Der Webserverpark im ZIV

• Rainer Perske

• Westfälische Wilhelms-Universität
  Zentrum für Informationsverarbeitung
  Röntgenstraße 7-13
  48149 Münster

• perske@uni-muenster.de
  +49 251 83 31582 (fon)
  +49 251 83 31555 (fax)

Dokumentation:

http://www.uni-muenster.de/ZIV/Technik/WWW/

oder auch:   www.wwu.de/zv/tehcnik/weww

Inhalt

• Konzeption und technische Umsetzung
• URLs und Realisierungen
• Organisatorisches: Webspace beantragen
• Organisatorisches: Redirect oder Reverse Proxy beantragen
• Organisatorisches: Namenswahl
• Organisatorisches: Webspace einrichten
• Struktur: http://www.uni-muenster.de/NAME/ als Webspace
• Struktur: Andere URLs und Realisierungen
• Pflege: http://www.uni-muenster.de/NAME/ als Webspace
• Pflege: Dateisystem-Zugriffsrechte
• Pflege: SSH
• Pflege: SMB (Netzwerklaufwerke)
• Pflege: Sicherungskopien, Statistiken
• Steuerung: Eigene Einstellungen
• Steuerung: WWW-Zugriffsrechte
• Steuerung: WWW-Zugriffsrechte: Allgemeiner Fall
• Steuerung: WWW-Zugriffsrechte: Pseudo-Gruppen
• Steuerung: Pseudo-Cron-Jobs
• Inhalte: Verweise in WWW-Seiten
• Inhalte: Eigene Programme und Skripte
• Inhalte: Notfallvorsorge
• Vielen Dank für Ihre Aufmerksamkeit!

Konzeption und technische Umsetzung

• Dynamisch generierte Inhalte für alle Infoanbieter

• Weitgehende Konfigurierbarkeit durch alle Infoanbieter

• Skalierbarkeit und Performanz

• Ausfallsicherheit und Stabilität

• Einfaches Management

• Erweiterbarkeit und Anpassungsfähigkeit - schon etliche Male bewiesen

• Sicherheit - Datensicherheit, Datenschutz, Schadensbegrenzung

• Neu: Single Sign On

Grafik: Struktur - Skizze

Grafik: Struktur - Details

URLs und Realisierungen

Zu unterscheiden:

• URLs (WWW-Adressen)

  1. Verzeichnisbasiert:

     http://www.uni-muenster.de/NAME/
     http://www.wwu.de/NAME/
     https://www.uni-muenster.de/NAME/
     https://sso.uni-muenster.de/NAME/
     https://xsso.uni-muenster.de/NAME/
     https://ssso.uni-muenster.de/NAME/

  2. Hostbasiert:

     http://NAME.uni-muenster.de/
     http://www.NAME.uni-muenster.de/
     https://NAME.uni-muenster.de/ (nur in Ausnahmefällen)
     https://www.NAME.uni-muenster.de/ (nur in Ausnahmefällen)

  3. Domainbasiert:

     http://www.NAME.TLD/ (kostenpflichtig)
     https://www.NAME.TLD/ (nur in Ausnahmefällen)

• Realisierungen

  1. Webspace (Backend-Server und Plattenplatz im Webserverpark)
     normalerweise dedizierte VirtualHosts, ausnahmsweise (LearnWeb) dedizierte Apache-Prozessgruppen
     jeweils auf mehreren Backend-Servern parallel

  2. Redirect (Umleitung durch Frontend-Server auf andere Adresse)

  3. Reverse Proxy (Backend-Server und Plattenplatz auf Institutsrechnern, z. B. mit privaten IP-Adressen)
     mit oder ohne Lastverteilung

• Alle Kombinationen möglich

Organisatorisches: Webspace beantragen

• Zugriffsrechte hängen an Nutzergruppen

• Manuell gepflegte Bereiche: X0infoXX

• Imperia-gepflegte Bereiche: X6XXXXXX

• Antrag G durch für Finanzmittel Verantwortliche zwingend erforderlich

  • Bei gemischten Webspaces reicht ein Antrag für beide Gruppen

• Keine Kostenberechnung (außer Fremddomains oder Terabytes)

• Ausfüllhilfe:

  Titel/Thema der Arbeit: Infoanbieter „Name des Projekts“
  Ressourcen: Rechner: Webserverpark
  Falls Imperia-gepflegt: Ressourcen: Software: Imperia
  Falls manuell gepflegt: Ressourcen: Software: SSH / Samba
  Finanzierungsart: immer WWU, auch bei Drittmittelprojekten

Bitte immer vorher mit uns absprechen!

