Obecné informace

Jan Sýkora
rev. 1.0.0 (29.9.2002)



Tento dokument popisuje obecně platné principy a technická řešení, která nejsou vázána na jednotlivé servery. Konkretizace nebo služby specifické pouze pro jednotlivé servery naleznete uživatelských příručkách těchto serverů.

1. Určení serverů a sdílených pracovních stanic

Stroje jsou podle svého určení rozlišeny do dvou velkých skupin.

RadioDept

V rámci těchto hlavních skupin jsou dále jednotlivé stroje zaměřeny na různé skupiny služeb.

2. Politika přidělování přístupu

Uživatelé se dělí do dvou skupin zaměstnanci a studenti. Vše co mohou studenti mohou i zaměstnanci. Pochopitelně nikoliv obráceně.

Zaměstnanci - zaměstnanci katedry, studenti PGS

Studenti - studenti předmětů vyučovaných katedrou (37xxx), diplomanti, studenti podílející se na vědecké činnosti katedry

Studentské účty jsou aktualizovány vždy na začátku semestru a mají trvání (pokud nejsou explicitně prodlouženy) pouze do začátku dalšího semestru. Obecně platí, že pro studenty jsou zřizovány účty pouze na činnosti přímo související s předměty vyučovanými katedrou nebo výzkumnými úkoly katedy. Studenti předmětů vyučovaných katedrou získavají účty hromadně na podnět příslušného vyučujícího pokud to vyžaduje charakter výuky předmětu. Individuální zřízení účtu je možné se souhlasem vyučujícího daného předmětu. Pro diplomanty a studenty podílejícími se na výzkumné činnosti to platí obdobně (souhlas vedoucího diplomové práce nebo výzkumného úkolu). Individuální žádosti vždy směřujte na příslušného vyučujícího předmětu - ten je dále postoupí administrátorovi.

Autentizace studentů je prováděna vůči autentizačním serverům fakulty. To zajištuje dostatečně průkaznou identifikaci studenta.
 

Podklady pro zřízení účtů studentů - pokyny pro vyučující

Následující podklady poskytne vždy na začátku semestru vyučující předmětů, na které požaduje zřízení účtů pro studenty. Při výuce tematicky navazujících předmětů je na pokyn (na začátku dalšího semestru) vyučujícího možné kontinuálně zachovat účty (včetně uživatelských dat) přes více semestrů.
  • Vyučujíci, kteří chtějí pro svůj předmět využívat serveru musí administrátorovi zaslat seznam zapsaných studentů.
  • Seznam musí obsahovat (všechny tyto informace získá vyučující z IS-KOS)
  • identifikátor studenta, tak je uveden v IS-KOS
  • Jméno studenta
  • rodné číslo
  • kód předmětu
  • jméno vyučujícího, který odpovídá za daný předmět
    • Každý vyučující dodá data v následujím formátu (prosím dodržujte daný formát - ušetříte tím při vytváření účtů hodně práce):
  • ASCII soubor (bez diakritiky)
  • kažký student na jeden řádek
  • v řádku jsou jednotlivé položky odděleny čárkami
  • jednotlivé položky jsou
  • v položkách 1,3 a 4 nesmí být žádné mezery
  • <info> položka má poměrně volný formát (nesmí obsahovat znaky "," a ":") a její doporučnený obsah je

    • <zkratka_předmětu> (<vyučující>) <kód_semestru> <další_volitelná_informace>
  • ukázka souboru
  • u jména je podstatné pořadí jména a příjmení. Uvadějte ho prosim přesně tak, jak je uvedeno v IS KOS a v pořadí příjmení jméno
  • Pokud má vyučující nějaké speciální požadavky kontakuje přímo administrátora.

    • Pokud to vyučující explicitně nevyžádá jinak, studentské účty budou zrušeny na konci příslušného semestru.

