About
Aus der Tiefe, Meldungen des Rechenzentrums in der Cauerstrasse 11
Matthias Bauer und Martin Bayer
problems@math.fau.de
Subscribe
Subscribe to a syndicated feed of my weblog,
brought to you by the wonders of RSS.
Flavours
There's more than one way to view this weblog; try these flavours on
for size.
Links
Fri, 30 Sep 2011
Postfix kann Empfaengernamen aus dem ldap ziehen. Andre Erhardt mit Typo3 Problemen geholfen. Es gibt nur noch englische Real-URLs, weswegen die deutschen URLs im Univis (oder anderswo) nicht mehr gingen, der Analysis-Subtree ist umgehaengt worden. Wieder zurueckbewegt. Das Versioning in Typo3 funktioniert nur ueber Konvention, nicht ueber Technik. D.h. wir muessen den maechtigeren Webschraubern ein Ritual entwerfen, so dass ihre Aenderungen versioniert, dokumentiert und kommuniziert werden, sonst kriegen wir dauernd solche Probleme. Frage: Muss man fuer jeden Host, der Kerberos Auth fuer die User machen soll, einen keytab entry erzeugen? Falls ja, wird das mit dem Autoinstall nicht so einfach.... Ewig mit pam_krb5 gehadert, inzwischen zigfach die keytabs ausgetauscht. Der Error ist: 131.188.54.106: PREAUTH_FAILED: tobias@MI.UNI-ERLANGEN.DE for krbtgt/MI.UNI-ERLANGEN.DE@MI.UNI-ERLANGEN.DE, Decrypt integrity check fail Soll angeblich auf asynchrone /etc/krb5.keytabs auf host (.106) und authserver hinweisen. Hab deswegen den .106 komplett aus dem kerberos entfernt und neu erzeugt: # kadmin.local -x binddn=cn=admin,dc=mi,dc=uni-erlangen,dc=de -x host=ldapi:/// -r MI.UNI-ERLANGEN.DE > ktrem -k /etc/krb5.keytab host/neubau-106.mi.uni-erlangen.de > delete_principal host/neubau-106.mi.uni-erlangen.de > add_principal -randkey host/neubau-106.mi.uni-erlangen.de > xst -k /etc/krb5.keytab host/neubau-106.mi.uni-erlangen.de > xst -k /tmp/krb5.keytab host/neubau-106.mi.uni-erlangen.de # scp /tmp/krb5.keytab neubau-106:/tmp/ neubau-106 % sudo cp /tmp/krb5.keytab /etc/. Ueberpruefen der keys auf beiden Maschinen mit # ktutil > rkt /etc/krb5.keytab > l -e -k -t und dann per auge/cmp vergleichen. Hilft aber nix.
Auf dickerserver - die postfix Doku installiert - versucht, die local_recipient_maps auf passwd, aliases, und eine ldap-query zu setzen. Autoinstall auf neubau-106 - vor dem re-install die platte mit dd if=/dev/urandom of=/dev/sda uerebuegelt, um sicherzustellen, dass da kein byte von der install vorher uebrig bleibt. - das puppet-autosign funktioniert wohl - das kerberos+ldap setup funktionierte nicht Tobias hat im addsoft-Modul den guten alten variablen-werden-in-Klassen-mit-$-angefuehrt-Fehler gefunden und repariert. cups-pykota wie von Ubuntu ausgeliefert ist kaputt. postgresql wie von Ubuntu ausgeliefert ist kaputt. Auf Nexenta ausprobiert, ob nfs shares ueber nfsv3 funktionieren. Tut auf Solaris
patroklos war auch tot, mittels cd-boot+patchrm wiederbelebt Serverschraenke bestellt, damit das mal vorwaerts geht. roundup nimmt jetzt mails entgegen und versteht die zusammenhaenge von MessId und In-Reply-To, was alles einfacher macht. Dovecot laesst jetzt auch User aus der LDAP/Kerberos DB Mails lesen, das wird so langsam einsatzreif. Alle User aus der alten NIS-passwd mit migrationtool auf LDAP gezogen. Kerberos Accounts fuer einige mit einem Skript autogeneriert. Das seltsame ist, dass Kerberos LDAP als DB benutzen sollte, ldapsearch auf dem kompletten Tree zeigt aber nur ein paar (alte) Kerberos Principals.
