Original: DebianEdu:CipUX/Installation/3.2.9
DebianEdu/CipUX/Installation/3.2.9 CipUX 3.2.9 Installation Guide für Debian-Edu/Skolelinux Dieser Guide basiert auf dem CipUX 3.2.8 Installationsguide, an dem viele Mitarbeiter beteiligt waren:
Patrick Willam (diverse checks, "wording", aptitude, backup, kleinere Weiterentwicklungen) Ludger Sicking (typo) Radi Wieloch (Fehler, Nummern, Orthography, Grammatik) Ralf Gesellensetter (Warnungen) Michael Stamm (LDAP Schema inclusive Place) Jürgen Leibner (Korrektur von /etc/pam_ldap.conf) Georg Damm (Hinweise zum Ändern von WLUS- Benutzern zu CipUX-Benutzern) Christian Gatzemeier (div. Korrekturen und Alternativen) Martin Herweg (Installation auf pr06,image-Entwicklung für Fat-Clients) Christian Külker (erster Entwurf) Wichtig: Bitte erhalte das Haupt-Dokument ohne Wikification. Es wird dieses Wiki 1:1 verlassen (und in CipUX Paketen und an anderen Orten wieder auftauchen). Wenn du also Änderungen vornimmst, wäre es gut, den Style zu erhalten. Danke!
CipUX 3.2.9 Installationsguide
für Debian-Edu/ Skolelinux 2.0
Original by
Christian Külker
2006-05-13
License GPL
Revision 0.1 2006-05-13 by Christian Külker (first draft)
Revision 0.2 2006-06-05 by Christian Külker add backupdir, security hints
Revision 0.3
Inhalt:
1 Einführung
2 Installation des CipUX release
2.1 Vorbereitung des Installationsprozesses des CipUX Paketes
2.2 Installation der CipUX Rahmenpakete
3 Systemkonfiguration
3.1 Konfiguration des LDAP Servers
3.2 Konfiguration des SAMBA Servers
3.2 Konfiguration und Aufbau des CipUX Rahmens
3.3 Die Webmin Konfiguration
3.4 Finales Setup mit CAT
4 Additionale Systemkonfiguration
4.1 Quota Konfiguration
4.2 CipUX Deploy Konfiguration (>= 3.2.9)
1 Einleitung
----------------
Dieses manual ist gedacht für die Installation von CipUX 3.2.9 auf einem frisch installierten Debian-edu/ Skolelinux 2.0 mit einem main server Profil und vielleicht einem additional installierten Terminal Server Profil.
Um CipUX zu installieren wirst du auch eine funktionierende Internetverbindung brauchen!
*============================[ WARNUNG ]============================*
|| ||
|| WARNUNG: Benutze CipUX nicht auf einem funktionierenden Debian- ||
|| edu/Skolelinux System, wenn du bereits user mit Hilfe von WLUS ||
|| hinzugefügt hast (webmin-ldap-user-simple)! Die Installation ||
|| wird den user nicht entfernen, aber dies ist keine manuelle ||
|| Migration, daher wäre die daraus resultierende LDAP Datenbank ||
|| für eine funktionierende Umgebung nutzlos sein ||
|| ||
*===================================================================*
Fast alle (!) Schritte in diesem Installationsmanual müssen an der Maschine gemacht werden, die mit dem main server Profil installiert wurde!
Diese Maschine ist am Namen "tjener" zu identifizieren.
Die einzige Schritte, die auf einer anderen Maschine gemacht werden können, sind die, die mit einem Web-browser gemacht werden.
Konventionen in diesem Manual:
CTRL Drücke die Steuerungstaste
CTRL-c Drücke die Steuerungstaste, halte sie gedrückt, und drücke die C-Taste
$ Diesen Befehl kann jeder Benutzer ausführen
# Diesen Befehl kannst du nur als root user ausführen
[01] .. [xx] sind Befehle und output Nummern und werden verwendet für Referenzen, sie sollen nicht ausgeschrieben werden.
(01) .. (xx) sind auch Befehle und output Nummern und werden für optionale Referenzen verwendet.
