Aanmaken Gebruiker: Difference between revisions
| Line 50: | Line 50: | ||
== Aanmaken user accounts == | == Aanmaken user accounts == | ||
'''Persoonlijke accounts''' moeten in | '''Persoonlijke accounts''' moeten in LDAP komen te staan. Het aanmaken van de user op de verschillende servers wordt daarna geheel automatisch door de scripting gedaan! | ||
* login op | * login op ldap via ADS. | ||
* | * voeg de user toe. | ||
* maak z'n password aan met de standaard dialoog in ADS. | |||
* bereken een CRYPT | |||
* plaats z'n CRYPT password (in /etc/shadow in het description afftribute. Dit is tijdelijk om een husers-achtig bestand te kunnen maken waaruit vervolgens passwd.code2 gemaakt wordt. | |||
* voer upd_code2_accounts.sh uit (op hcc-ldap-lb1-int in de /usr/local/hobbynet/bin directory) | |||
* upd_all op scripting draaien anders is de user niet bekend op store1 bij het aanmaken van de directory | * upd_all op scripting draaien anders is de user niet bekend op store1 bij het aanmaken van de directory | ||
=== Aanmaken HCC user === | === Aanmaken HCC user === | ||
'''Groeperings accounts''' | '''Groeperings accounts''' staan ook in LDAP. Zoek eerst uit wat eerst beschikbare uid is door een 'cat /usr/local/hobbynet/etc/group.hcc' te doen. Daarna maak je de user aan. De uid moet tussen de 500 en 999 liggen. Gebruik hiervoor de actieve server. Gewoonlijk is dat store2. | ||
root@store2:~# adduser --uid 599 voorbeeld --home /disk/site/hcc.nl/voorbeeld --shell /bin/MySecureShell | root@store2:~# adduser --uid 599 voorbeeld --home /disk/site/hcc.nl/voorbeeld --shell /bin/MySecureShell | ||
Revision as of 15:31, 5 February 2013
Intro
Dit is een checklist om geen activiteiten te vergeten bij het aanmaken van een gebruiker. Een gebruikersnaam is nodig bij het inloggen met WinSCP of een andere scp/ftp client.
Administratie
We zijn zeer terughoudend met het aanmaken van privé users. HCC!Hobbynet richt zich op groeperingen. Pas als de gebruiker betaald heeft, kunnen we zijn account aanmaken. Deze stap is natuurlijk niet van belang voor nieuwe HCC ig's of regio's. De penningmeester van Hobbynet geeft het groene licht.
Daar er een aantal sub-taken te onderscheiden zijn, is het handig om in Mantis een ticket zetten met een kort commentaar voor jezelf of voor de nieuwe behandelaar. Pas dan het onderwerp gelijk aan zodat het duidelijk is dat het om een nieuw account gaat.
Benodigde gegevens in dit proces:
- type website om de op juiste server de site te mounten
- nieuwe username + veilig password voor site
- nieuwe username + veilig password voor database (kan hetzelfde zijn)
- HCC lidnummer van de aanvrager voor het versturen van login informatie (gebruik LA-versleuteling programma)
Aanmaken in DNS op de nameservers
Aanvragen domeinen (indien van toepassing)
Log in op de SIDN site en ga naar de deelnemers site. Via de tab Domeinregistratie naar webformulieren. Vul de velden in en verstuur de aanvraag. Zorg dat DNS van te voren in orde is aan de Hobbynet kant. Er wordt weliswaar niet meer op getest maar het moet toch in orde gemaakt worden.
persoonlijk domein
Om het nieuwe domein in DNS te krijgen moet op ns en (ns2, ns3) een zone file aangemaakt worden en geactiveerd worden. Ns is master voor de meeste domeinen; sommige domeinen slaven we alleen of zijn we 'hidden master' voor. Die staan dan in de slave directory. Ns2 (en ns3) is alleen slave server.
log in op ns cd /etc/bind edit named.conf.local om het zone-blokje toe te voegen (gebruik sudo) cd /var/cache/bind/master (of slave, zie boven) copieer een template zone naar de nieuwe zone naam (gebruik sudo) edit de nieuwe zone en vervang de oude domeinmaan door de nieuwe (gebruik sudo) herlaadt dns met 'sudo rndc reload' doe een 'sudo svn add <zone> van de nieuwe zone log in op ns2 su naar root cd /chroot/dns/etc/bind edit named.conf om het zone-blokje toe te voegen cd /chroot/dns/etc/bind/slave copieer een gangbare zone naar de nieuwe zone naam edit de nieuwe zone en vervang de oude domeinnaam door de nieuwe herlaadt dns met 'rndc reload' herhaal dit voor ns3
hcc subdomein
Om te zorgen dat het hcc subdomein naar de goede webserver verwijst is er een stuurbestand '/usr/local/hobbynet/lib/webservers' (op scripting-int, in de map '/usr/local/hobbynet/lib/'. Daar voeg je de naam van de groepering aan toe en het IP-adres van de groepering. Zoals in dit voorbeeld:
unix-gg:212.72.229.102
Aanmaken databases + users
Voor uitleg zie MySQL cluster
Let op rechten toekoennen op zowel db01 als db02
Aanmaken user accounts
Persoonlijke accounts moeten in LDAP komen te staan. Het aanmaken van de user op de verschillende servers wordt daarna geheel automatisch door de scripting gedaan!
