Aanmaken Gebruiker

2015-11-19T16:49:12Z

2001:980:5570:1:7D96:C861:CC43:5521: /* Aanmaken accounts */

== Intro ==
Dit is een checklist om geen activiteiten te vergeten bij het aanmaken van een gebruiker. Een gebruikersnaam is nodig bij het inloggen met WinSCP of een andere scp/ftp client.

===Administratie ===
HCC!Hobbynet richt zich op groeperingen maar individuele gebruikers (lees Hobbynet leden) kunnen ook toegang krijgen. Pas als de gebruiker betaald heeft, kunnen we zijn account aanmaken. Deze stap is natuurlijk niet van belang voor nieuwe HCC ig's of regio's. De penningmeester van Hobbynet geeft het groene licht.<br>
<br> Benodigde gegevens in dit proces:

* type website om de site op juiste server te configureren (mounten)
* nieuwe username + veilig password voor site
* nieuwe username + veilig password voor database
* HCC lidnummer van de aanvrager voor het versturen van login informatie (gebruik LA-versleuteling programma of andere veilige manier van communiceren)

== Aanmaken in DNS ==
=== Aanvragen domeinen (indien van toepassing) ===
Log in op [http://www.sidn.nl/ de SIDN site] en ga naar de deelnemers site. navigeer naar Domeinregistratie. Vul de velden in en verstuur de aanvraag. Zorg dat DNS van te voren in orde is aan de Hobbynet kant.

=== persoonlijk domein ===
Om het nieuwe domein in DNS te krijgen moet op ns en (ns2, ns3) een zone file aangemaakt worden en geactiveerd worden. Scripting-int is is master voor de meeste domeinen; sommige domeinen slaven we alleen of zijn we 'hidden master' voor. Die staan dan in de slave directory. De nameservers draaien nsd, dus geen bind9.

=== subdomeinen ===
De domeinen/IP-adressen van de websites worden in ldap bijgehouden.

== Aanmaken databases + users ==
Zie ook [https://www.hobby.nl/hobby-adm/index.php/MySQL_cluster#database_aan_replicatie_toevoegen database/user toevoegen].
* my.cnf aanpassen op beide db servers met extra binlog_do_db = <database> regels.
* restart mysql op beide servers (service mysql restart, dit kan zonder probleem door de loadbalancing)
* db's aanmaken via phpmyadmin op db01-int of db02-int
* user aanmaken via phpmyadmin op zowel db01-int als db02-int (wordt namelijk niet gerepliceerd!)

LET OP: de gebruiker en de rechten worden niet gerepliceerd, die moeten dus echt zoals hier beschreven dubbel worden aangemaakt!

Test hierna of de user kan inloggen op de db servers en of hij niet meer ziet dan z'n eigen databases.

== Aanmaken accounts ==
Ook '''Persoonlijke accounts''' moeten in ook LDAP komen te staan. Het aanmaken van de user op de verschillende servers wordt daarna geheel automatisch door de scripting gedaan! Zoek uit wat het eerstvolgende vrije uid/gid is. Dit is niet eenvoudig te vinden... Advies is in ldap een CSV export te doen en als attributen uidnumber en gidnumber op te geven. Met even sorteren op de uidnumber en of gidnumber kolom is een vrije uid/gid zo gevonden. Let op: er zijn groeperingen zoals Gouda die twee uidnumbers hebben en maar één gidnumber. Genereer een password in je PasswordSafe. Maak vervolgens de user aan in ldap:
<pre>
root@hcc-ldap-lb1:~# ldapaddgroup <naam> 508
root@hcc-ldap-lb1:~# ldapadduser <naam> 508 508
[dn: uid=apeldoorn,ou=users,dc=hcc,dc=nl] Enter value for "cn" : Regio Apeldoorn
[dn: uid=apeldoorn,ou=users,dc=hcc,dc=nl] Enter value for "mail" : webmaster@apeldoorn.hcc.nl
[dn: uid=apeldoorn,ou=users,dc=hcc,dc=nl] Enter value for "hccLidNummer" : 103
Successfully added user apeldoorn to LDAP
Setting password for user apeldoorn
New Password: <password>
Retype New Password: <password>
Successfully set password for user apeldoorn
</pre>
Maak CRYPT password zolang we niet over zijn op ldap en nog /etc/shadow genereren uit ldap en zet dit in ldap als hobbyPassword.
Dit is niet meer nodig voor web sites; inloggen gaat via LDAP en alleen het SHAA password (userPassword) wordt gebruikt.
<pre>
mkpasswd -m sha-512 '<password>' (single quotes om het password)
</pre>
Pas nog wat velden aan in ldap via ADS:
* hobbyCode: 2 voor betalende gebruikers, 3 voor gratis accounts 4 voor groeperingen
* host: scp en webserver (* voor alles of als de server nog niet bekend is). Er '''moet''' een host veld zijn!
* mail: webmaster@groepering.hcc.nl
* hobbyPassword: lees bestand met password erin. Obsolete.
* Voer upd_hcc_accounts.sh of upd_code2_accounts.sh uit op hcc-ldap-lb1-int in de /usr/local/hobbynet/bin directory.
* Voer '''upd_all''' uit op scripting, eerder is de user niet bekend op store1 (bij het aanmaken van de directory). Overigens is het juiste uidnummer/gidnummer ook voldoende (als je de directory op backup2bit aanmaakt)

===Aanmaken directory op store2 of backup2bit===
Tenslotte moeten nog directories aangemaakt worden voor de website:
<pre>
Voor privé users:
mkdir -p /disk/site/users/voorbeeld/www
mkdir -p /disk/site/users/voorbeeld/log

Voor HCC users:
mkdir -p /disk/site/hcc.nl/voorbeeld/www
mkdir -p /disk/site/hcc.nl/voorbeeld/log

