Anbindung an die Linux-Infrastruktur des RRZE

Zugang zu zentralen RRZE-Diensten

Die Linux-Gruppe des RRZE betreibt eine eigenständige Infrastruktur zur Verwaltung von Rechnern und Diensten. Sie wird sowohl vom RRZE selbst als auch von den Kunden genutzt, um Zugang zu verschiedenen zentralen Dienstleistungen zu erhalten. Was viele nicht wissen: Diese zentrale Dienstleistung kann von Kunden auch ohne Betreuungsvereinbarung mit dem RRZE genutzt werden und ist zudem noch kostenlos! (BI96, F. Klemenz)

OpenLDAP & KDC bilden die Basis

Den Kern der Linux-Infrastruktur am RRZE bildet ein Verbund aus mehreren OpenLDAP-Servern zur Bereitstellung von Benutzer- und Gruppendaten. Ergänzend betreibt die Linux-Gruppe einen Verbund aus MIT-Kerberos-Key-Distribution-Servern (KDCs) für eine kerberosbasierte Authentifizierung. Beide Systeme erhalten ihre Daten aus einem Tool zur Rechnerverwaltung des RRZE – dem Grails Linux Administration Toolkit (GLAT). Sowohl OpenLDAP als auch KDC werden in einer redundanten Master-/3x-Slave-Konfiguration hinter einem Hardware Loadbalancer im RRZE-Datacenter betrieben und überwacht. So ist eine durchgängig hohe Verfügbarkeit ohne Downtimes oder Leistungsengpässe jederzeit gewährleistet.

Anbindung der Kunden an die Linux-Infrastruktur des RRZE

Quellsysteme für Daten: IdM & GLAT

Das Identity Management (IdM) der FAU ist auch im Rahmen der linuxseitigen Verwaltung von Rechnern und Diensten die Quelle für Personen- und Gruppendaten. Betreiber eines angebundenen Dienstes können so ihren Nutzern die Authentifizierung mit ihrem IdM-Passwort ermöglichen und die Vorteile automatisch gepflegter Gruppen zur Rechtevergabe (vgl. BI93, „Einführung von Kerberos zur Benutzerauthentifizierung“, S. 21) zuteil werden lassen. Ebenso um Dienstleistungen einzusehen, Einstellungen vorzunehmen oder vergessene Passwörter wiederherzustellen.

Neben dem IdM-System der FAU wird als zweites Quellsystem die Rechnerverwaltung GLAT genutzt, um Dienste und Rechnerdaten zu erfassen und bereitzustellen. Basierend auf den erfassten Daten werden entsprechende Zugänge zu den LDAP-Instanzen und/oder Service-Principals generiert (inklusive eines Exports als Keytab), die dann den Nutzern zur Anbindung zur Verfügung stehen.

Rechnerverwaltung GLAT zum Erfassen und Bereitstellen von Diensten und Rechnerdaten

Während die Pflege der Daten im IdM weitestgehend ohne Zutun der Kunden „automatisch“ verläuft, müssen zur Nutzung der Linux-Infrastruktur die Rechner/Dienste der Kunden vorher durch Hinzufügen zur Rechnerverwaltung freigeschaltet werden.

Mit Kerberos auf Nummer sicher

Ergänzend zur LDAP-Anbindung lassen sich für die Dienste auch Keytabs generieren und zur Authentifizierung (Rechner/Dienste) Kerberos nutzen. Kunden müssen hierdurch weniger oft ihr Passwort eingeben und die Nutzung wird komfortabler, ohne dass die Sicherheit leidet. Eine funktionierende Kerberos-Konfiguration ist zudem Voraussetzung für die Nutzung von verschlüsseltem NFSv4 (z. B. zum Zugriff auf das kostenlose RRZE-Linux-Home.
kostenloses

RRZE-Linux-Homelaufwerk

Das RRZE bietet allen Mitgliedern der FAU ein kostenloses Linux-Homelaufwerk an. Der verfügbare Speicherplatz richtet sich nach der Zugehörigkeit des jeweiligen Nutzers. Nach aktuellem Stand erhalten Mitarbeiter 10 GB, Studierende und Sonstige 2 GB Speicherplatz. Sollte der vorgegebene Speicherplatz nicht ausreichen, kann die Quota gegen Aufpreis erweitert werden. Kontaktieren Sie uns gerne mit Ihren Anforderungen. Um die Sicherheit der Daten zu gewährleisten, ist der Zugriff auf das RRZE-Linux-Homelaufwerk nur mit verschlüsseltem NFSv4 (krb5p) möglich. Somit können auch nur solche Rechner das RRZE-Linux-Homelaufwerk nutzen, die an die Kerberos-Infrastruktur angebunden sind.

