Portál AbcLinuxu, 30. dubna 2025 16:49
7.2.2009 13:52
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Dobrý zápisek, jen pár poznámek:
Pouze pro Apache jsem musel kompilovat modul pro ověření pomocí Kerberos
Za toto bych každého admina zastřelil. Kompilovat něco na serveru je první schod vedoucí do pekla v podobě zabordelizovaného serveru. Je to často neupdatovatelné (nevím jak v tomto konkrétním případě) - při každém update z balíčků je třeba rekompilovat to co šlo mimo balíček. Často to končí tak, že se neupdatuje vůbec.
Zakoupili jsme server od firmy Dell s předinstalovaným SLES 10. Zde musím bohužel konstatovat, že jsem očekával o něco lépe odladěný produkt.
V týdnu jsem instaloval nějaké servery od HP, zákazník si na jeden nechal nainstalovat Windows Server 2003. Dodavatel serverů (nikoliv přímo HP) tam tedy dal W 2003. Bez driverů, bez updatů. Prostě čistou instalaci. Také jsem očekával o něco lepší výsledek.
Teď mi poraď, co jsem měl dělat, když jsem potřeboval ten modul pro autentizace via Kerberos a nebyl součástí systému. Taky se snažím používat balíčky, co nejvíc to jde, ale když to nejde, tak jsem to nějak řešit musel. Jaký postup bys navrhnul ty? Trochu mi to přijde, že kritizuješ druhé a sám jsi nic takového neřešil.
7.2.2009 16:56
alblaho | skóre: 17
| blog: alblog
7.2.2009 17:03
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Udělat si vlastní balíček a ten si udržovat?-)Někdy skutečně není jiná možnost (pokud to člověk nechce přímo kompilovat ze zdrojáků). Enterprise distribuce jsou typické tím, že jsou tam osvědčené a odladěné věci, čili něco novějšího tam opravdu nemusí být.
7.2.2009 17:00
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Tím vlastním balíčkem nevyřeším jeho aktializace.
7.2.2009 17:48
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Pokud jde o modul do Apache, je mozna mozny postup stahnout adekvatni SRPM a upravit ho tak, aby to prelozilo i ten modul a zaroven zmenit spec file tak, aby se to samo neupdatovalo. Je to sice problematicke a pracne, ale zase system alespon o danem souboru vi, co je zac...
Není k dispozici ani SRPM balíček.
8.2.2009 13:30
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Já myslel pro ten konkrétní modul. Apache jsem nekompiloval.
Pokud se jedna o standardni modul z distribuce apache, tzn. neco, co se zapne pomoci nejake volby pro configure, pak je potreba SRPM balicek pro apache a v jeho SPEC souboru je potreba danou volbu pridat a (bohuzel) pripadne dalsi veci.
Pokud je to ve forme patchu oproti zdrojakum apache, pak je i ten patch mozne pridat do SPEC souboru, ale je to pomerne pracne a muze byt potreba patch upravit tak, aby nekolidoval s distribucnimi patchi.
A finalne, pokud se jedna o modul, ktery se preklada jen oproti apachovi, tak je mozne mu SPEC soubor napsat a udelat si balicek vlastni. Nekdy je SPEC soubor obsazen i v tar.gz verzi zdrojaku, coz docela pomuze, pak je mozno primo z takoveho tar.gz vyrobit RPMko.
Ovsem ve vetsine pripadu se jedna o docela slozitou vec, SPEC soubory nejsou zrovna jednoduchy atd... Docela se mi osvedcilo pouziti checkinstall, ktery se spousti misto make install a udela z toho RPM. Navic misto make install mu muze clovek predhodit cokoliv jinyho, videl jsem uz lidi vyrabet balicky kopirovanim v MC. Vyhoda je, ze z toho vznikne balicek, ktery se da nainstalovat a system alespon soubory z balicku ma ve sve RPM databazi. A pokud je na vice serverech stejny system, pak je mozne balicky pouzit vsude atd... Nejedna se zdaleka o idealni reseni, ale oproti kompilaci ze zdrojaku je to maly rozdil a rozumny prinos 
7.2.2009 18:49
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Jak říkám stále dokola. Zdrojáky by se měli stát běžnou součástí balíčkovacích systému tak jako je tomu třeba u Gentoo. Tím by se vše vyřešilo.