- login op ldap via ADS.
- voeg de user toe.
- maak z'n password aan met de standaard dialoog in ADS.
- bereken een CRYPT
- plaats z'n CRYPT password (in /etc/shadow in het description afftribute. Dit is tijdelijk om een husers-achtig bestand te kunnen maken waaruit vervolgens passwd.code2 gemaakt wordt.
- voer upd_code2_accounts.sh uit (op hcc-ldap-lb1-int in de /usr/local/hobbynet/bin directory)
- upd_all op scripting draaien anders is de user niet bekend op store1 bij het aanmaken van de directory
Aanmaken HCC user
Groeperings accounts staan ook in LDAP. Zoek eerst uit wat eerst beschikbare uid is door een 'cat /usr/local/hobbynet/etc/group.hcc' te doen. Daarna maak je de user aan. De uid moet tussen de 500 en 999 liggen. Gebruik hiervoor de actieve server. Gewoonlijk is dat store2.
root@store2:~# adduser --uid 599 voorbeeld --home /disk/site/hcc.nl/voorbeeld --shell /bin/MySecureShell
Adding user 'voorbeeld' ...
Adding new group 'voorbeeld' (599) ...
Adding new user 'voorbeeld' (599) with group `voorbeeld' ...
Creating home directory '/disk/site/hcc.nl/voorbeeld' ...
Copying files from '/etc/skel' ...
Enter new UNIX password:
Retype new UNIX password:
passwd: password updated successfully
Changing the user information for voorbeeld
Enter the new value, or press ENTER for the default
Full Name []: voorbeeld
Room Number []:
Work Phone []:
Home Phone []:
Other []:
Is the information correct? [Y/n] y
De user is nu aangemaakt in de locale passwd file, /etc/passwd. Doorloop de volgende stappen om de user in de shared passwd/shadow/group bestanden te krijgen. Dit maakt het onnodig op elke server met de hand de user aan te maken. Dit wordt nu door de scripting gedaan.
(Er zijn 2 aparte templates: 1 voor de hcc gebruikers, 1 voor de betalende gebruikers. Hier zal als voorbeeld de hcc template gebruikt worden)
Kopieer de hele regel van de zojuist aangemaakte lokale user in de shared passwd file:
root@store1:~# tail -1 /etc/passwd voorbeeld:x:599:599:voorbeeld,,,:/disk/site/hcc.nl/voorbeeld:/bin/MySecureShell selecteer die regel edit /usr/local/hobbynet/etc/passwd.hcc paste de regel aan het eind
Herhaal dit met /etc/shadow en /usr/local/hobbynet/etc/shadow.hcc:
root@store1:~# tail -1 /etc/shadow voorbeeld:$6$Br.Ylhd4uc7FWzhtLCqc.nO8zctZ6TdjxOaZHYpL1wtvELQT6Yjac0:14449:0:99999:7::: selecteer die regel edit /usr/local/hobbynet/etc/shadow.hcc paste de regel aan het eind
Herhaal dit met /etc/group en /usr/local/hobbynet/etc/group.hcc:
root@store1:~# tail -1 /etc/group voorbeeld:x:599:www-data enz.
Aanmaken directory op store2
Tenslotte moeten nog directories aangemaakt worden voor de website:
Voor privé users: mkdir -p /disk/site/users/voorbeeld/www mkdir -p /disk/site/users/voorbeeld/log Voor HCC users: mkdir -p /disk/site/hcc.nl/voorbeeld/www mkdir -p /disk/site/hcc.nl/voorbeeld/log Zorg ervoor dat de nieuwe gebruiker eigenaar is van zijn home-directory. chown -R voorbeeld:voorbeeld /disk/site/users/voorbeeld/ chown -R voorbeeld:voorbeeld /disk/site/hcc.nl/voorbeeld/
Aanmaken gebruikers of groeperings directory in /etc/exports op store2
- edit /etc/exports
- voeg de regel van de te exporteren directory toe (komt twee keer voor!)
