群英汇软件安装手册,帮助管理员完成产品的部署,配置和软件升级。
Contents
|
1. 前提:Linux发行版和软件包管理
群英汇软件包部署在 Linux 操作系统上,是最安全和最经济的选择。目前支持的 Linux 发行版有:
Debian Lenny
Debian Sid
Ubuntu Jaunty
Ubuntu Karmic
1.1. Linux 发行版的选择
Debian, Ubuntu 同属于一个家族,本质上 Ubuntu 是 Debian 的一个变种。两者都使用 .deb 格式的软件包,使用 dpkg 相关命令对软件包进行处理:安装/升级/卸载...
Debian 家族和 Redhat 家族相比,在软件包管理上,更为便捷和先进,非常好的解决了软件包之间的依赖关系。
选择 Debian 还是 Ubuntu,主要看客户对两者的熟悉程度。对于特定的客户,可能 Debian 是最好的选择:
Debian 提供了完整的DVD安装光盘(5-6张DVD),包含了几乎全部的软件包(non-free除外)
Debian 完整软件安装光盘,让网络环境差,甚至不允许网络接入的客户能够正常,完整的进行操作系统的安装
Debian sid 的升级频率最快
1.2. 从光盘安装/升级群英汇软件包
将签名公钥加入 key ring
公钥文件位于光盘根目录 public.key
用 apt-key 命令将公钥导入:
$ sudo apt-key add public.key
对光盘的软件包进行索引,执行下面的命令
$ sudo apt-cdrom add
光盘中可能包含多个发行版,通过配置文件 /etc/apt/sources.list 进行配置
执行索引更新命令
$ sudo apt-get update
1.3. 从网络安装/升级群英汇软件包
将签名公钥加入 key ring
公钥文件位于 http://update.ossxp.com/public/public.key, 用 apt-key 命令将公钥导入:
$ wget -q http://update.ossxp.com/public/public.key -O - | sudo apt-key add -
将分配给客户的升级地址写入 /etc/apt/sources.list 文件
使用 Debian 发行版示例:
deb http://<YourName>:<YourPasswd>@update.ossxp.com/<ClientID>/debian lenny main contrib
使用 Ubuntu 发行版示例:
deb http://<YourName>:<YourPasswd>@update.ossxp.com/<ClientID>/ubuntu jaunty main restricted
执行索引更新命令
$ sudo apt-get update
2. 基础软件包安装
在 Linux 发行版安装完毕后,并且将群英汇软件包的升级源加入到系统的升级源列表中后,就可以进行基础软件包的安装了。
基础软件包的安装涵盖的内容有:
Linux 常用软件包安装和定制;
Web服务器相关软件包
邮件相关软件包
安全相关软件包
备份相关软件包
相关软件包列表:
类别 |
软件包名称 |
说明 |
Linux 定制软件包 |
ossxp-linux-base |
必选。Linux常用软件包及其定制 |
ossxp-linux-devel |
服务器不推荐。Linux 软件开发依赖包 |
|
ossxp-linux-desktop-core |
服务器不推荐。为 Linux 桌面包所依赖 |
|
ossxp-linux-desktop-light |
服务器不推荐。Linux轻量级桌面。针对轻量级桌面工作站 |
|
ossxp-linux-desktop-heavy |
服务器不推荐。Linux重量级桌面。只针对工作站,而不要在服务器上安装 |
|
ossxp-linux-fonts |
可选。中文字体 |
|
网站CA证书 |
ossxp-ssl-moon-ossxp-com |
可选。群英汇CA签名的证书,供本机测试 |
ossxp-ssl-foo-bar |
可选。群英汇CA签名的证书,供测试 |
|
应用定制,改进及增强 |
ossxp-apache2 |
必选。Web服务器增强 |
ossxp-php5 |
可选。PHP脚本引擎 |
|
ossxp-ntp |
推荐。时间服务器改进 |
|
ossxp-maradns |
可选。DNS服务器改进 |
|
数据备份 |
ossxp-backup |
必选。软件备份工具 |
安全相关 |
ossxp-secure-basic |
必选 |
ossxp-secure-opensesame |
可选。芝麻开门 —— ssh 等端口动态激活 |
|
ossxp-secure-fail2ban |
可选。防范暴力口令破解攻击 |
|
ossxp-secure-bastille |
可选。堡垒主机 |
|
ossxp-secure-fw-firestarter |
可选。带有图形配置界面的防火墙,适用于工作站 |
|
ossxp-secure-fw-shorewall |
服务器必选。基于配置文件的Linux防火墙,适用于服务器 |
|
邮件系统相关 |
ossxp-mail-base |
必选。邮件系统定制 |
ossxp-mail-ldap |
可选。基于 LDAP 认证的 SMTP 配置 |
|
ossxp-mail-dovecot |
可选。POP3 和 IMAP 服务器 |
|
ossxp-mail-dovecot-file |
可选。基于文件认证的 POP3/IMAP |
|
ossxp-mail-dovecot-ldap |
可选。基于LDAP认证的 POP3/IMAP |
2.1. Linux 定制软件包
