Příspěvky

316

Server / Ansible - instalace balíčku a problém s uživatelem

« kdy: 15. 04. 2020, 09:10:53 »

Ahoj,

mam tu neustale problem slepice a vejce. Chci nainstalovat postgresql server balicek, samo o sobe to neni problem. Pri instalaci to vytvori /var/lib/postgresql s postgres:postgres pravy. Chci na /var/lib/postgresql mapovat jiny disk. Takze pri spusteni yml se mi vytvori/namountuje disk. A zde je ten problem.

- pokud spustim instalaci postgresql pred pripojenim disku, budu mit na disku nejakou strukturu (zabirajici misto)
- pokud nejdrive namountuji disk, nemuzu mu nastavit uzivatele, nebot jeste neexistuje

Koukal jsem do ruznych yml, ale v zadnem se tohle neresilo. Je mi jasne, ze muzu vytvorit uzivatele/adresare predem. Ale rad bych vytvoril uzivatele (popr. i adresar) primo z balicku, abych nemusel hlidat zmeny. Chtel bych neco jako "apt install postgresql --only-user"

Jde to vubec nejak?

317

Software / Re:RDP na Linuxu s Wine - bude to fungovat ?

« kdy: 20. 03. 2020, 09:21:58 »

Pak tu vycisli, kolik clovekohodin nakladove padlo na uvazovani takoveho reseni, kolik clovekohodin bude vyzadovat podpora takoveho reseni, kolik lidi to bude schopno spravovat, atd.

Obcas je potreba vytahnout hlavu z linuxu a pochopit, ze standardne pouzivana reseni jsou mnohdy nakladove mensi, nez samodomo hracky.

318

Server / Re:DNS server pro intranet

« kdy: 09. 03. 2020, 10:00:45 »

Powerdns + powerdns-recursor ty pozadavky urcite splni.

319

Sítě / Re:Softwarová firma bez kabelového ethernetu

« kdy: 06. 03. 2020, 09:20:22 »

Já bych jen dodal: proč se trápit?
Co je nepohodlného na tom mít až na pracovní místo mít garantovaný gigabit, nebo dokonce víc, po kabelu? Opravdu nechápu, proč by si někdo měl zadělávat na potenciální (a velmi citelné) problémy s takovým extrémně jednostranným řešením. Pokud to budou desktopy, řešit navíc wifi karty a jejich super signál pod stolama .... :-/ Nebo tam desktop nebude ani jeden, a lidi co potřebují výkon se budou trápit na noteboocích? Bože můj...

Pak tu máme bezpečnost. Chcete, aby vývojářská síť byla teoreticky hacknutelná s lobby budovy? Pokud to tedy nebude něco s EAP-TLS (tedy cert pro každého) nebo jiné ekvivalentní ověření. To pak ale zas vzrůstá cena za další režii....

Podle mě, je to proveditelné s nějakým profi gearem. Cokoliv co má kontroller a tenký MIMO AP, s tím, že těch AP je dostatek a na správných místech.

ALE! Vývojáři a jejich práce je to nejcennější co firma má. Já bych to do vzduchu neposílal vůbec a naopak bych vývojářům dal bezva (multi-giga) lanku, dobrý kompy a rychlej net.

A fór na záver: nejlepší bezdrát je optika ;-)
-K-

Volne valejici se kabely jsou opruz. Navic cokoli nad 1G stoji slusne penize. A security nektere firmy resi i na kabelech.
Nemluve o tom, ze clovek obcas zapojene veskery konektory odpojit. Stehovani pc je taky opruz. A mit pc a ntb per vyvojar je taky opruz.

100ks lidi ciste jen na wifi bych nedal. Mix ano, zvlast kdyz jsou tam pevne stanice.

320

Sítě / Re:IPv6 a ULA, dotazy na default gw

« kdy: 19. 02. 2020, 13:58:44 »

Mame vlastni /29, takze zmeny isp se obavat nemusime. Ono i tak bych si neumel predstavit pouzit slaac apod. z hlediska vztahu ip-fqdn-dns pro servery.

U toho FE80::1 asi takhle...mam

<prefix>::a:/64
<prefix>::b:/64
default via <prefix>::b:1 onlink

Takze "b" se dostane ven, "a" ne. Co se stane ale v pripade default via FE80::1? Mozna jsem to nedomyslel, ale vlastne, pokud na "a" siti nebude FE80::1 nastaveno na gw, tak by to stejne neproslo skrz L3, ze?

