![[Zobrazit/Skrýt nabídky vlevo]](img/icons/oleftcol.png "[Zobrazit/Skrýt nabídky vlevo]"){kind=icon}
![[Zobrazit/Skrýt nabídky vpravo]](img/icons/orightcol.png "[Zobrazit/Skrýt nabídky vpravo]"){kind=icon}
KlientCeskaZemedelskaUniverzita
Česká zemědělská univerzita
Obecně
škola
Pracovní doba
8:00-18:00
Kontaktní osoba
Vedoucí OIKT SSS
Pavel Jirsa tel 4387 http://wp.czu.cz/cs/index.php/?r=1071&mp=person.info&idClovek=1326
Správa mailu a OES serverů
Jan Dvořák tel. 3325 http://wp.czu.cz/cs/index.php/?r=1071&mp=person.info&idClovek=9052
Jan Richter 3323
Licence
Jindřich Vlček tel 2471 http://wp.czu.cz/cs/index.php/?r=1071&mp=person.info&idClovek=1284
web
Servery
Email1.czu.cz - Hlavni SMTP server pro prijem
| Platforma | Linux | ||
| Popis a HW | HP Proliant DL 380 G4 | ||
| Účel | Hlavní SMTP server pro příjem | ||
| IP | 193.84.32.40-43 | ||
| Netbios/DNS | email1.czu.cz, email2.czu.cz | ||
| Umístění | v serverovně v racku č. 4 od prava, zcela dole | ||
| Datum nákupu/instalace | vlastní HW, není dodaný z UVT | ||
| Vzdálený přístup ILO | ilo.email1.czu.cz , ilo.email1.czu.cz | ||
UPS
Lokalni sit a internet
Internet
| Provider | CESNET - správa D.Fertšák 4388 | ||
| Linka | Optická linka | ||
| Pevná IP | sit 193.84.32.0 - 193.84.45.0/24 | DNS 193.84.32.93,94;193.84.33.3 | |
Stanice
| Windows XP | >1500, prioritní OS | ||
| Poštovní klient | GroupWise? 7.0.3, sporadicky ThunderBird? nebo MS Outlook (Lány) | ||
| Antivir | ESET NOD32 | licence má J. Vlček tel.2471 | |
| Office | MS Office Pro 2003,2007 - select | licence má J. Vlček tel.2471 | |
| Web browser | MSIE/Mozilla Firefox | ||
| Novell Client | alespoň verze 4.91 SP5 | ||
Servisní disk
\\OIKT\DATA\SSS
Instalační CD
Novell - má P. Jirsa
Nastavení pošty
| Protokol | GroupWise? port 1677 | ||
| POP3/IMAP | Pouze alternativně (studenti.czu.cz), z vnějšku jen SSL | ||
| servery | mail.domena.czu.cz,posta.domena.czu.cz | ||
| SMTP + port | mail.domena.czu.cz | 25 | |
| UVT se stará o hlavní poštovní cluster email1.czu.cz, email2.czu.cz | |||
Konfigurace EMAIL 1/2
Dulezite aplikace a data
Pošta na GroupWise?
Antispam GWAVA 3.6
Zálohování GWAVA Reload
Archivace GWAVA Retain
Management desktopů pomocí LanDesk? 8.8
Novell Servery NW65 OES1 SP7
Zálohování
| Platforma | HP Data Protektor - správa S. Jelen, H. Pinta | ||
Zálohovací schéma
| |||
| Externí záloha | Pásky | ||
| Schéma | 1 x měsíčně Full, jinak inkrementální | ||
Novy mx cluster
pristup ze Zabehlic
Mezi domeckem a MX clusterem CZU je udelan IPSEC spojujici sit 10.0.12.0/24 se siti 192.168.216.0/26. Pristup na jednotliva pole je uveden v nasledujici tabulce
| cluster IP (pouze z domecku) | IP | port | |
| node01@rektorat | 192.168.216.2 | 22 | |
| node02@rektorat | 192.168.216.3 | 22 | |
| ipmi node01 | 192.168.216.4 | 80 | |
| ipmi node02 | 192.168.216.5 | 80 | |
popis reseni clusteru
| VM IP | |||
| smtp.czu.cz | 193.84.35.130 | ||
| mx01.czu.cz | 193.84.35.131 | ||
| mx02.czu.cz | 193.84.35.132 | ||
| dbs.mxc.czu.cz | 193.84.35.133 | ||
| logger.mxc.czu.cz | 193.84.35.134 | ||
Pristupy:
| vsechny VM | root : 1:soHJz86rtpOhkPs= | ||
| nonroot pristup na logger | logreader:1:UTh8TXpmOCgI | ||
| mysql (root) | 1:My4LORIMUlFj | ||
| mysql (sqlgrey) | 1:wML/8ODht7Xlhg== | ||
| ldap | cn=Directory Manager : 1:rrOdnJiklc/P/g== | ||
| ldap | uid=mxcwriter,dc=sysusers,dc=mxc,dc=czu,dc=cz : 1:z4nOxa6Stb+7svw= | ||
| ldap | uid=mxcreader,dc=sysusers,dc=mxc,dc=czu,dc=cz : 1:+OnS28rExdDHkpHH0MzT+/Oi | ||
| web greylistu (https://193.84.35.133) | greylist : 1:FwEWCAA7Nj4+a1g= | ||
| ipmi@node01 | root: 1:noer7u/u7b6zjZDd | ||
| ipmi@node02 | root: 1:noer7u/u7b6zjZDd | ||
Vsechny VM maji povolen ssh/22 ze 178.17.1.67 (linux), 109.205.75.22(monitoring) a 31.170.176.3(backup).