Ansprechpartner: R. Perske (manuelle Webspaces), W. Kaspar oder Online-Redaktion (Imperia-Webspaces)

Organisatorisches: Redirect oder Reverse Proxy beantragen

• Einrichtung auf Zuruf (Telefon, E-Mail)

• Nur durch Verantwortliche

  • Nutzergruppenleiter von Infoanbietergruppen

  • technisch Verantwortliche von Webservern

  • Online-Redaktion

  • usw.

• Nur Einzelfälle, keine Massen

Bitte immer mit uns absprechen! - Ansprechpartner: R. Perske

Organisatorisches: Namenswahl

• Verzeichnisbasiert: http://www.uni-muenster.de/NAME/ usw.

  • Grundsätzlich keine Dreibuchstabenkürzel

  • Grundsätzlich keine Begriffe, auf die mehrere Stellen Anspruch erheben könnten

  • Bei Bedenken und über Ausnahmen entscheidet Online-Redaktion i. A. des Rektorats

• Hostbasiert: http://NAME.uni-muenster.de/ usw.

  • Es gelten (nur) die allgemeinen Regeln für Rechnernamen in der WWU

• Domainbasiert: http://www.NAME.TLD/ usw.

  • Es gelten die einschlägigen Gesetze und dienstrechtlichen Vorschriften

Organisatorisches: Webspace einrichten

• Nutzergruppe muss bereits eingerichtet sein

• Alles weitere läuft auf Zuruf per Telefon oder E-Mail

  1. Vereinbarung der URL

  2. Einrichtung des Webspaces (Plattenplatz, Backend- und Frontend-Server)

  3. Weitere Wünsche, z. B. MySQL-Datenbank, Software usw.

  4. Plattenplatzquote (anfänglich 1 GB) erhöhen

Bitte lassen Sie sich durch uns beraten!

Schon vielen Nutzern haben wir viele unnötige Arbeit ersparen können.

Struktur: http://www.uni-muenster.de/NAME/ als Webspace

• Zugreifbar unter mehreren Webadressen:

  http://www.uni-muenster.de/NAME/ - ungeschützt
  http://www.wwu.de/NAME/ - für Visitenkarten, Veröffentlichungen
  https://www.uni-muenster.de/NAME/ - abhörsicher
  https://sso.uni-muenster.de/NAME/ - Single Sign On (Passwort)
  https://xsso.uni-muenster.de/NAME/ - Single Sign On (Zertifikat)
  https://ssso.uni-muenster.de/NAME/ - Single Sign On (Shibboleth)

• Frontends agieren als Reverse Proxy mit Lastverteilung auf verschiedene zivwebNN:

  http://www.uni-muenster.de/NAME/
  http://www.wwu.de/NAME/
  → http://zivwebNN.uni-muenster.de:1NNNN/NAME/
  

  https://www.uni-muenster.de/NAME/
  → https://zivwebNN.uni-muenster.de:2NNNN/NAME/

  https://sso.uni-muenster.de/NAME/
  https://xsso.uni-muenster.de/NAME/
  https://ssso.uni-muenster.de/NAME/
  → https://zivwebNN.uni-muenster.de:3NNNN/NAME/

  Jeder Infoanbieter hat ein eigenes NNNN auf mehreren zivwebNN

Struktur: Andere URLs und Realisierungen

• NAME.uni-muenster.de oder www.NAME.TLD als Webspace

  • Kein Imperia

  • Kein Single Sign On

  • HTTPS nur in Ausnahmefällen

  • www.NAME.TLD kostenpflichtig und unerwünscht (Corporate Identity)

  • Verzeichnisbaum /www/data/NAME/ - daher nur falls keine Kollision

• Redirects (Umleitungen) und Reverse Proxys

  • uni-muenster.de/NAME → irgendwas

  • NAME.uni-muenster.de → irgendwas

  • www.NAME.TLD → irgendwas (kostenpflichtig, aber als Umleitung erwünscht)