Jak realne se neco takoveho jako FE80:: pouziva pro gw?

321

Sítě / Re:IPv6 a ULA, dotazy na default gw

« kdy: 19. 02. 2020, 12:10:11 »

Link-local bych neresil, spis me zajima, zda by prece jen nemelo smysl pouzit ULA na ostrovni komunikaci typu corosync.

Co se tyce gw, ten <prefix>::1 mate na mysli <prefix> od isp, nebo <prefix> pro danou /64 napr.?

Jeste k tomu FE80::1, pokud by to byla gw pro vetsinu siti, tak by se tim proroutovaly i /64 bez uvedene gw pro danou /64 ze?

322

Sítě / IPv6 a ULA, dotazy na default gw

« kdy: 18. 02. 2020, 11:43:58 »

Ahoj,

studuju co se da, ale nektere veci se spatne vyhledavaji. Ohledne ULA je zhruba jasno - preferovat GUA. Nojo, ale co kdyz bych chtel neco, co se nepreroutuje pokud mozno nikam (ani v lokalni siti) - treba provoz jako corosync,nfs? Link-local adresy pouzit nechci, potrebuji neco, co se nezmeni ani pri vymene hw, preklopeni bond, atd...Mohl bych na ostrovni systemy tohoto typu pouzit ipv4, ale to bych vzal az jako posledni moznost...

Ted k default gateway. Co je "jistejsi"? Nastavit statickou ipv6_prefix::1 jako gw odpovidajici danemu subnetu, nebo pouzit napr FE80::1? V situaci, kdy v dane vrf muze byt xx L3 a pocet routeru v siti (resp. L3 gw) je >1?

Diky

323

Server / Re:IPv6 a DNS servery pro reverzní zónu

« kdy: 17. 02. 2020, 14:08:17 »

V interním DNS bych reverzní záznamy vůbec neřešil. Beztak je tam stěží bude někdo validovat. Případně můžete přepsat jejich hodnotu na resolverech pro interní síť. Ale ideální je prostě používat veřejné adresy.

Nechapu. Pouziju GUA, to jsou samo o sobe verejne adresy. Jenze v externich dns serverech bych nemel fqdn/reverse pro interni subdomeny. Jednak kvuli rychlosti (externi je pristupny pres firewall), jednak cist logy bez fqdn neni zrovna optimalni.

324

Server / Re:IPv6 a DNS servery pro reverzní zónu

« kdy: 17. 02. 2020, 11:13:24 »

Co ohledne ipv4 v kombinaci s interni/dmz siti a pouziti interni/externi dns serveru? Teoreticky priklad:

mail.domain.tld  - public ip - v externim dns
mail.sub.domain.tld - dmz ip pro komunikaci s interni siti - v internim dns

V ipv6 by teoreticky stacila 1 GUA s fqdn mail.domain.tld - v externim dns. Co by to znamenalo pro reverz? Samostatne reverzy pro int/ext dns servery, cili s tim by to znamenalo adresaci ipv6 tak, aby se oddelily "interni" a "dmz" zony?

325

Server / Samba AD update

« kdy: 14. 02. 2020, 12:36:06 »

Ahoj,

delal to nekdo? Mam tim na mysli napr. prechod z DebX na DebY, nebo proste major verze update. Me totiz cekaji 3 dc:

1] migrace z xenu na proxmox (1 dc) - ve shodne verzi
2] update z deb8 na deb10 (3 dc)
3] zmena ip (3 dc)

Vzhledem k mnozstvi zmen vaham nad temito 2 cestami:

a] rejoin pod puvodnim fqdn
b] uplne nove dc s novymi fqdn, zrusit pak stare

Nejvice by se mi libilo a], ale vzhledem k mnozstvi zmen vaham, zda nejit cestou b].

Mam 3 dc. FSMO drzi bohuzel (ci bohudik?) ten xenovy, na proxmoxech jsou zbyle dva (ten druhy jako testovaci hlavne). Takze si to muzu zjednodusit tim, ze bych zrusil ten xenovy a nechal jen ty proxmoxove (plus pridal opet treti testovaci novy), takze pripadny scenar by mohl byt:

1] update obou proxmox dc
2] zmena ip obou proxmox dc (= rejoin)
3] prenos fsmo na jeden z tech proxmox dc
4] zrusit xen dc

Nejtezsi cast teto migraci po studovani manualu mi pripada ta zmena ip (=rejoin) a prenos fsmo...Takze, uz nekdo migroval?

