Installation des rrzelinux CLI Tools

Diese Anleitung beschreibt die Installation des rrzelinux Kommandozeileninterfaces (CLI) für Administratoren nicht vom RRZE verwalteter Rechner.

Das rrzelinux CLI Tool ermöglicht Ihnen beliebige Rechner unterhalb Ihrer DNS Domain in Eigenverantwortung an die RRZE-Infrastruktur (z.B. LDAP/Kerberos) anzubinden. Diese Option ist besonders interessant, falls Sie keine Fremdadministration durch das RRZE wünschen, oder ein nicht vom RRZE unterstütztes System betreiben, das dennoch die Infrastruktur des RRZE nutzen soll.

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Voraussetzungen für ein sinnvolles Umsetzen Anleitung erfüllt sein.

FAU-CA Zertifikat

Das FAU-CA Zertifikat muss installiert sein (siehe FAU-CA Zertifikat einbinden).

Linux Admin Zugang

Um das rrzelinux CLI Tool zur Verwaltung von Rechnern innerhalb Ihrer DNS-Domain nutzen zu können, benötigen Sie eine entsprechende Berechtigung als IT-Betreuer (für Ihre Org.-Einheit).

Für den Login verwenden Sie – nach entsprechender Freischaltung – bitte Ihre IdM-Hauptkennung und Passwort.

Sollten Sie Beratung zum Linux Adminzugang oder dem rrzelinux Tool benötigen, wenden Sie sich gerne an rrze-linux@fau.de, um einen Termin zu vereinbaren.

Die Beantragung muss vom Leiter der Organisationseinheit erfolgen, für welche Sie als IT-Betreuer eingetragen werden möchten (z.B. per Mail an rrze-linux@fau.de).
Bitte achten Sie darauf, dass folgende Informationen enthalten sind:

  • Die IdM-Kennung des Nutzers, der als IT-Betreuer eingetragen werden soll
  • Die FAU.org Nummer der Organisationseinheit für die o.g. Kennung  als IT-Betreuer eingetragen werden soll
  • Eine Liste der freizuschaltenden DNS-Subdomains, welche Sie für Ihre Rechner verwenden möchten
    (kann auch später erweitert oder nachgereicht werden)

Präfixe

Die verwendete Rechtestruktur ordnet jedem Rechner ein Präfix zu, dass bei allen Aktionen mit angegeben werden muss.
Ein oder mehrere Präfixe werden wiederum einer Organisationseinheit der FAU zugeordnet.

Es handelt sich dabei, um dieselben Präfixe, die auch zur Bildung von Mailadressen, Systemgruppen und im Active Directory der FAU (FAUAD) zum Einsatz kommen.
Weitere Informationen zum Einsatz und zur Beantragung von Präfixen finden Sie unter https://www.rrze.fau.de/internet-e-mail/e-mail/funktionsadressen/nicht-personenbezogene-e-mail-adressen/.

Sollten Sie noch kein Präfix besitzen, dass zur Verwaltung Ihrer Rechner verwendet werden kann, so müssen Sie dieses ggf. noch beantragen.

Idealerweise beginnt auch der Rechnername mit dem ihm zugeordneten Präfix, gefolgt von einem ‚-‚ als Trenner.
Das ist aber (noch) keine harte Anforderung.

IT-Betreuer

Als IT-Betreuer (siehe https://www.rrze.fau.de/infocenter/rahmenbedingungen/it-beauftragte/) haben Sie Zugriff auf alle Rechner, die einem Präfix zugeordnet sind, das in Ihrem Betreuungsbereich liegt. Der Betreuungsbereich wird aus dem FAU.org Baum ermittelt und erstreckt sich von der betreuten Org.-Einheit hierarchisch nach unten.

rrzelinux

Wichtig

Bitte stellen Sie vor der Benutzung des rrzelinux Tools sicher, dass für Ihren Rechner der vollständige FQDN konfiguriert ist.

bash$ hostname -f
myhost.rrze.uni-erlangen.de  <-- korrekter FQDN

bash$ hostname -f
myhost <-- falsch, nur Kurzname

So können Sie den Hostnamen Ihres Rechners korrigieren:

bash$ echo "myhost.rrze.uni-erlangen.de" > /etc/hostname
bash$ hostname -F /etc/hostname