Der Tod von dido, hippolyte, ischtar und nestor wurde von Oracle (und dem RRZE) ausgeloest, mit dem Patch http://wesunsolve.net/readme/id/147440-02 Das loest im OpenBootProm Panik aus, waehrend der Patch laeuft, Abhilfe danach ist ein Patch der Firmware. Firmware Patches fuer die einzelnen Modelle finden sich auf http://www.oracle.com/technetwork/systems/patches/firmware/index.html Was hier auffaellt, ist DASS DA GAR KEINE SUNBLADE 1500 GELISTET IST. D.h. nur mit boot-cd -> shell, lokale platte mounten mit mount /dev/dsk/c0t0d0s0 /mnt und mit /usr/lib/patch/patchrm -R /mnt 147440-02 den patch entfernen.
Am 7.10 kommen neue PCs, die ich in der Bismarckstrasse aufbaun will. ALSO sterben beginnend 24. September die SunBlades hier im Haus ^%$&^#*! Verstorben sind: - dido - hippolye - ischtar - nestor Haben mit neuen und ehemaligen CIP Maschinen ersetzt, und einem neuen Mitarbeiter eine Nemo SunRay hingestellt. Das Winbind Setup tut jetzt, ist in einem Puppet Modul eingefroren. Was noch fehlt, ist die moeglichkeit fuer pam_mkhomedir auf dem Fileserver automatisch HOMEs anzulegen. Mal ueberlegen.
Puppetca macht jetzt autosign, sollte beim Autoinstall von 110 PCs nuetzlich sein. Mit Frau Kugler geredet, Windowskommandozeilenperle: runas /netonly /user:AD-DOMAIN\Administrator mmc wobei Domain und Administrator noch ersetzt werden muessen. Mit Fuchs vom RRZE geredet, der sagt, die Elektriker verkablen Netz nur zu festen Panels, d.h. da muss ein Rack sein, lange bevor wir ueberhaupt Server reinstellen koennen. Er hat einen Hersteller, der 24-Stunden GarantieLieferungen macht, notfalls von dem die Schraenke bestellen. Frasch sagt, Rittal Serverschraenke kommen typischerweise innerhalb von weniger als einer Woche. Auch eine Moeglichkeit. Gleich auf neubau-102 das mit dem AD ausprobiert. Mit net -d 1 -U muos00ikys -S faudc1.uni-erlangen.de ads join liefert er zwar eine Fehlermeldung von wegen constrains, das ist aber wohl nicht ernstgemeint, ein folgendes net -d 1 -U muos00ikys -S faudc1.uni-erlangen.de ads status oder net -d 1 -U muos00ikys -S faudc1.uni-erlangen.de ads testjoin berichtet Erfolg. Jetzt muss nur noch das mit dem nss/pam winbind klappen...
Installserver: mit der chboot option -B rebooten die installierten System automatisch, sehr fein.
Nuetzlicher puppet Aufruf: puppetd --test --verbose --noop Zeigt an, was er tun wuerde, aber tuts nicht. PAM ist der Wahnsinn. Man kann mit options conditional jumps zwischen den Modulen im Stack machen. Ich glaube, die "Tuerme von Hanoi" muessten mit Pam loesbar sein. neubau-103 wieder zum Leben erweckt. Tests abwarten Frau Kugler vom Windowsteam leider nicht erreicht. Mit Prechtel und anderen am Neubau gewesen, das wird nie und nimmer zeitgerecht fertig. Mit dem Bauleiter Elektro geredet, der gibt uns fuer die Serverschraenke zwei unabhaengige Stromkreise, einer davon USV. Dazu muessen die Schraenke stehen und wir muessen anzeichnen, wo. Und ihm die Steckerleisten in den Schraenken vorher geben, die werden direkt verdrahtet, um Sicherungen zu sparen.
Die Puppetifizierung von Kerberos-Client war nicht ganz so einfach. Durch ein einfaches "include krbclient" kann sich gar niemand mehr auf neubau-103 einloggen. Zum Glueck hats Fabian Klingbeil und sein Team bemerkt. Die GUI vom Nexenta benutzt komische HTTProxy-ing Features, so dass ich die mit meinem Firefox nicht benutzten kann :/
Das NTP Problem auf den neuen Servern scheint sich erledigt zu haben. Nachts die Usrhomes per zfs send -R mypool/radix/homes@190911 |nc .. und zfs recv -Fd coraid01/ziusudra auf den Fileserver gezogen. Die 110 PCs fuer den Pool im Neubau bestellt. Frasch hat noch einen PC auf Lager, den wir fuer das Testlab haben koennten.
