OpenJS Foundation, oficiální projekt konsorcia Linux Foundation, oznámila vydání verze 22 otevřeného multiplatformního prostředí pro vývoj a běh síťových aplikací napsaných v JavaScriptu Node.js (Wikipedie). V říjnu se verze 22 stane novou aktivní LTS verzí. Podpora je plánována do dubna 2027.
Byla vydána verze 8.2 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůrazněn je průvodce migrací hostů z VMware ESXi do Proxmoxu.
R (Wikipedie), programovací jazyk a prostředí určené pro statistickou analýzu dat a jejich grafické zobrazení, bylo vydáno ve verzi 4.4.0. Její kódové jméno je Puppy Cup.
IBM kupuje společnost HashiCorp (Terraform, Packer, Vault, Boundary, Consul, Nomad, Waypoint, Vagrant, …) za 6,4 miliardy dolarů, tj. 35 dolarů za akcii.
Byl vydán TrueNAS SCALE 24.04 “Dragonfish”. Přehled novinek této open source storage platformy postavené na Debianu v poznámkách k vydání.
Oznámeny byly nové Raspberry Pi Compute Module 4S. Vedle původní 1 GB varianty jsou nově k dispozici také varianty s 2 GB, 4 GB a 8 GB paměti. Compute Modules 4S mají na rozdíl od Compute Module 4 tvar a velikost Compute Module 3+ a předchozích. Lze tak provést snadný upgrade.
Po roce vývoje od vydání verze 1.24.0 byla vydána nová stabilní verze 1.26.0 webového serveru a reverzní proxy nginx (Wikipedie). Nová verze přináší řadu novinek. Podrobný přehled v souboru CHANGES-1.26.
Byla vydána nová verze 6.2 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.14.
Byla vydána nová verze 30.0.0 frameworku pro vývoj multiplatformních desktopových aplikací pomocí JavaScriptu, HTML a CSS Electron (Wikipedie, GitHub). Chromium bylo aktualizováno na verzi 124.0.6367.49, V8 na verzi 12.4 a Node.js na verzi 20.11.1. Electron byl původně vyvíjen pro editor Atom pod názvem Atom Shell. Dnes je na Electronu postavena celá řada dalších aplikací.
Byla vydána nová verze 9.0.0 otevřeného emulátoru procesorů a virtualizačního nástroje QEMU (Wikipedie). Přispělo 220 vývojářů. Provedeno bylo více než 2 700 commitů. Přehled úprav a nových vlastností v seznamu změn.
Takže mě teď dostalo pár věcí, tak si trošku zanadávam, tak sorry, pokud se to někoho dotkne osobně, ale opravdu mě to vytočilo. A týkat se to bude EVMS (aka Enterprise Volume Management System), Sun Identity Management a trošku i ZFS.
Omluva na adresu Sun Identity Managementu (2009/2/22). V následujím blogu jsem se vyjádřil o ne-enterpriseovosti Sun Identity Managemeru, kterej po aktualizaci ceritifkátů LDAP serverů znemožnil přihlášení uživatelů.
Za chybu můžu já, protože jsem zapomněl, že tomcat5 používá vlastní DB certifikátů (je škoda, že nepoužívá systémovou DB openssl) a tudíž jsem ani nové certifikáty do toho keystore nepřidal. Takže kdyby to taky někdo potřeboval. V souboru /etc/default/tomcat5 máme definici keystore pro tomcat5 v CATALINA_OPTS na -Djavax.net.ssl.trustStore=/etc/java/keystore. Po přidání certifikátů LDAP serverů a celého cert-chainu a restartu tomcat5 se samozřejmě přihlásit lze.
Jo, holt když se člověk naprdne a pak se rozjede, tak naplácá kraviny. Je důležitý zachovat chladnou hlavu a řešit problém v klidu, ale zrovna se mi toho nahromadilo docela hodně, takže jsem byl celkově ve stresu, tak jsem to prostě pustil všechno najednou.
Tak jsem v pátek aktualizoval certifikáty na LDAP serverech. Řekl bych, že většina systémů to zvládla - SMTP a IMAP autentizace přes SASLauthd, NSS-LDAP a PAM-LDAP v pohodě, postfix virtual domains a users v pohodě, SSL-Explorer v pohodě. Možná ještě pár dalších věcí, ale když holt nespadnou, tak se o nich neví. Bohužel samba to nějak nerozdejchala. Na pár serverech nenašla uživatele přes nss-ldap a tak začala tvrdohlavě odmítat spojení na share, kde byl ten uživatel jako force user, ikdyž přes getent passwd byl normálně vidět - jako by to samba nacacheovala a nechtěla z tý cache vymazat - restart samby pomohl. Další samba jako standalone domain controller s přístupem přímo na LDAP server to taky nerozdejchala, což bych i chápal, když zjistila, že se změnil certifikát - ikdyž LDAP server jsem restartoval, tak musel ukončit spojení, ale budiž, Firefox je občas taky zmatenej při změně certifikátu a hlavně! - jeden restart pomohl a všechno je zase při starým - jednou za rok/2 roky (podle platnosti certifikátu) se tohle dá přežít.
Bohužel, co se nedá přežít, je následující problém. Co mě teda dostalo. Takovej skvělej vymakanej systém na Identity Management zřejmě změnu certifikátu nerozdejchal a hlásí chybu. Bohužel nepomohl ani restart tomcatu a apache, ani přidání certifikátů CA do systému, pořád hlásí chybu.
Login attempt failed for user USER. - Resource LDAP (LDAP):LDAP bind attempt Could not connect to LDAP server 'ldap01.domain.com'. ==> Cannot parse url: ldap02.domain.com
Pokud byste někdo měl nápad, jak tohle vyřešit, bylo by to skvělé. Ale žíly si kvůli tomu trhat zatím nebudeme. Používalo se to pouze ke změně hesel, tak teď si holt budou uživatelé měnit heslo ve Windows, pro LDAP na jednoduché webové stránce a do jednoho interního systému buď uděláme další web stránku nebo se to bude měnit ručně. A zakládat účty můžu taky bez toho, v LDAPu v pohodě, v Groupwise to stejně musím dělat ručně a Windows se založí automaticky vytvořením Groupwise účtu.
Bohužel tuhle chybu hlásí i při pokusu o přihlášení na uživatele Configurator a Administrator, takže prakticky je nemožné se přihlásit. Díky tomu, že je konfigurace uložená buď v nějakém binárním formátu nebo v MySQL DB a ne v jednoduchém TXT/INI souboru (ještě XML bych bral v pohodě), nejsem schopen tomu systému říct, aby mě tam pustil aspoň přes ty lokální uživatele. Takže zřejmě přejdeme na novou verzi a tím se problém vyřeší. No, je to hezký, že to je "enterprise solution", ale osobně mám radši open-source solution s textovými konfiguráky, které můžu v případě katastrofy ručně zeditovat.
