5.2.20
04/05/20
Last Modified 07/09/08 by Walter Tasin
Praktikumsinstallation/pserv-lms Reload Page

Informationen zum pserv-lms

ÄNDERUNGEN müssen noch durchgeführt werden.

Der ehemalige cd1.da.private.hm.edu wurde nun neu mit SuSE-Linux 10.1 aufgesetzt.
Eigentlich war geplant, diesen nur als Printserver zu verwenden, jedoch soll es über diesen Rechner auch möglich sein ein EMUF zu Demonstrationszwecke von einem entfernten - im Intranet der Fakultät befindlichen - Rechner via telnet anzusprechen.

Da uns nur eine eingeschränkte Anzahl an Echtzeitsystemen zur Verfügung steht und somit das Demostrationsobjekt örtlich an den Raum E0107 gebunden ist, bietet sich die Verwendung des pserv-lms an.

Der Server pserv-lms ist mit zwei Ethernetkarten ausgestattet:

eth1      Link encap:Ethernet  HWaddr 00:05:5D:D9:4E:E2  
          inet addr:192.168.206.252  Bcast:192.168.206.255  Mask:255.255.255.0
          inet6 addr: fe80::205:5dff:fed9:4ee2/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6998 errors:0 dropped:0 overruns:0 frame:0
          TX packets:7185 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1969464 (1.8 Mb)  TX bytes:1521230 (1.4 Mb)
          Interrupt:209 Base address:0xd400 

eth2      Link encap:Ethernet  HWaddr 00:04:75:7C:88:B6  
          inet addr:192.168.5.250  Bcast:192.168.5.255  Mask:255.255.255.0
          inet6 addr: fe80::204:75ff:fe7c:88b6/64 Scope:Link
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:227 errors:0 dropped:0 overruns:0 frame:0
          TX packets:455 errors:0 dropped:0 overruns:0 carrier:4
          collisions:0 txqueuelen:1000 
          RX bytes:16237 (15.8 Kb)  TX bytes:33707 (32.9 Kb)
          Interrupt:177 Base address:0x8000 

Nebenbemerkung: Das Ethernetdevice eth0 befand sich während der Installation des Systems im Rechner, wurde aber nachträglich entfernt deshalb die ungewöhnliche Numerierung.

Netzwerkkarte IP Nummer VLAN Netzmaske Zweck
eth1 192.168.206.252 LMS_LSW 255.255.255.0 Verbindung als Printserver in das Praktikumsnetz
eth2 192.168.5.250 - 255.255.255.0 Direktverbindung zum EMUF

Beide Netzwerkkarten sind als externe Zone deklariert. Damit werden sie durch die Firewall geschützt.

Nur die Nutzung folgender Dienste ist am pserv-lms möglich:

  • IPP-Server
  • SSH


Schematische Darstellung

Die schematische Darstellung kann den folgenden Dokumenten entnommen werden:



SSH-Erreichbarkeit vom internen Netz

Damit vom internen Fakultätsnetz der Zugriff via SSH auf diesen - sich im LMS-LSW-Netz befindlichen - Rechner möglich wird, leitet der Gateway(-Firewall)-Rechner eine SSH-Verbindungsanfrage für:
pserv-lms.da.private.hm.edu
weiter an die Adresse pserv-lms.ti.ee.fhm.edu.

Gateway-TI Konfiguration


Um die Weiterleitung solcher Pakete zu ermöglichen, muss die Firewall des Gatewayrechners gateway.ti.ee.fhm.edu um die entsprechende Regel erweitert werden (s. a. Praktikumsinstallation/Server):

/etc/sysconfig/SuSEfirewall2:

...
#
FW_FORWARD_MASQ="0/0,192.168.206.250,tcp,22,22,10.27.69.129  
10.20.60.0/24,192.168.206.250,tcp,13782,13782,10.27.69.129  
10.20.60.0/24,192.168.206.250,tcp,13783,13783,10.27.69.129  
10.27.0.0/16,192.168.206.250,tcp,25,25,10.27.69.129  
10.27.0.0/16,192.168.206.250,tcp,445,445,10.27.69.129  
10.27.0.0/16,192.168.206.250,tcp,139,139,10.27.69.129  
10.20.60.0/24,192.168.206.250,tcp,13720,13720,10.27.69.129  
10.20.60.0/24,192.168.206.250,tcp,13721,13721,10.27.69.129  
10.27.0.0/16,192.168.206.250,udp,137,137,10.27.69.129  
10.27.0.0/16,192.168.206.250,udp,138,138,10.27.69.129
0/0,192.168.206.252,tcp,22,22,10.27.69.192"

...

Die letzte Zeile im FW_FORWARD_MASQ
0/0,192.168.206.252,tcp,22,22,10.27.69.192
ist dafür verantwortlich.

