History of Computer and Network/Account and Project (No. 7)

• History
• View the source.
• Computer and Network/Account and Project has been deleted.
  • 1 (2011-12-05 (Mon) 06:26:40)
  • 2 (2011-12-05 (Mon) 08:44:36)
  • 3 (2011-12-05 (Mon) 13:38:47)
  • 4 (2011-12-06 (Tue) 11:28:19)
  • 5 (2011-12-07 (Wed) 04:04:22)
  • 6 (2012-05-17 (Thu) 07:02:00)
  • 7 (2012-05-24 (Thu) 00:19:49)

---

---

Account management policy†

Account classes†

• 観測アカウント:observation account
  • 各観測毎に発行
  • aste-comp管理
• リダクションアカウント:reduction account
  • NROに解析環境が欲しい人に発行
  • NRO管理

• 観測アカウントと解析アカウントは別のアカウント名・uidを持つ
• 自前で解析環境を持つ人は、解析用アカウントは必要ない
  • commissioningの解析はASTEが持つ解析マシンで行う
    • aste-mx2 (MTK)
    • aste-wx2 (NRO)
    • aste-ax2,ax3 (SPdA)
    • aste-1x (ASTE)

Observation account†

• 分光観測用として60アカウントx5 projectsが作成済み
  • aa01**からaa60**
• 各観測ごとに上から順に割り当てる
  • 60個を越したら最初に戻る
• アカウントおよびプロジェクトの組は一年単位で使いまわす。継続観測を含む全ての観測で一年ごとにアカウントが変更となる。
• 年度終了後、二年間はアカウント内容を保持。
  • アカウント残数によっては短くなることもある
  • ただしNEWSTARやOTFデータが容量を圧迫する場合は各年度末に前年度のアカウントは初期化(消去ではない)する[方針をきちんと決める必要がある]
• 初期化や消去の際にはASTE側でバックアップを取らない。各観測者にバックアップを促す
• 観測アカウントで使用出来る解析環境は、観測中の簡易解析に限る。オリジナルデータの解析には使用させない。不具合等にも対応しない。

Reduction account†

• NRO管理
• ASTE解析用に必要なアカウント名(a******)、uidは確保済み
• アカウント名リストはASTE webとNROで管理
• アカウント保持期限やポリシーに関しては野辺山観測所のものに準ずる
• 観測者から申請があった場合の流れは以下

1. 観測者は共同利用計画書からNROあてにアカウント発行依頼を出す
2. NROは確保済みのアカウント/uidリストから、未使用のものを選び新規発行に使う
   1. 使用したアカウント/uidはNROで管理するともにaste-compに連絡する
   2. ASTEはその情報を記録し、ASTE webに記録しておく
3. NROは新アカウントをNRO解析環境に作成。観測者に書面で通知。

Problems†

• 近年の観測増加により観測アカウントの数が足りなくなっている。確保するアカウントを100個にしておきたい
• 一年ごとにアカウント初期化(消去ではない)を実行するか否かをきちんと決める
• 共同利用観測において解析アカウントと観測アカウントの混同が激しい
  • 観測アカウントのほうを観測アカウントと共通のもの(a******)にしてしまう？
    • 今度は所内観測扱いのものと混同するかも。。。
• 直前申請の対応
  • どうしようもない
  • 極力スクリプトを用意
    • Linux化とそれに伴う各サイトでの構成変更に追いついていない
• 自由なフォーマットでくる申請
  • webインターフェースの作成
• 「前もって指示書を準備したい」という要望
  • 共同利用に関してはNRO解析アカウントも観測前に取得してもらう事で対処
    • 野辺山ゲートウェイが使える(2011/12/5現在不可能)
  • 所内の人は自分でなんとかして下さい

Making account and project†

Account control†

• Solarisマシンは全てローカルアカウント
  • user homeはautofs管理
• Linuxマシンは全てLDAPアカウント
  • autofsもLDAPから
• 観測アカウントの作成が必要となるWSは以下
  • ただし全てで設定が必要なわけでなく、観測者の必要性によって設定のいらないサイトもある
  • 設定のいらないアカウントでも、前使用者とconflictするのを避けるために、アカウント(パスワード)のロックをしておいたほうが良いかも
  • ASTEサイト