Sice to vypadá, jako byl byla špatně zapsaná adresa pro připojení k LDAPu, ale (1) při zadání se provádí kontrola, (2) ten IDM se musí jednou za čas restartovat (X krát během dne), protože prostě zamrzne a nejde dělat vůbec nic, takže špatná konfigurace by se projevila už dřív, (3) reconcilation běžela v pohodě, takže konfigurace musela být OK.
Další věc. Na jednom VMware Serveru mám /tmp jako vlastní oddíl. Dal jsem mu chytře 10GB, protože jsem věděl, že si tam Vmware odkládá (asi) virtuální pamět pro virtuální stroje, a to ještě tak šalamounsky, že vytvoří soubor, nechá ho otevřenej a hned ho smaže, takže přes du není vidět, kolik zabírá místa, leda přes lsof. No, sice jsem tam dal chytře 10GB, ale on to dokázal vyplácat. Na servery dáváme EVMS - Enterprise Volume Management System pro správu logických disků. Osobně ovládám jak LVM, tak mdadm, ale kolega mě přesvědčil, že EVMS je skvělé a je to všechno v jednom. Ano, trošku mi trvalo, než jsem si zažil ty názvosloví (Container, Segment, Region) a jak s tím vlastně pracuje. Nakonec jsem zjistil, že s LVM (který jediný z toho používáme) pracuje úplně stejně jako LVM utility (z partition disk segment udělat PV pro LVM, pak udělat LVM Group storage container a na něm vytvořit Logical Volume storage region, který pak zobrazíte v systému (a) pod stejným jménem jako je ten storage region compatibility volume, nebo (b) z toho uděláte EVMS volume a hodíte na to nějakej filesystém). Samozřejmě v tom můžete udělat i partišnu, naformátovat oblast a snad i připojit. Je to takovej fdisk+mdadm+lvm+mkfs+mount v jednom, osobně bych to pro tyhle věci nazval pouze jako UI. Ono to umí i něco navíc, ale to jsem nikdy nepotřeboval, takže nepoužil. Jediná daň je, že pro použití na bootovacím disku se musí upravit /etc/fstab a grub.conf a změnit root device z např. /dev/sda1 na /dev/evms/sda1, protože evms tyhle devices "sežere" a zpřístupňuje všechno pod /dev/evms. OK, to se dá překousnout. Teď jsem chtěl ale v evmsn tu /tmp partišnu zvětšit. V LVM bych normálně za běhu napsal lvresize -L +3G -n tmp data ; resize2fs /dev/data/tmp a bylo by hotovo. Ovšem EVMS mi u toho oddílu nabízí pouze unmount a fsck. Samozřejmě, když je oddíl odpojenej, tak resize funguje, ale připojenej ne. Je to i ve FAQ. No páni, jak to můžou nazývat Enterprise, když to nezvládá IMHO tak důležitou vlastnost, kterou navíc i blbej ne-enterprise LVM2+ext3utils zvládaji. Takže takhle ne, přecházím na stable dokončený projekt LVM2. Pokusím se všechno zkonvertovat zpět na LVM bez evms, jak jen to půjde a nové mašiny jenom bez evms. Blbý je, že jsem zrovna kolegovi nedávno EVMS vychvaloval. Ale ono to fakt není špatný, jenom tomu prostě chybí dost důležitá funkce.
Což mě přivádí k ZFS. Ale to jenom v krátkosti, jak už jsem se jednou rozepisoval, ze ZFS nejde odebrat oddíl přesunutím dat na jiný oddíl jako jde v LVM pomocí pvmove. Sice v jednom komentáři padlo, že jde provést výměna disku pomocí čachrů s mirrorem, nicméně pokud budu mít stroj, kam jsem v minulosti nacpal hodně disků s tím, že budou potřeba, ale ukázalo se, že potřeba nejsou a teď by se hodily někde jinde, tak je prostě ze ZFS zřejmě nevyndám (ale nebudu se hádat, nejsem ZFS expert, to jsou prostě moje závěry z toho, co jsem slyšel a četl v manu k zfs).
No a pak už jenom jedna perlička na závěr. Potřeboval bych teď změny v konfiguracích uploadovat na servery. Prostě udělám změnu v cfg, commitnu do SVN a potřeboval bych nástroj, kterej na určitých strojích, kterých se ta konfigurace týká, udělal update z SVN (případně něco restartoval). Dřív jsem už koukal po cfengine2, sice teda zase pochopit ten systém byla trošku zabíračka, ale musím říct, že teď po čase se to hezky uleželo a docela ten systém chápu a byl bych zřejmě schopnej ho použít. No a kolega to zase dorazil, když mi řekl, abych se nejdřív podíval na puppet. Tak jsem to zkusil. Je to podobný systém (na master serveru připravit pravidla a pak na podřízených serverech ty pravidla aplikovat), ale prostě od cfengine se to liší. Možná to bude ale jednou opravdu dobrý systém, až to bude dodělané. Zatím to má mouchy a jedna z nich mě opravdu hodně dostala do kolen. Spustím puppetmaster -a odpověď je
puppetmasterd -a /usr/sbin/puppetmasterd: invalid option -- a Try '/usr/sbin/puppetmasterd --help
OK, to zní logicky. Zkusím teda puppetmasterd --help
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz
puppetmasterd --help
/usr/sbin/puppetmasterd:131: undefined method `feature' for Puppet:Module (NoMethodError)
from /usr/lib/ruby/1.8/getoptlong.rb:613:in `each'
from /usr/lib/ruby/1.8/getoptlong.rb:610:in `loop'
from /usr/lib/ruby/1.8/getoptlong.rb:610:in `each'
from /usr/sbin/puppetmasterd:124
Eee, sorry, ale tohle moc přesvědčivě nezní. Mám verzi 0.20.1, Debian Etch. Já vím, na webu je už verze 0.24.7. To ale nic nemění na faktu, že help udělám jako první. Minimálně tam prsknu "see web page" nebo "in costruction", ale ne, aby to spadlo a navíc, aby se na ten parametr odkazoval sám program při zadání špatného přepínače. Zkusím si s puppetem ještě trošku pohrát, ale jestli to nebude k tomu, tak rozchodim cfengine2. Pokud by měl někdo znalosti a chuť, tak může do diskuze napsat, jak nastavit puppet, aby z master mašiny spustil na slave mašině nejaký příkaz. Pokoušel jsem se o ls -l v /root adresáři, ale bohužel se mi nedařilo. Wow, tak teď jsem udělal velkej pokrok, včera mě to nenapadlo, ale teď jo - podívat se do souboru puppet na začátek, tam jsou parametry, je to jenom ruby zdroják. No a našel jsem -v = verbose a -d = debug a --use-nodes = použít nodes. A když jsem tak puppet spustil, tak to vypsalo docela pozitivní