In Schulz-Baldes .muttrc war ein folder=imap://imap... Das bewirkt, dass der mutt versucht, den imap-server als eine Art Filesystem zu betrachten, was (bei uns) nicht funktioniert. Zeile rauskommentieren hats erledigt. Homepage anlegen: -1. In www.$fachbereich.math.uni-erlangen.de einloggen. 0. Workspace "LIVE" waehlen Eintrag in der Adressdatenbank anlegen Listenansicht->Sysfolder "Dep Math", dort im passenden Unterbereich den sysfolder waehlen, z.b. ->AuG->AG Lie-Gruppen da drin gibts eine Tabelle "Address", da den User eintragen (man kann auch Bilder hochladen. 0.5. Passenden Workspace waehlen. 1. "shortcut" im entsprechenden staff/people/...-Baum anlegen, mit dem Namen als Titel, nach der dort sortiert auftauchen soll. 1'. Hidemenu an, Hide aus, bis es fertig ist. 2. da drunter eine "normale Seite" anlegen, mit dem Titel, den das Opfer wuenscht ("prof. dr. dr. hc. mult. Karl M. I. Schr...) 3. Auf "Page" im linken Menu wechseln, neue Seite anklicken 4. Unter 'Page Content' "Create new element" klickern. 5. Im folgenden Menu unter "Plugins" "Addresses" waehlen 6. Auf das Register "Plugin" waehlen, in "Single Address" den Ordner waehlen. Ein eigenes Fenster wird geoeffnet, da den Folder "Dep Math" suchen, und da drin den in Schritt 0 eingetragenen Eintrag waehlen Ganz unten unter "Startingpoint" die Gruppe waehlen, in der in Schritt 0 der Eintrag erfolgte. 7. Dialog schliessen und speichern. Auf "Versioning" im linken Menue wechseln, die Seite in der Liste waehlen und vom AutorenWorkspace in den LIVE veroeffentlichen Damit ist der Personeneintrag fertig. roundup funktioniert. Am Ende wars die Umstellung von tracker::web=/cgi-bin/roundup.cgi nach tracker::web=/cgi-bin/roundup.cgi/problems/
Mal getestet, ob man mit parameterized classes das kaputte "inherits" von puppet umgehen kann, tut aber nicht. Die Hoffnung waere gewesen, dass die Parametervariablen der parameterisierten Klassen im Kontext des aktuellen nodes ausgewertet werden... hiera angeschaut http://www.devco.net/archives/2011/06/06/puppet_backend_for_hiera.php, das ist aber zu kompliziert fuer uns (mehrere orte, wo die Daten sein koennen, ...) Extern Node Classifiers angeschaut, http://docs.puppetlabs.com/guides/external_nodes.html das ist eine weitere Kruecke, um an dem inherits-desaster vorbeizukommen. Da wird der node Eintrag, der sonst in site.pp waere, als YAML von einem Executable zurueckgegeben. Fuer grosse Installationen sicher gut. Wenn nur dann gerufen werden wuerde, wenn der hostname nicht in site.pp ist, dann waers cool fuer die autoinstallation im Neubau In puppet >= 2.6 kann man hashes als variablen haben und damit z.b. in templates oder modulen werte haben, die zwar global definiert sind, aber pro node verschieden sein koennen. Also das was man moechte. In unserem Fall mit den $admins kommt dann sowas raus: ADMINS=<%= adms=admins + (moreadmins[$hostname].nil?&&[])||moreadmins[$hostname] ; adms.join(",") %> Interessante Details in Puppet: - Manifeste (wie site.pp, oder die init.pps von Klassen) koennen in Ruby geschrieben werden. D.h. man kann absolut alles machen - Node definitions koennen auch Regexpen sein, z.b. node /lin.*/ { ... } TicketTracker Roundup laeuft, son bisschen: http://webserver-1.mi.uni-erlangen.de/cgi-bin/roundup.cgi Registration geht, und danach kann man auch was damit tun, aber was noch nicht tut: - logins nach einmal ausloggen - Vernuenftige URL . Apache2 ignoriert alle unsere RewriteRules - Sprache ist Englisch