Rechnerverwaltung mittels „Command Line Interface“

Zur unkomplizierten Integration der Recher und Dienste der Kunden in die Linux-Infrastruktur stellt das RRZE seinen Kunden das Kommandozeileninterface (Command Line Interface, kurz CLI) „rrzelinux-CLI-Tool“ zur Verfügung, mit dem beliebige Rechner/Dienste unterhalb der eigenen DNS-Domain in Eigenverantwortung an die Linux-Infrastruktur (z. B. LDAP/Kerberos) des RRZE angebunden werden können.

Präfixe sind Pflicht

Die verwendete Rechtestruktur ordnet jedem Rechner ein Präfix zu, dass bei allen Aktionen angegeben werden muss. Präfixe selbst werden wiederum einer FAU-Organisationseinheit (Institute, Lehrstühle, Forschungsgruppen …) zugeordnet. Es sind dieselben Präfixe, die auch zur Bildung von E-Mail-Adressen oder Systemgruppen aber auch im Active Directory der FAU (FAUAD) zum Einsatz kommen (vgl. Benutzerinformation 90, „Anzeigename bei E-Mail-Adressen“, S. 3). Die Beantragung und Einrichtung eines Präfix zur Verwaltung der eigenen Rechner ist für Kunden verpflichtend, sofern noch kein hierfür verwendbares Präfix besteht. Nähere Informationen hierzu erhalten Sie von den Mitarbeitern der Linux-Gruppe (vgl. Kontakt).

IT-Betreuer: Ansprechpartner zu den IT-Systemen der eigenen Einrichtung

Die Rechnerverwaltung des RRZE basiert auf dem kooperativen DV-Versorgungskonzept und orientiert sich in der täglichen Praxis am Konzept der IT-Beauftragten. IT-Beauftragte wurden vom RRZE zu verschiedenen Arbeitsfeldern definiert und werden sukzessive als Bindeglieder zwischen dem RRZE und den FAU-Organisationseinheiten eingeführt. Neben den schon lange eingeführten RRZE-Kontaktpersonen, werden − versuchsweise zunächst im Rahmen der Linux-Betreuung − sogenannte IT-Betreuer benannt, die innerhalb einer FAU-Organisationseinheit zuständig und autorisiert für die Betreuung der IT-Systeme und Koordination mit dem RRZE sind.

Um sich als IT-Betreuer für die eigene Organisationseinheit freischalten zu lassen, benötigt das RRZE von der Leitung der Organisationseinheit einen formlosen Antrag – vorzugsweise per E-Mail. Der Antrag muss folgende Informationen enthalten:
IdM-Kennung des Nutzers, der als IT-Betreuer eingetragen werden soll; FAU.ORG-Nummer der Organisationseinheit, für die der IT-Betreuer eingetragen werden soll; Liste der freizuschaltenden DNS-Subdomains, die für die Rechner der Organisationseinheit verwenden sollen (diese Angabe kann auch später erweitert oder nachgereicht werden).

Unterstützung durch das RRZE

Kunden können ihre Systeme und Dienste auch in Eigenregie – also ohne Betreuungsvereinbarung mit dem RRZE – an die Linux-Infrastruktur des RRZE anbinden. Auch hierfür bietet das RRZE im Rahmen seiner Möglichkeiten Unterstützung an. Sollte sich ein Fall als aufwändiger herausstellen, wird das RRZE auf seinen kostenpflichtigen Support verweisen. Art und Umfang der Arbeiten werden dann individuell abgesprochen.

Weitere Informationen

Linux am RRZE
www.linux.rrze.fau.de/info

Kostenlose Anleitungen & Hilfestellungen
www.linux.rrze.fau.de/docs

Installation „rrzelinux CLI Tool“
www.anleitungen.rrze.fau.de > Suche: „rrzelinux CLI Tool“

IT-Beauftragte & IT-Betreuer
www.rrze.fau.de/infocenter/rahmenbedingungen/it-beauftragte

Benutzerinformation 90: „Anzeigename bei E-Mail-Adressen“ (S. 3)
www.rrze.fau.de/files/2017/01/bi-90.pdf

Benutzerinformation 93: „Einführung von Kerberos zur Benutzerauthentifizierung“ (S. 21)
www.rrze.fau.de/files/2018/03/BI-93.pdf

Kontakt

Sie brauchen Beratung zum Zugang als IT-Betreuer oder zur Rechnerverwaltung mittels „rrzelinux CLI Tool“?
Schreiben Sie uns gerne zur Terminvereinbarung eine E-Mail.
Auch wenn der vorgegebene Speicherplatz nicht ausreichen sollte, können Sie uns gerne kontaktieren.

Linux-Unterstützung

Zentrale Systeme