debug: puppet: Setting logdir to '/var/log/puppet' debug: puppet: Setting vardir to '/var/lib/puppet' debug: puppet: Setting rundir to '/var/run' debug: Creating interpreter debug: getting config debug: puppetconfig/puppet/file=/var/lib/puppet/locks: Autorequiring file /var/lib/puppet debug: puppetconfig/puppet/file=/var/lib/puppet/locks: subscribes to /var/lib/puppet debug: puppetconfig/puppet/file=/var/lib/puppet/state/state.yaml: Autorequiring file /var/lib/puppet debug: puppetconfig/puppet/file=/var/lib/puppet/state/state.yaml: Autorequiring file /var/lib/puppet/state debug: puppetconfig/puppet/file=/var/lib/puppet/state/state.yaml: subscribes to /var/lib/puppet debug: puppetconfig/puppet/file=/var/lib/puppet/state/state.yaml: subscribes to /var/lib/puppet/state debug: puppetconfig/puppet/file=/etc/puppet/ssl: Autorequiring file /etc/puppet debug: puppetconfig/puppet/file=/etc/puppet/ssl: subscribes to /etc/puppet debug: puppetconfig/puppet/file=/var/lib/puppet/state: Autorequiring file /var/lib/puppet debug: puppetconfig/puppet/file=/var/lib/puppet/state: subscribes to /var/lib/puppet debug: puppetconfig/puppet/file=/etc/puppet/puppet.conf: Autorequiring file /etc/puppet debug: puppetconfig/puppet/file=/etc/puppet/puppet.conf: subscribes to /etc/puppet debug: puppetconfig/puppet/file=/etc/puppet/namespaceauth.conf: Autorequiring file /etc/puppet debug: puppetconfig/puppet/file=/etc/puppet/namespaceauth.conf: subscribes to /etc/puppet debug: puppetconfig/puppet/file=/var/lib/puppet/templates: Autorequiring file /var/lib/puppet debug: puppetconfig/puppet/file=/var/lib/puppet/templates: subscribes to /var/lib/puppet debug: puppetconfig/puppet/file=/var/lib/puppet/plugins: Autorequiring file /var/lib/puppet debug: puppetconfig/puppet/file=/var/lib/puppet/plugins: subscribes to /var/lib/puppet debug: puppetconfig/puppet/file=/var/lib/puppet/facts: Autorequiring file /var/lib/puppet debug: puppetconfig/puppet/file=/var/lib/puppet/facts: subscribes to /var/lib/puppet debug: puppetconfig/puppet/file=/var/lib/puppet/state/state.yaml: Changing mode debug: puppetconfig/puppet/file=/var/lib/puppet/state/state.yaml: 1 change(s) debug: puppetconfig/puppet/file=/var/lib/puppet/state/state.yaml/mode: mode changed '640' to '660' debug: puppetconfig/puppet/file=/etc/puppet/namespaceauth.conf: File does not exist debug: puppetconfig/puppet/file=/var/lib/puppet/plugins: File does not exist debug: puppetconfig/puppet/file=/var/lib/puppet/facts: File does not exist debug: Finishing transaction -609250848 with 1 changes debug: Loaded state in 0.00 seconds debug: Our client is local info: Found default in /etc/puppet/manifests/site.pp notice: Using default node for config debug: Creating default schedules debug: Loaded state in 0.00 seconds debug: //default/listfile/exec=ls -l: Changing returns debug: //default/listfile/exec=ls -l: 1 change(s) debug: //default/listfile/exec=ls -l: Executing 'ls -l' notice: //default/listfile/exec=ls -l/returns: executed successfully debug: Finishing transaction -609328238 with 1 changes debug: Storing state debug: Stored state in 0.01 seconds
Tak super, vypadá to, že NĚCO to udělalo. Tak asi zkusím pochopit ten puppet - do budoucna by to byla výhoda. BTW můj testovací config site.pp je
class listfile {
exec { "ls -l":
path => "/bin:/usr/bin:/sbin:/usr/sbin",
cwd => "/root"
}
}
node default {
include listfile
}
Znáte ještě nějaké systémy na takovouhle distribuovanou správu konfigurací a administraci, kromě cfengine a puppet?
Tiskni
Sdílej:
Jakou verzi IdM používáte a pokud to není tajné o kterou firmu se jedná? (případně jestli nechceš veřejně, pošli klidně email) Popisované chování IdM není normální a asi bych to tak nenechal...
Mame tusim 7.1 (mozna 7.0, ale spis 7.1). Firma je zahranicni, ale netusim, jak souvisi nazev firmy s funkcnosti programu:) Ze by tak byl nejakej hack "if firma == 'abc' then crash"?:)
taky se mi moc nechce to takhle nechat, minimalne bych rad vedel, proc to nechodi. Jak pise alkoholik zkontrolovat jeste jednou ten keystora - osobne jsem v idm adresari nasel jeden keystore, tak je jeden certifikat, ale mozna ma jinou CA, nasel jsem totiz na svym kompu certifikaty od CA, ktera podepsala predchozi LDAP certifikaty, tak mozna jsem je tam nekam upravdu importoval. Problem je, ze ted uz presne netusim kam. Tak zkusim jeste tohle najit.
No jsem namočenej ve většině instalací SUN IdM v ČR tak mě zajímalo, jestli se někde něco nepodělalo 
- někteří zákazníci nechtějí support
Myslím, že je třeba naládovat certifikát do keystore, který používá váš aplikáč, případně do toho co se používá v javě jako výchozí v $J2EE_HOME/lib/security/, snad se nepletu.
No jsem namočenej ve většině instalací SUN IdM v ČR tak mě zajímalo, jestli se někde něco nepodělalo
Takhle. Tak to te uklidnim (pokud muzu tykat), neni to firma v CR. Instalovali jsme si to sami, ale opravdu to mame jenom na zmenu hesel, jeste jsem s tim vytvarel ucty, ale jinak dalsi funkce nevyuzivali, ikdyz to musi byt uzasny v tom mit celej nejakej workflow naimplementovanej, ale to asi proste dokazou jenom odbornici se specializaci na IdM.
Nektery veci mame na open-source, java programatori tady dokazou do nekterych systemu (Atlassian JIRA, Fisheye, Confluence - ty jsou s podporou) dodelat dalsi funkce. Ale zrovna IdM mame kompletne bez podpory a kdyz je moznost pouzivani volne (doufam, ze se nepletu), tak jsme to chteli holt pouzivat sami. A tak nejak se tezko smiruju s tim, ze konfigurace se uklada kdo vi kam v kdo vi jakej forme, cast veci se upravuje primo v adresarich v souborech, dalsi cast se musi menit pres netbeans (aspon tak jsem to pochopil z manualu).
A je to tak rozsahlej projekt, ze neni jednoduche k tomu sednout a jen tak jednoduse v tom neco zmenit. Coz u vetsiny ostatnich open-source projektu obvykle jde. Dokumentace sice k IdM je, ale nejak mi nesedi. Rekl bych to asi takhle - je strasne rozsahla, ale kdyz jsem potreboval najit nejakou konkretni vec, tak jsem to nejak nedokazal. Napr. nasel jsem jak pomoci netbeans editovat nektery vlastnosti, ale kdyz jsem vedel, kterou vlastnost potrebuju zmenit, tak jsem musel v netbeans hledat spravny soubor a pak zkouset, ktera zmena vlastne provede to, co chci (konkretne se jednalo o UI uzivatele, kdyz se prihlasi, aby mohl jenom menit heslo, zadne To Do items atd.) Mozna jsem jenom neprisel na spravny system, ktery by mohl byt treba - podivat se, na kterej strance se formular zobrazuje, pak se podivat do souboru jsp, jak se jmenuje zobrazovany formular a ten pak v netbeans otevrit. Proste to ale na me pusobi dojmem, ze sice je to volne k pouziti, ale stejne to jen tak nekdo nepouzije, protoze pro poradny pouzivani je to nutny tak hodne odborne upravit, ze to musi delat profik.
