum Einstellen des Default-Druckers gibt es einen neuen Befehl: lpoptions -d zam13pd Die PRINTER-Variable wird dabei nicht geändert. 6 Übersicht über installierte Software und gruppenspezifische Software Die Benutzer einer Workstation-Gruppe verfügen über mehrere Schichten von Software: • Betriebssystemkommandos sowie die installierten Pakete der Linux-Distribution • Anwendungssoftware, die vom ZAM allgemein für Linux/Unix unter /usr/local bereitgestellt wird (siehe TKI-0211) • projekt- oder institutsspezifische Software, die auch auf der Workstation-Gruppe eingesetzt werden soll. Dazu existiert ein Directory /usr/local/institutskürzel, das dem Ansprechpartner der Workstation-Gruppe im jeweiligen Institut gehört. Dieser ist autorisiert, in diesem Pfad beliebige Software zu installieren, zu modifizieren und zu löschen. 7 Remote-Ausführen von Jobs mittels ssh Um auf entfernte Rechner zuzugreifen, sollte Secure Shell verwendet werden, weil die Kommunikation dann verschlüsselt durchgeführt wird (siehe TKI-0330 [5]). Wenn der Benutzer einmalig ein SSH-Schlüsselpaar erzeugt hat, so wird er beim Login auf seinem Gruppen-Client nach seiner sog. Passphrase gefragt. Dabei wird ein SSH-Agent-Prozess gestartet. Wenn der Benutzer seinen Public-Key in der Datei /̃.ssh/authorized-keys auf dem entfernten Rechner abgelegt hat, kann dieser Agent-Prozess die Zugriffsberechtigung aushandeln und der Benutzer kann sich so ohne Eingabe vom Passwort/Passphrase einwählen. Da auf allen Gruppen-Clients dasselbe ServerFilesystem für die Benutzer-Heimatverzeichnisse gemountet wird, genügt es also, den Public-Key in die lokale authorized-keys-Datei zu kopieren. So hat man freien Zugriff auf alle Clients in der Gruppe und kann die Vorzüge der jeweiligen Hardware-Plattform nutzen, wobei man auf demselben User-Filesystem operiert. 3 8 Regelmäßig auf den Clients ablaufende Tasks und Linux-Sicherheit Cron-gesteuert laufen regelmäßig System-Checks und Updates: • Vor Dienstbeginn wird jeden Morgen die IP-Konfiguration aktualisiert (IP-Tabellen, SSH Known-Hosts-Liste) und das Backup der vergangenen Nacht kontrolliert. • Jeden Mittwoch wird die /usr/local-Software auf den aktuellen Stand gebracht. • Jeden zweiten Mittwoch im Monat läuft das (zuvor drei Tage auf ausgewählten Clients getestete) Linux Security Online-Update auf allen Clients. • Mit dem Kommando f-prot dirname können die Dateien im Verzeichnis dirname auf Viren geprüft werden und ggf. entfernt werden, siehe: f-prot -h. • Der Zugriff auf die Client-Rechner wird durch eine iptables-basierte Firewall geschützt. Sollte sie im Einzelfall zu restriktiv eingestellt sein, wende man sich an die Linux/Unix-Beratung (Tel. 6400). Zugriff von außerhalb des FZJ ist nur über das SSH-Gateway möglich (JuNetAlias: x-sshg). 9 Office-Anwendungen Für Office-Anwendungen steht OpenOffice zur Verfügung (Aufruf: OOo). Darüber hinaus besteht die Möglichkeit, sich mittels des Kommandos tsclient auf einen Win2003 Terminalserver einzuwählen. Den Zugang beantragt man per E-mail an r.grallert@fz-juelich.de unter Angabe des Linux-Login-Namens. 10 Samba Shares Die Home-Filesysteme werden als Samba Shares exportiert. Das Passwort dazu kann jeder Nutzer mit dem Befehl setsmbpasswd unter Linux setzen. 11 Lokale Daten auf den Clients Auf fast allen Clients besteht die Möglichkeit, Daten in einem lokalen Filessystem /private abzulegen. Diese Daten werden prinzipiell durch TSM/ADSM-Backup gesichert, die kontinuierliche Sicherung der Daten kann aber nicht garantiert werden. Außerdem kann von anderen ClientWorkstations nicht auf die lokale Platte des eigenen Clients zugegriffen werden. Deshalb ist folgende Vorgehensweise sinnvoll: • Die Heimatverzeichnisse der Benutzer liegen grundsätzlich auf dem Server. • Unter /private sollten Daten liegen, die auf dem Client erzeugt worden sind und die auch auf dem Client weiter verarbeitet werden. 