History of Computer and Network/Account and Project/making 2016 account (No. 6)

• History
• View the source.
• Computer and Network/Account and Project/making 2016 account has been deleted.
  • 1 (2016-08-02 (Tue) 18:29:53)
  • 2 (2016-08-02 (Tue) 18:29:53)
  • 3 (2016-08-02 (Tue) 18:29:53)
  • 4 (2016-08-02 (Tue) 18:29:53)
  • 5 (2016-08-02 (Tue) 18:29:53)
  • 6 (2016-08-02 (Tue) 18:29:53)
  • 7 (2016-08-05 (Fri) 17:33:08)
  • 8 (2016-08-05 (Fri) 17:33:08)
  • 9 (2016-08-05 (Fri) 17:33:08)
  • 10 (2016-08-05 (Fri) 17:33:08)
  • 11 (2016-08-05 (Fri) 17:33:08)
  • 12 (2016-08-05 (Fri) 17:33:08)

---

Computer and Network/Account and Project

2016 年分アカウント作業のメモ (未完 201x-xx-xx)†

アカウント作成手順†

• 概要
  • スクリプト一覧 (ms1 がマスタ)

     /home/admin/2016/
       00_ms1_create_pwDBs.sh
       10_create_accdata.sh
       20_create_homedir.sh
       30_create_project.sh
       40_ms1_vncpasswd.sh
     
       common.inc
       config.inc
       siteinfo.inc
       gen_one_passwd
       do_account_test

• 作業対象マシン

   ms1 1s as1 ss1 (LDAP アカウント登録 / ホームやプロジェクトの作成)
   gw (パスワードファイルに登録 / ホームの作成)

• 2016変更点ほか

• 制御機 (1c,mt1,rt1) には、観測アカウントを作らない事になった
• Solaris 機 (v1c,c1c) が残っているが、以前から観測アカウントは無かった
• aste-gw アカウントの prefix は "acc"
• aste-gw にて、解析済データのアップロードが不要になる (sftp 停止)
• 初期登録件数は 100 件、プロジェクト数は 3 つ (?)
• LDAP の DN 名をサイト間で統一した (まだ繋げていない)

• 以下、特記の無い場合は各作業ホストの admin ユーザとなり、 /home/admin/2016 に移動 (chdir) して作業する。

   aste-xxx{admin}: cd /home/admin/2016

• アカウント基礎情報ファイル作成 (aste-ms1 にて一度だけ)
  • アカウント名、 UID 、生成したパスワードなどをまとめたファイルが作られる。
  • 同時に pw/lock という空ファイルが作られて、再実行を防止する。 (再実行するとパスワードを作り直してしまう)

     aste-ms1{admin}: cd /home/admin/2016
     aste-ms1{admin}: ./00_ms1_create_pwDBs.sh
     
     =>
       pw/pwdb_crypt_2016.csv
       pw/pwdb_secret_2016.csv
       pw/pwdb_secret_2016_vnc.csv
       pw/lock

• パスワードの再作成が本当に必要な場合にはいったん削除する事が必要。

   aste-ms1{admin}: rm pw/pwdb_lock ; ./00_ms1_create_pwDBs.sh

• pwdb_secret_*.csv には生成した生のパスワード文字列そのものが含まれているので、 生成後に秘密のディレクトリに移動しておく。

   aste-ms1{root}# mv pwdb_secret_2016.csv  /home/admin/secret/
   aste-ms1{root}# mv pwdb_secret_2016_vnc.csv  /home/admin/secret/
   aste-ms1{root}# chown root /home/admin/secret
   aste-ms1{root}# chmod 700  /home/admin/secret

• PI にアカウントを割り当てた際にこのパスワードを通知する
• 不用意に消さないよう owner=root, perm=700 とする / 適宜バックアップ
• 後の VNC パスワード設定が済んだら生パスワードをオンラインに置いておく必要は無い

• pwdb_crypt_2016.csv には暗号化(ハッシュ化)済のパスワードが含まれており、 アカウント作業を行うホストにツール一式とともにコピーして使用する。

   aste-ms1{admin}: cd /home/admin
   aste-ms1{admin}: rsync -auvzH 2016 aste-xxx:/home/admin/

• アカウント登録 (LDAP サーバ, aste-gw)
  • 各ホストで作業用データを生成し、それを使ってアカウントを登録する。

     aste-xxx{admin}: cd /home/admin/2016
     aste-xxx{admin}: ./10_create_accdata.sh
     
