Difference between revisions of "Webcie-vms"
From A-Eskwiki
| (9 intermediate revisions by one other user not shown) | |||
| Line 1: | Line 1: | ||
| + | Zie ook: [[Webcie-vm]] (!) | ||
| + | |||
[[Category:Sysop]] | [[Category:Sysop]] | ||
In het vm-park draaien 3 virtuele machines voor de WebCie. Dit zijn de vm-www, de vm-www-debug en de vm-www-inwerking. Deze zijn om de website van A-Eskwadraat op te draaien en om een ontwikkelingsomgeving en inwerkomgeving voor de WebCie te draaien. | In het vm-park draaien 3 virtuele machines voor de WebCie. Dit zijn de vm-www, de vm-www-debug en de vm-www-inwerking. Deze zijn om de website van A-Eskwadraat op te draaien en om een ontwikkelingsomgeving en inwerkomgeving voor de WebCie te draaien. | ||
| Line 5: | Line 7: | ||
Op dit moment zijn er de volgende packages die op alle 3 de vm's geïnstaleerd moeten staan: | Op dit moment zijn er de volgende packages die op alle 3 de vm's geïnstaleerd moeten staan: | ||
| − | + | ImageMagick | |
| + | autoconf | ||
| + | doxygen | ||
| + | fcgi | ||
| + | gcc | ||
| + | gettext | ||
| + | git | ||
| + | git-svn | ||
| + | graphviz | ||
| + | graphviz-php | ||
| + | httpd | ||
| + | httpd-tools | ||
| + | mod_auth_kerb | ||
| + | mod_auth_pam | ||
| + | mod_authnz_pam | ||
| + | mod_extract_forwarded | ||
| + | mod_intercept_form_submit | ||
| + | mod_lookup_identity | ||
| + | mod_proxy_fcgi | ||
| + | mod_ssl | ||
| + | mysql | ||
| + | mysql-libs | ||
| + | mysql-server | ||
| + | perl-Image-ExifTool | ||
| + | php | ||
| + | php-bcmath | ||
| + | php-cli | ||
| + | php-common | ||
| + | php-devel | ||
| + | php-fpm | ||
| + | php-gd | ||
| + | php-mbstring | ||
| + | php-mcrypt | ||
| + | php-mysql | ||
| + | php-pdo | ||
| + | php-pear | ||
| + | php-pecl-apcu | ||
| + | php-pecl-zendopcache | ||
| + | php-php-gettext | ||
| + | php-process | ||
| + | php-tcpdf | ||
| + | php-tcpdf-dejavu-sans-fonts | ||
| + | php-tidy | ||
| + | php-xml | ||
| + | phpMyAdmin | ||
| + | subversion | ||
| + | subversion-perl | ||
| + | webalizer | ||
| − | + | == Rechten == | |
| − | + | Omdat alleen de webcie op alle vm's mag inloggen is er in IPA de host-group webcie-vms. Op deze manier kan er makkelijk met een HBAC-regel gezegd worden dat alleen de webcie op deze vm's in mag loggen. Het is alleen wel handig als er een aparte HBAC-regel komt voor de vm-www-inwerking, zodat er makkelijk tijdelijk nieuwe potentieële webcie-leden aan toegevoegd kunnen worden. | |
| + | De website maakt nog gebruik van twee dingen die met accounts te maken hebben. Een daarvan is het automatisch laten inloggen op de de A-Eskwadraatwebsite op het interne netwerk en de andere regel is de mogelijkheid om met je systeemaccount in te kunnen loggen op de website. | ||
| + | Voor het automatisch inloggen (zie ook bij [[Automatisch inloggen]]) is er in IPA de HBAC-regel 'allow_www-auth'. Die zegt dat mensjes via de services www-login en www-auth op de vm-www.a-eskwadraat.nl en www-auth.a-eskwadraat.nl. | ||
| − | + | De regel voor het laten inloggen met je systeemaccount op de website is de regel 'allow_systeemLogin' en die zegt dat mensjes op alle webcie-vms met de service httpd_systeemlogin kunnen. | |
| − | + | Omdat de website ook commando's met IPA mogelijk maakt is er een speciale user website-ipa die de rechten heeft om de juiste commando's uit te voeren op de vm-www | |
| − | + | == Mounts == | |
| − | + | == Automatisch inloggen == | |
| + | |||
| + | CERTS! | ||
== Instellingen == | == Instellingen == | ||
| − | + | == Installatie == | |
| + | |||
| + | === vm-www === | ||
| + | |||
| + | === vm-www-debug === | ||
| + | |||
| + | Highstate de vm. Als het goed is staan veel instellingen nu al goed. Voer | ||
| + | mysql_secure_installation | ||
| + | uit. Let erop dat je de test databases niet weghaalt. Geef ook een nieuw root-wachtwoord. Zet nu in de home van zowel root als de user webcie het bestand .my.cnf (LET OP: alleen leesbaar voor de user zelf!!) en zet daarin het volgende: | ||
| + | [client] | ||
| + | user = root | ||
| + | pass = *passwd* | ||
| + | Dit zorgt ervoor dat als er commando's op mysql gedaan moeten worden de user automatisch als root autenticeert. | ||
| − | + | Kopieer nu de debug.pub van de vm-www en stop m in de map /root/.ssh. Pas het bestand aan en zet aan het begin van de reget | |
| + | command="mysql $SSH_ORIGINAL_COMMAND" ssh-rsa AAAAB3Nza... | ||
| + | Dit zorgt ervoor dat de vm-www zonder wachtwoord mysqlcommando's uit kan voeren voor het kopiëren van de db's. | ||
| − | + | Maak een dump van de mysql-db (hierin staan oa alle users) op de vm-www en kopieer deze naar de mysql-db en flush de privileges op mysql. Maak nu de benodigde test_db's aan (op moment van schrijven test_benamite, test_boeken en test_whoswho4). Kopieer nu de databases van de vm-www naar de desbetreffende test_db's. | |
Latest revision as of 16:44, 30 August 2018
Zie ook: Webcie-vm (!) In het vm-park draaien 3 virtuele machines voor de WebCie. Dit zijn de vm-www, de vm-www-debug en de vm-www-inwerking. Deze zijn om de website van A-Eskwadraat op te draaien en om een ontwikkelingsomgeving en inwerkomgeving voor de WebCie te draaien.