Cluster se sklada ze dvou nodu, je standartni instalace s tim, ze na propoj drbd a clusteru se pouziva jeden bonding interface, jehoz slave ifacy jsou 10Gb ethernety spojene WDM SFP+ optikou (kvuli pozdejsimu rozdeleni clusteru do 2 budov). Fencing je zabezpecen pomoci IPMI. Uloziste je softwarovy mirror z 2x500GB raptoru spojenych DRBD. Virtualy jsou standartni OVZ, zadna neobvyklost.
Sitovani je rozdeleno na 2 casti - clusterova sit (mgm a ipmi+fencing) je v separatni VLAN kam nema nikdo pristup (nastaveno na FW CZU), v ramci vlany komunikace neomezena. Je to sit 192.168.216.0/29, GW 192.168.216.1. Tato sit je spojena IPSECem s domeckem, proti siti 10.0.12.0/24. IPSEC na strane CZU nastavoval varecha v(e) compunet.cz, znalej chlapik, v pohode.
Virtualni servery jsou spojeny bridgem do VLANy verejnych IP adres CZU, maji zvenci omezene porty pouze na vyjmenovane (monitoring, sprava od nas, zalohy atp), nicmene v ramci site CZU (nevim jak velky subnet) je pristup neomezen, cili bude nutno dodelat FW primo na strojich.
Zalohy virtualu jsou provadeny z naseho hostingoveho backupu vyjma logu z log serveru, ktery se zalohujou na CZU. My se starame o system, CZU o logy, takze podle toho se deli zalohovani.
popis funkce mx clusteru
Pozadavky jsou tyto: prijem posty s antispamem/antivirem/ucenim AS, dale odesilani posty skrze povoleny relay/autentizaci. Z toho duvodu je na clusteru 5 VM:
| smtp.czu.cz | odesilani pres relay/overeni | ||
| mx01.czu.cz | prijem pro domeny *.czu.cz + antispam | ||
| mx02.czu.cz | prijem pro domeny *.czu.cz + antispam | ||
| dbs.mxc.czu.cz | pomocny virtual - ldap, mysql, dns | ||
| logger.mxc.czu.cz | logovani ze vsech VM | ||
Popis funkcionality serveru:
logger.mxc.czu.cz
Sbira logy ze vsech ostatnich serveru aplikaci syslog-ng, ktera je nastavena na trideni logu dle urceni, data atp. Ostatni virtualy maji vlastni logovani vypnute, resp. presmerovane prave na logserver.
dbs.mxc.czu.cz
DBS sdruzuje nekolik databaze, proto dbs. Jedna se zejmena o LDAP, dale mysql a pomocny DNS server. LDAP je zasadni zalezitost pro prijem posty, nastavuje se v nem prakticky vse a pouziva ho postfix, dovecot a amavis. V mysql je pak bayes db pro antispamy a take si tam uklada udaje greylist sluzba. DNS server tam bezi, aby vsechny servery pouzivali "spolehlivy" DNS server na resolvovani. V nasem pripade je to unbound, rekurzivni NS.
mx01.czu.cz & mx02.czu.cz
MX servery prijimaji postu pro vsechny domeny na nich nastavene. Jejich funkce je velmi podobna mailserverum ebrany, advertures a dalsich. Postfix pri prijem posty, amavis pro antispamovani a dovecot v omezene funkcionalite kvuli uceni antispamu.
Postfix bere z LDAPu seznam prijimanych domen, aliasy pro dane domeny, nastaveni amavis filteru a transport mapu. Dale postfix zjistuje z ldap.czu.cz (centralni ldap na CZU ktery konsoliduje ldapy jednotl. fakult, directory adresare internich mailserveru atp.) existenci prijemcu. Doposud bylo prijimano vse a tim byl zatezovan odspamovavaci mechanismus.
