Difference between revisions of "Disklessová pracovní stanice"

From DCEwiki
Jump to: navigation, search
m (Ověřování přes LDAP)
m (Ověřování přes AD)
Line 67: Line 67:
 
=== Jak použít LDAP ===
 
=== Jak použít LDAP ===
  
=== Ověřování přes AD ===
+
=== Active Directory ===
  
 
=== Lokální uživatelé ===
 
=== Lokální uživatelé ===

Revision as of 14:47, 19 September 2019

Výsledný operační systém disklessové pracovní stanice je výsledkem sloučení několika vrstev do jednoho sendviče.

Anatomie vrstev

Především si musíme si uvědomit že pořadí, v jakém se vrstvy sestaví do sendviče[1], je důležité.

Specifika sendviče překrytého overlayem

Lokální kešování

/etc/fstab

Soubor /etc/fstab nemá žádný obsah, protože full-diskless ke své existenci lokální blokové zařízení nepotřebuje a připojení tmpfs na adresář /tmp je zbytečné, protože stejně všechno překrývá overlay, který už v paměti je.

Připojení tmpfs

U disklessového stroje který nemá overlay, se pracuje přímo s obsahem adresáře nasdíleného z NFS serveru – např. disklessové servery. V takovém případě je naopak vysoce žádoucí tmpfs na adresář /tmp připojit – bez toho by se dočasně vytvořené soubory zbytečně honily po síti sem a tam a zatěžovaly NFS server (zamykání, odemykání, rušení, …). V takovém případě se hodí do souboru /etc/fstab přidat následující řádek:

tmpfs           /tmp            tmpfs   nodev,nosuid    0       0

Do adresáře /tmp může zapisovat každý. Parametry nosuid a nodev zabra%nují jeho případnému zneužití. Pokud by do něj někdo nakopíroval upravenou aplikaci, která má nastaven tzv. suid bit, tak byl získal práva uživatele root. Parametr nodev pro změnu zabraňuje v tom, aby by si zde někdo vytvořil internetový soket, nebo jiné zařízení, přes které by mohl škodit. Bylo by možné použít ještě parametr noexec, který by způsobil, že by soubor nakopírovaný do tohoto adresáře nešel spustit, ale to už je možná v prostředí laboratorního disklessu příliš restriktivní, protože se stejně veškerý obsah RAM při restartu zahazuje.

Připojení lokálního diskového oddílu

Nicméně se za určitých okolností je připojení lokálního blokového zařízení potřeba. Kupř. u half-disklessových serverů, co startují kompletně z NFS, bez komunikace s DHCP je na virtuálním blokovém zařízení umístěn GRUB s linuxovým jádrem včetně ramdisku a pokud chceme, nebo potřebujeme udělat jeho aktualizaci, potřebujeme, aby byl jeho obsah dostupný.

Jsou to virtuály, do kterých se propaguje virtuální disk jako blokové zařízení /dev/sda. Protože firmware QEMU při zavádění nepočítá s UEFI, je zbytečné aby na něm byla GPT tabulka a víc než jeden diskový oddíl. Navíc jde o velmi malý virtuální disk, bohatě stačí max. velikost kolem 200MB, proto je na něm MS-DOS tabulka, s jedním primárním diskovým oddílem, formátovaným na ext4. GRUB se instaluje do MBR sektoru, a na jeho přečtení diskového oddílu mu stačí relativně malé moduly part_msdos a ext2.

LABEL=boot      /boot   ext4    noauto  0       0

Parametr noauto v tomto případě preventivně brání neúmyslnému poškození ramdisku. Pokud chceme hrabat na konfigurační soubor grub.cfg, nebo aktualizovat ramdisk, musíme si tento virtuální disk na adresář /boot připojit.

Poznámka Je lepší mountovat zařízení přes návěští souborového systému (LABEL) než přes cestu k blokovému zařízení, protože tím pádem nemusíme řešit další bloková zařízení ani jiné diskové oddíly.

V laboratořích Katedry kybernetiky se – na rozdíl od laboratoří Katedry řídící techniky – lokálně instalované MS Windows nepoužívají. Ale diskless SSD disky s nimiž byly stroje dodány využívá automaticky, pokud na nich najde swapovací oddíl.

Kromě toho se ale využívají také jako lokální úložiště pro velké soubory virtuálních strojů, s nimiž se pracuje přes VMWare. Proto /etc/fstab u laboratorního disklessu Katedry kybernetiky obsahuje následující záznam:

LABEL=local /local ext4 defaults,noauto,users 0 2

Pokud diskless, na lokálním disku stroje kde byl spuštěn, nalezne diskový oddíl formátovaný na ext4 s názvem 'local', tak ho má přihlášený uživatel možnost připojit. Aby se o to nesnažil automaticky je uvedena volba noauto – bez ní by totiž zůstal při zavádění systém viset v ramdisku, pokud by takový diskový oddíl na stroji při startu nenašel.

A bez volby users, by to mohl pro změnu udělat pouze uživatel root.

Přihlašování uživatelů

Základní rozdíl mezi disklessovými pracovními stanicemi katedry DCE (Katedra řídící techniky) a DC (Katedra kybernetiky) je ve způsobu ověřování uživatelů. Zatím co stroje DCE jsou opřené vůči AD ČVUT (Microsoftí technologie), laboratorní stroje DC se ověřují přes lokální LDAP server na stroji k333stu1.

Ověřovací proces sestává z několika fází:

Získání UID

Během první fáze se systém pokusí na základě uživatelského jména získat UID uživatele.

Stará se o to nslcd démon, který při tom postupuje podle nastavení v souboru /etc/nsswitch.conf:

passwd: compat ldap systemd
group: compat ldap systemd

To říká, že nejprve se má podívat do lokálního souboru /etc/passwd (resp. /etc/groups), a teprve pokud v něm uživatelské jméno (skupinu) nenajde, má zkusit ldap.

Poznámka Pokud za řetězcem ldap následuje řetězec systemd, pak to znamená, že kdyby se náhodou uživatel nenašel ani v databázi LDAPu, tak se má použít modul nss-systemd, který ho – pokud to má některá unita přes parametr DynamicUser= nastaveno – dynamicky vytvoří. Řetězec systemd tedy není nezbytně nutný (proto je uveden kurzívou) a pokud je uveden, tak by měl být vždy jako poslední možnost na konci řádku.

Jak použít LDAP

Active Directory

Lokální uživatelé

Menu

~/.config/menus/xfce-applications.menu

Odkud se berou položky v menu?

$ env | grep XDG_CONFIG_DIRS

Kontejnerová virtualizace