LINUX.ORG.RU

Сообщения TepakoT

 

Webmin File Manager и кириллица в пользователях. И пробелы.

File Manager в Webmin не выводит ACL с кириллицей. В настройках задал выводить колонку ACL в списке файлов, вот там и не работает, и в Properties объекта тоже не отображается. Только user: user: user: С латиницей проблем нет никаких. Помогите модернизировать, очень надо.

(кстати, user/group выводит корректно и с пробелом «иванов:пользователи домена»)

Я так понимаю проблема в index.cgi. Если Properties в другом месте - я найду, как только с этим разберусь.

# List ACLs
    if ($userconfig{'columns'} =~ /acls/ && get_acls_status()) {
        my $command = get_list_acls_command() . " " . join(' ', map {quotemeta("$_")} @list);
        my $output  = `$command`;
        my @aclsArr;
        foreach my $aclsStr (split(/\n\n/, $output)) {
            $aclsStr =~ /#\s+file:\s*(.*)/;
            my ($file)  = ($aclsStr =~ /#\s+file:\s*(.*)/);
            my @aclsA = ($aclsStr =~ /^(?!(#|user::|group::|other::))([\w\:\-\_]+)/gm);
            push(@aclsArr, [$file, \@aclsA]);
        }
        %acls = map {$_->[0] => ('<span data-acls>' . join("<br>", (grep /\S/, @{ $_->[1] })) . '</span>')} @aclsArr;

Пытался я всунуть [\w\:\-\_\x{0400}-\x{04FF}]+, но ничего не изменилось. Точнее я много чего пробовал и а-я и iscyrillic тоже. Или ошибка в регулярке или с кодировкой Webmin’а что-то.

Вот в таком виде права от getfacl

# file: srv/samba/testplan
# owner: root
# group: пользователи\040домена
user::rwx
user:иванов\040м:rwx
user:петров:rwx
user:сидоров:rwx
group::r-x
group:support:rwx
mask::rwx
other::---

Надо ещё и с \040 что-то делать. Охренеть. Ну учитывая, что это только информативный вывод, то похрен как, лишь бы показывалось.

 , , ,

TepakoT
()

В чём создавать документацию со вставками конфигов и выводом консоли?

Требуется инструкции кое какие оформить, нужен редактор какой-то, чтоб вывод консоли красивым Droid Sans Mono Slashed и чтобы понятно было что прям консоль-консоль и конфиги как-то выделить. Скриншоты вставить (нет). И с кнопочками редактор, выделил фрагмент - «Это код, делай красиво». Даже markdown устроил бы, но редактора не вижу и как распространять, надо людям в чём-то привычном отдать, хоть в pdf выгнать. Вы как документацию создаёте?

 

TepakoT
()

А как Proxmox монтирует mountpoint (второй «диск») к контейнеру? Не вижу настроек.

Если создать unprivileged контейнер в вебморде и на этапе настройки указать второй диск, то никаких проблем. А вот ручками создал thin том, примаунтил через конфу и denied. Понятно, unprivileged, bla-bla-bla. А вопрос не о том, а как Proxmox так делает по дефолту, что ни в конфигурации контейнера, ни во всяких subuid никаких следов и всё работает? Тоже так хочу, без этих заморочек с маппингом.

PS Правда я в конфе size не указал, но не из-за этого же denied

 , ,

TepakoT
()

Proxmox на лезвии IBM BladeCenterS'а, что-то диски в storage module не аллё.

Поставил тут на лезвие (диск внутри) BladeCenter S proxmox, на удивление всё подхватилось. А с дисками начались проблемы. С полки DS3215 6Tb руками присобачил multipath (кстати, подскажите как скрыть ghost-диск, раздражает и ошибками сыпет), а вот с модулей (1слева,1справа) 2x2Tb ведут себя странно. Вижу норм, smartctl норм

( читать дальше... )

могу разделы создать. Но не форматируется ни руками ни proxmox’ом directory не создаёт.

lshw (только сейчас заметил, почему такая разница между size и capacity?)

( читать дальше... )

lsscsi (sdd/sde, два брата-акробата)

( читать дальше... )

fdisk

( читать дальше... )

Ошибка proxmox на вайпнутом диске

( читать дальше... )

Попробовал dd занулить - ругается в конце. И опять та же ошибка при попытке создать directory, ext4.

( читать дальше... )

Меня немного смущает, что Logical Unit id: 0x5000cca01b9c0220/0x5000cca01bc33da0 отличается на единицу от того что я вижу в zoning 5000CCA01B9C0221/5000CCA01BC33DA1. Я бы подумал что пытаюсь использовать фантомный диск, но до корзин ведь не multipath.

