History of Computer and Network/Account and Project/making 2016 account (No. 4)

• History
• View the source.
• Computer and Network/Account and Project/making 2016 account has been deleted.
  • 1 (2016-08-02 (Tue) 18:29:53)
  • 2 (2016-08-02 (Tue) 18:29:53)
  • 3 (2016-08-02 (Tue) 18:29:53)
  • 4 (2016-08-02 (Tue) 18:29:53)
  • 5 (2016-08-02 (Tue) 18:29:53)
  • 6 (2016-08-02 (Tue) 18:29:53)
  • 7 (2016-08-05 (Fri) 17:33:08)
  • 8 (2016-08-05 (Fri) 17:33:08)
  • 9 (2016-08-05 (Fri) 17:33:08)
  • 10 (2016-08-05 (Fri) 17:33:08)
  • 11 (2016-08-05 (Fri) 17:33:08)
  • 12 (2016-08-05 (Fri) 17:33:08)

---

Computer and Network/Account and Project

2016 年分アカウント作業のメモ (未完 201x-xx-xx)†

アカウント作成手順†

• 概要
  • スクリプト一覧 (ms1 がマスタ)

    /home/admin/2016/
     00_ms1_create_pwDBs.sh
     10_create_accdata.sh
     20_create_homedir.sh
     30_create_project.sh
     40_ms1_vncpasswd.sh
    
     common.inc
     config.inc
     siteinfo.inc
     gen_one_passwd
     test_account

• 作業対象マシン

  ms1 1s as1 ss1 (LDAP アカウント登録 / ホームやプロジェクトの作成)
  gw (パスワードファイルに登録 / ホームの作成)

• 2016変更点ほか

• 制御機 (1c,mt1,rt1) には、観測アカウントを作らない事になった
• Solaris 機 (v1c,c1c) が残っているが、以前から観測アカウントは無かった
• aste-gw アカウントの prefix は "aaa"
• aste-gw にて、解析済データのアップロードが不要になる
• 初期登録件数は 100 件、プロジェクト数は 3 つ (?) newstar ファイルの展開がなくなり容量が減少、専用コマンドを実行するだけとした (ユーザは自力で実行できる ? 実行させる ?)
• LDAP の DN 名をサイト間で統一した レプリケーションでつなぐ準備

• 以下、特記の無い場合は各作業ホストの admin ユーザとなり、 /home/admin/2016 に移動 (chdir) して作業する。

  aste-xxx{admin}: cd /home/admin/2016

• アカウント基礎情報ファイル作成 (aste-ms1 にて一度だけ)

  aste-ms1{admin}: cd /home/admin/2016
  aste-ms1{admin}: ./00_ms1_create_pwDBs.sh

• アカウント名、 UID 、生成したパスワードなどをまとめた以下のファイルが作られる。

   pw/pwdb_crypt_2016.csv
   pw/pwdb_secret_2016.csv
   pw/pwdb_secret_2016_vnc.csv

• 同時に pw/lock というからファイルが作られて、再実行を防止する。 (再実行するとパスワードを作り直してしまう)

• パスワードの再作成が必要な場合にはいったん削除する事が必要。

   aste-ms1{admin}: rm pw/pwdb_lock ; ./00_ms1_create_pwDBs.sh

• pwdb_secret_*.csv には生成した生のパスワード文字列そのものが含まれているので、 生成後に秘密のディレクトリに移動しておく。

   
   (PI にアカウントを割り当てた際にこのパスワードを通知する)
   (不用意に消さないよう owner=root, perm=700 とする / 適宜バックアップ)
   (パスワードは ms1 で生成するが、後の VNC パスワード設定が済んだらオンラインに置いておく必要は無い)
   
   aste-ms1{root}: mv pwdb_secret_2016.csv  /home/admin/secret/
   aste-ms1{root}: mv pwdb_secret_2016_vnc.csv  /home/admin/secret/
   aste-ms1{root}: chown root /home/admin/secret
   aste-ms1{root}: chmod 700  /home/admin/secret

• pwdb_crypt_2016.csv には暗号化(ハッシュ化)済のパスワードが含まれており、 アカウント作業を行うホストにツール一式とともにコピーして使用する。

   aste-ms1{admin}: cd /home/admin
   aste-ms1{admin}: rsync -auvzH 2016 aste-xxx:/home/admin/