/disk/site/users/voorbeeld 172.31.1.9 (rw,async,subtree_check,no_root_squash) /disk/site/users/voorbeeld 172.31.1.10 (rw,async,subtree_check,no_root_squash)
- Let hier op dat je bij de goede server in exports zet en dat je het interne IP van de webserver hier aanpast
- exportfs -a
Aanmaken gebruikers of groeperings directory in /etc/fstab op de webservers
- voeg de volgende regel toe aan de fstab op de webserver:
172.31.1.210:/disk/site/users/voorbeeld /disk/site/hcc.nl/voorbeeld nfs rw,rsize=32768,wsize=32768,intr,noatime 1 0
- maak de directory aan met mkdir -p /disk/site/hcc.nl/voorbeeld
- mount de directory mount /disk/site/hcc.nl/voorbeeld
Aanmaken websites op webserver
Dit betreft het aanmaken van de nieuwe vserver die Apache moet gaan bedienen. In Ubuntu server is het gebruikelijk een site aan te maken in de /etc/apache2 tree maar die te activeren via een link in de /etc/apache2/sites-enabled directory. Omdat bij Hobbynet gebruik wordt gemaakt van een loadbalanced situatie, en de changes steeds twee keer gedaan moeten worden, is het handiger de changes in een shared directory te maken en dan een sync script te draaien dat de situatie in de shared directory kopieert naar de lokale directory op de beide servers en dan de sites enabled.
- login op de scripting of webserver - cd /usr/local/hobbynet/apache2conf/<webserver> - maak de nieuwe site aan door een andere te copieren en te bewerken - Voeg een overeenkomstige logrotate regel toe in usr/local/hobbynet/apache2conf/<webserver>/logrotate/apache2 op de webserver - Voeg een suexec toe in usr/local/hobbynet/apache2conf/<webserver>/suexec op de webserver (copieer en bewerk een andere) - draai het sync script voor de webserver
domein aanmelden bij schonemail (indien groepering)
Mail support@schonemail.nl en vraag domein op te nemen in de schone mail config.
upd_all draaien
Aan het eind draaien we upd_all (vanaf de server 'scripting-int').
Gebruiker informeren
Door middel van een welkomst mailtje dat alles is aangemaakt de nieuwe gebruiker inlichten. Voor HCC accounts moet de aanvrager of verantwoordelijke worden ingelicht. Op 29 september 2009 is hiervoor onderstaande tekst geschreven.
LET OP: aan de individuele situatie aanpassen!
Geachte webmaster, We hebben zojuist je nieuwe hostinglokatie voorbereid. URL : http://basic.hcc.nl/ (ook bereikbaar onder http://www.basic.hcc.nl/) // Bestanden uploaden // Op de kadernet-wiki heb ik een pagina aangemaakt, met daarin de info die een webmaster nodig heeft, om zijn site te beheren. De directe link is https://kadernet.hcc.nl/apps/wiki/index.php?title=Site_hosten. Mocht je daar info missen, wil je me dat dan s.v.p. even laten weten? Dan zal ik kijken of ik die pagina met de ontbrekende info aan kan vullen. // Gebruikersnaam en wachtwoord // Zowel om bestanden te uploaden via scp.hobby.nl, als ook om toegang te krijgen tot je database, dien je te beschikken over een gebruikersnaam en een wachtwoord. Omdat gewone e-mail niet geschikt is om dit soort gevoelige informatie over te dragen, zijn gebruikersnaam en wachtwoord in een versleutelde bijlage met deze mail meegestuurd. Om deze bijlage te ontsleutelen dien je het programma LA_Versleuteling.exe te gebruiken. Dit programma is te downloaden via de kadersite, de directe link is https://kadernet.hcc.nl/software/LA/LA_Versleuteling/index.php Het wachtwoord dat gebruikt is voor deze versleuteling is jouw HCC-code, die gekoppeld is aan je hcc lidnummer. Na het ontsleutelen ontstaat een ZIP bestand, in dit ZIP bestand zit een tekstbestandje met de genoemde gegevens. // Aan de slag // Mocht je na het lezen van het bovenstaande nog vragen hebben, kijk dan s.v.p. eerst even op bovenstaande wiki, of op http://www.hobby.nl/. Staat daar niet wat je zoekt, stuur dan even een mailtje naar beheer@hobby.nl. De hcc vrijwilligers die samen HCC Hobbynet beheren verwelkomen je van harte als nieuwe gebruiker! Met vriendelijke groeten, Hans Verbeek Hobbynet beheer PS: om goed overzicht over openstaande vragen te houden sluit ik nu dit ticket. Wil je s.v.p. even reageren met 'reply' als er van Hobbynet een aktie verwacht wordt, dan gaat het ticket automatisch weer open. Dank!