软件包 ossxp-linux-base 是最重要的定制包之一,安装完毕后,有两个文件最为重要:
2.1.1. /opt/ossxp/install/base.py
这个脚本完成基本 Linux 软件包安装工作,并完成对重要配置文件的定制。
执行安装
$ cd /opt/ossxp/install/ $ sudo ./base.py install
对系统文件进行定制
$ cd /opt/ossxp/install/ $ sudo ./base.py config
2.1.2. /opt/ossxp/bin/ossxp_pkgadmin.py
这个脚本能够提交群英汇各个软件包的配置信息,能够实现:
汇总各个软件包需要备份的文件和目录列表,提供给备份工具作为备份列表。
$ sudo /opt/ossxp/bin/ossxp_pkgadmin.py list_backup
将群英汇各个软件包的配置文件中需要改动的内容以宏的方式提取出来
$ sudo su # /opt/ossxp/bin/ossxp_pkgadmin.py extract_macros > /etc/ossxp/packages/macros
打开文件 /etc/ossxp/packages/macros,对其进行编辑。
根据宏文件 /etc/ossxp/packages/macros 的设置,自动修改群英汇各个软件包的配置文件。遇到需要修改保存的文件,显示文件的 differ,如果用户输入 y,则对文件进行修改,如果输入 n,则放弃修改。
$ sudo /opt/ossxp/bin/ossxp_pkgadmin.py change_config_files
每次有新软件包安装或者执行 ossxp_pkgadmin.py change_config_files 报告有变量未定义的错误时,重复执行上述 2-4 步骤。
2.2. 网站证书
客户会获得一个定制的,名为 ossxp-ssl-<ClientID> 的软件包,内含群英汇签名的网站证书
自动建立符号链接 /opt/ossxp/ssl/certs/mydomain,指向第一个安装的 ossxp-ssl-* 软件包。如果用户安装了多个 ossxp-ssl-* 软件包,可能需要手动调整链接,指向正确的目录。
$ ls -l /opt/ossxp/ssl/certs/mydomain lrwxrwxrwx 1 root root 35 9月 3 20:02 /opt/ossxp/ssl/certs/mydomain -> /opt/ossxp/ssl/certs/moon.ossxp.com
群英汇签名公钥位于目录 /opt/ossxp/ssl/ca/ 下。可以通过 URL: http://your.server.name/ssl 访问到
如果使用 https 服务(例如安装了群英汇单点登录服务),建议在网页的明显位置提示用户安装群英汇公钥,以实现对 https 网站的自动信任。即用户点击 http://your.server.name/ssl 地址下的公钥文件,浏览器会自动进行公钥安装。
2.3. 应用定制
ossxp-apache2 和 ossxp-php5 软件包包含了群英汇自定义配置和改进,会被相关应用自动依赖。
ossxp-ntp 解决了 NTP 服务在第一次时钟同步时,可能由于时间向后调整,导致其他软件如 dovecot 异常退出。
2.4. 数据备份
2.5. 安全相关
参见 构建安全的服务器平台
2.6. 邮件系统相关
安装 ossxp-mail-base 完毕后,以 root 身份执行 /opt/ossxp/bin/exim4-config 脚本,完成对 exim4 服务的定制。
$ sudo /opt/ossxp/bin/exim4-config
下列目录包含邮件系统的更多配置示例,可以根据需要各取所需:
/opt/ossxp/examples/dovecot/
/opt/ossxp/examples/exim4/
3. 集中管理平台的安装
集中管理平台安装涵盖的内容有:
LDAP 服务器
用户管理系统
单点登录系统
相关的软件包列表:
类别
软件包名称
说明
LDAP服务器
ossxp-ldap
必选。OpenLDAP 服务器
ossxp-gosa-schema
必选。附加的 LDAP Schema
用户管理系统
ossxp-gosa
必选。用户管理软件包
ossxp-gosa-themes-classic
必选。缺省皮肤
单点登录系统
ossxp-cosign-daemon
安装在单点登录认证服务器。单点登录服务
ossxp-cosign-cgi
安装在单点登录界面服务器。登录界面CGI
ossxp-cosign-filter
安装在应用服务器上。应用服务器(Apache)插件
3.1. LDAP 服务器
Ubuntu 下配置 LDAP 服务器,参考: https://help.ubuntu.com/8.10/serverguide/C/openldap-server.html 。
LDAP 配置文件示例,参考下面的目录:
/opt/ossxp/examples/ldap
3.2. 用户管理系统
安装软件包 ossxp-gosa 之后:
使用 ossxp_pkgadmin.py 命令修改 ossxp-gosa 的配置文件(主要是 Apache 虚拟主机的配置)
ossxp_packageadmin.py 的使用,参考 这里
重启 Apache2
$ sudo /etc/init.d/apache2 reload
浏览器访问用户管理的 URL: https://your.server.name/
按照提示一步一步操作,即可完成安装。
3.3. 单点登录系统
3.3.1. 单点登录服务器的安装
一般情况下,单点登录验证服务器和CGI服务器在同一台机器上。
