Diese Anleitung beschreibt die Installation des rrzelinux Kommdozeileninterfaces (CLI) für Administratoren nicht vom RRZE verwalteter Rechner.
Das rrzelinux CLI Tool ermöglicht Ihnen beliebige Rechner unterhalb Ihrer DNS Domain in Eigenverantwortung an die RRZE-Infrastruktur (z.B. LDAP/Kerberos) anzubinden. Diese Option ist besonders interessant, falls Sie keine Fremdadministration durch das RRZE wünschen, oder ein nicht vom RRZE unterstütztes System betreiben, das dennoch die Infrastruktur des RRZE nutzen soll.
Vorbereitung
Bitte prüfen Sie die vorbereitenden Schritte bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Vorraussetzungen für ein sinnvolles Umsetzen Anleitung erfüllt sein.
FAU-CA Zertifikat
Das FAU-CA Zertifikat muss installiert sein (siehe FAU-CA Zertifikat einbinden)
Linux Admin Zugang
Um das rrzelinux CLI Tool zur Verwaltung von Rechnern innerhalb Ihrer DNS-Domain nutzen zu können, benötigen Sie einen
entsprechende Berechtigung als IT-Betreuer (für Ihre Org.-Einheit).
Für den Login verwenden Sie – nach entsprechender Freischaltung – bitte Ihre IdM-Hauptkennung und Passwort.
Sollten Sie Beratung zum Linux Adminzugang oder dem rrzelinux Tool benötigen, wenden Sie sich gerne an rrze-linux@fau.de, um einen Termin zu vereinbaren.
Die Beantragung muss vom Leiter der Organisationseinheit erfolgen, für welche Sie als IT-Betreuer eingetragen werden möchten (z.B. per Mail an rrze-linux@fau.de).
Bitte achten Sie darauf, dass folgende Informationen enthalten sind:
- Die IdM-Kennung des Nutzers, der als IT-Betreuer eingetragen werden soll
- Die FAU.org Nummer der Organisationseinheit für die o.g. Kennung als IT-Betreuer eingetragen werden soll
- Eine Liste der freizuschaltenden DNS-Subdomains, welche Sie für Ihre Rechner verwenden möchten
(kann auch später erweitert oder nachgereicht werden)
Präfixe
Die verwendete Rechtestruktur ordnet jedem Rechner ein Präfix zu, dass bei allen Aktionen mit angegeben werden muss.
Ein oder mehrere Präfixe werden wiederum einer Organisationseinheit der FAU zugeordnet.
Es handelt sich dabei, um dieselben Präfixe, die auch zur Bildung von Mailadressen, Systemgruppen und im Active Directory der FAU (FAUAD) zum Einsatz kommen.
Weitere Informationen zum Einsatz und zur Beantragung von Präfixen finden Sie unter https://www.rrze.fau.de/internet-e-mail/e-mail/funktionsadressen/nicht-personenbezogene-e-mail-adressen/.
Sollten Sie noch kein Präfix besitzen, dass zur Verwaltung Ihrer Rechner verwendet werden kann, so müssen Sie dieses ggf. noch beantragen.
Idealerweise beginnt auch der Rechnername mit dem ihm zugeordneten Präfix, gefolgt von einem ‚-‚ als Trenner.
Das ist aber (noch) keine harte Anforderung.
IT-Betreuer
Als IT-Betreuer (siehe https://www.rrze.fau.de/infocenter/rahmenbedingungen/it-beauftragte/) haben Sie Zugriff auf alle Rechner, die einem Präfix zugeordnet sind, das in Ihrem Betreuungsbereich liegt. Der Betreuungsbereich wird aus dem FAU.org Baum ermittelt und erstreckt sich von der betreuten Org.-Einheit hierarchisch nach unten.
rrzelinux
Wichtig
Bitte stellen Sie vor der Benutzung des rrzelinux Tools sicher, dass für Ihren Rechner der vollständige FQDN konfiguriert ist.