 , , ,

TepakoT
()

FreeIPA и sudo. Alt-клиент и права на sudo. Починил или окостылил?

freeipa на alt. На freeipa задано группе admins sudo везде, любой и всюду. Логин доменным пользователем с клиентов debian и alt без проблем. В debian sudo без вопросов, вообще, совсем. В alt «bash: /usr/bin/sudo: Отказано в доступе» хоть тресни. Глаза сломал вычитывая sudo_debug, sudoers_debug, sssd_sudo.log, sssd_prox.loc.log. Потом подумалось, мне же пишут что с /usr/bin/sudo проблема. Сравнил права

debian -rwsr-xr-x 1 root root 182600 Jan 14 16:29 /usr/bin/sudo
alt    -rws--x--- 1 root wheel 186928 Sep 12  2021 sudo

Поставил в alt -rwsr-xr-x и всё побежало. Вот и возникает вопрос в чём косяк. Может надо было на freeipa указывать группу wheel но об этом забыли написать? sudo в минимальной установке не было, может его надо было установить, а freeipa-client-install права бы поменял? Хотя у меня сейчас и su

dadmin@alt ~ $ su -
bash: /bin/su: Отказано в доступе

Вот что не так? В дебе же всё в шоколаде.

 , ,

TepakoT
()

Как во FreeIPA кучу инфы собрать по объекту?

Мне всё покоя не даёт фраза «Чтобы можно было из одного источника вытащить ответ на вопрос типа «какой номер телефона у сотрудника, который является ответственным за устройство, имеющее прямо сейчас IP адрес 2001:db8::1234».» @kmeaw, всё выдумываю повод, чтобы этот вопрос вкорячить. Писал на powershell скрипт который по IP/телефон/MAC вытаскивал всю инфу из AD, телефон->юзер-комп, PC MAC->юзер-телефон и т.п. Но фраза относилась к связке LDAP-Kerberos-DNS-DHCP, пробовал я это на Debian поднять - не взлетает из-за bind-dyndb-ldap, ну не суть, взял Альт, поставил FreeIPA, прикрутил DHCP с rndc, всё шикарно, а как инфу вытаскивать и побольше связанной? Скриптом? ldapsearch и по одинаковым значениям сравнивать? Хочу по MAC телефона размер обуви узнавать. Дайте направление.

PS У freeipa плагины же есть, пойду пока погуглю.

 ,

TepakoT
()

OpenLDAP+Kerberos. Principal add failed: Insufficient access while creating

kadmin.local
Authenticating as principal root/admin@PROX.LOC with password.
kadmin.local:  addprinc bob
No policy specified for bob@PROX.LOC; defaulting to no policy
Enter password for principal "bob@PROX.LOC": 
Re-enter password for principal "bob@PROX.LOC": 
add_principal: Principal add failed: Insufficient access while creating "bob@PROX.LOC".

Три дня люблюсь. Сдаюсь. В чём подвох? Надо write для kdc? Или пробел лишний где-нибудь, с которым я час …. Делаю по этой …. https://wiki.debian.org/LDAP/OpenLDAPSetup#Kerberos С начала и до kadmin.local для проверки дошёл.

PS Пошёл по пути kdc и kadmin, oclAccess для них давал. root’у ничего не давал.

PPS Я всё проскочил и сразу на kerberos. Может чего пропустил, как они любят в другом месте указать то без чего не работает вообще. А там и нет ничего, а индексы я вкорячил.

 ,

TepakoT
()

Как в LDAP красиво всё разложить?

Есть возможность с нуля всё сделать (раз в жизни такой шанс), не хочется всё зафакапить, такскать фундаментальных ошибок наделать. 30 отделов, 300 пользователей. Тут подсказывают, что пользователей лучше татуировать QR-кодом на лбу и модулем в Xeoma отслеживать нумеровать, фамилию которую могут сменить хранить в surName, полное ФИО в DN, юзеров в отделы не пихать (подразделения отдельно хранить) по той же причине переименований, перемещений и перестановок, а сервисы DNS и DHCP выносить надо в ветку services. Звучит здраво, но кое что не понятно. Логиниться по 12846 вместо фамилии по русски грустно. А как пользователей к отделам привязать? Как бы вы сейчас сделали, если бы была возможность начать с нуля?

Перемещено leave из talks

 ,

TepakoT
()

Зачем нужно внедрять dns и dhcp в ldap?

Сабж.

Нужно ли это одному realm с 250 компов и одним доменом?

 , , ,

TepakoT
()

Куда переехать с ..яндекса с тремя ящиками и одним доменом?