  • Pfade bleiben: www.NAME.TLD/ABC/DEF → irgendwas/ABC/DEF

• Gerne als Kombination

  • Redirect: http://NAME.uni-muenster.de/ → http://www.uni-muenster.de/NAME/

  • Webspace: http://www.uni-muenster.de/NAME/

Pflege: http://www.uni-muenster.de/NAME/ als Webspace

• SSH: upload.uni-muenster.de:/www/data/NAME/
  Login als: username
  Authentifizierung mittels SSH-Public-Keys (über MeinZIV hochgeladen)

• SMB: \\upload.uni-muenster.de\www\NAME\
  Login als: uni-muenster\username
  Authentifizierung mittels Active Directory

• Imperia: https://imperia.uni-muenster.de/imperia/
  Login als: username
  Authentifizierung mittels Imperia-Passwörtern

• Verzeichnisbaum:

  /www/data/NAME/ - Wurzelverzeichnis, nur für Infoanbietergruppe zugreifbar
  /www/data/NAME/htdocs/ - »Document Root« (kaum nutzbar)
  /www/data/NAME/htdocs/NAME/ - alle angebotenen Inhalte
  /www/data/NAME/imperialive/NAME/ - (R/O) per Imperia freigeschaltete Inhalte
  /www/data/NAME/home/USER/ - Unix-Homeverzeichnis (.bashrc, SSH-Schlüssel)
  /www/data/NAME/XYZ/ - frei für Installations- und Arbeitsdateien
  /www/data/NAME/sessions/ - empfohlen für Sitzungsdateien (nicht /tmp/ verwenden!)
  /www/data/NAME.logs/ - Error-Logdateien (live)

• Einbindung von Imperia-Bereich (Datei, Verzeichnisbaum) per SSH durch
  ln -sfn /www/data/NAME/imperialive/NAME/BEREICH /www/data/NAME/htdocs/NAME/BEREICH

Pflege: Dateisystem-Zugriffsrechte

• Alle Dateien: R/W by Owner, R/W by Group, R/O by Other!

• Sonst kann der Apache nicht zugreifen
  (dieser läuft teils als User=apache, teils als User=XinfoXX)

• Das Wurzelverzeichnis verhindert unbefugte Zugriffe:
  Owner=apache, Group=X0infoXX, Mode=dr-xrws---

• Zugriffsrechte werden bei Schreibzugriff via SMB erzwungen, bei SSH leider nicht

• Notfalls reparieren: /www/bin/repairwebspace NAME (oder mit MeinZIV)

• Innerhalb eines Webspaces keine Rechte-Differenzierung!

• Schreibzugriff hängt an Mitgliedschaft in Nutzergruppe

Pflege: SSH

• upload.uni-muenster.de

• Einzige Login-Methode: Public-Key-Authentifizierung

• Public Key wird mit MeinZIV auf Server abgelegt

  • Unix-Home (mit .bashrc, .ssh/authorized_keys) liegt im Webspace

  • Nicht als persönliche Ablage gedacht!

• Nach einmaliger Überwindung der Einstiegshürde genauso simpel bedienbar wie übliche FTP-Software

• Linux/Mac-Software: OpenSSH (ssh, scp usw.)

• Windows-Software 1: PuTTY plus Filezilla

• Windows-Software 2: SSH Secure Shell Client

• oder jede andere SSH-Software

• Ausführliche Anleitungen für obige Programme im WWW

Demo: SSH-Zugang mit PuTTY+Filezilla einrichten

Pflege: SMB (Netzwerklaufwerke)

• \\upload.uni-muenster.de\www (entspricht /www/data/)

• Anmelden als uni-muenster\username

• Erzwingt automatisch richtige Dateisystemzugriffsrechte

• Dafür keine Kommandozeile und keine Symlinks

• Achtung bei Steuerdateien .htaccess usw.: CR+LF → LF umwandeln!

• Nur aus dem lokalen Netz (oder mit VPN)

• Deshalb vielleicht doch besser SSH verwenden? Sie haben die Wahl.