7.2.2009 20:21
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
7.2.2009 20:25
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Bo min. problémy s aktualizací.
7.2.2009 20:31
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
7.2.2009 20:38
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Zkompilovat a pořádně otestovat všechen možný software ve všech možných kombinacích prostě není možné. A kompilace není zas tak strašná. A podle mého názoru by dobrý Administrátor měl mít alespoň základní skilly debugingu, aby byl schopen dobře lokalizovat chybu a korektně ji nahlásit, aby mohla být co nejdříve opravená tím komu zaplatil.
7.2.2009 20:40
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
7.2.2009 20:20
Heron | skóre: 53
| blog: root_at_heron
| Olomouc
Já nevím jak z toho ven. Sám to řešívám také. Někdy se to dá obejít jinak (například instalací z balíčku mimo repositář - což je též automaticky neupdatovatelné), někdy ta funkce není potřeba. Ale já, jako administrátor, vůbec nemám řešit kompilaci software pro server. Od toho tu přece jsou ty enterprise distribuce, aby to tam bylo.
7.2.2009 21:05
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Ale já, jako administrátor, vůbec nemám řešit kompilaci software pro server. Od toho tu přece jsou ty enterprise distribuce, aby to tam bylo.Někdo to řeší cestou nejmenšího odporu, tedy migrací na Windows, pokud tam ta příslušná funkce je.
Pěkné. Zajímalo by mě, jestli jsou hesla skutečně jenom v Kerberovi (tj. v LDAPu se nepoužívá UserPassword a SambaNTPassowrd)? Předpokládám, že stroje s Windows jsou v Samba doméně, a že uživatel při přihlášení dostane Kerberos ticket, který se dá využít třeba pro ověření dalších služeb (ssh, firefox) - kdyby to takhle fungovalo, tak je to perfektní. Mohl byste se o tom trochu rozepsat? Třeba jak se to nastavuje ve Windows - normální zařazení do domény asi nestačí.
O tomhle se toho dá najít dost málo. Něco vyšlo v seriálu tady na abclinuxu, ale bez návaznosti na Windows v doméně, to mi jako jediná věc chybí.
Bohužel samba verze 3 nepodporuje Kerberos. Druhá verze hesla je uložena v LDAP pro účely SAMBY. Jinak od verze 4 už by to mělo být plně Kerberizované.
Samba 4 - kdo ví, kdy bude stabilní pro takovéhle nasazení...
Neví tedy někdo, jestli jde Windows nastavit tak, aby při přihlášení do Samba3 domény použily to samé heslo pro získání Kerberos ticketu?
Právě tady v seriálu o Kerberu byla funkční konfigurace, kdy lokální účty Windows se ověřovaly proti Kerberos serveru na Linuxu a získaný ticket pak šel použít pro připojení na Sambu v. 3, která Kerberos tedy nějak částečně umí - jak oproti Windows tak s Linux CIFS klientem.
Samba umí být Kerberizovaná, ale ne v režimu PDC. Windows lze nakonfigurovat, aby ověřovaly uživatele přes Kerberos, ale vždy mapují uživatele na nějakého lokálního. Není možné tedy používat pro kadého uživatele jeho vlastní cestovní profil, který se při přihlášení natahuje ze serveru. Tahle překážka mě od toho docela teda odradila.
Novell teď vydal Open Enterprise server 2 SP1 - což je nadstavba nad SLES 10, obsahuje navíc eDirectory, další novellí služby pro síť a administrační nástroje. Dělá se s tím o něco jednodušeji, než s čistým SLESem. Ale proč o tom píšu - nový service pack obsahuje Domain services for Windows, velmi jednoduše tak může hrát roli Active directory serveru. Možná to někoho kdo také migruje z Windows na Linux bude zajímat...
YAST ve SLES se taky tvářil, že roli PDC lze zapnout jedním kliknutím. Buhužel to samo o sobě tak hladce nefungovalo.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.