    3. Základní poskytované služby

    3.1 Základní služby a protokoly pro přístup k serveru

  • Telnet, rsh, rlogin
    • Tyto služby nejsou povoleny kvůli bezpečnostním rizikům souvisejícím s přenosem hesla v otevřeném tvaru po síti. Místo nich používejte Secure Shell.
  • Secure Shell (SSH)
      • Služba v podstatě funkčně nahrazující telnet a používající šifrovaného přenosu dat (i hesla). Klienti jsou k dispozici pro většinu operačních systémů.
  • X-Windows XDMCP
      • Připojení protokolem XDMCP je podporováno. Je to relativně uživatelsky nejjednodušší metoda, ale klade vyšší nároky na propustnost síťového spoje a více zatěžuje server.
      Pozor v této službě jsou hesla přenášena v otevřeném tvaru po síti.
  • X-Windows s lokálním manažérem oken na straně klienta
      • Toto je preferovaný způsob připojení pomocí X windows. Vyžaduje připojení k serveru (pomocí Secure Shell) a na vašem klientském stroji XWindows server. Většina klientů SSH implicitně tuneluje protokol XWindows, takže se o nic jiného nemusíte starat. Pokud tomu tak není musíte na staraně serveru provést

      export DISPLAY=váš_stroj:0.0

      a na straně vašeho klienta povolit přístup. V linuxu to je

      xhost +jmeno_serveru

  • X-server pro klientské počítače

    • 3.2 Domovské adresáře (home), souborový server

    Základní filosofie

    Služba souborového serveru pro domovské adresáře je jednou z nejdůležitějších nabízených služeb. Každý ze serverů nabízí určitou diskovou kapacitu. Filosofie řešení přístupu k domovským adresářům je motivována následujícími body.

    Struktura domovských adresářů

    Výše uvedené požadavky řeší následující struktura. Tímto způsobem je možné ovládat, do je na kterém stoji uloženo při zachování konzistence jednotného home. Výše uvedenou strukturu si můžete implementovat rovněž na vašem klientském stroji (export NFS ze serverů se řeší individuálně s administrátorem). Veškeré úkony se provádějí přes nastavování symbolických odklazů (ln -s ).
    Příklady.

    Doporučené rozložení dat na jednotlivých strojích

    Doporučené rozložení dat na jednotlivých strojích odpovídá jejich účelu. Vychází rovněž z osvědčené filosofie umístění dat. Veškerá uživatelská data (texty, obrázky, data CAD aplikcací, ...) jsou umístěna na serveru. Uživatel má tato data přístupná z libovolného stroje v libovolnou dobu a jsou stále v jednom centralizovaném místě. Data jsou pravidelně zálohována. Na lokální pracovní stanici uživatele pak v podstatě nejsou žádná uživatelská data  nebo pouze dočasná pracovní.

    Adresáře pro sdílení dat mezi uživateli

    Ke sdilení dat trvalejšího charakteru jsou určeny podadresáře hierarchie /home/Common/. O vytvoření adresáře na této a o jednu uroveň nižšší úrovni požádejte administratora. Misto bude vybráno podle chrakteru sdílených dat. Pokud to bude třeba, bude vytvořena skupina uživatelů (podle vašich pokynů) oprávněných přistupovat k danému adresáři. Nakládání s přístupovými právy a daty si bude dále v příslušném adresáři řídit příslušný zodpovědný uživatel (zaměstnanec).

    Pro sdílení dat mezi zaměstnanci a studenty slouží výhradně hierarchie /home/Common/ fyzicky lokálně umístěná na serveru rsclab-home. Ta je dostupná zaměstancům i studentům. Z pohledu zaměstnaneckých strojů je ale samozřejmě bezešvě virtuálně začleněná do celkového stromu /home.