12 Datensicherung auf der Gruppe 12.1 Sicherung der Benutzerdaten im Heimatverzeichnis Die Benutzerdaten auf den Workstation-Gruppen werden jeden Abend automatisch durch TSM inkrementell gesichert. Da die Home-Directories der Benutzer nicht auf den Clients, sondern auf dem Gruppenserver liegen, werden die Daten im Namen des Gruppenservers gesichert. Die TSM Software sorgt dafür, dass jeder Benutzer nur zu seinen Backup-Daten Zugriff hat. 4 Beim Restore auf dem Client muss jedoch beachtet werden, dass die Daten unter dem ServerHostnamen gesichert wurden. Die folgende Abbildung veranschaulicht die Situation. Bei Clients wird zusätzlich ein lokales /private-Verzeichnis gesichert. 12.2 Restore von Benutzerdaten Jeder Benutzer kann seine eigenen Daten selber im Falle von versehentlichem Löschen oder Überschreiben vom TSM/ADSM-Backup-Server zurückholen. Dazu gibt es den Befehl adsmback. • Wenn es sich um Daten aus dem Home-Directory handelt, kann er dies in den meisten Gruppen von einem beliebigen Client der Gruppe aus machen. Man muss dazu im TSMHauptmenü in der oberen Leiste ’Utilities’ anklicken und im Pulldown-Menü die Funktion ’Access Another Node’ auswählen. TSM/ADSM-Server Gruppenserver Datensicherung Gruppenserver : z. B: wsgfs Backup /export/zam1/home/uid1 /export/zam1/home/uid2 /export/zam1/home/uid3 ... /export/zam1/home/uidn /home/uid1 /export/zam1/home |-- /uid1 |-- /uid2 |-- /uid3 ... Restore /home/uid2 /home/uid3 /home/uidn ... Client1 Client2 Clientn Login Dann trägt man im folgenden Eingabemenü unter ’Node name’ den Namen, unter dem der Gruppen-Server beim TSM/ADSM bekannt ist und unter ’User name’ seine User-ID ein, und bestätigt mit ’Set’. 5 Beispiel: Die Nodenamen für die Server entnehme man der Tabelle: Workstationgruppe assaix1 ibiwsg1 ichaix1 ichaix2 iffaxp1 igvaix1 ikpaix1 ikplin1 ippaix1 ippaxp1 isiaxp1 israix1 iwvlin1 modaxp1 nicsun1 zamaxp1 / / / / / / / / / / / / / / / / asswsg1 ibiwsg1 icgwsg1 icgwsg2 iffwsg1 igvwsg1 ikpwsg2 ikpwsg1 ippwsg1 ippwsg2 isgwsg1 isrwsg1 iwvwsg1 iffwsg2 nicsun1 zamwsg1 Gruppenserver (Node to Access) wsgfs ibi300 wsglinfs ich227 wsgfs wsgfs wsglinfs wsglinfs wsglinfs wsglinfs wsgfs wsgfs wsgfs wsgfs wsgfs wsgfs • Wenn die Daten lokal auf dem Client-Rechner liegen, kann die Voreinstellung verwendet werden. Beispiel: 6 Wenn man dann auf den Button ’Restore files and directories...’ drückt, werden in einem neuen Fenster die gesicherten Filesysteme zum Restore von Daten aufgelistet. Alle Benutzerdaten befinden sich unter ’File Level’. Das Restore von Benutzerdaten, seien es einzelne Dateien, mehrere Dateien oder Directories, geschieht mit dem in der Technischen Kurzinformation TKI-0368 im Kapitel 8 beschriebenen Verfahren (siehe URL [6]). Bei Problemen wendet man sich an die Linux/Unix-Beratung im ZAM (Tel. 6400). Weitere Hinweise zum Thema Linux und Workstationgruppen findet man über den Linux Softwareserver linuxsoft [7]. [1] http://www.fz-juelich.de/zam/docs/Folien.html [2] http://www.kde.org/documentation/userguide [3] http://www.fz-juelich.de:8008/net.docu/messenger.conf.html [4] http://www.fz-juelich.de/zam/docs/tki/tki html/t0197/node3.html [5] http://www.fz-juelich.de/zam/docs/tki/tki html/t0330/t0330.html [6] http://www.fz-juelich.de/zam/docs/tki/tki html/t0368/t0368.html [7] http://linuxsoft.zam.kfa-juelich.de 7