Ted naposledy treba jsme dokazali nastavit, ze pri vytvareni uctu priradime roli, tim se spravne nastavi resources (LDAP a Windows) a pro LDAP se nastavit atribut ldapTreeDestination, ktery je v roli prednastavenej, pro roli Programatora se nastavi ou=programator,ou=intern, pro podporu se nastavi ou=support,ou=intern; pro externiho cloveka se nastavi pouze resource LDAP a ldapTreeDestination se nastavi na ou=ostatni,ou=extern. To ldapTreeDestination se pak pouzije v template pro vytvoreni uctu a spoji se s uid=$AccountID$,$ldapTreeDestination$,... a vytvori ve spravnej LDAP vetvi uzivatele. To funguje hezky, ale prece jenom, trosku mi vadi, ze je kvuli tomu nutny pouzivat atribut v LDAPu, rad bych to mel ukladany pouze nekde v IdM, protoze v LDAPu je to prakticky zdvojena informace. Kdyz jsem to ale zkousel nastavit, tak do template nejde dat atribut, ktery neni pouzit v resource. Navic bych ale jeste potreboval, aby se pro urcite role prihodili uzivatele i do LDAP skupin. V LDAP Resource jde brouzdat LDAP stromem, dokonce jde editovat i skupiny (je super, ze IdM rozlisi posixGroup a groupOfUniqueNames a podle toho prihodi bud jenom memberUid UID nebo uniqueMember DN), ale jde nastavit pridavani do skupin automaticky pro Role? V manualu jsem to jeste nehledal, ale v nastaveni Role jsem to nenasel. Ja vim, ze sice funguje Sun Forum, kde se da ptat, ale nejsem si jistej, jestli to spis neni pro reseni problemu/chyb, nez pro dotazy uzivatelu - nechtel bych se dockat RTFM:) Nevis, funguje nekde neco pro dotazy stylu "chtel bych udelat tohle a tohle, jak asi na to, pripadne kde najdu nejaky detailni info" a jako odpoved dostanu "mrkni do tohohle nastaveni, nebo podle manualu IdM kapitola XYZ postupuj s tim, ze budes upravovat soubor ABC"?
Myslím, že je třeba naládovat certifikát do keystore, který používá váš aplikáč, případně do toho co se používá v javě jako výchozí v $J2EE_HOME/lib/security/, snad se nepletu.
Asi to bude opravdu nekde v tom keystore, budu muset najit ten spravnej.
V dokumentaci spousta věcí není, hodně věcí se člověk doví jen na školení. Když IdM školím, tak se snažím lidem vykládat i co nejvíc informací získaných při reálných implementacích, které nejsou ani v materiálech pro školení.
Přímo JSP soubory moc často needitujeme, nechci pak řešit případné problémy s aktualizací.
Netbeans je UI pro editaci/vytváření objektů v IdM a pracovat by s ním neměl správce, ale vývojář. Vše co jde editovat přes NB lze editovat i přes debug stránku (.../idm/debug).
Konkrétně u té změny hesla - to je snad nejčastější požadavek při implementaci, ale v dokumentaci ani nikde jinde to není popsané 
Ohledně atributu ldapTreeDestination - v konfiguraci resource v mapování atributů mezi IdM a resource na stranu k IdM dej ten atribut a na stranu k resource napiš IGNORE_ATTR, pak nebude atribut vnucován LDAP serveru, ale můžeš ho použít pro vyplnění identity template.
Přidání do skupin v případě rolí jsem neřešil, takže z hlavy neodpovím. Na fóru se můžeš zeptat na cokoliv, ale někteří tam odkazují na interní servery SUNu (ale i to se dá řešit, většinou si vyžádám od někoho ze SUNu ať mi to stáhne )
Používám tyhle fóra:
http://forums.sun.com/forum.jspa?forumID=764
http://forums.sun.com/forum.jspa?forumID=765
http://forums.sun.com/forum.jspa?forumID=767
a pro registrované je také možné získat přístup na sharespace.sun.com, ale tam to nějak zahníva a není to poslední rok/dva moc aktualizované. Ale je tam moc pěkný seznam ČKD(FAQ).
Jeste se na to podivam, pokud by slo hodne veci resit pouze pres tu debug stranku, bez nutnosti pouzivat netbeat (je to sice hezky, ale kdyz clovek stejne nejak presne nevi, co kde umaznout nebo pripsat, tak je to naprd), tak by to bylo super.
Na ty fora mrknu, treba tam najdu ten muj problem.
A ten ldapTreeDestination zkusim hned opravit, jakmile se do IdM dostanu. Diky za hinty.
Ohledně atributu ldapTreeDestination - v konfiguraci resource v mapování atributů mezi IdM a resource na stranu k IdM dej ten atribut a na stranu k resource napiš IGNORE_ATTR, pak nebude atribut vnucován LDAP serveru, ale můžeš ho použít pro vyplnění identity template.
Tak kdyz uz se ted muzu prihlasit, tak jsem chtel mrknout na ten ldapTreeDestination a na ty LDAP Groups (to jsem nasel neco v tom forum, na to jeste kouknu).
Takze presne podle popisu, opravdu to funguje. Ten IGNORE_ATTR jsem presne potreboval vedet. Diky moc!!
Přidání do skupin v případě rolí jsem neřešil, takže z hlavy neodpovím.
Tak mam castecny uspech. Nasel jsem ve forech, ze se musi nastavit IdM adribut ldapGroups a mapovat ho do LDAP Resource. Pak v roli muzu tenhle atribut nastavit na DN skupiny a IdM pak pri vytvareni uctu zanese LDAP DN uzivatele do te grupy, dokonce snad by mel sam rozlisovat mezi memberUid(posixGroup) a uniqueMember(groupOfUniqueNames) - me to funguje pro uniqueMember.