    Name	OS	Role	Memo
    aste-1s	Solaris	home directory	ユーザーはアクセスする必要なし
    aste-2c	Solaris	COSMOS	COSMOSのディスクは1sをマウントしている
    aste-1x	Linux	qlook analysis	立ち上げ等でチリに滞在する観測者のみに開放

  • SPdA

    Name	OS	Role	Memo
    aste-at3	Solaris	COSMOS
    aste-ax2	Linux	home directory, qlook analysis
    aste-ax3	Linux	qlook analysis	基本的にはax2のバックアップ機の為使用しない

  • MTK

    Name	OS	Role	Memo
    aste-mt2	Solaris	COSMOS
    aste-mx2	Linux	home directory, qlook analysis

  • NRO

    Name	OS	Role	Memo
    aste-w	Solaris	COSMOS	homeとしてmgz3mをマウント
    aste-wx2	Linux	qlook analysis	homeとしてmgz3mをマウント
    mgz3m	Solaris10	home directory	NRO管理

Making†

Policy†

• アカウント管理に関するメール(田中さん@2009/06/20) [#n300f894]

  先日塚越君と話した内容のまとめ+補足+書きながら思いついたA/Iです。
  内容は、分光観測のアカウント管理に関するものです。
  8月から観測が始まることを考えると、あんまりのんびりもしていられないですね。
  
  特に運用支援がからむところは、早めに決めておくに越したことはないです。
  
  まだ引き継ぎが完了していないところなので、分からないことがある/手が必要/
  議論が必要な場合は気軽にお呼びたて下さい。
  
  ----
  +アカウント種別
   - 観測用アカウント : 各観測ごとに発行 aste-comp管理
   - 解析用アカウント : NROに解析環境が欲しい人に発行 nro管理
  
   : 観測用アカウントと解析用アカウントは別の名前、uid
   : 自前で解析環境がある人は、解析用アカウントは必要ない
   : 「ASTE共同観測アカウント」は、両者のあいのこのような厄介もの。幸いなことにしばらく忘れられる。
  
  +観測アカウントの現在の扱い
   - すでに60アカウントx5projectが作成済み
   - 各観測ごとに、上から順に割り当てる。
   - 60個を超したら、最初に戻る
   - 各年度末に、前年度のアカウントは初期化する(消去はしない)
    ※newstar, otfのデータが容量を食うので
  
  
  +解析用アカウントの現在の扱い
   - NRO管理
   - aste解析用に使用可能なアカウント名(axxxxxx)、uidは確保済み
   - 上記可能なアカウント名のリストはaste-web上にあり、NRO/aste-compで情報はシェアしている。
   - 観測者からの申請があった場合の流れは以下
  
   0. 観測者は、まずaste-compにアカウント発行依頼を出す。
   1. aste-compは、webのリストを見て、未使用のアカウント/uidの中から新規発行に使うものを選ぶ
   2. aste-compは上記新アカウント名を申請者に通知(通知だけ)
   3. 観測者は、nro-webの"来所計画書1"から、NROに解析アカウント作成を依頼。その際、aste-comp
     　から通知された新アカウント名を"備考"欄に記入。
      プロジェクト名は観測者が好きに指定できる。
   4. 運用支援は、上記アカウント名をaste-compに確認。
   5. 運用支援は、新アカウントをNRO解析環境に作成。観測者に書面で通知
  
  -------------------------------------------------------
  +問題点1
    - とにかく解析アカウントの発行手順が煩雑。毎シーズン混乱が起きる。
    - 来所計画書の観測種別で何を選べばよいのか分からない。そして大抵間違う。
    - aste-compすらも手順を間違う。
  
  +解決方法の提案
    - 運用支援に全部お任せしてしまう。webの観測区分も見直す。
  
  -------------------------------------------------------
  +問題点2
    - 観測アカウントの申請は毎年膨大に来る。仕方がないが。
    - 観測者はたまに<自由な>フォーマットで申請してくるので対応が面倒臭い。仕方ないが。
    - 手順が多い & 昼間(=観測中)はアカウント作成できない(こともない...) & 間違いやすい。仕方ないが。
  