Хотел почту со своим доменом - сделал несколько лет назад. А теперь и не соскочить, на каждом сервисе при регистрации свой алиас. Готов платить, с карточки, рублями. Но не за гигазы диска и нахрен ненужную видеосвязь. Мэйлру - лесом, вопрос времени когда они бабки тоже захотят, лучше сразу выбрать что-то надолго. Пока нашел контору за 120 рублей, тоже под корпоратов, и rucenter за 99 что-то предлагает. Еще в Ростелеком (инет от них дома) надо написать, там что-то рядом похожее. Какие ещё есть варианты? Свой сервер не буду, я уже наигрался в это всё, 25 лет назад я бы ооо, а теперь ягод в ягодицах всё меньше.

 ,

TepakoT
()

SIP PNP (auto provisioning) сервер надо

Друзья, нужно что-то отвечающее NOTIFY (provisioning server) с 224.0.1.75 на SUBSCRIBE от телефона audiocodes. SIP Plug&Play, ну вы знаете. Я понимаю, что нет RFC - нинужно. Хочу уйти от DHCP option, DNS имя ProvisioningServer тоже не хочу, хочу SUBSCRIBE-NOTIFY, модуль какой к asterisk в идеале. Или сервис какой. На крайняк скрипт. Сейчас смотрю https://github.com/pbertera/SPLiT на пихоне, может с него чего наковыряю если совсем всё плохо.

 , ,

TepakoT
()

Подскажите почитать что-нибудь дельное по SIP

Понятно, что это надо изучать на годичных курсах. Но я не инженер SIP и внедрять в промышленных масштабах пока ничего не собираюсь. Мне просто понять, как через астериск выпустить 160 абонентов (сделано) и принять 40 городских номеров. А не вот это вот «диалплан - сердце, всё готово, вам звонят благодарные клиенты слушают hello-world». А понимания как идут городские номера мне так и не пришло. Да и вообще маршрутизацию не понял. Как SIP-сервер реципиента ищется? Записи в DNS по этому домену? Там ip веба обычно. А межгород входящий на мой городской? Федеральный номер преобразуется сразу в URI? В общем нихрена не понятно. У нас тут 40 входящих в Е1 одного прова, исходящие в SIP на другого через интернет третьего. Надо бардак фиксить. А я саппортам даже нормальных вопросов задать не могу, а уж про ТЗ как нам надо вообще молчу.

Перемещено leave из talks

 ,

TepakoT
()

Cisco wireless controller не видится.

Друзья, помогите разобраться, хочу сам понять, что не так, дайте направление. Жил да был контроллер 2504 воткнутый в стэк x8 SG500X-48. Причём всеми четырьмя портами воткнутый в 48-ые порты 1-2-3-4 юнитов, port-channel, ага (ЗАЧЕМ!?). Из сетки вебморда контроллера виделась, тарелки в другом VLAN не виделись контроллером (говорят всё работало). Надо починить, решил я сначала с кабелями разобраться и сломал нахрен этот ваш etherchannel. Бы предупреждён о переносе всех интерфейсов на один порт. Не беда, развёл руками, 1-ый - management (gi1/1/48), 2-ой - гостевая wireless на vlan 3 (gi2/1/48). На 500X конечно тоже LAG 1 развалил. И всё. Из сети вебморда недоступна. arping девайс видит. Девайс орёт на всю сеть, ищет шлюз и ntp, а ему никто не отвечает. При прямом подключении ноута в 1-ый порт вебморда открывается. А хочется из сети видеть, в серверной холодно же. Есть какой-то нюанс, мной упущенный, навроде недоступности из локалки для безопасности или что? Должно же работать.

Единственно что не делал - конфигурацию на 500X не сохранил, должны же и так применяться изменения? Ещё virtual поменял на 10.11.12.13, но это к wireless относится, а тут дела локальные. gi1/1/48 untagged trunk. Там всё trunk. И папа его trunk.

Перемещено leave из talks

 

TepakoT
()

На какой сервер домена смотреть в современных реалиях?

Простите за тупой вопрос, не погружался глубоко в эту тему. Давайте по импортозамещению снесём всё и с нуля построим. Нужна авторизация на 300 компов, права всякие, ACL. Чтоб с Asterisk и почтой дружило. На Debian с вебмордой. Думал вжух и всё. Хрен там. Ладно, основа это LDAP. Хотелось бы что-то мышевозное, чтобы после настройки другие могли пользователями и правами порулить. Конечно сразу всплыла FreeIPA. Ок. В Debian никак. Ок. Поставил на Centos. Centos больше не обновляется, сомнительно. Fedora, как и Centos полигон для RHEL. Что-то как-то на производстве не аллё. Ладно, Gosa же есть. Да, в протухших статьях, уже была Gosa2, уже переросла в ещё что-то и там тоже протухла, ни доков ни хаутушек. FusionDIrectory? Это кто, это что, это чьё, какие перспективы через 5-10 лет? Или всё-таки погрузится в голый LDAP+Kerberos? Но хочется хоть какую-то примитивную вебморду. Хоть webmin. И ещё, оффтопик на птичьих правах с перспективой полного выселения, так что костыли не нужны и Samba как DC не то к чему хочется стремиться. Ещё раз простите за поток мыслей, за две недели осмысления как заменить всё работающее в одной экосистеме на другую можно и крышей поехать.

