Dies ist eine alte Version des Dokuments!


Satellitenserver-Installation

Voraussetzungen

Der Satellitenserver liegt in Form einer Virtuellen Maschine (VM) vor. Derzeit werden standardmäßig Virtuelle Maschinen im OVF-Format ausgeliefert.

Bezugsquelle

Die aktuelle Version des Satellitenservers kann unter http://files.bwlp.ks.uni-freiburg.de/satellit/bwlehrpool-server-3.10-ovf.tgz heruntergeladen werden. Darin finden Sie die Festplatte des Servers (vmdk) sowie Beschreibungsdateien (ovf) für unterschiedliche ESX-Server-Versionen. Importieren Sie nur eine der OVF-Dateien in Ihren ESX.

Es kann sein, dass für das letzte OVF-Image bereits ein Update zur Verfügung steht. Vergleichen Sie dazu einfach die Versionsnummer. Informationen zur Aktualisierung Ihres Satellitenserver finden Sie unter Satellitenserver aktualisieren.

Virtualisierungsumgebung

Der Betrieb des Satellitenservers setzt eine der folgenden Virtualisierungslösungen voraus:

VMPlayer/Workstation/ESX(i)

Das OVF-Format kann unter VMPlayer und VMWare Workstation direkt importiert werden. Zum Einsatz unter ESX werden die vmdks standardmäßig als „preallocated ESX-Type Type 4“ ausgeliefert. Zum platzsparenderen Einsatz unter VMPlayer oder VMWare-Workstation können diese gegebenenfalls mit dem ESX-eigenen Konvertierungstool1) oder dem vmware-vdiskmanager2) in ein geeignetes Format konvertiert werden. Als Netzwerktyp wird „bridged“ empfohlen.

VirtualBox

Die ausgelieferte OVF-Version kann unter VirtualBox direkt genutzt werden3).

Microsoft HyperV

Zum Einsatz unter Microsoft HyperV muss das OVF-Format ggf. zuvor mit Hilfe des „Microsoft Virtual Machine Converter“ importiert bzw. konvertiert werden4)).

Umgebungsinfrastruktur

DHCP-Server / PXE

Im lokalen Netzwerk sollte ein DHCP-Server vorhanden sein. Zum Booten der Clients muss der lokale DHCP-Server die IP-Adresse des Satelliten (Option next-server bzw. 66) und die zu ladende Datei ipxelinux.0 für Legacy-PXE (Bios) oder ipxe.efi für EFI-Boot als Bootfile (Option 67) ausliefern. Die Unterscheidung welches Bootfile an einen Client ausgeliefert wird kann anhand der Option 60 (vendor class identifier) erfolgen. Weitere Informationen dazu finden Sie unter iPXE / PXE

Da ein DHCP-Server meistens bereits in der Infrastruktur vorhanden ist, ist im Satellitenserver selbst standardmäßig kein DHCP-Server enthalten.

Fileserver (NFS / CIFS / SMB)

Der Satellitenserver bietet zwar die Option eines lokalen NFS-Servers, der aber notwendigerweise im Platz relativ stark beschränkt ist. Es ist daher vorteilhaft, einen externen NFS- oder SMB-(CIFS)-Server anzugeben. Für NFS wird ein NFSv3-Share benötigt, das für den Satellitenserver schreib- und für die Clients lesbar ist. Die Nutzung von NFSv4 ist ebenfalls möglich, wenn die Option sec=sys verwendet wird5). Bei SMB/CIFS wird empfohlen, auf dem Dateiserver einmal mit Lese/Schreib-Berechtigung für den Satellitenserver und mit Lese-Berechtigung für die Clients zu exportieren.

Authentifikation

Zur Authentifikation der Arbeitsstationen können LDAP sowie AD verwendet werden. Für AD und LDAP stehen Wizards der Webschnittstelle zur Verfügung. Zusätzlich kann der Dienst bwIDM genutzt werden, um externen Mitgliedern anderer Einrichtungen die Anmeldung zu ermöglichen.

