C2115 Praktický úvod do superpočítání 5. lekce / Modul 3 -1- C2115 Praktický úvod do superpočítání 5. lekce / Modul 3 Petr Kulhánek kulhanek@chemi.muni.cz Národní centrum pro výzkum biomolekul, Přírodovědecká fakulta Masarykova univerzita, Kamenice 5, CZ-62500 Brno Revize 5 C2115 Praktický úvod do superpočítání 5. lekce / Modul 3 -2Instalace Kerbera pro realm META pomocí balíčků pro OS Ubuntu 22.04 LTS C2115 Praktický úvod do superpočítání 5. lekce / Modul 3 -3Instalace pomocí balíčků 1) Aktivace veřejného repositáře NCBR balíčků. Postup je uveden na https://einfra.ncbr.muni.cz v části „Uživatelská podpora >> Ubuntu“ a repositář CEITEC MU/NCBR PUBLIC, zvolte Ubuntu 22.04 LTS. Repositář se aktivuje pouze jednou. 2) Podpora Kerbera pro Metacentrum (konfigurace a heimdal clients): 3) Podpora Kerbera v ssh (GSSAPIAuthentication a GSSAPIDelegateCredentials) 4) Konfigurace pam_krb5 (získání krb5 lístku při prvním přihlášení) $ sudo apt-get install ncbr-krb5-einfra $ sudo apt-get install ncbr-ssh-client-config $ sudo apt-get install ncbr-personal-authc-einfra UPOZORNĚNÍ: NCBR balíčky jsou autoritativní. Konfigurace, kterou balíčky nastavují již není možné měnit (resp. provedená změna zanikne při jejich aktualizaci). C2115 Praktický úvod do superpočítání 5. lekce / Modul 3 -4Workflow (pam_krb5) PC přihlášení s heslem (eINFRA heslo) Počítač je připojen do sítě: PC přihlášení s heslem (lokální heslo) Počítač není připojen do sítě: PC kinit po připojení počítače k síti: přihlášení s heslem (eINFRA heslo) Doporučení: • Vhodné pro notebooky nebo počítače mimo eINFRA. • Lokální heslo je nutné nastavit před instalací balíčku ncbr-personalauthc-einfra (tj. při instalaci počítače nebo pomocí příkazu passwd). • Je vhodné mít stejné lokální a eINFRA heslo. C2115 Praktický úvod do superpočítání 5. lekce / Modul 3 -5Cvičení M3.C1 1. Zprovozněte si podporu pro vytváření kerberovských lístků do realmu META virtuální organizace MetaCentrum ve vaší instalaci Ubuntu server (bod 1 a 2 předchozího návodu). 2. Ověřte, že můžete vytvořit kerberovské lístky příkazem kinit a klist. 3. Upravte si nastavení příkazu ssh pro použití kerberovských lístků (bod 3 předchozího návodu). 4. Ověřte, že se můžete přihlásit na libovolný čelní uzel MetaCentra nebo klastru WOLF bez použití hesla. 5. Ověřte, že se kerberovské lístky přenášejí na čelní uzel. 6. Zprovozněte si vytváření krb5 lístku při prvotním přihlášení (bod 4 předchozího návodu). 7. Ověřte příkazem klist, že máte po přihlášení vytvořené kerberovské lístky. 8. Přihlaste se do virtuálního stroje pomocí ssh z hostitelského stroj. Je vyžadováno heslo? Proč nemáte vytvořené krb5 lístky? 9. Stáhněte si balíček ncbr-krb5-einfra a prozkoumejte jeho obsah pomoci programu mc. C2115 Praktický úvod do superpočítání 5. lekce / Modul 3 -6Instalace Kerbera pro realm META manuální instalace Revize 2 C2115 Praktický úvod do superpočítání 5. lekce / Modul 3 -7Instalace Kerbera (klienti) Klientskou část Kerbera je možné instalovat na libovolný počítač, který je připojený do internetu. Níže uvedený postup je otestovaný v OS Ubuntu 16.04 LTS. 1) Instalace NTP (Network Time Protocol daemon and utility programs) – je nutné pro správné nastavení času (během konfigurace zvolte výchozí hodnoty) 2) Instalace klientských utilit systému Kerberos (během konfigurace zvolte výchozí hodnoty) 3) Získání konfiguračního souboru krb5.conf pro MetaCentrum. Soubor si můžete zkopírovat z libovolného čelního uzlu MetaCentra nebo libovolného uzlu klastru WOLF. Jeho umístění je /etc/krb5.conf 4) Soubor zkopírujte (jako super uživatel) do /etc/krb5.conf.META a nastavte mu práva 0666 (pouze pro čtení). 5) Vytvořte symbolický odkaz: $ sudo apt-get install ntp $ sudo apt-get install krb5-user $ sudo unlink /etc/krb5.conf $ sudo ln -s /etc/krb5.conf.META /etc/krb5.conf nebo heimdal-clients C2115 Praktický úvod do superpočítání 5. lekce / Modul 3 -8Integrace Kerbera do ssh Použítí kerberovských lístků pro vzdálené přihlašování na uzly MetaCentra je nutné povolit v konfiguraci příkazu ssh (změna platí i pro příkaz scp). Změnu je možné udělat pro všechny uživatele změnou souboru /etc/ssh/ssh_config nebo změnou/vytvořením souboru ~/.ssh/config pro konkrétního uživatele. Host * # ForwardAgent no # ForwardX11 no # ForwardX11Trusted yes ... SendEnv LANG LC_* HashKnownHosts no GSSAPIAuthentication yes GSSAPIDelegateCredentials yes ForwardX11 yes povolí autentizaci pomocí kerberovského lístku, tuto formu autentizace musí podporovat vzdálený stroj přenese lístek(y) na vzdálený stroj neměňte výchozí zakomentované (#) hodnoty změny uvádějte nakonec automaticky exportuje X11 display (ekvivalent volby -X) umožní použít doplňování názvů strojů u příkazu ssh a scp pomocí TAB C2115 Praktický úvod do superpočítání 5. lekce / Modul 3 -9ssh a kerberos Pokud máte v eINFRA jiné přihlašovací jméno než na výchozím stroji, tak jej musíte explicitně uvést při použití ssh příkazu. Druhou možností je změna konfigurace ssh pomocí souboru ~/.ssh/config, viz man ssh_config, položka User. Při použití druhé možnosti je nutné minimálně nastavit GSSAPIAuthentication a GSSAPIDelegateCredentials (viz výše). ~/.ssh/config Host skirit.ics.muni.cz tarkil.cesnet.cz User xstepan3 SendEnv LANG LC_* HashKnownHosts no GSSAPIAuthentication yes GSSAPIDelegateCredentials yes ForwardX11 yes seznam jmen čelních uzlů oddělených mezerou přihlašovací jméno do MetaCentra přístupová práva pro soubor ~/.ssh/config, pro skupinu a jiné – maximálně jen právo pro čtení