Ted akorat resim, jak takhle pridat uzivatele do vice skupin najednou. V dokumentaci jsem nasel, ze do ldapGroups ma jit pridat "A list of distinguished names of groups". Kdyz tam ale zkusim dat vic skupin, tak na /debug strance muzu v Objectu Role videt, ze tam je List, a pak dva String. Pri pridavani pak ale ldapGroups obsahuje DNka obou skupin oddeleny jenom carkou a pak se snazi IdM vlozit uzivatelovo DN do skupiny s DN "DN-group1, DN-group2", coz samozrejme neexistuje. Nasel jsem taky v dokumentaci poznamku, v casti o editaci Roli. Nastaveni vychozi hodnoty atributu v LDAP resource muze byt None, Rule nebo Text; zpusob nastaveni pak ruzny Default Value, Set to value, ...Text a u volby "Authoritative merge with value" je poznamka,
For multi-valued attributes, you must edit the role object in the repository to indicate that it holds a comma-separated value (CSV) string; for example:
<RoleAttribute name='attrs role:Database Table:attrs' csv='true'>
Kterou teda najak moc dobre nechapu. Aktualne totiz vypada ten RoleAttribute takhle:
<RoleAttribute name='developer:#ID#02B52C61913EB8D3:-CE1F54D:11496DABB43:-7F73:ldapGroups'>
<Comment>Auto generated by Role developer</Comment>
<AttributeName>ldapGroups</AttributeName>
<AttributeValueString>
<List>
<String>cn=other,ou=Groups,dc=dom,dc=com</String>
<String>cn=SVN internal users,ou=Groups,dc=dom,dc=com</String>
</List>
</AttributeValueString>
<Requirement>Default value</Requirement>
<ResourceRef>
<ObjectRef type='Resource' id='#ID#02B52C61913EB8D3:-CE1F54D:11496DABB43:-7F73' name='LDAP'/>
</ResourceRef>
</RoleAttribute>
a ten List je tam definovanej. Taky nevim, co presne by tam melo byt, protoze carkou oddeleny hodnoty je zrejme blbost, kdyz LDAP pouziva carku jako oddelovac. Zkusil jsem do toho RoleAttribute prihodit ten cvs='true', ale ani to nezabira a porad se snazi pouzit skupinu s DN "DN-group1, DN-group2". Nemas napad?
No a treba tady uz nevim, protoze jsem prosel dokumentaci Administration, Deployment Tools, Resource Reference a Workflows Forms Views, ale nikde jsem nenasel poradne popis, jak vypada ten Tag RoleAttribute. Pouze v jednom dokumentu jsem nasel poznamku o tom cvs='true', ale nikde detailni popis. Tady vidim problem v pouzivani, kdyz to neni(?) poradne dokumentovany.
Pri pridavani pak ale ldapGroups obsahuje DNka obou skupin oddeleny jenom carkou a pak se snazi IdM vlozit uzivatelovo DN do skupiny s DN "DN-group1, DN-group2"
Takováhle "transformace" z listu na řetězce oddělené čárkou se stává dost často kvůli vadnému UserForm formuláři uživatele pod kterým operace probíhá. V tom UserFormu je totiž daný atribut zpracováván jako text (je tam formulářové pole pro vstup textu) a ne jako pole. Zkus pro daný atribut do UserFormu přidat formulářové pole, které pracuje se seznamem (jestli stačí jen zobrazování, tak může stačit MultiSelect).
Vícehodnotové atributy se běžně používají a neupravený UserForm je nejčastější příčina nefunkčnosti.
Sakra, uz jsem mel napsanou pekne dlouhou odpoved a omylem jsem si odkliknul jinam, shit:(
Takováhle "transformace" z listu na řetězce oddělené čárkou se stává dost často kvůli vadnému UserForm formuláři uživatele pod kterým operace probíhá.
Problem jsme meli taky s emailama, kdyz jsem mel v LDAPu vic emailu v nekolika mail atributech. Pri presunu uzivatele mezi organizacema pak tyhle emaily sice spravne nacetl vsechny, ale misto aby nechal v LDAPu vice atributu, tak z tech emailu udelal [ email1 ; email2 ] a to zapsal do LDAPu. Takze jsme to musel rucne zmenit a nechat jenom jednu adresu v mail a ty ostatni ulozit v LDAPu do jinych atributu.
V tom UserFormu je totiž daný atribut zpracováván jako text (je tam formulářové pole pro vstup textu) a ne jako pole. Zkus pro daný atribut do UserFormu přidat formulářové pole, které pracuje se seznamem (jestli stačí jen zobrazování, tak může stačit MultiSelect).
A tady je to misto, kde presne nevim, co dal. Teoreticky te chapu, co mi radsi, ale praxe je jina. (1) nevim, kde mam hledat ten UserForm, (2) nevim presne, co tam vlozit, aby to fungovalo tak, jak chci
Snazil jsem se ted vsemozne najit bud formular s tema atributama, kde by se melo zadavat ty DN tech skupin - to jsem se snazil najit na formulari, kterym se vytvari uzivatel. Dale jsem se snazil najit formular, kde se edituji role. Na kterem z tech dvou formularu by se to melo upravit? Je to v editaci roli v nastaveni vychozich hodnot atributu pro Resource, nebo je to ve formulari editace/vytvoreni uzivatele v tabu Attributes?
Kdyz jsem kouknul na /debug stranku a vylistoval objekty typu UserForm, tak je tam spousta ruznych formu, napr. End User Form, Create User Template Form atd, ale nejak si moc nejsem, kterej je ten spravnej. Zkusil jsem to i "od zadu", nasel jsem soubor account/modify.jsp a roles/applicationmodify.jsp. V nich jsem vzdy pred koncem nasel form.generateHTML(), ale v accounts se form vytvari pomoci NewUserForm form = new NewUserForm();, kdezto v roles se zrejme vytvari pomoci <jsp:useBean id="form" scope="page" class="com.waveset.ui.web.roles.RoleForm"/>. Nenasel jsem ale jakykoliv naznak nejaky identifikatoru, ktery skutecny UserForm z toho seznamu na /debug to vlastne natahuje (nebo jsem to prehlednul?). Koukal jsem i na Configure / Form and Process Mappings, ale z toho taky nejsem moc chytrej. Mas nejakou radu, jak postupovat, kdyz chci upravovat nejaky Form, jak bych dokazal 100% najit, ktery ten object v /debug to je?
Ted jsem teda kouknul jeste do manualu Workflows, Forms, Views a nasel jsem tabulku Pages and Associated JSPs and Forms, kde je uvedeno, ze pro Create/Edit User je JSP account/modify.jsp (to bych najit dokazal) a Associated Form je "Tabber User Form" (coz teda nevim, jak bych osobne nasel). V tej tabulce jsou celkem jenom 4 Stranky-JSP-Formy, neni tam treba ani ten editor roli. Tak ten Tabber User Form je v tom Form and Process Mappings, ale napr. pro mapovani manageRole-"Manage Role" UserForm se jmenem "Manage Role" neexistuje (nevidim).
A, pro ty role je to Object type Role a pak uz edituju rovnou ty role.
Dalsi vec je, ze pises, pokud staci jenom zobrazovani, tak vlozit MultiSelect. No, v rolich to musi jit urcite editovat, abych pro roli developer mohl priradit skupiny All Users a druhou skupinu Developers a pozdeji pridavat pripadne dalsi. U vytvareni (a editace) uzivatele by to bylo taky dobry, kdyby mel mit nejaky uzivatel nejakou skupinu navic, ale to by asi bylo slozite nekde zjistovat DN a pak ho tam psat, tak tam by asi stacilo view. Zatim jsem ale nevidel definici toho atributu, tak nemuzu rict, jestli bych tam nejak dokazal nastavit/zmenit ten atribut na ten MultiSelect.