• アカウント登録 (LDAP サーバ, aste-gw) 各ホストで作業用データを生成し、それを使ってアカウントを登録する。

   aste-xxx{admin}: cd /home/admin/2016
   aste-xxx{admin}: ./10_create_accdata.sh
   
   xxx.out/ldapvi.add
   xxx.out/useradd.run

• aste-gw では useradd.run を実行すれば、必要なアカウントやホームディレクトリが作られて作業完了

   /home/[user]

• LDAP サーバ (aste-gw 以外) では ldapvi を使用して、アカウントを登録。 (この段階ではホームディレクトリは作らない)

   
   aste-srv{admin}: /usr/bin/ldapvi -h ldap://localhost/ -b dc=aste,dc=naoj -D cn=root,dc=aste,dc=naoj
   (パスワードを聞かれるので LDAP DB の管理パスワードを入力 (!= root user password))
   (ldapvi を実行するユーザが root ユーザである必要は特にない)
   (vi で開かれるデータの末尾に ldapvi.add の内容を追加して vi を終了、修正をコミット(対話指示あり))

• 2016年は以下のホストで作業した。 (予定)

  ms1, 1s, as1, ss1
  gw

• ホームディレクトリの作成 (ファイルサーバ機 : 現在は LDAP サーバ機と同一) aste-ms1 から /home/admin/2016 がコピー済とする。

  aste-srv{admin}: cd /home/admin/2016
  aste-srv{admin}: su
  password: xxxxxxxx (root になります)
  root# ./20_create_homedir.sh

  • ホームディレクトリが作成されて、 .cshrc などのひな型がコピーされる。
  • 2016年は以下のホストで作業した。 (予定)

     ms1, 1s, as1, ss1

• プロジェクトの登録 (obstable が置かれるホスト(?)) aste-ms1 の /home/admin/2016 がコピー済とする。

  aste-obstab{admin}: cd /home/admin/2016
  aste-obstab{admin}: su
  password: xxxxxxxx (root になります)
  root# ./30_create_project.sh

  • アカウントのホーム以下にプロジェクトのひな型を作成する。
  • /home/obstable にそれらを登録する。

• 2016年は以下のホストで作業した。(予定)

   ms1, 1s, as1, ss1

• 指示書作成VNCサーバ機 (aste-mx3) 準備
  • 指示書作成 VNC サーバ aste-mx3 には、 観測アカウント毎に VNC サーバを用意する。 各アカウント毎の専用パスワードを設定する。 パスワードは ~user/.vnc/vncpasswd に格納される。 mx3 は ms1 のホームを共有するのでパスワード登録作業は ms1 で行う。

    aste-ms1{admin}: cd /home/admin/2016
    aste-ms1{admin}: su
    password: xxxxxxxx (root になる)
    root# ./40_ms1_vncpasswd.sh

  • 各アカウントのホームの下にパスワードが格納される。

    /home/[user]/.vnc/vncpasswd

• 観測アカウント毎の VNC サーバの起動設定を行う

  aste-mx3{admin}: cd /home/admin/2016
  aste-mx3{admin}: 
  password: xxxxxxxx (root になる)
  root# ./50_mx3_vnc_xinetd.sh
  
  mx3.out/aste-gdm.conf
  mx3.out/services.add
  mx3.out/xinetd-aste.d/aste-vnc-5900 .. aste-vnc-5999

• aste-gdm.conf を /etc/security 以下に配置する。
• services.add を /etc/services に追記する。 (すでに追記されている場合もある)
• xinetd-aste.d 以下のツリーを /etc 以下に配置する。(cp -a など)

• 遠隔観測VNCサーバ(aste-mx1)の準備
  • 遠隔観測用アカウントasterobsとVNCサーバを用意する。 asteobs の遠隔観測用 asterobs のパスワードを設定する。 遠隔観測実行用VNCサーバにパスワードを設定する。 これらは、すべての観測者で共有される。

• root でログインして作業

   [root@aste-mx1 ~]$ passwd asterobs
   Changing password for user asterobs.
   New password: xxxxxxxx
   Retype new password: xxxxxxxx
   passwd: all authentication tokens updated successfully.
   
