Homedirmigration

From CT Wiki
Jump to navigation Jump to search

Home Directoy Migration

Samenvatting

Voor het einde van het jaar moeten wij alle data opslag van de project shares, de user homes en het gehele mail systeem overzetten naar een nieuwe apparaat. Vooral het overzetten van de home directories van gebruikers zal enige merkbare gevolgen hebben voor de gebruikers. Wij willen in het kader daarvan ook de beveiliging van de data en gegevens van elke gebruiker verbeteren. Deze operatie brengt een weekend "downtime" met zich mee, dit zal het weekend van 20 t/m 21 novermber worden.

Wat gaat er gebeuren?

In het kader van deze werkzaamheden gaan de volgende dingen gebeuren:

1. Afsluiting home directories en project directories

Deze operatie zal plaats vinden op zaterdag 20 november. Vanaf dit moment kan niet meer worden ingelogd op computers en servers inclusief het Stoomboot cluster. Verzeker je ervan dat je geen lopend werk hebt op die systemen en log vooraf overal uit.

2. Data migration

Gedurende dit proces wordt alle bestaande data vanuit home directories overgezet naar de nieuwe opslag. tegelijkertijd zullen we ook de shares van diverse projecten overzetten. Met name alice, atlas, bfys, lepcol, theorie.

3. Aanpassing toegangsrechten

In dit stap zullen alle home directories van gebruikers worden afgesloten voor andere partijen. Dit betekent dat alleen de eigenaar van een map in deze nog kan lezen en schrijven. Hetzelfde geldt voor alle submappen in jouw user home die met een hoofdletter beginnen want deze zijn altijd deel van een desktop omgeving die prive is. Het zal verder mogelijk blijven om derden toegang te geven naar mappen of bestanden in jouw user home, maar alleen met een directe pad. Direct na deze wijziging zullen anderen niet meer de inhoud van je user home kunnen bekijken, wel verder de diepte in gaan als jij ze expliciet de weg wijst. Ook jouw persoonlijke web pagina's in public_html blijven op die manier verder bereikbaar.

Wees verder voorbereid erop dat door de automatisering van deze operatie misschien dingen dicht kunnen worden gezet die nu nog open zijn, waardoor anderen onverwacht niet meer bij bepaalde bestanden kunnen komen.

Deze instelling kan door de gebruiker zelf aangepast worden nadat de migratie is afgerond. 
Hierbij geldt wel dat je je home directory niet voor anderen schrijfbaar mag maken 
(d.w.z. geen "full control",   "modify" of "write" toegang onder Windows, of een umask groter dan 0755, dwz. meer open dan "u+rwx:g+rx:o+rx"). 
Pas dus op dat je bij het leesbaar maken niet per ongeluk te veel open zet!
4. Heropening toegang

De user homes worden op de nieuwe locatie weer toegankelijk gemaakt. Vanaf dit moment kun je weer overal inloggen en je werk voortzetten. Dat zal voor begin van de werkdag op maandag 22 november gebeuren.

Als er na deze operatie problemen optreden bij het gebruik van je home directory, neem dan contact op met de helpdesk. Als je geen mogelijkheid hebt dit via netwerk te doen, bel dan (020) 592 2200

Waarom moet dat zo?

Voor diegenen die alle details willen weten en graag een gemotiveerd verhaal lezen: De reden voor deze operatie is in eerste instantie dat ons oude storage apparaat met het einde van dit jaar "end of life" is. Dat betekent dat er geen ondersteuning en geen vervangende onderdelen van de kant van de leverancier beschikbaar zullen zijn. Omdat de meest belangrijke data van ons instituut op die storage zit, moeten wij hem echt vervangen. Een nieuw aparaat hebben we al in gebruik en wij zijn al een tijd bezig om data over te zetten.

Het nieuwe storage systeem gaat op een andere manier om met toegangsrechten dan het oude systeem. Waar in het oude systeem verschillende sets aan toegangsrechten per bestand of map mogelijk waren tussen Linux en Windows, is in het nieuwe systeem nog maar één set aan toegangsrechten mogelijk. Het voordeel hiervan is in ieder geval dat de toegangsrechten wel altijd hetzelfde zijn.