Weitere Authentifizierungsmechanismen wie z.B. NIS können über den Mechanismus mittels generischem Modul angesprochen werden.

Authentifikation der Clientrechner

Eine userspezifische Authentifizierung beispielsweise per Active Directory oder LDAP innerhalb Virtueller Maschinen ist zwar prinzipiell möglich, aber konzeptionell ausdrücklich nicht vorgesehen, um Abbilder standardisierbar und austauschbar zu halten. Sämtliche notwendigen Authentifizierungen werden durch das Basissystem ausgeführt.

Authentifikation weitere Dienste

Bitte beachten Sie, dass zur späteren Anmeldung am Satellitenserver mittels der bwLehrpool-Suite ein bwIDM-Zugang registriert werden sollte. Dies kann bequem über die Netzseite https://bwlp-masterserver.ruf.uni-freiburg.de/webif/ erfolgen.

Sollte Ihres Standortes wegen die Teilnahme am bwIDM-Identitätsmanagementdienst nicht möglich sein, kann das bwLehrpool-Team für Sie lokal verwaltete Zugänge einrichten. Wir bitten jedoch, falls möglich bwIDM zu verwenden.

Notwendige Lizenzen

Zum Einsatz des VMware-basierten Virtualisierungssystems der Arbeitsstationen ist eine Lizenzierung seitens VMware vonnöten. Für angemessene Lizenzierung (z. B. „vmware academic license“ wird empfohlen, sich mit VMWare in Verbindung zu setzen.

Lizenzserver

Der Einsatz lizenzserverabhängiger Programme sollte im Rahmen einer Arbeitsumgebung (virt. Maschine, Abbild) erfolgen, in der die benötigten lizenzserverabhängigen Programme mit geeigneter Konfiguration so installiert sind, daß sie selbst auf den Lizenzserver zugreifen können.

Proxyserver

Proxyserver (Direktzugriff / SOCKS4/5) können mit und ohne Authentifizierung eingesetzt und über einen Wizard der Webschnittstelle konfiguriert werden.

Einrichtung und Betrieb

Das ausgelieferte Abbild des Satellitenservers wurde bereits soweit wie möglich vorkonfiguriert. Diverse lokale Passwörter werden beim ersten Start des ausgelieferten Systems per „First Boot“-Skript neu erstellt und angewendet. Dennoch müssen einige lokalspezifische Angaben noch erfolgen. Diese werden automatisch beim ersten root-Login per sogenanntem „First Login“-Skript erfragt. Die weitere Serverkonfiguration erfolgt per webgestützter Admin-Schnittstelle.

Das „First Boot“-Skript

Das „First Boot“-Skript wird automatisch beim ersten Systemstart ausgeführt. Es erzeugt neue ssh-Schlüssel, sorgt für den Start gewisser Dienste, generiert einige intern genutzte Passwörter (MySQL-Zugänge) neu und trägt diese in bestimmte Konfigurationsdateien ein.

MySQL-Rootpasswort

Das vom „First Boot“-Skript erzeugte MySQL-Rootpasswort wird in der Datei /root/mysqlpass abgelegt.

Das „First Login“-Skript

Der Satellitenserver wird, wenn nicht bei der Auslieferung gesondert angegeben, mit dem voreingestellten root-Passwort „aendermichsofort“ ausgeliefert. Die folgenden Punkte beziehen sich auf die per „First Boot“-Skript abgefragten Einstellungsmöglichkeiten.

Passworteingabe

Es erfolgt zuerst die Abfrage des neu zu setzenden root-Passwortes. Es wird aus naheliegenden Gründen empfohlen, ein eigenes Passwort zu setzen. Dies sollte von hinreichender Komplexität sein, womöglich Zahlen und Sonderzeichen enthalten und nicht von üblichen Wörtern abgeleitet sein.