Tak v tom Tabbed User Form to asi nebude, protoze tam je sice tab Attributes, ale ten neobsahuje zadne konkretni definice. V tech rolich to ale taky byt nemuze, protoze pises, ze to ma byt v UserFormu.
Uch, hledal jsme vsude mozne, ale ted uz fakt nevim.
MultiSelect je ten prvek, kterým vybíráš třeba schvalovatele nebo role pro uživatele. Ve tvém případě asi bude možnost atribut editovat, v LDAPu máš vlastně seznam možných skupin dostupný - pokud použiješ MultiSelect, tak před jeho použitím je možné do něj nacpat pomocí pravidla (Rule) seznam dostupných skupin.
S hledáním konkrétního formu je to složité, dokumentace neobsahuje vše co je třeba a oficiální seznam neexistuje. Formuláře se různě vkládají jeden do druhého a podobně. Spousta věcí je dynamicky generována (třeba seznam atributů u uživatele se automaticky tahá z koncových systémů, které má přiřazené).
No jo, ale kam teda ten multiselect vlozit? Do toho formu pro editaci/vytvoreni uzivatele, nekam do toho tabu Attributes? Nebo nekam do formulare upravy pred-definovanych hodnot atributu ve formulari editace a vytvareni roli? Nebo primo do tech jednotlivych roli, potom co je vytvorim a zadam tam do toho textovyho pole ty skupiny, tak to pak zmenit na ten multiselect? V tomhle nemam vubec jasno.
S tim Rulem, aby tam nacpal seznam vsech skupin je to docela zajimavy, ale neni to tak moc dulezity, to se da obejit pripadnym nalezenim skupiny v Resource a tam pak prihodit toho konkretniho uzivatele. Dulezite je, abych mohl v rolich nadefinovat vychozi skupiny, aby se pridavaly automaticky pri vytvoreni uzivatele, klidne i tak, jak je to ted, zapisem DN skupiny - to udelam jednou pri vytvoreni Role. Proste neni mi ted jasny, kam presne nacpat jakou znacku, aby IdM pracoval s tim textem v atributu jako se seznamem hodnot.
Je mi jasny, ze IdM je hodne rozsahlej projekt a navic hodne dynamickej, ale jsem rad, ze jako specialista priznas, ze ta dokumentace proste neni kompletni (ikdyz je to treba tim, ze by bylo proste slozite takovou dokumentaci napsat). Osobne je tohle prave pro me problem, protoze proste nedokazu najit to, co hledam a tim mne to znechucuje:(
Ten MultiSelect pro práci s rolemi přidej do Tabbed User Form do části _FM_ATTRIBUTES před <FormRef name='MissingFields'/>. MissingFields jinde ve formulářích ani nehledej, je to generované interně v IdM přímo javou.
"...pro práci s rolemi" pro práci s čímkoliv co má více hodnot. Důležité je aby ses odkazoval na proměnnou v tom prvku pomocí "global.<nazev proměnné>".
Jsi IdM-Buh. Funguje to. Diky moc. Trosku jsem zalovil v dokumentaci a nasel jsem, ze to cele ma byt asi takhle:
<Field name='global.ldapGroups'> <Display class='Multiselect' action='true'> <Property name='title' value='LDAP Groups'/> </Display> </Field>
Cili, neni to jenom tak znacka <code><MultiSelect></code>, jak jsem predtim naivne predpokladal:)
Dale, zobrazi se Java applet se dvema okynkama, seznam vsech dostupnych a vybrane. To asi nevadi, ze ten seznam dostupnych neni vyplnen vsema skupinama, ono by to asi v pripade vice skupin bylo trosku neprehledny, takze spis dyztak napevno nadefinuju par skupin primo do toho pole, co jsem nasel v dokumentaci, melo by to jit pomoci
<Property name='allowedValues'> <List> <String></String> </List> </Property>
To bude nejlepsi - nebudou se tam motat skupiny, ktere nechci a bude moznost jednoduse pridat dalsi skupiny pro uzivatele.
Je tam drobna vizualni chybka, ale me osobne vubec nevadi, tak doufam, ze to nebude vadit kolegovi (on je takovej puntickar:)). Ten MultiSelect se zobrazi pred Titulkem te Resource.
Jinak ale jsem presvedcenej, ze bez tyhle tvoji rady bych v zadnym nedokazal urcit, kam to presne prdnout, aby to takhle fungovalo.
Je mi jasny, ze tebe asi stalo hodne casu a namahy a mozna i penez se takhle perfektne naucit IdM. Jakej je tvuj postoj k takovymle situacim, ze se te nekdo zepta a ty mu zdarma odpovidas? Predpokladam spravne, ze pokud je to neco jednodussiho, co vis z hlavy a staci na to jedna veta nebo kratsi odstavecek, tak to napises, ale nejaky delsi slozitejsi reseni zdarma neprovozujes? Nebo se spis snazis i jednodussi reseni provozovat komercne? Jde mi o to, jestli jsem na tebe netlacil, abys mi ted poradil. Ja osobne to chapu, ze kdyz do toho clovek nacpe svoje zdroje, tak to pak chce taky nejak zpenezit a vratit, takze bych z tebe nerad tahal rozumy, ikdyz bys to tak nechtel.
Obvykle se totiz snazim na vsechno prijit sam, ale IdM je opravdu velkej orisek nebo se proste jeste tolik neorientuju v dokumentaci a proto nedokazu najit, co presne potrebuju.
Je tam drobna vizualni chybka, ale me osobne vubec nevadi, tak doufam, ze to nebude vadit kolegovi (on je takovej puntickar:)). Ten MultiSelect se zobrazi pred Titulkem te Resource.
Tak nad ten MultiSelect vlož HTML a do něj napiš odstaveček... 
Dělám posledních 5 let jen Identity Manatement (SUN IdM, SSO - OpenSSO/Access Manager nebo Kerberos a vše co s tím souvisí, sem tam si samozřejmě střihnu něco ohledně unixů a dalších věcí, starám se o webhosting a podobně , ale IdM nás živí). Když se někdo ptá na veřejném fóru, tak mě nikdo nenutí odpovídat Na mě může člověk "tlačit" jak chce, ale umím říkat ne - odpovím, když se mi chce. Jinak samozřejmě poskytuji i placené konzultace, kde je úplně jiná reakční doba a také si s řešením víc pohraju. V rámci "konzultace"/podpory vžy dělám lehkou analýzu problému na základě které odhadnu cenu, ta je konečná. Pak to vyřeším, zdokumentuji a předám.
Ani jednodužší řešení nemůžu nabízet a provozovat zdarma, licence IdM mi to neumožňuje. Snažil jsem se trochu kolem Identity Manageru psát, sem tam něco zveřejnit. Vyšel mi článek o IdM zde na Abclinuxu, ale přiznám se, na pokračování nějak došel čas. Takže se sem tam pokouším něco uveřejnit na své domácí stránce.
Je tam drobna vizualni chybka, ale me osobne vubec nevadi, tak doufam, ze to nebude vadit kolegovi (on je takovej puntickar:)). Ten MultiSelect se zobrazi pred Titulkem te Resource.
Tak nad ten MultiSelect vlož HTML a do něj napiš odstaveček...