<OK> means pressing the button "OK".
vim Benutze hier den Editor, der dir am liebsten ist
User-hint Dies ist ein ungetesteter Rat von Anwendern
2 Installation von CipUX release
---------------------------------
2.1 Vorbereitung des CipUX Paket Installationsprozesses
---------------------------------------------
Editiere die Datei /etc/apt/sources.list und füge die folgenden Zeilen hinzu:
[01]
vim /etc/apt/sources.list
deb http://debian.cipworx.org/ sid main contrib non-free
deb http://ftp.debian.org/debian/ sarge main contrib non-free
Schalte dann den proxy aus durch die Eingabe von
[02]
export http_proxy=""
export ftp_proxy=""
2.2 Installation der CipUX Rahmenpakete
-------------------------------------------
Führe diese Kommandos als root aus:
[03]
# aptitude update
Auf manchen Systemen muss es zweimal gemacht werden (Frag einen Debian Guru warum!)
[04]
# aptitude update
[05]
# aptitude installation cipux-common cipux-cibot cipux-cat-webmin
NUR wenn du das deploy System installieren willst, musst du ausserdem folgendes tun:
[06]
# aptitude install cipux-deploy
3 System Konfiguration
-------------------------
3.1 Konfiguration des LDAP Servers
-----------------------------
Zuallererst brauchen wir einen gut konfigurierten LDAP server und ein Backup um ganz sicher zu sein.
Normalerweise wird der LDAP Server auf einem frisch installierten System gestartet, daher stoppen
wir es mit:
[06]
# /etc/init.d/slapd stop
Dann machen wir ein temporäres backup für diesen Server:
(Wenn du es wiederherstellen möchtest, wirf bitte einen Blick auf (Footnote 01)
[07]
Wenn das backup Verzeichnis nicht existiert, erschaffe es:
# mkdir -p /skole/backup
Dann mache das Backup
# tar cvjf /skole/backup/tmp_backup_ldap.tar.bz2 /var/lib/ldap
Nun editieren wir /etc/ldap/slapd.conf und fügen eine neue include Zeile hinzu
(am ENDE der anderen include Zeile):
*============================[ WARNING ]============================*
|| ||
|| WARNuNG: Vielleicht wirst du CipUX so sehr mögen, das du wahr- ||
|| scheinlich das include vor den anderen includes platzieren ||
|| wollen wirst. Aber: tu das nicht! Du wirst sonst Fehler unbekan-||
|| ter Art bekommen. ||
|| ||
*===================================================================*
[08]
# vim /etc/ldap/slapd.conf
include /etc/ldap/schema/cipux.schema
Wir starten den LDAP Server erneut mit:
[09]
# /etc/init.d/slapd start
Und wir prüfen, wenn der LDAP Server startet. (Wenn du nicht weisst, wie man das macht, sieh bei
Fußnote 02 nach)
3.2 Konfigurieren des SAMBA Servers
--------------------------
Wenn du nicht vorhast, SAMBA zu benutzen, solltest du diesen Teil überspringen.
CipUX kann in Konjunktion mit SAMBA benutzt werden. Diese Schritte sollten durchgeführt werden um CipUX und
die additionalen features für SAMBA zu bekommen.
Editiere die Samba Konfiguration und überprüfe oder ändere smb.conf für die folgenden Parameter:
(01)
# vim /etc/samba/smb.conf
ldap machine suffix = ou=Machines
passdb backend = ldapsam:ldaps://ldap
add machine script = /usr/bin/cipux_task_create_machine %u
Ändere die folgende Zeile in /etc/pam_ldap.conf
(02)
# vim /etc/pam_ldap.conf
base dc=skole,dc=skolelinux,dc=no
Etabliere die SAMBA PDC Maschinen in
(03)
# vim /etc/ldap/slapd.conf
Ändere alle
ou=Machines,ou=People,
zu
ou=Machines
3.2 Konfiguration und Aufbau des CipUX Rahmens
--------------------------------------------
Das sollte durch einen Debian konformen Mechanismus erfolgen. Wer möchte einen Schreiben?
Zuallererst sind wir in einem Debian-edu/Skolelinux System, daher müssen wir dies dem CipUX framework
klarmachen.
[10]
# vim /etc/cipux/system.conf
Customer = skolelinux
Dann musst du CipUX den Zugang zum LDAP Server bewilligen.
Bei Debian-edu ist das bereits gesetzte root Passwort zugleich das LDAP Passwort. (es ist KEIN neues
Passwort!) Also ändere himitsu zu deinem root/LDAP Passwort.