Netzwerkkonfiguration

Die MAC-Adresse des Satellitenservers kann anhand der VM-Einstellungen des genutzten Virtualisierers eingestellt oder generiert werden6). Bei der Netzwerkkonfiguration kann eine Auswahl zwischen DHCP-basierter und statischer IP-Konfiguration getroffen werden. Keine Eingabe bzw. [Return] belässt die bestehende IP-Konfiguration. Die Eingabe von 's' führt zur statischen IP-Konfiguration; es wird um Eingabe von IP-Adresse, Gateway, Netzmaske, Domain, Search domain, primären und sekundären DNS sowie des Hostnamens gebeten.

Die Netzwerkkonfiguration kann auch später erneut durch Eingabe von 'netsetup' aufgerufen werden.

Der Satellitenserver muss den zentralen Masterserver an der Universität Freiburg erreichen können, um benötigte Metadaten und das MiniLinux-Grundsystem aktualisieren zu können. Umgekehrt erhalten nur autorisierte Serverinstallationen die benötigten Daten. Melden Sie daher die IP-Adresse Ihres Satellitenservers bitte an bwLehrpool@hs-offenburg.de, um Ihren Server freischalten zu lassen.

Achtung: Es ist aus Sicherheitsgründen empfehlenswert, die Erstkonfiguration (davon insbesondere die Registrierung des Admin-Nutzers) direkt nach Installation des Satellitenservers durchzuführen und die Erreichbarkeit der Admin-Schnittstelle auf das lokale Netz zu beschränken.

Anhang

Systemvoraussetzungen

Minimal Empfohlen Optimal
CPUs 1 2 4
RAM 1 GB 4 GB 4 GB
Netzanbindung 100 MBit 1 GBit – 10 GBit 10 GBit

Portliste

22 ssh global/lokal Wartungszugang
80 http lokal Admin-Schnittstelle
111 rcp lokal NFS-Mounts
443 https lokal Admin-Schnittstelle
2049 nfs lokal NFS-Server
3100+7) ldap lokal ldap-zu-AD-Proxy
9090 dozmod (thrift) global bwLehrpool-Suite
9091 dozmod (thrift), ssl global bwLehrpool-Suite, gesicherte Verbindung
9092 dozmod global bwLehrpool-Suite, Dateitransport
9093 dozmod global bwLehrpool-Suite, gesicherte Verbindung
Anmerkung: Wenn Dozierende von außerhalb des lokalen Netzes VMs hochladen bzw. Veranstaltungen verwalten sollen, müssen die Ports 9090 bis 9093 von außerhalb erreichbar sein.

Zusätzlich muss die Kommunikation mit dem zentralen Masterserver in Freiburg ermöglicht werden. Dazu müssen folgende Ports ausgehend freigegeben sein.

443 https global Masterserver
9090 dozmod (thrift) global bwLehrpool-Suite
9091 dozmod (thrift), ssl global bwLehrpool-Suite, gesicherte Verbindung
9092 dozmod global bwLehrpool-Suite, Dateitransport
9093 dozmod global bwLehrpool-Suite, gesicherte Verbindung

Bitte vergleichen Sie zum besseren Überblick auch die allgemeine Portliste.

2)
vmware-vdiskmanager ist in der VMWare-Workstation enthalten. Man vergleiche hierzu etwa https://www.vmware.com/support/ws55/doc/ws_disk_manager_examples.html, Auflistung der vmdk-Typen etwa hier http://sanbarrow.com/vmdk/disktypes.html.
5)
Es kann je nach Umgebung notwendig sein, auf dem NFS-Server eine Gruppe namens „images“ mit numerischer gid 12345 sowie einen User „dmsd“ mit numerischer uid 10001 zu erstellen. Die Primärgruppe des Users „dmsd“ sollte die Gruppe „images“ sein.
6)
VMWare-Player sowie ESX bieten die Möglichkeit, eine MAC zu generieren. Dies erfolgt auch bei der Angabe 'copied / kopiert“ beim ersten Start des Abbildes unter VMPlayer/Workstation/ESX.
7)
Der erste ldadp (ldap-AD-Proxy) belegt 3100; eventuelle weitere belegen 3101, 3102 usw.
Drucken/exportieren