   [root@aste-mx1 ~]$ /usr/bin/vncpasswd /etc/vncpasswd
   Password: yyyyyyyy
   Verify: yyyyyyyy
   [root@aste-mx1 ~]$ /bin/chown root.astectl /etc/vncpasswd
   [root@aste-mx1 ~]$ /bin/chmod 440 /etc/vncpasswd

• /etc/vncpasswd ファイルにパスワードが格納される。

   [root@aste-mx1 ~]$ ls -l /etc/vncpasswd
   -r--r----- 1 root astctl 8 Apr  6 05:45 /etc/vncpasswd

2016 アカウント作業確認点†

• ASTE ホスト (aste-gw を除く)
  • id 情報を引ける事 (getent passwd a160xx) - test_account - ?

    a16000 - ms1 mx1 mx3 1x 1s ax1 as1 ss1
    a16099 - ms1 mx1 mx3 1x 1s ax1 as1 ss1

  • ホームにアクセス可能なこと (ls /home/a160xx) - test_account - ?

    a16000 - ms1 mx1 mx3 1x 1s ax1 as1 ss1
    a16099 - ms1 mx1 mx3 1x 1s ax1 as1 ss1

  • パスワード変更が可能なこと (ldap config のチェック - パスワードは戻しておく) - ?

    a16000 - ms1 mx1 mx3 1x 1s ax1 as1 ss1

  • パスワードログイン (X11 console) が可能なこと - mx3 のみ ?

    a16000 - mx1 mx3 ax1 1x
    asteobs - mx1

  • パスワードログイン (ssh) が可能なこと - ?

    a16000 - ms1 mx1 mx3 ax1 as1 1x 1s ss1

• aste-gw
  • aste-gw のASTE室からのアクセス (aaa000 でテスト)
    • aste201 から port=22

       pw ログイン可能 - ?
       sftp 不可 ("Request for subsystem 'sftp' failed on channel 0") - ?

    • aste201 から port=10022

       pw ログイン不可 ("Permission denied (publickey,gssapi-keyex,gssapi-with-mic).") - ?
       pubkey ログイン可 - ?
       sftp 不可 ("Request for subsystem 'sftp' failed on channel 0") - ?

• aste-gw の台外アクセスチェック (sshd122.conf や pubkey 準備が必要)
  • 台外ホストから port=22

     ssh コマンドで到達不可 (ssh -v や telnet 22 で確認) - ?

  • 台外ホストから port=10022

     pw ログイン不可 (pubkey 設置なしで "Permission denied (publickey,gssapi-keyex,gssapi-with-mic).") - ok15
     sshd122.conf 許可で pubkey ログイン可 - ok
     sshd122.conf 不許可で pubkey ログイン不可 ("Connection closed by 133.40.7.130") - ?
     sftp アクセス不可 ("subsystem request failed on channel 0") - ?

• パーミッション目視確認 (700) - ?

   /home/aaa???

• VNC アクセス確認
  • 指示書作成 VNC サーバアクセス確認 (gw -> mx3) - ?

     aaa000@gw -> a16000-VNC on mx3
     接続後の画面で a16000 としてログインできること

  • 観測 VNC サーバアクセス確認 (gw -> mx1) - ok15

     aaa000@gw -> VNC on mx1
     接続後の画面で asterobs としてログインできること

旧アカウントに関する作業†

• 2014年度アカウント

• Linux ldap サーバからの削除 - done15

  ms1 as1

• ホームディレクトリ (project), obstable, newstar 削除

  未完

• aste-gw
  • ssh ログイン (22,10022) は運用開始前だったため作業なし

• 2014年度アカウント
  • aste-gw ssh ログイン (10022) 停止

    /etc/security/sshd122.conf

  • aste-mx2 VNCアクセス停止 (mx2)

    /etc/xinetd-aste.d/ 情報削除

メモ、反省点など†

• Linux 化を機に、プロポーザル番号をアカウント名として使えないかと考えたが、cosmos3の仕様としてアカウント名は八文字が最大値の様なのでプロポーザル番号に八文字制限を付けることになる。今年は止めておく。

• nrodb でのバックアップとの関係もあるので、アカウント削除時のデータ (ホーム以下, obstable) の取り扱いに関して具体的に決めておくのが良い。 (rsync --delete しているので注意)

• XXX 手戻りした場合の再テストを完全に実施していない。
• XXX ax2, 1x の X11 ログインをテストして無い。