About
Aus der Tiefe, Meldungen des Rechenzentrums in der Cauerstrasse 11
Matthias Bauer und Martin Bayer
problems@math.fau.de
Subscribe
Subscribe to a syndicated feed of my weblog,
brought to you by the wonders of RSS.
Flavours
There's more than one way to view this weblog; try these flavours on
for size.
Links
Mon, 30 Apr 2012
Puppet repos ausgetauscht, jetzt nur noch 14.7 Mb gross! Wir koennen jetzt den Druckerabsturz reproduzieren. Ein Herr von Lexmark wuerde sich das auch anschaun. Der Nvidia Update auf 295.40 gilt als extrem buggy, aber mit anderen linux-kernels und Graphikkarten als bei uns. Tun wirs trotzdem?
Stellt sich raus, dass die Elektriker im Serverraum nicht, wie ausgemacht, einen Stromkreis mit Dieselgenerator-Backup und einen mit aktiver USB als Backup gelegt haben, sondern einen ohne Backup, einen mit Diesel Backup und einen mit USV. Die Leitung ohne Backup ist fuer uns total nutzlos, wir brauchen drei Leisten mit Diesel und drei Leisten mit mit USV.
Weiter auf neubau-195 mit NFSsec rumgespielt. Es ist grauenvoll. Dutzende von rpc Diensten, unerwartete kernel module, sinnlose Fehlermeldungen. Die meisten Beschreibungen im Netz kommen nichtmal bis zum "mount" Befehl. Frau Meusburger moechte ein AnmeldeWebFormular fuer Workshops. Absolut sinnvoll, und idealerweise recyclebar. Bjoern versucht das innerhalb von Typo3 hinzukriegen.
Wenn man einer NexentaKiste ein /etc/krb5.conf gibt, dann versucht sie, jede ssh Verbindung per GSSKeyEx zu authentisieren. Wenn das nicht klappt, faellt sie nicht etwa auf PubkeyAuthentication zurueck, sondern verweigert den Zugang. Nicht lustig. Der Nvidia Bug, der die Maschinen beim runterfahren einfriert, laesst sich mit einem Update beheben, aber weils Ubuntu ist, kommt das Package natuerlich von einer non-Std Quelle. Herr Seidel kann mit einem PDF deterministisch den foomatic pdf->postscript konverter (mit dem Lexmark-PPD) toeten.
Wenn ein Gast im Gaestehaus der Uni mit Laptop ankommt, muss er wohl manchmal ein Formular vom RRZE unterzeichnet anbringen, damit das Laptop ins Netz darf. Im Formular versichert der Admin des einladenden Instituts, dass "der Rechner des Gastes auf dem neuesten Sicherheitsstand ist". Nach laengerer Recheche stellt sich heraus, dass niemand im RRZE mehr weiss, wie genau das festzustellen ist, und welchen sinn das haben soll, wenn der Admin am 17.4 unterschreibt, dass es auf neuesten Stand ist, wenn der Laptop am 18.4 dann im Gaestehaus laeuft. In Richtung NFSv4 mit Kerberos folgende Dokus gefunden http://blather.michaelwlucas.com/archives/796 http://www-theorie.physik.unizh.ch/~dpotter/howto/kerberos Der Daemon, der auf Nexneta UIDs nach Kerberos "Principals" uebersetzt, heisst (latuernich) /usr/lib/nfs/nfsmapid und nicht idmapd (der macht das fuer Windows SIDs). Erste Tests mit NFSv4 auf Linux ohne Authentsierung zeigen, dass man den rpc.idmapd (auf linux) und svc:/network/nfs/mapid:default (nexenta) laufen haben muss. Auf der nexenta Seite muss der LDAP client kongfiguriert sein. Achtung, die Config wandert nicht auf nextwo, d.h. man muss das dort nochmal anlegen. Auf Linux kann der rpc.idmapd nur laufen, wenn er ein /var/lib/nfs/rpc_pipefs/nfs findet, das man kriegt wenn man rpc_pipefs /var/lib/nfs/rpc_pipefs rpc_pipefs defaults 0 0 (was sonst??? Na klar!) in /etc/fstab reinschmiert und mount rpc_pipefs aufruft. Danach werden die UIDs umgesetzt. Getestet mit einem eigenen ZFS auf nexenta und linuxseitig nur auf neubau-195. Was man auf Nexenta gar nicht machen darf, auch wenns in der Doku drinsteht, ist in /etc/nfssec.conf eine der krb-authentisierungs Einstellungen einschalten, das toetet den server.