    Sumarizace hierarchie uživatelských adresářů

     
    adresář určení
    /home/<user> domovské adresáře zaměstnanců
    /home/Students/<user> domovské adresáře studentů
    /home/Common/ společná data
    /home/Common/edu vše pro výuku
    /home/Common/edu/courses/<course_code> adresáře pro společná data jednotlivých předmětů
    /home/Common/groups
    /home/Common/research
    /home/Common/project
    /home/Common/****
    /home/Common/tmp
  • předávání dat mezi uživateli
  • je zálohováno
  • každý si data po sobě musí sám uklidit
    		•
    /var/tmp/users/<user>
  • pro práci s dočasně aktuálními soubory o velkém objemu
  • je na jiném fyzickém disku než /home - často výhodné na zrychlení diskových operací
  • nezálohuje se a je periodicky "uklízen" administrátorem (typicky soubory starší než cca 30 dní, v případě potřeby i mladší, nepoužívejte jako jediné umístění pro cenná data)

    • každý uživatel má implicitně vytvořen ve svém domovském adresáři symbolický odkaz $HOME/tmp -> /var/tmp/users/<user>
    /var/tmp
  • dočasná společně přístupná data - např. pro předávání mezi jednolivými uživateli
  • nezálohuje se a je periodicky "uklízen" administrátorem (typicky soubory starší než cca 30 dní, v případě potřeby i mladší, nepoužívejte jako jediné umístění pro cenná data)
    		•
    /tmp pouze systémová dočasná data, nepoužívat pro sdílení dat!
    Pokud potřebujete vytvořit nějakou novou hierarchii ve společných adresářích kontaktujte administrátora.


    Na tomto místě je užitečné apelovat na to, že disky serveru rozhodně nejsou vhodné místo pro skladiště vašich starých nepotřebných dat nebo pro zálohy vašich pracovních stanic typu "cp -a /  vas_home_na_serveru" (případně obdoba téhož pro platformu Windows). K účelu zálohování nebo archivace používejte CD-R/RW nebo pásku DDS, které máte k dispozici.

    3.3 Export NFS domovských adresářů ze serveru do pracovních stanic zaměstnanců

    Individuálně bude na požádání uvolněn export NFS domovského adresáře do vaších pracovních stanic - kontaktujte administrátora. Bude vždy exportován jen konkrétní domoský adresář uživatele do jeho konkrétní pracovní stanice. Vzhledem k tomu, že NFS server důvěřuje z pohledu zabezpeční vašich dat udajům poskytnutým NFS klientem je nutné abyste coby uživatel klientské stanice důvěřovali "rootovi" této stanice. Ve většině případů to je jedna a tatáž osoba. Poznámka se tedy týká v podstatě pouze případů sdílení jedné klientské stanice více uživateli. Další podmínkou používání této služby je alespoň částečná participace na centralizované adresářové službě (viz dále).

    3.4 Export SMB domovských a sdílených adresářů ze serveru do pracovních stanic

    Samba server umožňuje přístup klientů Microsoft k nabízeným adresářům. Implicitně jsou nabízeny domovské adresáře uživatelů. Jména serverů v síti Windows jsou identická se jmény DNS (IP). Sdílené adresáře adresáře se typicky nachází v \\jméno_serveru\Common.

    Poznámka: Server Samba je nastaven tak, že sleduje symbolické odkazy UNIXového systému souborů.

    3.5 Export adresářů z klientských pracovních stanic do serverů

  • NFS klient
    • Na serverech běží daemon automount. Ten umožňuje automatické a uživatelsky velmi jednoduché přípojení svazků NFS z jiných strojů. K příslušnému svazku se dostane v adresáři /net/<jmeno_stroje>/<jmeno_nfs_svazku>. Svazek bude vždy automaticky připojen. Uživatelsky nejpohodlnějsí je vytvoření symbolického odkazu ve vašem domovském adresáři. Např:
    cd $HOME
    mkdir net
    cd net
    ln -s /net/muj_stroj/home/<user>  muj_stroj_home
    Od této chvíle bude váš domovský adresář na stroji muj_stroj kdykoliv dostupný v $HOME/net/muj_stroj_home.
  • SMB klient
    • Na všech serverech je rovněž k dispozici smb klient smbmount.