Installation

bash$ sudo wget -O - https://linux.rrze.fau.de/tools/rrzelinux/install | bash
bash$ rrzelinux -h
RRZE Linux management command line tool (1.0.4)

usage: rrzelinux prefix command fqdn|%.[%|domain] [options]

update: sudo rrzelinux update

description: command line utility to manage RRZE Linux host entries

parameters:
  prefix          the prefix to use
  command         see section 'commands' below
  fqdn            defaults to 'hostname -f' if none specified
  %.[%|domain]    select/filter for all hosts / all hosts in a specific domain
  options         see section 'options' below

commands:
  create          create host entry for LDAP access from a self-administered machine
  kerberize       create kerberos principals and download keytab for dns name
                  (use -k to specify principals, default: host,nfs)

  join            join host (create + kerberize)
  leave|remove    remove host (and kerberos principals)

  info            show host information
  list            list all hosts for the current/specified/all domain(s)
  keytab          download keytab only

  update          update this tool to the latest version (needs root)

options:
  -h              print this help
  -v              print version info
  -u username     username with administrative rights for RRZE linux
  -p password     password
  -k              specify service principals to generate (default: host,nfs)
  -n              do not download anything, just make the changes
  -c              no colors
  -d              be verbose/debugging
  -q              be quiet

 Update

bash$ sudo rrzelinux update

Update verfügbar:

rrzelinux: New version available: rrzelinux 1.0.4 6713327ed9063f9fa6f38d6f90375ece
Update to latest version now? (y/n) y
rrzelinux: Performing self-update...
Done.

Kein Update verfügbar:

rrzelinux: Already at the latest version (1.0.4).

Kurzanleitungen

Hier finden Sie Hilfestellungen für häufig benötigte Funktionen des rrzelinux Kommandozeilenwerkzeugs.

Hostinformationen abrufen

Sollten Sie das LDAP-Passwort Ihres Hosts vergessen haben, so können Sie wie folgt die Informationen erneut erhalten:

bash$ rrzelinux [PRÄFIX] info
Username: [Benutzer mit Rechten für das gewählte Präfix]
Password: *****

Mit Ausnahme des Hostnamens sollte die Ausgabe in etwa so aussehen:

rrzelinux: Host infos for test.rrze.uni-erlangen.de were gathered successfully (id=906)
key                value
=================  ====================================================================

hostname           test
domain             rrze.uni-erlangen.de

owner              rrze
description        Remotely created host entry (by rrze)
group              ZS-Server

config             UNMANAGED
ldap               LDAP

binddn             cn=test.rrze.uni-erlangen.de,ou=host,ou=profile,ou=linux,dc=rrze,dc=uni-erlangen,dc=de
password           [Passwort]
krb realm          -
krb services       -

updated            2016-11-25 15:51:39.346
created            2016-11-25 15:51:39.14

Kerberos Join durchführen

Um per Kerberos authentifizierte Dienste Anbieten zu können muss Ihr System entsprechende Service-Principals vom LINUXKDC abrufen.
Hierfür müssen Sie Ihr System in der Rechnerverwaltung des Linux-Teams anlegen (create) und die Kerberos Funktionalität aktivieren (kerberize). Beides in einem Schritt erledigt der der join-Befehl.

bash$ rrzelinux [PRÄFIX] join
Username: [Benutzer mit Rechten für das gewählte Präfix]
Password: *****
rrzelinux: Host test.rrze.uni-erlangen.de was joined successfully (id=905)
rrzelinux: Saved keytab to: /tmp/krb5.keytab
rrzelinux: LDAP password is: [Passwort]

Die erzeugte Keytab muss abschließend noch an den richtigen Platz verschoben werden.

bash$ sudo mv -bv /tmp/krb5.keytab /etc/krb5.keytab
bash$ sudo chown root:root /etc/krb5.keytab

Das LDAP Passwort kann für eine Anbindung an den zentralen LDAP Server des RRZE verwendet werden, wird aber für Kerberos zunächst nicht benötigt.
Mehr Informationen zur LDAP Anbindung erhalten Sie auf der Seite zur SSSD Konfiguration.

Kerberos Konfiguration nachträglich hinzufügen

Existiert der entsprechende Host bereits (angelegt z. B. durch create) und soll jetzt für Kerberos konfiguriert werden kann dies wie folgt auch nachträglich geschehen.

bash$ rrzelinux [PRÄFIX] kerberize 
Username: [Benutzer mit Rechten für das gewählte Präfix] 
Password: *****

Kerberos Keytab erneut abrufen

Sollten Sie Ihre Keytab gelöscht haben, so können Sie diese wie folgt erneut erhalten.

Bitte beachten Sie, das der Host zum erneuten abrufen der Keytab bereits durch ein erfolgreiches join oder create/kerberize Kommando entsprechend für Kerberos konfiguriert sein muss.

bash$ rrzelinux [PRÄFIX] keytab
Username: [Benutzer mit Rechten für das gewählte Präfix] 
Password: *****
rrzelinux: Got keytab(s) of 1 entries for test.rrze.uni-erlangen.de
rrzelinux: 
rrzelinux: Kerberos keytab information
rrzelinux: ---------------------------
rrzelinux: Saved keytab to temporary location: /tmp/rrzelinux_krb5_keytab.AlD2sns1b
rrzelinux: Install in system with:
rrzelinux:     sudo mv -bv /tmp/rrzelinux_krb5_keytab.AlD2sns1b /etc/krb5.keytab && sudo chown root:root /etc/krb5.keytab