  +解決方法の提案2
    - 運用支援に全部お任せ; 「チリ計算機はどうするの?」「昼間アカウント作成作業をしてもらってよい?」などの問題
    - webに申請用のフォームを作る (田中版を発掘中)。解析アカウントの申請もまとめてしまう。
  
  -------------------------------------------------------
  +その他 問題点, A/I
    - 「前もって指示書を準備したい」というリクエスト多し。どうする?
    - 観測アカウント、プロジェクトの作成/消去用のスクリプト群を整える。(田中A/I)
    　 : よく考えると、ldap化、newstarのlinux化に伴って、既存のスクリプトは大半使えなくなっている。
    - 観測アカウントの運用方針(前年度のアカウントまでは保存)の見直し???
       : 各環境でストレージの容量は増えているが。
  

Script†

• 作成用スクリプト群は各マシンの以下のディレクトリに入っている
  • /home/admin/tbin/account_project
  • /home/admin/tsukabin
    • 要は整理されていない

• 現状のスクリプト
  • Solaris
    • アカウント作成&group作成: sa_user+lc.sh
    • project作成: sa_proj+.sh / sa_proj-.sh
    • アカウント初期化: renew_user.sh
  • Linux
    • アカウント作成(groupは作成しない): ldap_user+.sh
    • プロジェクト削除&作成: project_init.sh (指定したproj名を一度消して再作成する。元が無ければただの作成。)
    • アカウント初期化: なし (project_init.shを使用してプロジェクトを作りなおせば実質初期化に相当)
    • アカウント消去&再作成: account_init.sh
    • パスワードロック: スクリプトは無し。acc_lock.ldifを使用してldapmodifyコマンドを使用する。
    • 通常観測アカウントを再作成&proj0-proj4の作成: loop_for_normal_account_init.sh (上記スクリプトを組み合わせてループしただけ)

アカウント作成の内容†

1. アカウントを作成
   1. ローカルアカウント(Solaris)
   2. LDAPアカウント(Linux)
2. ホームディレクトリの作成

group作成の内容†

1. obstable用のディレクトリ(${COSMOS3}/aste/obstable/{account})の作成

project作成の内容(削除はこの逆)†

1. obstable用のディレクトリ(${COSMOS3}/aste/obstable/{account}/{project})の作成
2. ホームディレクトリの下にprojXXディレクトリを作成
   1. OTF解析用のディレクトリやNEWSTAR用のファイル(DA01Xとか)もここに含まれる
      1. projXXディレクトリの中身はtarで固めたものを用意し(/home/admin/project.tar)、それを展開&renameしている
3. NEWSTARのhnuidtabにエントリを追加

アカウント初期化の内容†

1. 全てのprojXXを削除
2. 全てのprojXXを再作成

アカウント消去の内容†

1. ホームディレクトリ全てのデータを削除
2. 環境設定ファイルの再作成
3. パスワード初期化、もしくはロック

Problems†

• アカウント作成周りのスクリプトの整備が進んでいない
  • あまり散らかさずに、Solaris & Linuxどちらも使用可能なスクリプトを用意しておきたい
  • 急な構成変更にも対応可能な様にしておきたい

Examples†

making aste10 account†

• making aste10 account

making aste09 account†

• making aste09 account

Environment files†

The environment files are located in the directory "/home/admin/sample".

• sample.cshrc
  • This file is linked to /home/common/etc/cshrc.template. This is the default setting for a normal user.
• sample.tcshrc
  • This file includes '.cshrc' inside.
• sample.rhosts
  • This file contains only "+" character. DON'T DELETE THIS LINE.
• sample.Xdefault
• sample.eggrc
  • Standard start up file for EGG.
  • Private dictionaries for Wnn6 is made under the directory "$HOME/.wnn6"
• sample.emacs
• sample_cp.sh
  • Shell script for administration. You don't need to copy.

List of ASTE accounts and groups†

• List of ASTE accounts
• List of ASTE groups

Application for account†

Application for account