Contents
Packages
Op dit moment zijn er de volgende packages die op alle 3 de vm's geïnstaleerd moeten staan:
ImageMagick autoconf doxygen fcgi gcc gettext git git-svn graphviz graphviz-php httpd httpd-tools mod_auth_kerb mod_auth_pam mod_authnz_pam mod_extract_forwarded mod_intercept_form_submit mod_lookup_identity mod_proxy_fcgi mod_ssl mysql mysql-libs mysql-server perl-Image-ExifTool php php-bcmath php-cli php-common php-devel php-fpm php-gd php-mbstring php-mcrypt php-mysql php-pdo php-pear php-pecl-apcu php-pecl-zendopcache php-php-gettext php-process php-tcpdf php-tcpdf-dejavu-sans-fonts php-tidy php-xml phpMyAdmin subversion subversion-perl webalizer
Rechten
Omdat alleen de webcie op alle vm's mag inloggen is er in IPA de host-group webcie-vms. Op deze manier kan er makkelijk met een HBAC-regel gezegd worden dat alleen de webcie op deze vm's in mag loggen. Het is alleen wel handig als er een aparte HBAC-regel komt voor de vm-www-inwerking, zodat er makkelijk tijdelijk nieuwe potentieële webcie-leden aan toegevoegd kunnen worden.
De website maakt nog gebruik van twee dingen die met accounts te maken hebben. Een daarvan is het automatisch laten inloggen op de de A-Eskwadraatwebsite op het interne netwerk en de andere regel is de mogelijkheid om met je systeemaccount in te kunnen loggen op de website.
Voor het automatisch inloggen (zie ook bij Automatisch inloggen) is er in IPA de HBAC-regel 'allow_www-auth'. Die zegt dat mensjes via de services www-login en www-auth op de vm-www.a-eskwadraat.nl en www-auth.a-eskwadraat.nl.
De regel voor het laten inloggen met je systeemaccount op de website is de regel 'allow_systeemLogin' en die zegt dat mensjes op alle webcie-vms met de service httpd_systeemlogin kunnen.
Omdat de website ook commando's met IPA mogelijk maakt is er een speciale user website-ipa die de rechten heeft om de juiste commando's uit te voeren op de vm-www
Mounts
Automatisch inloggen
CERTS!
Instellingen
Installatie
vm-www
vm-www-debug
Highstate de vm. Als het goed is staan veel instellingen nu al goed. Voer
mysql_secure_installation
uit. Let erop dat je de test databases niet weghaalt. Geef ook een nieuw root-wachtwoord. Zet nu in de home van zowel root als de user webcie het bestand .my.cnf (LET OP: alleen leesbaar voor de user zelf!!) en zet daarin het volgende:
[client] user = root pass = *passwd*
Dit zorgt ervoor dat als er commando's op mysql gedaan moeten worden de user automatisch als root autenticeert.
Kopieer nu de debug.pub van de vm-www en stop m in de map /root/.ssh. Pas het bestand aan en zet aan het begin van de reget
command="mysql $SSH_ORIGINAL_COMMAND" ssh-rsa AAAAB3Nza...
Dit zorgt ervoor dat de vm-www zonder wachtwoord mysqlcommando's uit kan voeren voor het kopiëren van de db's.
Maak een dump van de mysql-db (hierin staan oa alle users) op de vm-www en kopieer deze naar de mysql-db en flush de privileges op mysql. Maak nu de benodigde test_db's aan (op moment van schrijven test_benamite, test_boeken en test_whoswho4). Kopieer nu de databases van de vm-www naar de desbetreffende test_db's.