    3.6 Dočasný pracovní adresář

    Každý uživatel má ve svém domovském adresáři podadresář tmp. Ten je symbolickým odkazem na /var/tmp/users/username a je vždy lokální na daném stroji. Je určen jako pracovní dočasný adresář. Není zálohován a je pravidelně "uklízen" administrátorem.

    Pro krátkodobé dočasné sdílení/předávání dat používejte adresár /var/tmp. Tento adresář není zálohován a je rovněž pravidelně uklízen administrátorem.

    3.7 Adresářové služby

    Veškeré adresářové služby (uživatelská jména, hesla, skupiny uživatelů) jsou centralizovány a sdíleny všemy servery. Tyto služby jsou rovněž nabízeny pro vaše klienské stanice - usnadní vám jejich administraci. Adresářové služby zaměstnaneckých účtů jsou centralizovány na serveru radio-home, studentské účty na rsclab-home. Celá datová struktura radio-home je automaticky zahrnuta do adresářových služeb rsclab-home. Adresář radio-home tedy obsahuje všechny zaměstance a adresář rsclab-home všechny studenty a všechny zaměstance.

    Přístup k zaměstnaneckým serverů a dalším zdrojům je řízen adresářem v radio-home. Přístup ke studenským (výukovým) serverům a dalším zdrojům je řízen adresářovou službou rsclab-home.

    Adresářové služby jsou zpřístupněny dvěma základními protokoly - pro UNIX klienty je to NIS a pro Window klienty je to Windows doména.

    NIS

    Globálně udržovaná databáze obsahuje položky passwd, group, netgroup. Globálně definované UID a GID jsou v rozsahu 10000-49999. Cokoliv vně tohoto rozsahu je možné bez omezení libovolně používat v rámci lokální konfigurace vašich strojů. Globálně definované položky jsou udržovány administrátorem serverů a jsou vám poskytovány k využití ve vašich klientech.

    Windows domény

    Četnost aktualizací adresářových služeb

    3.8 Autentizace uživatelů

    zaměstnanci

    studenti

  • klienti UNIX - Studenti jsou autentizováni vůči  LDAP serveru (týká se serveru Helios a strojů rsclab-x) na FEL. Znamená to tedy, že se přihlašují se stejným uživatelským jménem a  hlavním autorizačním heslem. Pro vyučující z toho plyne, že mohou snadno posoudit identitu studenta podle jeho uživatelského jména, které je ve službě LDAP stejné jako v centrálním autorizačním serveru a koresponduje tedy s identifikátorem studenta tak je uložen v IS-KOS. Tento identifikár rovněž jednoznačně určuje studentů oficiální fakultní email.
  • klienti Windows - autentizace je prováděne pomocí PDC domény RSClab. Heslo je centrálně řízeno ze stroje rsclab-home. Pokud je již aktivováno, nastavíte ho pomocí příkazu smbpasswd na stroji rsclab-home nebo přímo z vašeho windows klienta. Pokud ještě není aktivováno proveďte příkaz newsmbpasswd a řidte se on-line nápovědou.

    • 3.9 Používaní aliasů jmen serverů

    Některé stroje vystupují vedle svého skutečného fyzického jména rovněž pod dalšími aliasy. Jedná se především o stroje zajišťující základní centralizované služby. To zaručuje z pohledu uživatele transparetní a neměnný pohled na poskytovatele dané služby bez ohledu na to, kde příslušná služba fyzicky sídlí. Je nanejvýš žádoucí, aby se uživatelé pří používání nebo referencování jednotlivých služeb odkazovali na správné logické jméno. To vás ušetří do budoucna jakýchkoliv starostí s fyzickým namapováním dané služby na konkrétní stroj. Vy se budete odkazovat stálen na stejné logické jméno nositele příslušné služby. Správné použití logických jmen popisuje následující tabulka. V ostatních případech se používá fyzické jméno konkrétního stroje.

