实验室服务

实验室运行了一系列的网络服务，为各位同学提供便利。

LDAP 身份认证

• 地址：ldap://172.23.1.88/
• 服务器：fermat

实验室的 LDAP (Lightweight Directory Access Protocol) 服务为大部分的服务器、服务提供中心化的认证与鉴权服务。通常来说，用户可以在各处无感知地使用同一套凭据，也可以在任何服务器上进行修改。

如需将服务接入 LDAP，可参考 此文章，或联系管理员。

管理页面

为了方便使用，PACMAN 提供了 phpLDAPadmin 管理页面，用户登录后可以查看信息、添加公钥等。注意：此页面上不能修改密码。

此页面还可以用检查自己的账户状态：如果用户的 loginShell 为 /sbin/nologin，说明用户已经被管理员禁止登录服务器。

修改密码

当首次使用 LDAP 账号时，管理员会给用户分配一个初始密码。此时，用户必须先按下面的指示为自己配置公钥，然后登录任意一台服务器（如 jumper）来修改密码，否则无法使用 SSH 登录。修改密码时，需要先输入当前密码，然后再输入两次新密码，最后重新登录即可。

用户可以在支持 LDAP 登录的服务器上使用 passwd 命令修改密码（有本地用户时除外）。服务器上有 pam_cracklib 对新密码进行复杂性检查；LDAP 服务器也会对密码进行复杂性检查，允许的最小长度是 12 位。当任何一个检查未通过时，修改都会失败。

不要随意输入密码

除第一次登录必须修改密码外，登录集群 不需要也不能输入密码。 如果遇到相应提示，请务必谨慎，必要时请联系管理员。

SSH 公钥管理

PACMAN 所有的服务器均不允许使用密码进行 SSH 登录，只能使用公钥。为了方便用户，PACMAN 绝大部分服务器被配置为可以从 LDAP 数据库中提取公钥，用户不需要在多台服务器上放置多份公钥。

配置方式：

1. 使用 LDAP 用户名和密码登录 https://pacman.cs.tsinghua.edu.cn/ldap/。
2. 在左侧树中展开 ou=Users，找到自己的用户名（以 uid=<user> 开头）并点击。
3. （如果从未添加过公钥）在右侧上面的功能区点击“增加新的属性”，并选择 sshPuclicKey。
4. 在 sshPublicKey 属性对应的文本框中增加自己的公钥，格式与 authorized_keys 相同，每行一个。
5. 滚动到页面底部，点击 "Update Object" 按钮。
6. （重要） 在确认页面上再次点击 "Update Object" 按钮（注意网页可能很宽，需要滚动）。
7. 检查 sshPublicKey 文本框的内容是否正确。

配置完成后，用户应当可以在所有支持 LDAP 登录的服务器上使用自己的私钥登录。

不要在集群上放置私钥

如非必要，不要在集群上生成和放置 SSH key，更不能把自己的私钥复制到集群上（换句话说，不要留下 id_rsa, id_ed25519 等文件）。推荐使用 SSH agent 转发本地 key 用于认证，或者使用 ProxyJump (/-J) 等方式连接服务器。 Agent 的转发可以跨过多层 SSH 连接，而且不会在服务器上留下私钥，安全性更高。

关于 SSH agent 的配置可参考 1 2。

为了增强安全性，管理员会定期检查服务器上是否有用户放置私钥，如发现可能会做出相应的处理。

NetBox 设备管理

• 地址：https://pacman.cs.tsinghua.edu.cn/netbox/
• 服务器：diablo
• 认证：LDAP（sudo 组用户可编辑，ops 组可管理）

NetBox 是开源的设备管理系统，用于维护机房的各类设备详情（包括机器位置、编号）、网络配置（IP 分配、连接关系）、设备库存（如 GPU、网卡）等。

在对机房设备进行更改后，必须通知管理员修改 NetBox 中的相应信息，以保持记录和实际情况的一致性。

Grafana 监控系统

• 地址：https://pacman.cs.tsinghua.edu.cn/grafana/
• 服务器：diablo
• 认证：LDAP（仅有查看权限）

为了监控实验室各类设备和服务，实验室搭建了一套 Grafana 系统，目前提供以下监控：

• 机房用电：Power Dashboard
• nico, gorgon 和 conv 的 SLURM 使用：SLURM Dashboard
• nico, gorgon, bic 和 conv 的 IB 使用：Infiniband Dashboard
• 交换机网络流量：Switch Dashboard
• 打印机耗材：Printers Overview
• 某些服务器（需使用 Telegraf 显式接入）的系统整体情况：Telegraf: system dashboard

会议室预订系统

• 地址：https://pacman.cs.tsinghua.edu.cn/room/
• 服务器：diablo
• 认证：LDAP（仅可编辑自己的活动）

为了更好地管理 9-320 会议室的使用，防止冲突，使用开源软件 MRBS 搭建了一套会议室预订系统。 任何合法的 LDAP 用户都可以创建日程，包括单次和重复日程。

为了方便不具有 LDAP 账号的用户，此系统具有一个公共账号，用户名为 room，密码与 PACMAN 的 WiFi 口令相同。

个人主页

• 地址：https://pacman.cs.tsinghua.edu.cn/~username/（需要替换 username 为自己 LDAP 用户名）
• 服务器：fermat、web
• 认证：LDAP / SSH（仅可编辑自己的主页）

实验室为每个 LDAP 用户提供了个人主页服务。只需要将内容（仅支持静态页面）复制到 fermat 的 ~/public_html/ 目录下，即可被同步至网页服务器发布（同步间隔约为 10 分钟）。需要注意必须有 index.html 才能被浏览器显示，并且不支持列目录功能。

PanLeaf （实验性）

• 地址：http://panleaf.pacman-thu.org（仅限内网访问）
• 服务器：fermat
• 认证：LDAP，原来由 xl 维护的 ShareLatex 的用户可使用原有邮箱和密码登录
• 维护者：laekov

PanLeaf 是一个扩展版的 OverLeaf，除多人同时在线编辑 LaTeX 项目外，还支持了 pandoc markdown 语法，欢迎试用。（详见项目主页：https://github.com/laekov/panleaf）

注意，该服务不对数据安全作任何保证。重要数据请及时备份，涉密数据请勿使用。

PACMAN Guide

• 地址：https://pacman.cs.tsinghua.edu.cn/guide/
• 服务器：web

为了使新进入实验室的同学能够更好地使用各类资源，特编写了这本手册。