Hinweise für die Nutzung von Clients in Linux/Unix

Hinweise für die Nutzung von Clients in Linux/Unix

FORSCHUNGSZENTRUM JÜLICH GmbH
Zentralinstitut für Angewandte Mathematik
D-52425 Jülich, Tel. (02461) 61–6402
Beratung und Betrieb, Tel. (02461) 61–6400
Technische Kurzinformation
FZJ-ZAM-TKI-0275
Willi Homberg, Cornelia Geyer
18.05.2006
Hinweise für die Nutzung von Clients
in Linux/Unix-Workstation-Gruppen
Mit den Linux/Unix-Workstation-Gruppen bietet das ZAM Unterstützung bei Installation und Betrieb von Arbeitsplatzrechnern in den Instituten des FZJ.
1 Begriffsbestimmung
Jede Workstation-Gruppe besteht aus einem (evtl. von mehreren Gruppen gemeinsam benutzten)
Server und mehreren Gruppen-Clients. Der Gruppen-Server ist ein NIS/NFS-Server, der die Benutzerdaten und optionale Software an die Gruppen-Clients exportiert und die Benutzerverwaltung
regelt. Die Clients stellen den eigentlichen Arbeitsplatz der Benutzer dar. Server und Clients sind
im JuNet eindeutig durch Hostnamen identifiziert. Für jeden Hostnamen gibt es auch einen AliasNamen, der u.a. das Institut und eine Client-Nummer enthält. So ist z.B. ippwsg1c25 der Alias des
25. Clients in der ersten Workstation-Gruppe des IPP.
2 Ein-/Ausschalten von Rechnern und Monitoren
Die Gruppen-Clients einer Workstation-Gruppe sind grundsätzlich anders zu behandeln als eine
standalone Maschine. Um den Betrieb der Gruppe insgesamt nicht zu beeinträchtigen, seien hier
einige Empfehlungen gegeben:
Inhalt
1
Begriffsbestimmung
2
Ein-/Ausschalten von Rechnern und Monitoren
3
Die KDE Oberfläche
4
Mail Konfiguration und Web-Browser
3
5
Drucker
3
6
Übersicht über installierte Software und
gruppenspezifische Software
3
Remote-Ausführen von Jobs mittels ssh
3
7
1
8 Regelmäßig auf den Clients ablaufende Tasks
und Linux-Sicherheit
4
1
9 Office-Anwendungen
4
2
10 Samba Shares
4
11 Lokale Daten auf den Clients
4
12 Datensicherung auf der Gruppe
12.1 Sicherung der Benutzerdaten im Heimatverzeichnis . . . . . . . . . . . . . . . . . . .
12.2 Restore von Benutzerdaten . . . . . . . . .
4
4
5
• Der Rechner sollte nicht ausgeschaltet werden, da er für Administrationszwecke zur
Verfügung stehen muss (z.B. Software-Upgrades). Auch für Aufgaben anderer Benutzer der
Gruppe sollte er bereit stehen.
• Der Monitor sollte hier nachts, am Wochenende und bei längerer Abwesenheit abgeschaltet werden. Generell sollten Monitore nicht in kurzen Zeitabständen ein- und ausgeschaltet
werden.
3 Die KDE Oberfläche
Auf den Linux-Clients wird das KDE (K Desktop
(siehe: ”KDE - K Desktop Environment auf Linux-Rechnern” [1]).
Environment)
angeboten
Es gibt eine Kontrollleiste, die in der Regel am unteren Bildschirmrand erscheint und Anwendungen (z.B. Konqueror, KDE File Manager) enthält, die durch Icons dargestellt und durch Anklicken
mit der linken Maustaste gestartet werden. Ein Arbeitsfenster (Konsole) zur Eingabe von Befehlen
öffnet man mit einem Klick auf den ”Monitor”.
Es gibt standardmäßig 2 (erweiterbar auf 16) Desktop-Switches (virtuelle Bildschirme), daneben
befindet sich die Taskleiste, die die geöffneten Anwendungen enthält. Das Anklicken einer Anwendung bringt diese in den Vordergrund.
Anwendungsprogramme kann man über das K-menü (in der Kontrollleiste ganz links) starten. Auf
dem Bildschirmhintergrund sind ebenfalls Anwendungen abgelegt, die durch Anklicken mit der
rechten Maustaste gestartet werden; mit dem ”Schloss” wird der Bildschirm gesperrt und mit dem
darunter liegenden Logout-Symbol wird die Session beendet.
Generelle Hinweise zur Nutzung der KDE-Oberfläche findet man unter [2].
2
Für das Arbeiten auf der Shell-Konsole wird mit der (einmaligen) Eingabe von profilesetup (unter
/usr/local/bin) einige Standard-Profiles ins Heimatverzeichnis kopiert, wodurch eine BashUmgebung (mit Kommando-Ergänzung per TAB-Taste, etc.) hergestellt wird.