Pflege: Sicherungskopien, Statistiken

• Zugriff auf TSM-Backup (nur per SSH):

  • restore [-inactive] [-pick] dateiname [neuerdateiname]

  • (erspart Angabe von -errorlogname=... und -asnode=zivweb)

• Zugriff auf Original-Logdateien und einfache Auswertungen:

  • https://mein-ziv.uni-muenster.de/wwwstat/

  • Zugriffshäufigkeiten (offen)

  • Original-Logdateien (geschützt)

    Anonymisierung durch Abrufer nach Auswertung gesetzlich vorgeschrieben!

  • Hinweise auf tatsächlich benutzte kaputte Links (geschützt)

Steuerung: Eigene Einstellungen

• Steuerdateien:

  • .htaccess für http://www.uni-muenster.de

  • .htsslaccess für https://www.uni-muenster.de

  • .htssoaccess für https://sso.uni-muenster.de u. a. SSO

  • Fallback, falls eine Datei nicht existiert

  • .htaccess.imperia für https://imperia.uni-muenster.de

    (Imperia-Vorschau, beschränkte Einstellmöglichkeiten)

• WWW-Zugriffsrechte (s. u.)

• Dateinamen von Titelseiten

• Eigene Fehlermeldungsseiten

• Eigene Umleitungen

• Server Side Includes (welche Dateien werden ge-parse-t?)

• Zuordnungen

  • Dateiendungen - MIME-Typen

  • Dateiendungen - Apache-Handler (CGI, PHP, As-is, ...)

    z. B.: AddHandler cgi-script pl

• u. v. a. m.

• Unix-Zeilenenden (LF), keine Windows-Zeilenenden (CR+LF)

Steuerung: WWW-Zugriffsrechte

• Nicht zu verwechseln mit Dateisystem-Zugriffsrechten

• Von Zugangskontrolle per IP-Adresse wird abgeraten.

  • funktioniert wegen Reverse Proxy auch anders als üblich

• Zugangskontrolle per Identitätsnachweis, allgemeiner Fall:

  • http://www.uni-muenster.de/NNN/ABC/
    Kein Zugang, Umleiten zu SSO

  • https://www.uni-muenster.de/NNN/ABC/
    Zugang für Gäste mit manuell vergebenem Gastpasswort
    (Auch für Vorlesungsskript-Passwörter o.ä.)

  • https://sso.uni-muenster.de/NNN/ABC/
    https://xsso.uni-muenster.de/NNN/ABC/ usw.
    Zugang mit ZIV-Nutzerkennung und Passwort/Zertifikat/usw.

  • Verteilung mit offener Vorschaltseite (unnötig falls nur ZIV-Nutzer oder nur Gäste)

• Verschiedene Alternativen siehe im WWW

Steuerung: WWW-Zugriffsrechte: Allgemeiner Fall

• Datei .htaccess

  RedirectPermanent / https://www.uni-muenster.de/

  Hier steckt die Umschaltung auf »Login erforderlich«!

• Datei .htsslaccess

  AuthName "Nur fuer eingeladene Gaeste"
  AuthType Basic
  AuthBasicProvider file
  AuthUserFile /www/data/NNN/gastzugaenge
  Require valid-user

  /www/data/NNN/gastzugaenge enthält manuell vergebene Nutzer und Passwörter

• Datei .htssoaccess

  AuthName "Nur fuer zweifelsfrei der WWU Angehoerige"
  AuthTypeBasic
  AuthBasicProvider dbm
  AuthDBMUserFile /www/data/usersso
  AuthDBMGroupFile /www/data/groups
  Require group gruppe gruppe nutzer nutzer pseudogruppe pseudogruppe

  Niemals Require user ... oder Require valid-user verwenden!

Steuerung: WWW-Zugriffsrechte: Pseudo-Gruppen

• Ausschließlich für WWW-Autorisierung verfügbar

• Nicht in WWU-Benutzerverwaltung, sondern algorithmisch hergeleitet:

  an=uni=sicher zweifelsfrei der WWU Angehörige*
  an=uni=unsicher wahrscheinlich der WWU Angehörige
  an=uni=stud Student(in)*
  an=uni=mitarb wiss. oder nichtwiss. Mitarbeiter(in)*
  an=uni=whk wiss. Hilfskraft*
  an=uni=shk stud. Hilfskraft*
  an=uni=lehr Lehrbeauftragte(r)*
  an=uni=emerit Emeritus/a*
  sys=pc-urz Zugang zu den PC-Pools (Domäne uni-muenster)
  sys=cms-imperia Zugang zu Imperia
  sys=ras-wwu Zugang zu den Einwahlzugängen
  sys=intro-wwu Darf Intro-Karte bekommen
  any=p0, any=q0, any=r0 Mitglied einer Nutzer p0*, q0*, r0*
  usw. (* = laut Verwaltungsdaten)

Weitere (Pseudo-) Gruppen bei Bedarf - Fragen Sie uns!