[11]
# touch /etc/cipux/ldappassword.conf
# chown root:root /etc/cipux/ldappassword.conf
# chmod 600 /etc/cipux/ldappassword.conf
# echo -n 'himitsu' > /etc/cipux/ldappassword.conf
(Benutze dein richtiges LDAP Passwort an Stelle von "himitsu"!)
(Echo -n zu benutzen ist nur auf einer neuen Maschine ohne Benutzer sicher.
Wenn du dein Passwort erneuerst, verwende einen editor der keine Zeilenende wie CR oder LF schreibt)
# chmod 400 /etc/cipux/ldappassword.conf
Und NUR wenn du auch SAMBA benutzen willst, ändere:
[12]
# vim /etc/cipux/cipux.conf
Cipux_Use_Samba=yes
Danach müssen wir den Zugang zum LDAP Server testen:
(Füge dies mit richtigem Abstand in eine Befehlszeile ein)
[13]
# /usr/bin/ldapsearch -x -p 389 -h localhost -ZZ -y /etc/cipux/ldappassword.conf -D 'cn=admin,ou=People,dc=skole,dc=skolelinux,dc=no' -b 'uid=root,ou=People,dc=skole,dc=skolelinux,dc=no' -LLL
Wenn wir das hier sehen...
[14]
ldap_bind: Invalid credentials (49)
war das LDAP Passwort falsch.
(Überprüfe für die Kommandozeile syntax und das Passwort, das du eingesetzt hast [11] und ob das LDAP
Passwort shellsicher ist)
Wenn wir das hier bekommen....
[15]
dn: uid=root,ou=People,dc=skole,dc=skolelinux,dc=no
objectClass: sambaSamAccount
objectClass: account
uid: root
sambaSID: S-1-5-21-2697446647-283449030-1896125139-1000
...Ist alles ok. (Das SAMBAsid kann variieren.)
Dann überprüfen wir ein paar Settings mit
[16]
# cipux_maint_diagnostic pre
Nun müssen wir die LDAP Datenbank ändern indem wir die entsprechenden CipUX Strukturen erstellen. Dies
ist die größte Herausforderung während des Prozesses und wird nicht so leicht rückgängig zu machen sein.
Daher das backup.
Was wird das Script machen?
- ou=Machines,ou=People,dc=skole,dc=skoelinux,dc=no
nach ou=Machines,dc=skole,dc=skoelinux,dc=no verschieben
- ou=CipUX,ou=People,dc=skole,dc=skoelinux,dc=no hinzufügen
- einige default Objekte hinzufügen: admin, und roles
- Einige andere Objekte ENTFERNEN!!!
*============================[ WARNUNG ]============================*
|| ||
|| WARNUNG: Dieses Skript ist dazu bestimmt auf einem "frisch" ||
|| installierten Debian-edu/Skolelinux release/ system zu laufen ||
|| ||
*===================================================================*
Führe die folgenden Befehle aus:
[17]
# cipux_setup_ldap
Und hoffentlich wird es die Arbeit zur Änderung der LDAP Datenbank ausführen.
Um die Installation der diagnostic scripts auszuführen.
[18]
# cipux_maint_diagnostic
Es sollte nur tests mit "Ok" Antworten generieren.
3.3 die Webmin Konfiguration
----------------------------
Die letzte Aufgabe ist, das Webmin modul CAT zugänglich für den Webmin user root zu machen.
Starte einen browser (konqueror wird nicht funktionieren!)
Nutzer-Hinweis: Konqueror arbeitet unter Verwendung von https://localhost:10000 oder
https://10.0.2.2:10000, andere lokale Adressen sind
zur Zeit nicht in der proxy exception list (sollte geändert werden in contain.intern.)
und nicht erlaubt im proxy.
[19]
$ mozilla-firefox
Schalte den proxy im browser aus.
[20]
Editiere -> Präferenzen -> Generell -> Verbindung Settings ...
-> "Direkte Verbindung zum Internet"-> <OK>
Gib die folgende URL (Ort, Adresse) in die Locationbar des browsers ein:
[13]
https://localhost:10000
Ein Zertifikatdialog wird erscheinen...
[21]
wähle "Permanentes akzeptieren dieses Zertifikats"
[22]
<OK>
Ein anderer Dialog erscheint:
"Sie haben eine verschlüsselte Seite angefordert. Die Website hat sich korrekt identifiziert, und
Informationen die Sie hier sehen oder eingeben können leicht durch dritte eingesehen werden."