Zorg ervoor dat de nieuwe gebruiker eigenaar is van zijn home-directory.
chown -R voorbeeld:voorbeeld /disk/site/users/voorbeeld/
chown -R voorbeeld:voorbeeld /disk/site/hcc.nl/voorbeeld/
of
chown -R uidnummer:gidnummer /disk/site/users/voorbeeld/
chown -R uidnummer:gidnummer /disk/site/hcc.nl/voorbeeld/
</pre>

== Aanmaken gebruikers of groeperings directory in /etc/exports op store2 ==
* edit /etc/exports
* voeg de regel van de te exporteren directory toe (komt twee keer voor!)
/disk/site/users/voorbeeld 172.31.1.9 (rw,async,subtree_check,no_root_squash)
/disk/site/users/voorbeeld 172.31.1.10 (rw,async,subtree_check,no_root_squash)
* Let hier op dat je bij de goede server in exports zet en dat je het interne IP van de webserver hier aanpast
* exportfs -r

== Aanmaken gebruikers of groeperings directory in /etc/fstab op de webservers ==
* voeg de volgende regel toe aan de fstab op de webserver:
<pre>
172.31.1.210:/disk/site/users/voorbeeld /disk/site/hcc.nl/voorbeeld nfs rw,rsize=32768,wsize=32768,intr,noatime 1 0
</pre>
* maak de directory aan met mkdir -p /disk/site/hcc.nl/voorbeeld
* mount de directory mount /disk/site/hcc.nl/voorbeeld

== Aanmaken websites op webserver ==
Dit betreft het aanmaken van de nieuwe vserver die Apache moet gaan bedienen. In Ubuntu server is het gebruikelijk een site aan te maken in de /etc/apache2 tree maar die te activeren via een link in de /etc/apache2/sites-enabled directory. Omdat bij Hobbynet gebruik wordt gemaakt van een loadbalanced situatie, en de changes steeds twee keer gedaan moeten worden, is het handiger de changes in een shared directory te maken en dan een sync script te draaien dat de situatie in de shared directory kopieert naar de lokale directory op de beide servers en dan de sites enabled.

- login op de scripting of webserver
- cd /usr/local/hobbynet/apache2conf/<webserver>
- maak de nieuwe site aan door een andere te copieren en te bewerken
- Voeg een overeenkomstige logrotate regel toe in usr/local/hobbynet/apache2conf/<webserver>/logrotate/apache2 op de webserver
- Voeg een suexec toe in usr/local/hobbynet/apache2conf/<webserver>/suexec op de webserver (copieer en bewerk een andere)
- draai het sync script voor de webserver

== domein aanmelden bij schonemail (indien groepering) ==
Mail support@schonemail.nl en vraag domein op te nemen in de schone mail config.

== upd_all draaien ==
Aan het eind draaien we upd_all (vanaf de server 'scripting-int').

== Gebruiker informeren ==
Door middel van een welkomst mailtje dat alles is aangemaakt de nieuwe gebruiker inlichten. Voor HCC accounts moet de aanvrager of verantwoordelijke worden ingelicht. Op 29 september 2009 is hiervoor onderstaande tekst geschreven.

LET OP: aan de individuele situatie aanpassen!

<pre>
Geachte webmaster,

We hebben zojuist je nieuwe hostinglokatie voorbereid.

URL : http://basic.hcc.nl/ (ook bereikbaar onder http://www.basic.hcc.nl/)

// Bestanden uploaden //

Op de kadernet-wiki heb ik een pagina aangemaakt, met daarin de info die
een webmaster nodig heeft, om zijn site te beheren.

De directe link is
https://kadernet.hcc.nl/apps/wiki/index.php?title=Site_hosten.

Mocht je daar info missen, wil je me dat dan s.v.p. even laten weten?
Dan zal ik kijken of ik die pagina met de ontbrekende info aan kan vullen.

// Gebruikersnaam en wachtwoord //

Zowel om bestanden te uploaden via scp.hobby.nl, als ook om toegang te
krijgen tot je database, dien je te beschikken over een gebruikersnaam
en een wachtwoord.

Omdat gewone e-mail niet geschikt is om dit soort gevoelige informatie
over te dragen, zijn gebruikersnaam en wachtwoord in een versleutelde
bijlage met deze mail meegestuurd. Om deze bijlage te ontsleutelen dien
je het programma LA_Versleuteling.exe te gebruiken. Dit programma is te
downloaden via de kadersite, de directe link is
https://kadernet.hcc.nl/software/LA/LA_Versleuteling/index.php

Het wachtwoord dat gebruikt is voor deze versleuteling is jouw HCC-code,
die gekoppeld is aan je hcc lidnummer.
Na het ontsleutelen ontstaat een ZIP bestand, in dit ZIP bestand zit een
tekstbestandje met de genoemde gegevens.

// Aan de slag //

Mocht je na het lezen van het bovenstaande nog vragen hebben, kijk dan
s.v.p. eerst even op bovenstaande wiki, of op http://www.hobby.nl/.
Staat daar niet wat je zoekt, stuur dan even een mailtje naar
beheer@hobby.nl.

De hcc vrijwilligers die samen HCC Hobbynet beheren verwelkomen je van
harte als nieuwe gebruiker!

Met vriendelijke groeten,

Hans Verbeek
Hobbynet beheer

PS: om goed overzicht over openstaande vragen te houden sluit ik nu dit
ticket. Wil je s.v.p. even reageren met 'reply' als er van Hobbynet een
aktie verwacht wordt, dan gaat het ticket automatisch weer open. Dank!
</pre>

Hobbynet Admin Wiki - User contributions [en]

Aanmaken Gebruiker