Steuerung: Pseudo-Cron-Jobs

• Schutz gegen Amok: Keine normalen Cron-Jobs

• Daily-Skripte

  • /www/data/NNN/cron/daily

  • wird täglich kurz nach 3 Uhr aufgerufen

• Häufigere Aktionen

  • /www/data/NNN/cron/XYZ.loop

  • Skripte werden alle 5 Minuten ausgeführt

  • Aber nur, wenn seit mehr als 5 Minuten beendet

  • → nicht mehrere gleichzeitig, maximal alle 10 Minuten

  • Für seltenere Ausführung: Am Ende: sleep $((NNN-600))

    stündlich: sleep 3000; zweistündlich: sleep 6600

Inhalte: Verweise in WWW-Seiten

• In verzeichnisbasierten Webspaces (www.uni-muenster.de/NNN/)

  wegen der verschiedenen URLs:

  niemals: <a href="http://www.uni-muenster.de/AAA/BBB/CCC">
  sondern: <a href="/AAA/BBB/CCC">

  niemals: <img src="http://www.uni-muenster.de/AAA/BBB/CCC">
  sondern: <img src="/AAA/BBB/CCC">

  niemals: <a href="https://sso.uni-muenster.de/perMail">
  sondern: <a href="/perMail/"> (mit Schrägstrich!)

  schreiben!

• Dann funktionieren Links, Bilder und Medien auch mit HTTPS und Single Sign On

  (Kein Secure-Insecure-Mix oder Wechsel der Authentifizierungsmethode mehr)

Inhalte: Eigene Programme und Skripte

• Apache-Handler

  • *.php wird mit PHP-Interpreter ausgeführt (zzt. PHP 5.3)

  • *.cgi wird als CGI-Program ausgeführt

    Bei Skripten: Hash-Bang-Zeile nötig

  • Ausführen von *.pl als Perl-Programm:

    Erste Zeile: #!/usr/bin/perl (mit LF, nicht CR+LF!)

    AddHandler cgi-script pl (in .htaccess & Co.)

• Anfragen werden willkürlich auf Server verteilt

  • Gemeinsames Dateiesystem /www/data/

  • Sitzungsdaten daher nicht in /tmp/

  • PHP: ini_set('session.save_path','/www/data/NNN/sessions');

• E-Mail-Versand: Envelope-Absender angeben!

  • PHP: mail($to,$subj,$msg,'','-f user@uni-muenster.de')

• Login-Username (auch Single Sign On)

  • PHP: $_SERVER['REDIRECT_REMOTE_USER']

  • andere: Umgebungsvariable REMOTE_USER

  • Abgesprochene Attribute in REMOTE_ATTR

• Eigene Kontrolle auf Zugehörigkeit zu (Pseudo-) Gruppe:

  • PHP: require_once('/www/data/groups.php'); if(is_array($groups)) if(is_array($groups[$user])) if(in_array($grp,$groups[$user])) ...

  • andere: /www/data/groups.txt lesen

Inhalte: Notfallvorsorge

• Bei erheblichen Problemen wird auf das Notfallsystem umgeschaltet

• Dort laufen keine Skripte oder Handler (PHP, CGI)
  (wohl aber Server Side Includes)

• Bei Zugriff auf Skripte: ErrSOS.html

• Falls andere Seite erwünscht:

  • Zu Datei XYZ.php eine Notfalldatei XYZ.php-sos.html anlegen.

  • Zu Datei XYZ.cgi eine Notfalldatei XYZ.cgi-sos.html anlegen.

  • Beliebiger HTML-Inhalt nach Wahl (aber kein Server Side Include)

  • Notfallsystem schaut bei Skripten nach solchen Notfalldateien