     =>
       xxx.out/ldapvi.add
       xxx.out/useradd.run

• aste-gw では root にて useradd.run を実行すれば、必要なアカウントやホームディレクトリが作られて作業完了

   aste-gw{admin}: cd /home/admin/2016/mx3.out
   aste-gw{admin}: su
   password: xxxxxxxx (root になります)
   
   aste-gw{root}# ./useradd.run
   
   =>  /home/acc000 ... /home/acc099

• LDAP サーバ (aste-gw 以外) では ldapvi を使用して、アカウントを登録。 (この段階ではホームディレクトリは作らない)

   aste-srv{admin}: /usr/bin/ldapvi -h ldaps://localhost/ -b dc=aste,dc=naoj -D cn=root,dc=aste,dc=naoj

  • パスワードを聞かれるので LDAP DB の管理パスワードを入力 (!= root user password)
  • ldapvi を実行するユーザが root ユーザである必要は特にない
  • vi で開かれるデータの末尾に ldapvi.add の内容を追加して vi を終了、修正をコミット(対話指示あり)

• 2016年は以下のホストで作業した。 (予定)

   ms1, 1s, as1, ss1
   gw

• ホームディレクトリの作成 (ファイルサーバ機 : 現在は LDAP サーバ機と同一)
  • aste-ms1 から /home/admin/2016 をコピーのうえ root にてコマンド実行

     aste-srv{admin}: cd /home/admin/2016
     aste-srv{admin}: su
     password: xxxxxxxx (root になります)
     
     aste-srv{root}# ./20_create_homedir.sh

• ホームディレクトリが作成されて、 .cshrc などのひな型がコピーされる。
• 2016年は以下のホストで作業した。 (予定)

   ms1, 1s, as1, ss1

• プロジェクトの登録 (obstable が置かれるホスト(?))
  • aste-ms1 から /home/admin/2016 をコピーのうえ root にてコマンド実行

     aste-obstab{admin}: cd /home/admin/2016
     aste-obstab{admin}: su
     password: xxxxxxxx (root になります)
     
     aste-obstab{root}# ./30_create_project.sh

• アカウントのホーム以下にプロジェクトのひな型を作成する。
• /home/obstable にそれらを登録する。

• 2016年は以下のホストで作業した。(予定)

   ms1, 1s, as1, ss1

• 指示書作成VNCサーバ機 (aste-mx3) 準備
  • aste-ms1 の /home/admin/2016 にて、 root にてコマンド実行

     aste-ms1{admin}: cd /home/admin/2016
     aste-ms1{admin}: su
     password: xxxxxxxx (root になる)
     
     aste-ms1{root}# ./40_ms1_vncpasswd.sh
     
     =>  /home/[user]/.vnc/vncpasswd

• 指示書作成 VNC サーバ aste-mx3 では、観測アカウント毎に VNC サーバを動かす。
• 各アカウント毎の専用VNCパスワードを設定する。
• mx3 は ms1 のホームを共有するのでこの作業は ms1 で行う。

• 各アカウントのホームの下にパスワードが格納される。

• 観測アカウント毎の VNC サーバの起動設定を行う

   aste-mx3{admin}: cd /home/admin/2016
   aste-mx3{admin}: su
   password: xxxxxxxx (root になる)
   
   aste-mx3{root}# ./50_mx3_vnc_xinetd.sh
   
   =>
     mx3.out/aste-gdm.conf
     mx3.out/services.add
     mx3.out/xinetd-aste.d/
         aste-vnc-5900 ... aste-vnc-5999

• aste-gdm.conf を /etc/security 以下に配置する。
• services.add を /etc/services に追記する。 (すでに追記されている場合もある)
• xinetd-aste.d 以下のツリーを /etc 以下に配置する。(cp -a など)

• 遠隔観測VNCサーバ(aste-mx1)の準備
  • aste-ms1 から /home/admin/2016 をコピーのうえ root にてコマンド実行
    • 遠隔観測用アカウントasterobsとVNCサーバを用意する
    • asterobs (遠隔観測時の asteobs 相当) のパスワード (pwdb_secret_2016.csv) を設定する
    • 遠隔観測実行用VNCサーバにパスワード (pwdb_secret_2016_vnc.csv) を設定する
    • これらは、すべての観測者で共有される

• root でログインして作業

   aste-mx1{root}# passwd asterobs
   Changing password for user asterobs.
   New password: xxxxxxxx
   Retype new password: xxxxxxxx
   passwd: all authentication tokens updated successfully.
   