bash$ hostname -f myhost.rrze.uni-erlangen.de <-- korrekter FQDN bash$ hostname -f myhost <-- falsch, nur Kurzname
So können Sie den Hostnamen Ihres Rechners korrigieren:
bash$ echo "myhost.rrze.uni-erlangen.de" > /etc/hostname bash$ hostname -F /etc/hostname
Installation
bash$ sudo wget -O - https://linux.rrze.fau.de/tools/rrzelinux/install | bash bash$ rrzelinux -h
RRZE Linux management command line tool (1.0.4) usage: rrzelinux prefix command fqdn|%.[%|domain] [options] update: sudo rrzelinux update description: command line utility to manage RRZE Linux host entries parameters: prefix the prefix to use command see section 'commands' below fqdn defaults to 'hostname -f' if none specified %.[%|domain] select/filter for all hosts / all hosts in a specific domain options see section 'options' below commands: create create host entry for LDAP access from a self-administered machine kerberize create kerberos principals and download keytab for dns name (use -k to specify principals, default: host,nfs) join join host (create + kerberize) leave|remove remove host (and kerberos principals) info show host information list list all hosts for the current/specified/all domain(s) keytab download keytab only update update this tool to the latest version (needs root) options: -h print this help -v print version info -u username username with administrative rights for RRZE linux -p password password -k specify service principals to generate (default: host,nfs) -n do not download anything, just make the changes -c no colors -d be verbose/debugging -q be quiet
Update
bash$ sudo rrzelinux update
Update verfügbar:
rrzelinux: New version available: rrzelinux 1.0.4 6713327ed9063f9fa6f38d6f90375ece Update to latest version now? (y/n) y rrzelinux: Performing self-update... Done.
Kein Update verfügbar:
rrzelinux: Already at the latest version (1.0.4).
Kurzanleitungen
Hier finden Sie Hilfestellungen für häufig benötigte Funktionen des rrzelinux Komandozeilenwerkzeugs.
Hostinformationen abrufen
Sollten das LDAP-Passwort Ihres Hosts vergessen haben, so können Sie wie folgt die Informationen erneut erhalten:
bash$ rrzelinux [PRÄFIX] info Username: [Benutzer mit Rechten für das gewählte Präfix] Password: *****
Mit Ausname des Hostnamens sollte die Ausgabe in etwa so aussehen:
rrzelinux: Host infos for test.rrze.uni-erlangen.de were gathered successfully (id=906) key value ================= ==================================================================== hostname test domain rrze.uni-erlangen.de owner rrze description Remotely created host entry (by rrze) group ZS-Server config UNMANAGED ldap LDAP binddn cn=test.rrze.uni-erlangen.de,ou=host,ou=profile,ou=linux,dc=rrze,dc=uni-erlangen,dc=de password [Passwort] krb realm - krb services - updated 2016-11-25 15:51:39.346 created 2016-11-25 15:51:39.14
Kerberos Join durchführen
Um per Kerberos authentifizierte Dienste Anbieten zu können muss Ihr System entsprechende Service-Principals vom LINUXKDC abrufen.
Hierfür müssen Sie Ihr System in der Rechnerverwaltung des Linux-Teams anlegen (create) und die Kerberos Funktionalität aktivieren (kerberize). Beides in einem Schritt erledigt der der join-Befehl.
bash$ rrzelinux [PRÄFIX] join Username: [Benutzer mit Rechten für das gewählte Präfix] Password: ***** rrzelinux: Host test.rrze.uni-erlangen.de was joined successfully (id=905) rrzelinux: Saved keytab to: /tmp/krb5.keytab rrzelinux: LDAP password is: [Passwort]
Die erzeugte Keytab muss abschließend noch an den richtigen Platz verschoben werden.
bash$ sudo mv -bv /tmp/krb5.keytab /etc/krb5.keytab bash$ sudo chown root:root /etc/krb5.keytab
Das LDAP Passwort kann für eine Anbindung an den zentralen LDAP Server des RRZE verwendet werden, wird aber für Kerberos zunächst nicht benötigt.
Mehr Informationen zur LDAP Anbindung erhalten Sie auf der Seite zur SSSD Konfiguration.
Kerberos Konfiguration nachträglich hinzufügen
Existiert der entsprechende Host bereits (angelegt zB durch create) und soll jetzt für Kerberos konfiguriert werden kann dies wie folgt auch nachträglich geschehen.
bash$ rrzelinux [PRÄFIX] kerberize Username: [Benutzer mit Rechten für das gewählte Präfix] Password: *****
Kerberos Keytab erneut abrufen
Sollten Sie Ihre Keytab gelöscht haben, so können Sie diese wie folgt erneut erhalten.
Bitte beachten Sie, das der Host zum erneuten abrufen der Keytab bereits durch ein erfolgreiches join oder create/kerberize Kommando entsprechend für Kerberos konfiguriert sein muss.
bash$ rrzelinux [PRÄFIX] keytab Username: [Benutzer mit Rechten für das gewählte Präfix] Password: ***** rrzelinux: Got keytab(s) of 1 entries for test.rrze.uni-erlangen.de rrzelinux: rrzelinux: Kerberos keytab information rrzelinux: --------------------------- rrzelinux: Saved keytab to temporary location: /tmp/rrzelinux_krb5_keytab.AlD2sns1b rrzelinux: Install in system with: rrzelinux: sudo mv -bv /tmp/rrzelinux_krb5_keytab.AlD2sns1b /etc/krb5.keytab && sudo chown root:root /etc/krb5.keytab