在单点登录服务器上安装全部的单点登录相关软件包:ossxp-cosign-daemon, ossxp-cosign-cgi, ossxp-cosign-filter
使用 ossxp_pkgadmin.py 命令修改单点登录的配置文件(主要是 Apache 虚拟主机的配置和 LDAP 服务器关联设置)
ossxp_packageadmin.py 的使用,参考 这里
重启 Apache2
$ sudo /etc/init.d/apache2 reload
浏览器访问单点登录服务器的 URL: https://weblogin.your.server.name/,并检查:
能否成功登录
登录后跳转到的 services 页面,是否能够显示您的个人信息
能否正常退出
退出后访问 services 页面: https://weblogin.your.server.name/services/,能否自动跳转到单点登录 URL
3.3.2. 应用服务器的单点登录支持
安装软件包 ossxp-cosign-filter
重启 Apache2
$ sudo /etc/init.d/apache2 reload
正确设置单点登录服务器 (cosign-daemon) 对应的 IP 地址
不能随意变更单点登录服务器的名称,因为名称和证书已经绑定。可以在 /etc/hosts 文件中设置 cosign-daemon 对应的 IP 地址。如:
192.168.0.2 cosign-daemon
可以使用 ossxp_pkgadmin.py 命令修改或者检查单点登录的配置文件
ossxp_packageadmin.py 的使用,参考 这里
3.3.3. 单点登录界面模板设置
登录页面模板位于目录 /opt/cosign/lib/templates-local
缺省的模板复制于目录 /opt/cosign/lib/templates
如果需要采用类似 Google 登录的界面,可以如下操作:
$ sudo rm -rf /opt/cosign/lib/templates-local $ sudo cp -a /opt/cosign/lib/templates_google /opt/cosign/lib/templates-local
修改登录页面的页首。编辑文件:
/opt/cosign/lib/templates-local/zh/inc/header.inc
修改登录页面的页脚。编辑文件:
/opt/cosign/lib/templates-local/zh/inc/footer.inc
登录页面显示的服务列表中修改、添加和删除服务。对下列文件进行相应操作,或者创建新文件:
/opt/cosign/lib/templates-local/zh/inc/0010_wiki.html
/opt/cosign/lib/templates-local/zh/inc/0020_scm.html
/opt/cosign/lib/templates-local/zh/inc/0030_bugtrac.html
...
4. 知识管理平台软件包安装
在 Linux 发行版安装完毕后,并且将群英汇软件包的升级源加入到系统的升级源列表中后,就可以进行基础软件包的安装了。
基础软件包的安装涵盖的内容有:
Linux 常用软件包安装和定制;
Web服务器相关软件包
邮件相关软件包
安全相关软件包
备份相关软件包
相关软件包列表:
类别
软件包名称
说明
知识管理平台
ossxp-moinmoin
必选。MoinMoin 维基
ossxp-moinmoin-locale-zh-cn
必选。MoinMoin 中文本地化包
ossxp-moinmoin-packages
必选。群英汇定制页面模板、群英汇帮助中心等
4.1. 软件安装和设置
当完成 ossxp-moinmoin 的安装之后:
使用 ossxp_pkgadmin.py 命令修改单点登录的配置文件(主要是 Apache 虚拟主机的配置和 LDAP 服务器关联设置)
ossxp_packageadmin.py 的使用,参考 这里
修改配置,从站点名称到认证方式等。编辑文件 /opt/moin/sites/default/conf/wikiconfig.py:
站点名称:
sitename = u'Untitled Wiki'
超级管理员:
将下面配置中的 YourName 替换为管理员(您)的 id,在完成后续设置后,可以在将该记录从 superuser 中删除。
superuser = [u"acl/SiteAdminGroup", "YourName"]
默认优先授权
将下面配置中的 YourName 替换为管理员(您)的 id,在完成后续设置后,可以在将该记录从 acl_rights_before 中删除。
acl_rights_before = u"acl/SiteAdminGroup:read,write,delete,revert,admin YourName:read,write,delete,revert,admin"
邮件相关设置
mail_from = u"noreply <noreply@foo.bar>"
theme_default = 'monobook'
认证模式
缺省的认证模式是最简单的基于 cookie 的认证
# * Default Auth Method ******************************** if True: ... 省略 ... # * HTTP Basic Auth Method ***************************** elif False: ... 省略 ... # * LDAP Auth Method *********************************** else: ... 省略 ...