LDAP ALARM: ldapadd will nicht in die db schreiben (vor ein paar Tagen ging das noch), obwohl der admin user auf alles (*) schreibrechte hat. LDAP SOLUTION: wenn man ldapdd mit der "-Y EXTERNAL" option startet, dann wird die "-D cn=admin,dc=mi...." option einfach ignoriert und der slapd denkt, man waere gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth und der darf nix. Loesung: "-x " option statt "-Y EXTERNAL". So ein bullshit. Kerberos Erkenntnis: Tickets, die fuer Maschinen hinter NAT ausgestellt werden, funktionieren nicht. Loesung: "addressless tickets", kriegt man mit "kinit -A". A Strange and Wonderful World OpenSSH laesst sich ohne Kerberos/GSSAPI Support kompilieren und ignoriert dann Tickets und die "GSSAPIAuthentication yes" Option. Wenn mans mit GSSAPI kompiliert, tuts natuerlich. Die Nexenta/Basis Leute haben ihre letzten Tests gemacht, so richtig mit Kabel rupfen, und es scheint alles zu gehen. Roundup setup gefrickelt. Muss nochmal sauber gemacht werden, am besten ohne mod_python, ich musste in der source von roundup variablen auf nicht-defaultwerte initialisieren... http://131.188.54.24/problems Das MailGateway funktioniert noch nicht, die Pfade zu dem cgi werden in meinem Setup verbuchselt
Wigand ist wieder da. Neues: Man sollte in Typo3 das "DRAFT" Environment nicht benutzen, da man von da keinen Zugriff auf den "media folder" (mit bildern, pdfs, etc) hat Marcel Ritter war da! Erkenntnisse: - wenn man in slapd.conf die index-liste aendert, muss man nochmal slapindex laufen lassen - auf Ubuntu fragt nicht etwa der nscd nach den ldap-Eintraegen _neinein_ der nslcd fragt danach, und hat ein eigenes Konfigfile - der Kerberos schreibt bei uns krbPrincipal Objekte, keine posixAccount Obj wie in der WiMa (fehlender Patch?), also muss jeder User _nochmal_ in einem posixAccount angelegt werden. - in pam-configs kann man (fuer pam_unix z.b.) ein try_first_pass nachstellen, das dann das Passwd aus dem Modul drueber wiederbenutzt - Auf neubau-102 hats dann mit den WiMa pam.d/common-* configs und Aenderungen in /etc/nslcd.conf funktioniert, sogar der Lokale Login! - slapcat schreibt die komplette datenbank auf stdout, slapadd liests dann wieder
*STIRNKLATSCH* die Erlang Packete von Ubuntu sind so kaputtifiziert dass man nur CouchDB damit kompilieren kann und sonst nicht viel, insbesondere fehlen alle Header, die man braeuchte um fuer yaws (webserver in Erlang) Applications zu schreiben. Wie zum Beispiel den Bluetail Ticket Tracker Es ist in tausende von packeten zerhackt, die man dann zusammensammeln darf. Zum Kompilieren von Bluetail fehlt dann immer noch mnemosyne, eine Erlang library, zu der Ubuntus erlang-mandoc Packet zwar ein manpage hat, aber keine header... Nikos und William haben angefangen, an unserer Webpraesenz auf dem neuen Webserver zu basteln. Arbeitstitel "Kompetenzcluster Druckerwartung" Auf der helena wurde nach dem reboot der bacula-fd nicht automatisch gestartet. Nachgeholt. Backup angestossen. Mail ist auf tape.
Serverinstall geht jetzt relativ reibungsfrei Nach Trouble-Ticketing Systemen gesucht die - Einfach sind - nicht in PHP geschrieben - Mails einlesen koennen (unsere Reports sind ja auf auf problems@mi...) - mit unauthentisierten Usern umgehen koennen Eine nette Idee in dem Zusammen hang: User berichtet Problem und gibt dabei mailaddr an (oder schickt eine mail), als Antwort kriegt er eine (relativ lange) Tickernummer, danach kann er sich mit der mailaddr als login und der Ticketnr als Passwort einloggen. Das interessanteste solche System scheint Bluetail Ticket Tracker zu sein, ist in Erlang geschrieben
Agamemnon: Abhilfe wegen Taperobot: rem_drv sgen; add_drv sgen; Dummerweise wird auch der storage daemon /sbin/bacula-sd nicht automatisch gestartet... Backup auf Tape laeuft wieder Einen weiteren Server aufgesetzt, er steht im Switchschrank im Keller, weil wir nach dem Strom-Debakel vor zwei Wochen nicht riskieren wollen, ihn an das Server-Stromnetz anzuschliessen. Das soll mal der Webserver werden.
Das MSA60 Storagearray laeuft! Der Tobias hat rausgekriegt, dass man die seltsamen Rauf/RunterPfeile auf der Rueckseite druecken muss, bevor sich das einschalten laesst. Als RAID50 ueber alle 12 Platten konfiguriert, hat jetzt 20TB Platz und vertraegt den Ausfall von bis zu 2 Platten. Agamemnon war beim Booten im OpenBoot haengengeblieben. Ein "boot" ueber die Serielle war ausreichend, ihn wieder zu starten. Aber beim bootup gibts Gemecker ueber "eof in sgen.conf", dadurch wird der "generic scsi" driver nicht geladen, und wir haben keinen Taperoboter. Der Abnahmetest von Nexenta scheint immer noch zu laufen???