    Logická jména strojů (aliasy) pro zaměstnanecké servery a služby

    Logická jména strojů (aliasy) pro studentské servery a služby

    3.10 Zálohy dat

    Veškerá uživatelská data jsou pravidelně s periodou 7 dní a historií 2 týdny zálohována. Z uživatelských dat jsou zálohovány následující struktury Hierarchie /var/tmp není zálohována a je pravidelně uklízena - používejte ji pouze jako pracovní adresáře.

    3.11 Tisk a další periferní zařízení

    Zaměstnanci

    Zařízení jsou fyzicky umístěna v místnosti B2/732 ev. 541 a fyzicky jsou připojena ke stroji phantom. Ze všech strojů je implicitně tisk směrovnán do tiskárny lp. Logické (virtuální) umístění tiskáren se neshoduje s fyzickým. Z pohledu vašich klientských strojů zásadně používejte logická jména - odstiňuje vás to od konkrétního technického a topologického řešení.

    Tiskárny jsou logicky umístěny na stroji radio-home a nesou logická jména

    Tiskárny jsou pod stejným jménem jak v protokolu lpd (klienti UNIX) tak i v protokolu SMB (klienti windows). Doporučené používání jmen

    Studenti

    Zařízení jsou fyzicky umístěna v místnosti 434 a fyzicky jsou připojena ke stroji rsclab-0. Ze všech strojů (helios, rsclab-x) je implicitně tisk směrovnán do tiskárny lp.

    Tiskárny jsou logicky umístěny na rsclab-home a nesou logická jména

  • hp_lj5ps (alias hp_lj5ps_raw)

    • Postscriptová tiskárna HP LaserJet 5ps (postscript), duplexní jednotka, 12MB RAM, přístup bez jakékoliv filtrace dat - funguje tedy jako obojetná PS/HPGL podle toho jaká řídicí data pošle váš ovladač.
  • ps (alias lp - implicitní tiskárna pro UNIX)

    • Postscriptová tiskárna, fyzicky směrováno do hp_lj5ps_raw
  • psdpx (alias dpx, duplex)

    • Postscriptová tiskárna s duplexním tiskem, fyzicky směrováno do hp_lj5ps_raw

    4. Bezpečnost

    Poznámky k bezpečnosti provozu na síti

  • Hesla
    • Minimální délka hesla je 8 znaků. Volte hesla, která obsahují kombinace velkých a malých písmen a číslic. Heslo rovnající se existujícímu (českému, anglickému) slovu nebo jménu nebo vašemu telefonnímu číslu je špatné a nepoužívejte je.
  • Hash funkce MD5 pro hesla
    • Všechny servery podporují (s výjimkou phoenix - tam je použit firemní algoritmus HP) hashovaní hesel pomocí MD5 algoritmu.
  • Upozornění na bezpečnostní rizika pro specifické služby
    • Některé služby používají výměnu hesla v otevřeném tvaru po síti. Takové heslo může snadno být monitorována libovolným uživatelem, který má fyzický přístup k síti (libovolný student s trochou znalostí a příslušným softwarem). Pokud takovou službu nutně potřebujete je třeba si být této skutečnosti vědom.
  • Dodržování zásad bezpečnosti

    • 5. Operační systém, aplikační balíky - Obecné poznámky

    Na serverech je jako základ instalována distribuce operačního systému (linux, HP-UX). Ta obsahuje řadu větších i menších aplikací.  Na serveru je rovněž nainstalována řada aplikací, které nejsou součástí základní distribuce. Stručné poznámky k významnějším balíkům a službám, ať již jsou součástí distribuce či jsou dodatečně instalované naleznete v uživatelských příručkách jednotlich serverů. Rozhodně se však nejedná o vyčerpávající přehled nebo náhražku studia dokumentace.

    Pokud potřebujete nějakou aplikaci mohou nastat v podstatě následující situace.