Aha, jasne, dobrej napad. Pokud to bude problem, tak si s tim pohraju
Dělám posledních 5 let jen Identity Manatement (SUN IdM, SSO - OpenSSO/Access Manager nebo Kerberos a vše co s tím souvisí, sem tam si samozřejmě střihnu něco ohledně unixů a dalších věcí, starám se o webhosting a podobně , ale IdM nás živí). Když se někdo ptá na veřejném fóru, tak mě nikdo nenutí odpovídat
Jojo, ono nasazeni IdM je asi prece jenom spis vetsi vec, takze je dobry udelat poradnej navrh reseni a pak to naimplementovat za plne pomoci IdM specialistu. Bohuzel vetsinu veci ale radi resime vlastnima silama - znas to, vendor lock-in:) Takze bychom chteli i IdM vlastnima silama zprovoznit a provozovat, ale jak vidim, je to trosku vetsi orech, nez ostatni veci kolem Linuxu (ala apache, postfix ...).
Ani jednodužší řešení nemůžu nabízet a provozovat zdarma, licence IdM mi to neumožňuje.
Ha, to me zajima. Muzes to trosku rozvest, co presne ta licence IdM zakazuje/narizuje, nebo je taky soucasti te licence o tom nemluvit?
Snažil jsem se trochu kolem Identity Manageru psát, sem tam něco zveřejnit. Vyšel mi článek o IdM zde na Abclinuxu, ale přiznám se, na pokračování nějak došel čas. Takže se sem tam pokouším něco uveřejnit na své domácí stránce.
Jojo, ten clanek jsem cetl, cekal jsem pokracovani, ze bych treba pak IdM pochopil, ale uz nejak zadne nebylo. Jinak na tvoje stranky jsem ted zabrouzdal.
Takze musim se omluvit na adresu Sun IDM. Chyba byla opravdu na mem prijimaci. Mrknul jsem na to prvni forum, co jsi napsal nize (na ty dalsi dve nemam opravneni), dal jsem vyhledat ldap certificate a na prvnim thredu jsem nasel, ze se musi definovat
-Djavax.net.ssl.trustStore=<fully qualified path to a JKS keystore containing the trust chain for your self signed server cert>
pro java. Samozrejme, jsem v /etc/default/tomcat5 nasel tuhle definici do keystore v /etc/java/keystore, dokonce jsem dobre i tipnul heslo, tak jsem tam naimportoval SSL certifikaty obou LDAP serveru a taky celej cert-chain, restartoval tomcat5 a uz se jde opet prihlasit.
Takze vyreseno, do clanku pridavam omluvu a popis a do naseho wiki manualu to taky pripisu, abychom to vedeli pro priste
Diky za tip!
JEZIS JA JSEM VUL!!!! Ja mam presne tenhle postup se vsim vsudy napsanej ve wiki, hlavne, ze jsem se tam nepodival!!!! No jo, nadavat je jednodussi:(
OK, rekneme to takhle. Mam produkcni masinu a v ni 4 disky raid-5. Potom tam potrebuju misto, tak prihodim dalsi 4 disky raid-5. V systemu to hodim do LVM. Tam se mi LV rozlezou po obou raidech. A ted presunu nejaky data jinam (nebo uz proste nejsou potreba) a dalsi data uz se tam davat nebudou. LV jsou roztahany po obou raidech, ale pritom by to zvladal pobrat ten druhej raid-5, takze bych rad vyndal prvni raid-5 disky a dal je nekam jinam. V LVM za behu pvmove.
Nedokazu si predstavit, jak v produkcnim prostredi reknu "tak lidi ,dneska mate volno, protoze nepojede server, potrebuju vyndat disky, takze musim vsechny data zazalohovat, vyndat disky, znovu rozdelit zbyvajici disky a pak obnovit zalohu. Kdyz to pujde dobre, stihnu to behem dneska. protoze tu nebudete , tak nikdo nebude otravovat s jinymi vecmi, takze bych to stihnout mel":) Takhle asi ne:) Momentalne jsme ve stavu, kdyz pres den pracujou se serverama lidi a pres noc bezi automaticka kompilace, takze i nacpat nekam backup je docela zabiracka. A jeste system vypinat, hehe.
Ale jak uz jsme resili, problem je to znamy, dlouhodoby a ZFS tym to nebolelo Je zajimave, ze po tom tolik lidi touzilo, ale nikdo se nesnazil to implementovat ani mimo Sun...
A jinak, produkcni server a RAID-5?
Rikal jsem snad, ze je to idealni reseni? Ale nerikejte mi, ze ten produkcni server ma 99,999999% dostupnost
No, kdyz to tak vezmu, tak nase SVN opravdu musi bezet non-stop. Budto rvou pres den uzivatele (u to staci jenom trosku vytizit necim jenom disky, takze je SVN pomalejsi, nebo omezit pocet konexi), nebo pres noc neprobehne kompilace a rvou sefove. A opravdu dostupnost je hodne vysoka, vypadek max. 15-30 minut. Ne ze si budu celej den neco zalohovat na jinej disk a pak zase zpatky.
Ale jak uz jsme resili, problem je to znamy, dlouhodoby a ZFS tym to nebolelo
Jasne, nechci se nejak hadat. ZFS se mi zda zajimavej, sice se mi zda, ze se kolem toho dela podobnej "humbuk" jako kolem Ubuntu, ale ZFS si to aspon zaslouzi. Jako FS vypada zajimave, osobne me opravdu mrzi ta licence a ze to neni v jadre nativne. Ale ten odsun dat me trapi o dost vic. Osobne si opravdu myslim, ze odsun dat by mohl byt jednoducha operace a tudiz mohla byt hotova uz davno. Zvlast kdyz ji LVM podporuje. Ale podobne me ted nastval ten EVMS, kdyz nedokaze primounteny disky online zvetsit, ikdyz to LVM i FS (reiser a ext3 a zrejme i dalsi) umoznujou. Jenom mi to vrta hlavou, ze tak slozity funkce, kteryma ZFS oplyva, jsou hotovy, ale takova zakladni a IMHO jednoducha neni. Nejsem programator, navic pouzivam linux a zfs bych rad nativne, takze to programovat nebudu.
A jinak, produkcni server a RAID-5?
No, (a) to byl priklad, (b) nahrad si tam RAID-6, (c) pokud timhle dotaz delas narazku "jenom RAID-5? mel bys tam mit nejakej RAID-6 nebo spis 50, 60 nebo 100", tak jsi nemel zacinat s odstavenim serveru, zalohovanim dat, prerozdelenim a preformatovanim disku a obnovenim ze zalohy. Tim odstavenim serveru jsi dal latku hodne nizko, takze RAID-5 to znacne prevysuje. Proste mi slo o to, ze s obycejnym LVM2 mam zakladni funkci k dispozici, kdezto ZFS neumi ten odsun dat, EVMS zase zvetsovani.