Het gevolg is dat we nu een keuze hebben moeten maken welke toegangsrechten in het nieuwe systeem worden gebruikt. We kunnen dat niet aanpassen aan de wensen voor iedere gebruiker afzonderlijk. Daarom hebben we een keuze moeten maken, waarbij bestanden die nu ontoegankelijk zijn voor anderen, niet onverwacht wel openbaar worden. De veiligheid en privacy worden dus niet minder dan in de huidige situatie. Daar staat tegenover dat het mogelijk is dat bestanden die op het oude systeem wel voor anderen toegankelijk waren, dat in de nieuwe situatie niet meer zijn.


(Dit was:

Omdat de nieuwe storage anders werkt moeten wij deze keer kiezen welke toegangsrechten wij als "leidend" willen gebruiken. Dat betekent wel dat we ze aan een kant (Windows of Linux) op een verstandige standaard moeten zetten. Omdat we veel meer Linux gebruikers dan Windows gebruikers hebben, is voor deze variant gekozen. Dat betekent echter ook dat we de rechten zoals Windows gebruikers ze gewend zijn ook moeten kunnen waarborgen. Daarom wordt de toegang tot de user homes nu op dezelfde manier beperkt zoals Windows gebruikers dat al gewend waren. Tevens verbetert dit ook de veiligheid en privacy van iedereen ten opzichte van de situatie nu.

)

Abstract

Before the end of this year we will have to move all data storage from the project shares, the user homes and the whole mail system to a new appliance. Particularly the migration of the home directories will bring some changes. We also want to improve the security of your personal data and files while we are doing this. This operation will lead to a weekend of downtime, that will be the weekend from 20th to 21st of November.

What is going to happen?

1. Closing off home directories and project directories

This operation will take place on Saturday 20th of November. From this point onward you will not be able to log in on any Nikhef computer or server including the stoomboot cluster. make sure that you have finished all your work before this day and that you have no open logins to any Nikhef systems.

2. Data migration

During this operation all existing data will be moved from the old user homes to the new storage. At the same time we will move all data from several project shares. Specifically alica, atlas, bfys, lepcol theorie.

3. Adjustment of access rights

In this step we will close off all home directories for everyone except their owners so only they can read and write in those folders. The same will be applied to all subdirectories with capital letters because those always belong to a private desktop environment. It shall remain possible to grant third parties access to specific files or folders in your home directory, but only if you give them the direct path. Immediately following this adjustment, others will not be able to look at the contents of your home directory anymore, but they will be able to traverse it if you tell them where to go. Also your personal web pages under public_html will remain accessible this way.

Due to the automation of this operation, prepare for the possibility that things might get closed off that are now still open.

After the migration is complete, you yourself can change these permissions back, provided you do not grant write access to others. 
For Windows users, this means that you must not give "full control", "modify", or "write" permissions to e.g. the Authorized Users group or to "Everyone". For Unix users, your umask must not exceed "0755", i.e., it must not be more open than "u+rwx:g+rx:o+rx". 
Thus beware that you do not grant access to things that should be private (such as personal data of others).
4. Reopening of access

The user homes shall opened at the new location. From that moment on you will be able to log in again everywhere and continue with your work. This will be happening before the workday on Monday 22nd begins.

If there appear to be problems with your home directory after this operation, please contact the helpdesk. If you can't do that via netwok, please call (020) 592 2200

Why does this have to happen?

For those who like to know all the details and want to read a proper explanation: The reason for this operation in the first instance is, that our old storage appliance will be "end of life" by the end of this year. That means there will be no more support or spare parts available from the vendor. Because we have the most important data of our institute stored on this appliance, we really have to replace it with a new one. We have bought a new storage appliance and are using it for some time already and are migrating data to it.

Because the new storage works differently, we have to make a choice this time which kinds of access permissions we want to declare "leading". This means we have to set a reasonable standard on one side (Windows or Linux). Because we have a lot more Linux users than Windows users, we have chosen for that option. That does - however - mean that we also have to guarantee that Windows users get the access rights on their home directories which they are used to. That's why we will be setting the access permission in the way the Windows users were used to. Furthermore this will also increase the security and privacy for all compared to the situation as it is now.