Webcie-vms

From A-Eskwiki
Revision as of 15:44, 30 August 2018 by Timb (Talk | contribs)

(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to: navigation, search

Zie ook: Webcie-vm (!) In het vm-park draaien 3 virtuele machines voor de WebCie. Dit zijn de vm-www, de vm-www-debug en de vm-www-inwerking. Deze zijn om de website van A-Eskwadraat op te draaien en om een ontwikkelingsomgeving en inwerkomgeving voor de WebCie te draaien.

Packages

Op dit moment zijn er de volgende packages die op alle 3 de vm's geïnstaleerd moeten staan:

ImageMagick
autoconf
doxygen
fcgi
gcc
gettext
git
git-svn
graphviz
graphviz-php   
httpd
httpd-tools
mod_auth_kerb  
mod_auth_pam   
mod_authnz_pam 
mod_extract_forwarded
mod_intercept_form_submit
mod_lookup_identity
mod_proxy_fcgi 
mod_ssl
mysql
mysql-libs
mysql-server   
perl-Image-ExifTool
php
php-bcmath
php-cli
php-common
php-devel
php-fpm
php-gd
php-mbstring   
php-mcrypt
php-mysql
php-pdo
php-pear
php-pecl-apcu  
php-pecl-zendopcache
php-php-gettext
php-process
php-tcpdf
php-tcpdf-dejavu-sans-fonts
php-tidy
php-xml
phpMyAdmin
subversion
subversion-perl
webalizer

Rechten

Omdat alleen de webcie op alle vm's mag inloggen is er in IPA de host-group webcie-vms. Op deze manier kan er makkelijk met een HBAC-regel gezegd worden dat alleen de webcie op deze vm's in mag loggen. Het is alleen wel handig als er een aparte HBAC-regel komt voor de vm-www-inwerking, zodat er makkelijk tijdelijk nieuwe potentieële webcie-leden aan toegevoegd kunnen worden.

De website maakt nog gebruik van twee dingen die met accounts te maken hebben. Een daarvan is het automatisch laten inloggen op de de A-Eskwadraatwebsite op het interne netwerk en de andere regel is de mogelijkheid om met je systeemaccount in te kunnen loggen op de website.

Voor het automatisch inloggen (zie ook bij Automatisch inloggen) is er in IPA de HBAC-regel 'allow_www-auth'. Die zegt dat mensjes via de services www-login en www-auth op de vm-www.a-eskwadraat.nl en www-auth.a-eskwadraat.nl.

De regel voor het laten inloggen met je systeemaccount op de website is de regel 'allow_systeemLogin' en die zegt dat mensjes op alle webcie-vms met de service httpd_systeemlogin kunnen.

Omdat de website ook commando's met IPA mogelijk maakt is er een speciale user website-ipa die de rechten heeft om de juiste commando's uit te voeren op de vm-www

Mounts

Automatisch inloggen

CERTS!

Instellingen

Installatie

vm-www

vm-www-debug

Highstate de vm. Als het goed is staan veel instellingen nu al goed. Voer

mysql_secure_installation

uit. Let erop dat je de test databases niet weghaalt. Geef ook een nieuw root-wachtwoord. Zet nu in de home van zowel root als de user webcie het bestand .my.cnf (LET OP: alleen leesbaar voor de user zelf!!) en zet daarin het volgende:

[client]
user = root
pass = *passwd*

Dit zorgt ervoor dat als er commando's op mysql gedaan moeten worden de user automatisch als root autenticeert.

Kopieer nu de debug.pub van de vm-www en stop m in de map /root/.ssh. Pas het bestand aan en zet aan het begin van de reget

command="mysql $SSH_ORIGINAL_COMMAND" ssh-rsa AAAAB3Nza...

Dit zorgt ervoor dat de vm-www zonder wachtwoord mysqlcommando's uit kan voeren voor het kopiëren van de db's.

Maak een dump van de mysql-db (hierin staan oa alle users) op de vm-www en kopieer deze naar de mysql-db en flush de privileges op mysql. Maak nu de benodigde test_db's aan (op moment van schrijven test_benamite, test_boeken en test_whoswho4). Kopieer nu de databases van de vm-www naar de desbetreffende test_db's.