Ano, na domacim pocitaci by se dalo mozna udelat zaloha/prerozeleni/obnova, ale kdyz jsem psal blog o prerozdelovani svyho disku (120GB dat), tak jsem musel tyhle cachry s LVM delat, protoze (a) jsem nemel dalsi disk na zalohu, a stejne by platilo i v pripade, kdybych tam mel ZFS, takze se ZFS bych to nezvladnul, (b) dalsi 500GB disk jsem nechtel kupovat, protoze tolik dalsiho mista zatim nepotrebuju a elektronika jde s cenou dost rychle dolu a dost rychle zastarava, takze disk koupim, az budu skutecne potrebovat, (c) navic nakup, instalace disku a nasledny kopirovani dat by nebylo rozhodne na 4 hodiny (zvlaste pri nakupu pres Internet). Takze LVM vyhrava na poli home i enterprise reseni. Dodavam, mozna jenom zatim:) Prosim zadny flamewar:)
- vysokou dostupnost lze garantovat pouze s clusterem
- narozdil od kolegy vyse si nemyslim, ze na produkci nepatri RAID-5, pokud je cache zalohovana baterii at uz na radici, nebo na diskovem poli (sw raid5 opravdu nepouzivat)
- za jednu z nejdulezitejsich vlastnosti na ZFS vubec povazuji existenci kontrolnich souctu a nasledno korekci dat (eliminace silent data corruption!)
- vysokou dostupnost lze garantovat pouze s clusterem
OK, tak jinak. Mame SVN server, coz je XEN guest. Image je pripojeny pres NFS a ten stejny share je dostupny z dalsich 8 XEN serveru - takze fail-over reseni. NFS storage je reseny dvema masinama, pres heartbeat rizeny NFS. Puvodne jsme meli 8x500GB spojenych do RAID-6 (HW Areca ARC-1261) na celych 3TB, rozdelenych na 2x1,5TB (data a backup), obe 1,5TB partisny jsou pres DRBD mirrorvany na druhej server a na DRBD device je vytvorenej LVM. Tim by mela byt zajistena vysoka dostupnost, ale stejne je dostupnost 99,99999% jenom fikce, resp. je to jenom udaj, ze ty servery bezi tak, ze data by byly dostupny, pokud by vse ostatni bezelo taky na 100%, coz ale nikdy realita neni (nebo pekne draha). Ted jsme do tech serveru pridali dalsich 8x1TB disky. S LVM mam tedy ted moznost uvolnit ty 500GB disky presunutim dat na ty 1TB disky a pak muzu tech 500GB vymenit za behu zase za vetsi. Se ZFS bych to udelat nemohl. A mam dojem, ze by mi nepomohlo ani to, ze mam dve masiny, cili jednu muzu vypnout, protoze proste na tej druhej (aktualne bezici) by ty data byly porad na tech 500GB discich. No a na domaci pouziti bych nemel kam zalohovat.
- narozdil od kolegy vyse si nemyslim, ze na produkci nepatri RAID-5, pokud je cache zalohovana baterii at uz na radici, nebo na diskovem poli (sw raid5 opravdu nepouzivat)
On by se mozna i RAID-5 a mozna i SW RAID prezit dal, pokud holt nejsou prachy. Ale jinak samozrejme vsechny nase masiny maji HW RAID karty s cache pameti a baterii - ted me docela dostalo, ze jsem jednu masinu vypnul a pri zapnuti ten HW RAID zahlasil, ze jsou data v pameti, takze je zapise na disk. Nekde pouzivame mirror, nekde i ten RAID-5, kdyz to nejsou extremne citlivy data.
- za jednu z nejdulezitejsich vlastnosti na ZFS vubec povazuji existenci kontrolnich souctu a nasledno korekci dat (eliminace silent data corruption!)
Jak jsem psal, taky me ohromujou tyhle skvely vlastnosti a zaroven me udivuje, ze tak zakladni vlastnosti jako uvolneni PV to jeste neumi.
Tak na HP serverech to monitoruju pomoci hpacucli z nagiosu (takze dost casto, tusim nagios to dela asi kazdy 2 minuty), takze pokud bude baterie v tahu, tak to budu vedet. Dale ty servery jsou relativne nove (tak 2-4 roky), coz bych osobne nenazyval letite. Ale je pravda, ze u jedny masiny uz jsme baterii menili. Na NFS serveru ma ten RAID Areca vlastni web interface s moznosti nastaveni notifikace, takze tam to snad budeme taky vcas vedet. A tak nejak predpokladam, ze ty HW RAIDy s bateriema maji vlastni system detekce kvality baterie - pokud ne, tak je ta baterie docela naprd, kdyz clovek nevi, jestli je OK nebo ne.
Zkusim to jeste pohledat, mozna se musi opravdu nekam naimportovat. Nasel jsem totiz certifikaty od CA z predchozich LDAP certifikatu na svym kompu v adresari s IDM.
18.2.2009 14:10
Nikola Ciprich | skóre: 23
| blog: NiX_blog
| Palkovice
No, nerekl bych, ze stabilita se da nejak moc dobre podle data posledniho vydani posuzovat. Pokud se nepletu, tak TeX uz taky nebyl dlouho aktualizovanej:) Naopak, o projektu, kterej se aktualizuje kazdy tyden mam duvod si myslet, ze je teprve ve vyvoji a znacne nestabilni. To fakt nejde posuzovat.
On se EVMS chova stabilne, zadny problemy jsem s nim za 2 roky kazdodenniho provozu nemel, mam takovej dojem, ze za tim dokonce stalo IBM, ale ted to info nenajdu. A pokud je proste nejakej projekt hotovej, tak neni duvod do nej stourat a EVMS vypada opravdu dokoncene. Osobne si myslim, ze proste funkce online resize nezapada do celkovy koncepce, tak tam proste neni. Bohuzel zrovna ted jsem ji ale potreboval. No nic, dneska rano jsem dotycnou masinu stopnul (resp. vmware hosty), predelal na lvm a rebootnul a zvetsil /tmp. Ted uz je ta masina ready.
20.2.2009 13:38
Nikola Ciprich | skóre: 23
| blog: NiX_blog
| Palkovice
no, ja nevim, v roce 2006 nebylo online resize ext2 ani reiserfs v.3.6? mam dojem, ze tak bourlive se ten format nemenil, ze by to predtim neumoznovat a ted to umoznuje. pokud resize2fs podporuje resize take ext2, jako ze podle jmena to tak vypada, tak by rekl, ze resize fungoval i na ext2. Ano, mozna nebyly nastroje, ale to se mi moc nezda.
Ted jsem nasel v e2fsprogs v release info tohle:
Add support for filesystem with the online resizing via resize inode feature.
Tak uz od 2/2005 podporu mel. Ale spis jde o to, ze proste nektery systemy online resize podporovat nemusi, nebo by to proste interne nefungovalo a no taky opravdu IBM dalo od EVMS ruce pryc.
Jinak ale kdyz to "pokud to EVMS nereflektuje, tak asi bude dost pokulhavat" pouziju na srovnani ZFS a LVM, tak muzu cist "pokud ZFS neimplementuje odsun dat jako LVM, tak bude EVMS asi pokulhavat" a pritom pvmove je v LVM urcite dlouho.