Der sldapd startet ohne Fehlermeldung, laesst aber den ldaps: port aus. Auf ldap://.../ will er SASL Authentisierung, obwohl in der config drinsteht, dass jeder teile des Baum lesen darf. Deswegen tut das pam_ldap und verwandtes natuerlich auch nicht. Unsere User liegen in der OrganizionalUnit "Users", in den Std-Modellen unter "People", vielleicht auch ein Problem. Gellermann und Ritter@RRZE gemailt Zwei Stunden lang probiert, dem Typo3 beizubringen, dass unter http://www.algeo.math.uni-erlangen.de/staff/ das gleiche liegen soll wie unter http://www.algeo.math.uni-erlangen.de/people/ Ich kriegs nicht hin, obwohl ich lustige "shortcuts" zu diversen Seiten unter "/Algebra und Geometrie/People/" kreieren kann. Das haengt scheinbar an dem RealURL plugin, das aus Pfaden IDs macht, aber an die DB Tables dazu komm ich nicht ran. Wenn man dem CORAID Kaefig eine neue Platte gibt, dann ist die fuer das NexentaOS nicht automatisch sichtbar. Man muss erst mit einem Tool "cec" dem CORAID Ding sagen, dass die neue Platte sichtbar gemacht werden soll (man koennte auch sagen, dass die neue Platte zusammen mit einer weitern zu einem RAID verbunden werden soll und das ganze dann als eine Platte sichtbar, etc...) Das cec Tool war _nicht_ mitgeliefert und ist kein NexentaOS Package, das man schnell installiern koennte. Ich musste erst mit "apt-get install build-essentials libpcap-dev" einen Kompiler und Libs herkriegen. In der cec Console muss man die Platte x im Shelf y exportieren, indem man jbod y.x tippert
Hiera fuer puppet installiert Der Webserver ist wieder oben, aber in einem ganz anderen Zustand als am Donnerstag. Insbesondere ist die Seite von Prof Meusburger nicht dort zu finden, wo die Links hindeuten, die sie fuer ihren Workshop rausgegeben hat. Sehr aergerlich. Mein Shell-Account auf dem Webserver geht nicht mehr, konnte also keinen rewrite im Apache-conf basteln Kerberos tut nicht wie gewuenscht, wo weil die keytabs zwischen server und unserem testclient nicht synchron sind...
Nexenta Testest seit Stunden im Hintergrund, ich hoffe mal erfolgreich. www.math.uni-erlangen.de ist verstorben. Und natuerlich in dem Moment wo der einzige, der sich auskennt, im Urlaub ist... Kerberos+LDAP jetzt soweit dass: - addprinc automatisch in LDAP ablegt - man von ueberall tickets kriegen kann - ein Skript existiert, das user anlegt (noch ohne HOMEs etc) aber: - das mit den keytabs hab ich noch nicht raus, es geht keine gssapiauth, weil "No valid Key exchange context". Liegt angeblich daran, dass die hosts nicht-synchrone /etc/krb5.tabs haben LDAP ist die Hoelle. Total inkonsistent und zusammengefuddelt. Erkenntnis: /etc/ldap/ldap.conf (manchmal auch /etc/ldap.conf ???) ist die Client-Konfig, /etc/ldap/slapd.conf ist die Server-Konfig Puppet Experten empfehlen, statt Variablen in site.pp, die dann in Modulen zu frue interpoliert werden, lieber den hiera() Plugin zu nehmen, mit dem die Variablen erst im richtigen Kontext ausgewertet werden. Mal schaun
OpenLDAP ueberlistet, eine basis struktur aufzuschreiben: sudo ldapadd -vvvvv -W -D "cn=admin,dc=mi,dc=uni-erlangen,dc=de" -c -H ldapi:/// -f ~/ldap+kerberos/structure.ldif.tpl (das .tpl kommt von WiMa. LDAPDC hab ich auf dc=mi,dc=uni-erlangen,dc=de gesetzt.) Kerberos5 ist jetzt _theoretisch_ so konfiguriert, dass er seine Daten in LDAP ablegt, getestet ist das aber nicht. Nexenta/Basis hat den Test auf morgen verlegt... Die WebPraesenz hat noch zahlreiche Luecken, u.a das sog. Inhaltsverzeichnis (sollte weg IMHO) und das "Einrichtungen" (da wollt ich grad die RJE Station reinhacken)