   aste-mx1{root}# /usr/bin/vncpasswd /etc/vncpasswd
   Password: yyyyyyyy
   Verify: yyyyyyyy
   aste-mx1{root}# /bin/chown root.astctl /etc/vncpasswd
   aste-mx1{root}# /bin/chmod 440 /etc/vncpasswd

• /etc/vncpasswd ファイルにパスワードが格納される

   aste-mx1{root}# ls -l /etc/vncpasswd
   -r--r----- 1 root astctl 8 Apr  6 05:45 /etc/vncpasswd

2016 アカウント作業確認点†

• ASTE ホスト (aste-gw を除く)
  • id 情報を引ける事 (getent passwd a160xx) - test_account - ?

    a16000 - ms1 mx1 mx3 1x 1s ax1 as1 ss1
    a16099 - ms1 mx1 mx3 1x 1s ax1 as1 ss1

  • ホームにアクセス可能なこと (ls /home/a160xx) - test_account - ?

    a16000 - ms1 mx1 mx3 1x 1s ax1 as1 ss1
    a16099 - ms1 mx1 mx3 1x 1s ax1 as1 ss1

  • パスワード変更が可能なこと (ldap config のチェック - パスワードは戻しておく) - ?

    a16000 - ms1 mx1 mx3 1x 1s ax1 as1 ss1

  • パスワードログイン (X11 console) が可能なこと - mx3 のみ ?

    a16000 - mx1 mx3 ax1 1x
    asteobs - mx1

  • パスワードログイン (ssh) が可能なこと - ?

    a16000 - ms1 mx1 mx3 ax1 as1 1x 1s ss1

• aste-gw
  • aste-gw のASTE室からのアクセス (acc000 でテスト)
    • aste201 から port=22

       pw ログイン可能 - ?
       sftp 不可 ("Request for subsystem 'sftp' failed on channel 0") - ?

    • aste201 から port=10022

       pw ログイン不可 ("Permission denied (publickey,gssapi-keyex,gssapi-with-mic).") - ?
       pubkey ログイン可 - ?
       sftp 不可 ("Request for subsystem 'sftp' failed on channel 0") - ?

• aste-gw の台外アクセスチェック (sshd122.conf や pubkey 準備が必要)
  • 台外ホストから port=22

     ssh コマンドで到達不可 (ssh -v や telnet 22 で確認) - ?

  • 台外ホストから port=10022

     /etc/security/access.conf の設定必要
     pw ログイン不可 (pubkey 設置なしで "Permission denied (publickey,gssapi-keyex,gssapi-with-mic).") - ok15
     sshd122.conf 許可で pubkey ログイン可 - ok
     sshd122.conf 不許可で pubkey ログイン不可 ("Connection closed by 133.40.7.130") - ?
     sftp アクセス不可 ("subsystem request failed on channel 0") - ?

• パーミッション目視確認 (700) - ?

   ls -ld /home/acc???

• VNC アクセス確認
  • 指示書作成 VNC サーバアクセス確認 (gw -> mx3) - ?

     acc000@gw -> a16000-VNC on mx3
     接続後の画面で a16000 としてログインできること

  • 観測 VNC サーバアクセス確認 (gw -> mx1) - ok15

     acc000@gw -> VNC on mx1
     接続後の画面で asterobs としてログインできること

旧アカウントに関する作業†

• 2014年度アカウント

• Linux ldap サーバからの削除 - done15

  ms1 as1

• ホームディレクトリ (project), obstable, newstar 削除

  未完

• aste-gw
  • ssh ログイン (22,10022) は運用開始前だったため作業なし

• 2014年度アカウント
  • aste-gw ssh ログイン (10022) 停止

    /etc/security/sshd122.conf

  • aste-mx2 VNCアクセス停止 (mx2)

    /etc/xinetd-aste.d/ 情報削除

メモ、反省点など†

• Linux 化を機に、プロポーザル番号をアカウント名として使えないかと考えたが、cosmos3の仕様としてアカウント名は八文字が最大値の様なのでプロポーザル番号に八文字制限を付けることになる。今年は止めておく。

• nrodb でのバックアップとの関係もあるので、アカウント削除時のデータ (ホーム以下, obstable) の取り扱いに関して具体的に決めておくのが良い。 (rsync --delete しているので注意)

• XXX 手戻りした場合の再テストを完全に実施していない。
• XXX ax2, 1x の X11 ログインをテストして無い。