Nicmene v prubehu implementace se ukazalo, ze ldap.czu.cz NEobsahuje vsechny schranky vc. domeny, napr. drahotova v(e) fle.czu.cz ma jeste mailbox drahotova v(e) fld.czu.cz, ale tento uz v ldapu neni, je pouze v internim directory adresari mailserveru FLE, ale neni a nelze ho exportovat do ldap.czu.cz.
Z toho duvodu se na postfix pridal jeste dotaz, ktery mimo celeho emailu kontroluje jeste uid*, cili pokud existuje drahotova<cokoliv>, prijme mail i pro schranky ktera v ldap.czu.cz neni videt. Ma to i slabou stranku v tom, ze pokud prijde email na m@cokoliv, tak je prijmut, protoze mailbox zacinajici na "m" zcela urcite na czu bude. Nicmene je to mnohem lepsi nez kdyz se prijimalo uplne vse.
Dalsim podstatnym atributem pro postfix je defaultDelivery, z toho atributu postfix cte, kam ma email predat, cili vetsinou fakultni mailserver.
Amavis si z ldapu bere nastaveni/vyjimky atp pro danou domenu plus si bere zasadni parametr amavisSaUserName, ktery urcuje jakou bayes db ma spamassassin pouzit. Jak bylo napsano vyse, bayes je v mysql, takze pokud chceme aby vice domen pouzivalo tentyz bayes, pouzijeme totozne amavisSaUserName. Napr. fakulty pod FLE toto pouzivaji.
Dovecot si z ldapu bere ucet pro schranky spam@<domena>, kam administrator domeny vklada emaily k uceni antispamu a cron skript z toho uci patricnou bayesovou db. Dovecot bezi pouze na MX01, protoze staci ucit sdileny bayes pouze jednou.
SQLgrey je pomocny daemon, ktery pouziva postfix jako policy server. Tento demon pouziva mysql jako uloziste dat, takze to zarucuje spolecna data pro mx01 a mx02. Demon dela klasicky greylist, kdy na 3 minuty odlozi doruceni posty. PRes webove rozhrani umoznuje nastavovat whitelist pro "sender" a pomoci konfiguracniho souboru umi whitelistovat sender IP. Aby nebyla potreba upravovat na mx serverech z hlediska spravce CZU cokoliv, je v /usr/local/scripts/generate_subnets.pl skript, ktery vezme z LDAPu zadane subnety a vygeneruje z nich konfiguraky kazdou minutu. Pokud skript detekuje zmenu v konfiguraku, nahraje novou verzi a sluzbu restartuje. Tento skript generuje celkem 3 konfiguraky pro ruzne potreby celeho clusteru, viz popis primo ve skriptu.
Pokud je nejaky problem s mysql, greylist server dela jakoze nic a pousti postu bez zdrzovani.
CZU Bosson Storage
pristup ze Zabehlic
Mezi domeckem a MX clusterem CZU je udelan IPSEC spojujici sit 10.0.12.0/24 se siti 192.168.216.0/26. Pristup na jednotliva pole je uveden v nasledujici tabulce
| cluster IP (pouze z domecku) | IP | port | |
| storage1-1@bcd | 192.168.216.10 | 22 | |
| storage1-2@rektorat | 192.168.216.13 | 22 | |
| storage2-1@bcd | 192.168.216.16 | 22 | |
| storage2-2@rektorat | 192.168.216.19 | 22 | |
| ipmi storage1-1 | 192.168.216.11 | 80 | |
| ipmi storage1-2 | 192.168.216.14 | 80 | |
| ipmi storage2-1 | 192.168.216.17 | 80 | |
| ipmi storage2-2 | 192.168.216.20 | 80 | |
| areca storage1-1 | 192.168.216.12 | 80 | |
| areca storage1-2 | 192.168.216.15 | 80 | |
| areca storage2-1 | 192.168.216.18 | 80 | |
| areca storage2-2 | 192.168.216.21 | 80 | |
| sluzba | login | heslo | |
| areca@storage1-1 | admin | 0000 | |
| areca@storage1-2 | admin | 0000 | |
| areca@storage2-1 | admin | 0000 | |
| areca@storage2-2 | admin | 0000 | |
| ipmi@storage1-1 | ADMIN | 1:ICE6NjElcndD | |
| ipmi@storage1-2 | ADMIN | 1:GxoBDQoeSUt4 | |
| ipmi@storage2-1 | ADMIN | 1:LC02Oj0pfntP | |
| ipmi@storage2-2 | ADMIN | 1:entgbGt/KCoZ | |
![[přepni]](javascript:icntoggle('mod-Application_Menuleft1','module.png'); "[přepni]"){kind=small}