Diky.

326

Server / IPv6 a DNS servery pro reverzní zónu

« kdy: 12. 02. 2020, 11:55:16 »

Ahoj,

s nasazovanim ipv6 budu nasazovat i novou verzi dns serveru a momentalne zkoumam, jak vhodne na to jit. Jde hlavne o reverzni zony. U ipv4 jsem bezne mel xxx.xxx.xxx.in-addr-arpa zonu. U ipv6 mam k dispozici yyyy:yyyy::/29 a vaham, co je rozumna cesta pro ten reverz. Udelat jednu zonu s 2x oktet napevno a reverzy se mi budou automaticky generovat do teto zony? Nebo udelat mensi zony - napr. 3x oktet a zbytek automatika? Aktualne mam prvni 3 oktety pro urceni lokality, zbytek je variabilni, momentalne mi pro /64 vychazi pouziti 5 oktetu.

Je z hlediska spravy/efektivity/vykonu lepsi 1 reverz, nebo to rozsekat? Ma nekdo neco z praxe?

Diky.

327

Server / Re:Ansible - neco jako sublist

« kdy: 30. 01. 2020, 11:15:11 »

Uz jsem to vyresil.

Kód: [Vybrat]

users:
 - username: "neco"
   enabled: true
   ssh_key:
    - value: "nejaky"
      hosts:
       - "somehost"
      groups:
       - "somegroup"

Kód: [Vybrat]

- name: Add ssh key
  authorized_key:
   user: "{{ item.0.username }}"
   state: present
   key: "{{ item.1.value }}"
  loop: "{{ users|subelements('ssh_key') }}"
  when: (item.1.value is defined and item.1.enabled) and ((inventory_hostname in item.1.hosts) or (item.1.groups|intersect(group_names)))
[code]

328

Server / Ansible - neco jako sublist

« kdy: 28. 01. 2020, 16:31:08 »

Ahoj,

resim tu takovou vec kolem vytvareni uzivatelu. Kdybych ty uzivatele mel definovane v host_vars/fqdn, tak je to brnkacka.  Ale nez na tu variantu prejdu (je dost komplikovana), tak hledam jinou cestu.

Predstava je treba takto definovana promenna:

Kód: [Vybrat]

users:
 - username: somename
   group: somegroup
   ssh_key: somekey
   ssh_groups:
    - server1
    - server2
    - servergroup1

Pouzivam:

Kód: [Vybrat]

- name: add ssh key
  authorized_user:
   user: "{{ item.username }}"
   state: present
   key: "{{ item.ssh_key }}"
  with_items:
   - "{{ users }}"
  when: inventory_hostname in "uzivatelovo ssh_groups"

Pro danou skupinu serveru vytvorim uzivatele. Tech skupin ci serveru, na kterych ten uzivatel je, je ale vice. Chtel bych nejak elegantne omezit, na ktere servery se i zaroven prida klic toho uzivatele. Jak rozumne na to? Nejaky priklad i s jinym typem promenne vcetne iterace?

Diky.

329

Software / Re:Generování UID pro adduser

« kdy: 22. 01. 2020, 12:38:21 »

Prave, ze ja centralni spravu uzivatelu potrebuji i nepotrebuji. Ohledne ldap apod, by vyzadovalo definovani nejake domeny, sifrovani, pripadne upravy ruznych konfiguracnich souboru a to se mi do automatizace davat uz nechce (prilis komplexni).

Ja tu mam tento usecase:
1] uzivatele, kteri muzou mit ruzne uid:gid v ramci skupiny serveru (napr. administratori)  s lokalnim homedir
2] uzivatele, kteri musi mit stejne uid:gid v ramci skupiny serveru kvuli nfs

Ten ansible modul "user" pouziva useradd, ktery bere n+1 volne uid, kde n je nejvyssi pouzity do limitu 60k. Klasicky adduser naopak vezme prvni volny v rozsahu min-max. Kdybych mohl v tom modulu urcit min-max, tak jsem za vodou, takhle resim, kterym smerem jit. Zatim se asi nejvic priklanim pregenerovanim uid v 2] nad max limit. Nebo prepsat ten ansible z toho modulu na shell prikaz...

330

Software / Re:Generování UID pro adduser

« kdy: 22. 01. 2020, 09:26:40 »

A hlavne, stejny uid:gid potrebuji kvuli nfs, takze mit ruzna uid:gid pro stejneho uzivatele mi nepomuze...