[...]
[23]
<OK>
[24]
User name: root
Password: himitsu
<Login>
(Vewende _dein_ root Passwort statt "himitsu"!)
[25]
<nie für diese Seite>
[26]
gehe zu Webmin -> Webmin Users -> root
[27]
wähle System -> CipUX Administration Tool
[28]
Drücke den "save" button
[29]
Wenn du das feature willst, dass jeder user sein/ihr Passwort ändern kann, solltest du das CipUx webmin
CAT module nehmen. Wie zuvor dem root user, gibst du dem Webmin user "pam", das Webmin CAT modul.
[30]
Wenn du das Anwendungsmodul in deiner Institution ohne Passwort verwenden willst (es macht mit Passwort
auch keinen Sinn) musst du folgendes tun:
* erschaffe einen webmin user 'applicationform'
* ergänze in webmin Konfiguration:
Anonymer user zugang zu den URLs zur Benutzer applicationform für:
/cat/applicationform.cgi
/cat/images
3.4 Finales Setup with CAT
------------------------
Logge dich bei Webmin als root oder cipadmin ein (selbes Passwort)
Im Webmin gehst du zu
Webmin Index -> System -> CipUX Administration Tool
(Wenn du dich zum ersten Mal bei CAT einloggst, ist nur das Setup Modul (setup.cgi) verfügbar. Diese
kannst du als root oder cipadmin benutzen.
Folge den Setup Fragen. Nach Beenden des Setups werden, abhängig vom Setup, andere Module verfügbar
werden.
4 Additionale Systemkonfiguration
-----------------------------------
Die additionale Systemkonfiguration ist optional und muss nicht bei jedem System gemacht werden.
4.1 Quota Konfiguration
-----------------------
CipUX kann mit dem quota user verwendet werden. Um das zu ermöglichen, brauchst du einen quota fähigen
kernel und Dateisystem auf dem home Verzeichnis des Users.
Beispiel upsetting von quota auf ext3
(TODO)
4.2 CipUX Deploy Konfiguration (nach 3.2.9)
---------------------------------------------
Das CipUX deploy Modul ist kein Teil von 3.2.8.
install tftpd-hpa
apt-get install tftpd-hpa
Ignoriere die Fehlermeldung während der Installation, denn wir betreiben tftpd allein, ohne inetd.
Editiere die Datei
# vim /etc/default/tftpd-hpa
#Defaults für tftpd-hpa
RUN_DAEMON="ja"
#OPTIONS="-l -s /var/lib/tftpboot"
OPTIONS=" -l -v -v -v -c -p -U 007 -u cipux -a 192.168.0.254 -s /var/lib/tftpboot "
# id cipux
Wenn der user nicht existiert, erschaffe ihn jetzt:
# groupadd -g 200 cipux
# useradd -u 200 -g 200 -d /var/lib/tftpboot -s /bin/false cipux
# chown cipux /var/lib/tftpboot/cipux
# chown cipux /var/lib/tftpboot/cipux/conf
# chown cipux /var/lib/tftpboot/cipux/script
# /etc/init.d/inetd stop
# /etc/init.d/tftpd-hpa start
* entferne inetd aus dem default run level
* füge tftpd-hpa zum default run level hinzu
==================================
(Fussnote 01):
Backup Erhaltung (Nur wenn du es brauchst!)
+------------------------------------------------------------------+
| Wenn du deine LDAP Daten später wieder herstellen willst, kannst|
| du das backup zurückschreiben (wenn der LDAP server NICHT |
| läuft!) mit: |
| (18) |
| # /etc/init.d/slapd stop |
| # rm -r /var/lib/ldap |
| # cd / |
| # tar xvjf /skole/backup/tmp_backup_ldap.tar.bz2 |
| # /etc/init.d/slapd start |
+------------------------------------------------------------------+
(Fussnote 02):
Wie prüft man, ob der LDAP Server läuft?
# ps ax | grep slapd | grep -v grep
Dabei sollte so etwas herauskommen wie:
2890 ? Ss 0:00 /usr/sbin/slapd -h ldap:/// ldaps:///
Das bedeutet dann, dass der LDAP Server läuft.
/1.0 /3.2.8 /3.2.9