PS Вот в proxmox же всё хорошо и красиво и lxc-create гуями покрыт. Я за то, что основы надо знать, но не клонировать же меня на время отпуска.

 , , , ,

TepakoT
()

Почти разобрался с lxc.net.0.veth.mode = router, но есть вопрос к sysctl proxy_arp=1

Как первопроходец использования режима router для veth lxc докладываю:

необходимо и достаточно (Debian 11)

lxc.net.0.type = veth
lxc.net.0.veth.mode = router
lxc.net.0.link = eth0
lxc.net.0.veth.pair = test4veth
lxc.net.0.ipv4.address = 10.10.10.234/24
lxc.net.0.l2proxy = 1
lxc.net.0.hwaddr = 00:16:3e:97:b3:3b
lxc.net.0.flags = up
sudo sysctl -w net.ipv4.conf.test4veth.proxy_arp=1
sudo sysctl -p

Но есть проблема которая всё ломает - это конечно же отсутствие test4veth в момент остановки контейнера. Ребут - proxy_arp=0. Старт-стоп - слетела в ноль. Есть подозрение, что ко всяким vethMBbgcY, proxy_arp=1 должно системой применяться при запуске контейнера, при наличии lxc.net.0.l2proxy = 1. Или я что-то не докрутил или надо рисовать костыль. Помогите идеями, плиз.

PS А ещё хотелось бы получать IP в контейнере от DHCP, но без IP в конфиге он просто не запускается с ошибкой сети.

 , , ,

TepakoT
()

eth0@if24 это что за «if»?

Подскажите плиз зачем там at и что за if? Гуглить не получается, запрос больно специфический, был бы амперсанд хотя бы…

 ,

TepakoT
()

LXC в Debian 11 Bullseye сломано?

Хотел lxc.net.0.veth.mode = router пощупать, апнулся до bullseye (да и в чистой пробовал), а контейнеры не запускаются, те что были - в хламину, а свежесозданный только через systemd-run –user –scope -p «Delegate=yes» lxc-start -n test2

Кто виноват и что делать? Хрен бы со scopами всякими вручную, но автостарт как делать?(не пробовал). Починят или как? Ждать или гуглить? Грамотной статьи по переходу на cgroupV2 не нашёл, а…

Cgroup v1 systemd controller: missing
Cgroup v1 freezer controller: missing
Cgroup namespace: required

…вообще раздражает.

 ,

TepakoT
()

Нужно установить драйвер nvidia на headless сервер Debian 10 Buster.

Для видеонаблюдения Xeoma нужно установить драйвер nvidia, для аппаратного декодирования. То что предлагается весит 400 метров и у меня возникает вопрос, а зачем мне иксы на безголовом сервере? Видел я (и даже ставил) какой-то nvidia-headless-server-driver и CUDA отдельно, но с ним Xeoma CUDA не нашла. Подскажите плиз, как правильно поставить драйвер на безмониторный сервер, чтобы ничего лишнего и всё работало? Я сейчас даже не могу найти ту статью про headless, видимо поисковый запрос был как всегда на что-то другое.

 , , ,

TepakoT
()

Ubuntu 20.04 в контейнере LXC на Debian 10 получает случайный MAC

Друзья, я уже сломался. Ubuntu 20.04 в контейнере LXC на Debian 10 получает случайный MAC, хоть тресни. MAC абсолютно случайный. lxc.net.0.hwaddr = 00:16:3e:xx:xx:xx игнорится. Контейнер непривилегированный. netplan мандит штоле? Я с ним ещё не сталкивался. В какую сторону смотреть? Может известная проблема и сразу направите, чтоб не мусорить тут конфигами.

 , , ,

TepakoT
()

Proxmox и (зачем-то) LVM

Объясните дураку, зачем в proxmox lvm? Читаю как добавить диск, аж два способа, примонтировать в mnt (шта!?!?!) или указать в дашборде lvm группу только что созданную, на которой не создано логического тома. Это что вообще? Это как так? Смысл? Разве средствами lvm мы не должны расширить существующий, например, pve_data? Разве мы не должны использовать масштабируемость lvm? Ведь это входит в список огромных плюсов. Что не так в proxmox’е?

 ,

TepakoT
()

RSS подписка на новые темы