修改为基于 LDAP 或者单点登录认证
# * Default Auth Method ******************************** if False: ... 省略 ... # * HTTP Basic Auth Method ***************************** elif False: ... 省略 ... # * LDAP Auth Method *********************************** else: ... 省略 ...
编辑页面 acl/SiteAdminGroup
将管理员 ID 加入到该页面中。
4.2. 页面初始化
当完成 ossxp-moinmoin-packages 的安装之后,在目录 /opt/moin/share/packages/ 下有下列页面压缩包:
包名
说明
common.zip
必选。核心页面定制
help_admin.zip
可选。帮助中心-管理员中心
help_jigsaw.zip
可选。帮助中心-集中管理
help_mailman.zip
可选。帮助中心-邮件列表
help_moin.zip
可选。帮助中心-知识管理
help_ossxp.zip
可选。帮助中心-开源软件
help_svn.zip
可选。帮助中心-Subversion
help_trac.zip
可选。帮助中心-Trac
samples_enterprise_monobook.zip
可选。企业首页定制
testcase.zip
慎选。测试用例页面
jiangxin.zip
可选。个人页面示例
安装过程:
将选择的页面压缩包作为附件上传到某个页面上
一个简单的办法是直接在服务器上进行复制:
$ sudo ln -s /opt/moin/share/packages/*.zip /opt/moin/share/underlay/pages/WikiSandBox/attachments/
以管理员帐号登录维基,访问页面 WikiSandBox
浏览 WikiSandBox 的附件
依次点击附件的 “安装” 链接,完成页面安装
5. 版本控制系统的安装
版本控制系统涵盖的内容有:
Subversion 版本控制
Websvn
Subversion 统计
Subversion 管理后台
相关的软件包列表:
类别
软件包名称
说明
Subversion
ossxp-svn-server
必选。伪包,自动完成服务器相关 SVN 软件包安装
ossxp-svn-client
可选。伪包,自动完成客户端相关 SVN 软件包安装
ossxp-subversion
必选。SVN核心软件包
ossxp-libapache2-svn
必选。Subversion 的 Apache2 模组
ossxp-python-subversion
必选。SVN 的 Python SWIG 绑定,SVN脚本扩展必须
ossxp-subversion-tools
必选。SVN 服务器脚本扩展
ossxp-subversion-source-patches
SVN群英汇代码补丁
ossxp-cvs2svn
可选。CVS 代码库向 SVN 代码库迁移
SVN 统计信息
ossxp-statcvs
依赖。为 ossxp-statsvn 所依赖
ossxp-statsvn
可选。提供 Subversion 统计
WebSVN
ossxp-websvn
可选。提供 Subversion Web 图形访问界面
SVN 管理后台
pysvnmanager
必选。提供 Subversion Web 管理后台,包括授权和插件管理
python-pybabel
依赖。为 pysvnmanager 所依赖
6. 项目管理系统的安装
项目管理系统涵盖的内容有:
Redmine 的部署
Testlink 的部署
相关的软件包列表:
类别
软件包名称
说明
Redmine
ossxp-redmine
必选。Redmine 核心软件包
ossxp-redmine-mysql
可选。伪包,自动完成 MySQL 数据库相关软件包安装
ossxp-redmine-pgsql
可选。伪包,自动完成 PostgreSQL 数据库相关软件包安装
ossxp-redmine-sqlite
可选。伪包,自动完成 SQLite 数据库相关软件包安装
ossxp-redmine-plugin-markdown-formatter
可选。Markdown 语法插件,基于 rdiscount, 可以替换 Redmine 缺省的 Testile 语法
ossxp-redmine-plugin-markdown-extra-formatter
可选。Markdown 语法插件,基于 BlueFeather, 可以替换 Redmine 缺省的 Testile 语法
TestLink
ossxp-testlink
必选。TestLink 核心软件包
ossxp-testlink-doc
可选。TestLink 联机帮助文档
7. 沟通系统的安装
沟通系统涵盖的内容有:
Mailman 的部署
相关的软件包列表:
类别
软件包名称
说明
Mailman
ossxp-mailman
必选。Mailman 核心软件包
ossxp-mailman-mta-addon-exim4
可选。Mailman 和 Exim4 整合软件包