Nach den seltsamen, nicht sehr aussagekraeftigen Fehlermails ueber nicht-existente snapshots am 30.3 hat das nexenta komplett aufgehoert, snapshots zu machen. Ein Glueck, dass wir auf der ziusudra noch rsyncen. Bei Nexenta ein Ticket eroeffnet, und den deutschen Nexenta Sales Engineer genervt. Per svcadm clear/restart von rmvolmgr und dbus daemon die snapshot servcices wieder zum laufen animiert. Das RRZE musste zugestehen, dass wir laut ihren eigenen Benutzerrichtlinien (von 1995) den Admins der lokalen Netze einen Monitor Port zugestehen muessen. Darum gebeten.
Das puppetrepos ist jetzt von 446MB auf 14MB geschrumpft und laesst sich von Mercurial klonen. Das autoclone hatte ein Problem mit nicht-existenten Subverzeichnissen, was ich noch per Hand reparieren musste. Bei Gelegenheit mal umstellen.
Stellt sich raus, dass alle Mitarbeiter des RRZE, die mit Lexmark Druckern auf CUPS zu tun haben, die Dinger extrem schlecht finden. Scheint kein Ausschreibungskriterium gewesen zu sein. LDAP ist noch viel bescheuerter als gedacht. Ein User kann nicht gleichzeitig eine "Person" und ein "Account" sein, d.h. wenn wir z.b. das Adressbuch im Webmailer nutzen wollten, muessten wir fast alle "posixAccount"-Nutzerdaten in einem weiteren Baum als "inetOrgPerson" duplizieren, weil nur eine "Person" Vor- und Nachnamen haben kann, als "Account" gibts nur einen CommonName, bzw ein GecosField, wo Vor- und Nach nicht getrennt werden. Das ist alles so saudumm, dass ich jetzt sehr dazu neige, LDAP zur Nutzerverwaltung komplett zu kicken und durch ein zentrales /etc/passwd zu ersetzen, das per puppet auf die Maschinen kommt.
Das Lexmark PPD fuer X46[34] Drucker setzt als default-papersize (und printarea und ein dutzend weitere Parameter) "Letter" ein. Das ist _falsch_, fast ueberall auf dem Planeten. Per Hand gefixt, man kann jetzt Artikel mit reinkodiertem Letter-Format auf Lexmark ausdrucken. Das Windows Team hat lustig weiter Server, Realms, Domains, Workgroups umbenannt, so dass wir keine CIP Rechner mehr "join"en koennen. Webserver-1 hat jetzt ein backup der typo3 installation. Per puppet ein basis-paket fuer backup von Maschinen gebastelt. Martin Bayer hat angefangen, den ganzen Papierkram zu sichten und zu ordnen.
Webserver, Imapserver und Mailserver haben jetzt total sichere vollstaendig zertifizierte Zertifikate.
Bloede Probleme mit dem rsyslogd, er mag die Configzeile $InputUDPServerBindRuleset remote nicht, dabei ist das Ruleset remote definiert und funktioniert fuer das TCP Modul, und das InputUDPServerBindRuleset steht in der Doku genau so. Dreckszeug Das AutoVacuum von postgresql tut nicht zur zufriedenheit. Alle PC Pools sind verkabelbunden und geflachsteckert Das RRZE hat --- ohne irgendwas zu sagen --- ihre ActiveDirectory Server umbenannt. Dank puppet kein grosser Act das zu fixen, aber halt schon nicht so der Service, den man erwarten wuerde. Validierbare Zertifikate fuer imap,smtp und web server von der DFN CA am RRZE gekriegt. Dabei festgestellt, dass die openssl optionen fuer "req" nicht ganz so wie in der Doku funktionieren. Mit Wigand Rathmann abgesprochen, wie das webserver backup funktionieren soll. Das Papierformat im Bezug aufs Drucken zahlreicher Programme unter Ubuntu kann abhaengen von: 1. der Einstellung in /etc/papersize 2. dem Wert von LC_PAPER (Letter fuer en_US.*, A4 fuer fast alle anderen) 3. Einstellungen im Dokument selbst (PDF, PS) 4. Einstellungen im CUPS, oder foomatic oder PPD Files 5. Einstellungen am Drucker 6. weiteren, unbekannten Faktoren Beim Login ueber gdm laeuft jetzt ein Skript, das die verfluchten .parentlock files von Thunderbird und Firefox im HOME des Users loescht. Solche Skripte liegen nicht etwa in /etc/gdm/PostLogin, sondern in /etc/xdg/autostart. Und das ist dann ein INI-formatiertes File, welches das anderer ruft... Frau Graessels Bureaux ist einsatzfaehig
Auf ziusudra den alten zpool geloescht, mit fuenf 1Tb Platten neu zusammengesetzt und begonnen neue HOMEs dorthin zu sichern Nikos und Patrick haben den PC Pool 1 neu versteckert und verkabelbunden