CUPS-Server

Die grundsätzliche Druckerinstallation geschieht über YAST.
Damit wird ein Druckerserver installiert, den localhost (also pserv-lms) ansprechen kann.
Nur soll dieser für den Praktikumsserver ti1.ti.ee.fhm.edu auch erreichbar sein.

Auch das lässt sich über YaST einstellen, ist jedoch etwas schwer zu erreichen und wird sich sicherlich von Version zu Version unterscheiden.

Geändert wird dabei die Datei /etc/cups/cupsd.conf.
<geshi type="diff">--- cupsd.conf.orig 2006-11-04 14:16:19.000000000 +0100

cupsd.conf 2006-10-31 19:36:49.000000000 +0100

@@ -776,6 +776,7 @@
Deny From All
Allow From 127.0.0.1
Allow From 127.0.0.2

Allow From 192.168.206.250

</Location>

#<Location /classes>
@@ -848,6 +849,8 @@

#Encryption Required
</Location>

Browsing On

BrowseAddress @LOCAL

#
# End of "$Id: cupsd.conf.in,v 1.17 2005/01/03 19:29:45 mike Exp $".
</geshi>

Client-Authentifizierung via LDAP

Dieser Server stellt eine gute Möglichkeit dar, eine gewisse Art der LDAP-Clientauthentifizierung zu implementieren.

Ziele und Implementation sind hier beschireben:
LDAP-Clientansatz 1

Das Passwort wird nur auf ti1.ti.ee.fhm.edu geändert.

Für die zugangsberechtigten Personen wurde eine Gruppe lms_ops angelegt.
Alle LDAP-User, die Zugriff auf diesen Server haben sollen, sind Mitglieder dieser Gruppe.
Die lokale Benutzer habe ebenso die Berechtigung sich einzuloggen, wenn sie der Gruppe
users angehören.

Automatisiertes Login zum Zielsystem

Benutzer anlegen

Damit der Einloggvorgang zum Zielsystem vereinfacht wird, wird noch ein lokaler Benutzer emuf eingerichtet.

Erzeugung des Startskriptes

In dessen ~/bin-Verzeichnis wird das folgende Perl-Script ~/bin/hawk-login.pl erzeugt:
<xcode type="perl">#!/usr/bin/perl
system "telnet 192.168.5.100";
exit 0;
</xcode>

und erhält - mit folgendem Kommando - das execute-Recht:

pserv-lms:/home/emuf/bin # chmod a+x hawk-login.pl
pserv-lms:/home/emuf/bin # chown root.root hawk-login.pl

Vorbereitung der public-key-Authentifizierung

Dazu muss auf der Maschine für den Benutzer, der sich auf pserv-lms einloggen will, ein
Authentifizierungsschlüssel angelegt werden.
(s. a. http://www2.uibk.ac.at/zid/software/unix/linux/ssh-publickey.html)

user@pc1-lms:~> ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_dsa): 
Created directory '/home/user/.ssh'.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/user/.ssh/id_dsa.
Your public key has been saved in /home/emuf/.ssh/id_dsa.pub.
The key fingerprint is:
8e:75:b2:9e:bb:02:df:47:ca:9f:ad:97:2c:22:31:ad user@pc1-lms
user@pc1-lms:~> 

Dieser muss dann auf pserv-lms, der Datei /home/emuf/.ssh/authorized_keys hinzugefügt werden.

emuf@pserv-lms:~> cd .ssh
emuf@pserv-lms:~/.ssh> scp user@pc1-lms:/home/user/.ssh/id_dsa.pub new_key.pub
emuf@pserv-lms:~/.ssh> cat new_key.pub >> authorized_keys
emuf@pserv-lms:~/.ssh> rm new_key.pub 

Als nächstes wird der Loginvorgang am entsprechenden Client (hier pc1-lms als Benutzer user) getestet.

user@pc1-lms:~> ssh emuf@pserv-lms
The authenticity of host 'pserv-lms (10.27.69.192)' can't be established.
RSA key fingerprint is 07:5f:00:70:a5:82:63:14:9e:78:b4:ca:6b:69:8e:10.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'pserv-lms' (RSA) to the list of known hosts.
Last login: Thu Mar  8 14:38:11 2007 from proxy2.da.private.hm.edu
Have a lot of fun...
emuf@pserv-lms:~> logout
user@pc1-lms:~> 

Änderung der Shell für User emuf

Wenn nun der autmatisierte Login funktioniert, dann kann als nächstes die Standard-Shell durch das erzeugte Skript /home/emuf/bin/hawk-login.pl ausgetauscht werden.
Dazu wird die /etc/passwd auf pserv-lms modifiziert.
Der Eintrag des Benutzers emuf wird wie folgt geändert:

...
emuf:x:1000:100:emuf-user:/home/emuf:/home/emuf/bin/hawk-login.pl
...

Nun kann sich der Benutzer user@pc1-lms als emuf@pserv-lms via ssh ohne Angabe eines Passwortes einloggen und es wird automatisch eine Telnetsitzung zum Echtzeitsystem gestartet.