4 Mail Konfiguration und Web-Browser
Aus der ”Mozilla-Suite” werden thunderbird und firefox benutzt. Hinweise zur Konfiguration, wie
man mit Hilfe des IMAP4-Protokolls auf E-Mails zugreift, die auf dem Mail-Server abgelegt sind,
findet man in TKI-0392 oder unter [3].
5 Drucker
Auf den Clients wird als Printing-System (ab SuSE 10.0) in den WS-Gruppen CUPS eingesetzt.
Diese Drucker spricht man mittels des lpr-Kommandos in der Shell an (lpr -Pzam13pd ausdruck.ps) oder dem GUI kprinter (kprinter ausdruck.ps). Neue Features des CUPS sind
u.a., dass verschiedene Dateiformate von dem System erkannt und automatisch konvertiert werden
(z.B. PDF, Text, GIF, JPEG, ...). Informationen über seine Jobs lassen sich via Web-Browser abfragen (www.localhost:631). Sobald ein Job beim Printserver abgeliefert ist, gilt er lokal als gedruckt.
Zum Einstellen des Default-Druckers gibt es einen neuen Befehl: lpoptions -d zam13pd
Die PRINTER-Variable wird dabei nicht geändert.
6 Übersicht über installierte Software und gruppenspezifische Software
Die Benutzer einer Workstation-Gruppe verfügen über mehrere Schichten von Software:
• Betriebssystemkommandos sowie die installierten Pakete der Linux-Distribution
• Anwendungssoftware, die vom ZAM allgemein für Linux/Unix unter /usr/local bereitgestellt wird (siehe TKI-0211)
• projekt- oder institutsspezifische Software, die auch auf der Workstation-Gruppe eingesetzt
werden soll. Dazu existiert ein Directory /usr/local/institutskürzel, das dem Ansprechpartner
der Workstation-Gruppe im jeweiligen Institut gehört. Dieser ist autorisiert, in diesem Pfad
beliebige Software zu installieren, zu modifizieren und zu löschen.
7 Remote-Ausführen von Jobs mittels ssh
Um auf entfernte Rechner zuzugreifen, sollte Secure Shell verwendet werden, weil die Kommunikation dann verschlüsselt durchgeführt wird (siehe TKI-0330 [5]). Wenn der Benutzer einmalig
ein SSH-Schlüsselpaar erzeugt hat, so wird er beim Login auf seinem Gruppen-Client nach seiner
sog. Passphrase gefragt. Dabei wird ein SSH-Agent-Prozess gestartet. Wenn der Benutzer seinen
Public-Key in der Datei /̃.ssh/authorized-keys auf dem entfernten Rechner abgelegt hat,
kann dieser Agent-Prozess die Zugriffsberechtigung aushandeln und der Benutzer kann sich so
ohne Eingabe vom Passwort/Passphrase einwählen. Da auf allen Gruppen-Clients dasselbe ServerFilesystem für die Benutzer-Heimatverzeichnisse gemountet wird, genügt es also, den Public-Key
in die lokale authorized-keys-Datei zu kopieren. So hat man freien Zugriff auf alle Clients in der
Gruppe und kann die Vorzüge der jeweiligen Hardware-Plattform nutzen, wobei man auf demselben
User-Filesystem operiert.
3
8 Regelmäßig auf den Clients ablaufende Tasks und Linux-Sicherheit
Cron-gesteuert laufen regelmäßig System-Checks und Updates:
• Vor Dienstbeginn wird jeden Morgen die IP-Konfiguration aktualisiert (IP-Tabellen, SSH
Known-Hosts-Liste) und das Backup der vergangenen Nacht kontrolliert.
• Jeden Mittwoch wird die /usr/local-Software auf den aktuellen Stand gebracht.
• Jeden zweiten Mittwoch im Monat läuft das (zuvor drei Tage auf ausgewählten Clients getestete) Linux Security Online-Update auf allen Clients.
• Mit dem Kommando f-prot dirname können die Dateien im Verzeichnis dirname auf
Viren geprüft werden und ggf. entfernt werden, siehe: f-prot -h.
• Der Zugriff auf die Client-Rechner wird durch eine iptables-basierte Firewall geschützt. Sollte sie im Einzelfall zu restriktiv eingestellt sein, wende man sich an die Linux/Unix-Beratung
(Tel. 6400). Zugriff von außerhalb des FZJ ist nur über das SSH-Gateway möglich (JuNetAlias: x-sshg).
9 Office-Anwendungen
Für Office-Anwendungen steht OpenOffice zur Verfügung (Aufruf: OOo). Darüber hinaus besteht
die Möglichkeit, sich mittels des Kommandos tsclient auf einen Win2003 Terminalserver einzuwählen. Den Zugang beantragt man per E-mail an [email protected] unter Angabe des
Linux-Login-Namens.
10 Samba Shares
Die Home-Filesysteme werden als Samba Shares exportiert. Das Passwort dazu kann jeder Nutzer
mit dem Befehl setsmbpasswd unter Linux setzen.
11 Lokale Daten auf den Clients
Auf fast allen Clients besteht die Möglichkeit, Daten in einem lokalen Filessystem /private
abzulegen. Diese Daten werden prinzipiell durch TSM/ADSM-Backup gesichert, die kontinuierliche Sicherung der Daten kann aber nicht garantiert werden. Außerdem kann von anderen ClientWorkstations nicht auf die lokale Platte des eigenen Clients zugegriffen werden.
Deshalb ist folgende Vorgehensweise sinnvoll:
• Die Heimatverzeichnisse der Benutzer liegen grundsätzlich auf dem Server.
• Unter /private sollten Daten liegen, die auf dem Client erzeugt worden sind und die auch
auf dem Client weiter verarbeitet werden.
12 Datensicherung auf der Gruppe
12.1 Sicherung der Benutzerdaten im Heimatverzeichnis
Die Benutzerdaten auf den Workstation-Gruppen werden jeden Abend automatisch durch TSM
inkrementell gesichert. Da die Home-Directories der Benutzer nicht auf den Clients, sondern auf
dem Gruppenserver liegen, werden die Daten im Namen des Gruppenservers gesichert. Die TSM
Software sorgt dafür, dass jeder Benutzer nur zu seinen Backup-Daten Zugriff hat.
4
Beim Restore auf dem Client muss jedoch beachtet werden, dass die Daten unter dem ServerHostnamen gesichert wurden. Die folgende Abbildung veranschaulicht die Situation. Bei Clients
wird zusätzlich ein lokales /private-Verzeichnis gesichert.
12.2 Restore von Benutzerdaten
Jeder Benutzer kann seine eigenen Daten selber im Falle von versehentlichem Löschen oder Überschreiben vom TSM/ADSM-Backup-Server zurückholen. Dazu gibt es den Befehl adsmback.
• Wenn es sich um Daten aus dem Home-Directory handelt, kann er dies in den meisten
Gruppen von einem beliebigen Client der Gruppe aus machen. Man muss dazu im TSMHauptmenü in der oberen Leiste ’Utilities’ anklicken und im Pulldown-Menü die Funktion
’Access Another Node’ auswählen.
TSM/ADSM-Server
Gruppenserver
Datensicherung
Gruppenserver :
z. B: wsgfs
Backup
/export/zam1/home/uid1
/export/zam1/home/uid2
/export/zam1/home/uid3
...
/export/zam1/home/uidn
/home/uid1
/export/zam1/home
|-- /uid1
|-- /uid2
|-- /uid3
...
Restore
/home/uid2
/home/uid3
/home/uidn
...
Client1
Client2
Clientn
Login
Dann trägt man im folgenden Eingabemenü unter ’Node name’ den Namen, unter dem der
Gruppen-Server beim TSM/ADSM bekannt ist und unter ’User name’ seine User-ID ein, und
bestätigt mit ’Set’.
5
Beispiel:
Die Nodenamen für die Server entnehme man der Tabelle:
Workstationgruppe
assaix1
ibiwsg1
ichaix1
ichaix2
iffaxp1
igvaix1
ikpaix1
ikplin1
ippaix1
ippaxp1
isiaxp1
israix1
iwvlin1
modaxp1
nicsun1
zamaxp1
/
/
/
/
/
/
/
/
/
/
/
/
/
/
/
/
asswsg1
ibiwsg1
icgwsg1
icgwsg2
iffwsg1
igvwsg1
ikpwsg2
ikpwsg1
ippwsg1
ippwsg2
isgwsg1
isrwsg1
iwvwsg1
iffwsg2
nicsun1
zamwsg1
Gruppenserver
(Node to Access)
wsgfs
ibi300
wsglinfs
ich227
wsgfs
wsgfs
wsglinfs
wsglinfs
wsglinfs
wsglinfs
wsgfs
wsgfs
wsgfs
wsgfs
wsgfs
wsgfs
• Wenn die Daten lokal auf dem Client-Rechner liegen, kann die Voreinstellung verwendet
werden.
Beispiel:
6
Wenn man dann auf den Button ’Restore files and directories...’ drückt, werden in einem neuen Fenster die gesicherten Filesysteme zum Restore von Daten aufgelistet. Alle Benutzerdaten befinden
sich unter ’File Level’.
Das Restore von Benutzerdaten, seien es einzelne Dateien, mehrere Dateien oder Directories, geschieht mit dem in der Technischen Kurzinformation TKI-0368 im Kapitel 8 beschriebenen Verfahren (siehe URL [6]).
Bei Problemen wendet man sich an die Linux/Unix-Beratung im ZAM (Tel. 6400).
Weitere Hinweise zum Thema Linux und Workstationgruppen findet man über den Linux Softwareserver linuxsoft [7].
[1] http://www.fz-juelich.de/zam/docs/Folien.html
[2] http://www.kde.org/documentation/userguide
[3] http://www.fz-juelich.de:8008/net.docu/messenger.conf.html
[4] http://www.fz-juelich.de/zam/docs/tki/tki html/t0197/node3.html
[5] http://www.fz-juelich.de/zam/docs/tki/tki html/t0330/t0330.html
[6] http://www.fz-juelich.de/zam/docs/tki/tki html/t0368/t0368.html
[7] http://linuxsoft.zam.kfa-juelich.de
7