[Comm] alt server 9 beta1

[Comm] alt server 9 beta1

[Anton V. Boyarshinov]

Добрый день

Похоже, что анонс альфа-версии alt-server не добрался до этого списка рассылки, надеюсь, что этому письму повезёт больше.

По адресу
http://ftp.altlinux.org/pub/distributions/ALTLinux/p9/images/server/
доступна первая бета версия дистрибутива Альт Сервер 9 для интеловских платформ.

Изменения в сравнении с альфа-версией:
 * удалено значительное количество пакетов сомнительной актуальности
 * наведён относительный порядок в доступных для выбора при установке группах пакетов (в направлении уменьшения бессмысленного дублирования)
 * наведён порядок в метаинформации ISO образа

Также же в подкаталоге http://ftp.altlinux.org/pub/distributions/ALTLinux/p9/images/server/ppc64le/ доступна альфа версия дистрибутива для платформы Power.

Re: [Comm] alt server 9 beta1

[Gleb Kulikov]

В письме от 2019 July 24  (13:20:47) тов. Anton V. Boyarshinov написал:

 
> Похоже, что анонс альфа-версии alt-server не добрался до этого списка
> рассылки, надеюсь, что этому письму повезёт больше.

Добрый день,

что сразу бросилось в глаза:

1. не инсталлируется на btrfs ни в каком виде. при попытке указать 
инсталлятору заранее подготовленные разделы вылетает с "broken pipe"

2. в веб-центре управления нельзя настроить домен типа Active Directory:  Этот 
тип невозможно использовать, поскольку не установлен пакет samba-DC. 

тестирую дальше

-- 

С уважением, /GL

Re: [Comm] alt server 9 beta1

[Gleb Kulikov]

В письме от 2019 августа 16  14:12:29 пользователь Andrey Cherepanov написал:
> 16.08.2019 13:59, Gleb Kulikov пишет:
> > В письме от 2019 July 24  (13:20:47) тов. Anton V. Boyarshinov написал:
> >> Похоже, что анонс альфа-версии alt-server не добрался до этого списка
> >> рассылки, надеюсь, что этому письму повезёт больше.
> > 
> > Добрый день,
> > 
> > что сразу бросилось в глаза:
> > 
> > 1. не инсталлируется на btrfs ни в каком виде. при попытке указать
> > инсталлятору заранее подготовленные разделы вылетает с "broken pipe"
> > 
> > 2. в веб-центре управления нельзя настроить домен типа Active Directory: 
> > Этот тип невозможно использовать, поскольку не установлен пакет samba-DC.
> А при установке включали этот пункт?

Да. Работает, если грубой силой изменить samba-DC на samba-dc.

Однако, дела ещё интереснее. Самба (systemctl start samba) стартует и 
немедленно валится:

  samba_terminate: samba_terminate of samba 11291: winbindd child process 
exited
[2019/08/16 18:33:30.679789,  0] 
../../source4/smbd/process_standard.c:84(sigterm_signal_handler)
  sigterm_signal_handler: Exiting pid 11298 on SIGTERM

[2019/08/16 18:33:30.249392,  0] ../../source3/winbindd/winbindd.c:1795(main)
  Failed to create directory /var/run for pid files - Файл существует

Хм. 

-- 

С уважением, /GL

Re: [Comm] alt server 9 beta1

[Anton V. Boyarshinov]

On Fri, 16 Aug 2019 14:12:29 +0300 Andrey Cherepanov wrote:

> > 2. в веб-центре управления нельзя настроить домен типа Active Directory:  Этот 
> > тип невозможно использовать, поскольку не установлен пакет samba-DC.   
> А при установке включали этот пункт?

Насколько я понимаю, проблема в том, что пакет теперь называется не
samba-DC, а samba-dc , надо исправлять alterator-net-domain, спасибо за
сообщение

Re: [Comm] alt server 9 beta1

[Gleb Kulikov]

В письме от 2019 августа 16  14:57:09 пользователь Andrey Cherepanov написал:
> > Однако, дела ещё интереснее. Самба (systemctl start samba) стартует и
> > немедленно валится:
> >   samba_terminate: samba_terminate of samba 11291: winbindd child process
> >   Failed to create directory /var/run for pid files - Файл существует
> > 
> > Хм.
> 
> А samba-tool provision Навальный делать будет?

Этот сделает :)

А то, что пишет веб-конфигурятор, недостаточно? нужны ещё действия?:

cat samba-dc-provision-16.0~8:16:26-tetest.eur.log

...
mkdir: создан каталог '/var/lib/samba/sysvol'
/usr/bin/samba-tool domain provision    --realm  "tetest.eur"   --domain 
"tetest"       --dns-backend=SAMBA_INTERNAL    --server-role=dc
       --use-rfc2307
-- 

С уважением, /GL

Re: [Comm] alt server 9 beta1

[Gleb Kulikov]

В письме от 2019 августа 16  14:57:09 пользователь Andrey Cherepanov написал:
> > Однако, дела ещё интереснее. Самба (systemctl start samba) стартует и
> > 
> > немедленно валится:
> >   samba_terminate: samba_terminate of samba 11291: winbindd child process
> > 
> > exited
> > [2019/08/16 18:33:30.679789,  0]
> > ../../source4/smbd/process_standard.c:84(sigterm_signal_handler)
> > 
> >   sigterm_signal_handler: Exiting pid 11298 on SIGTERM
> > 
> > [2019/08/16 18:33:30.249392,  0]
> > ../../source3/winbindd/winbindd.c:1795(main)> 
> >   Failed to create directory /var/run for pid files - Файл существует
> > 
> > Хм.
> 
> А samba-tool provision Навальный делать будет?


Короче. winbindd из состава p9, не запускается с вышеприведённой диагностикой.

Пакеты из состава Сизифа, будучи самым грубым образом установлены вместо 
родных (p9), без изменения настроек и конфигурации, работают. На первый вгляд, 
без замечаний. Буду вечером проверять интеграцию с freeipa из коробки p9.

Резюме: самба/p9 гнилая.

-- 

С уважением, /GL

Re: [Comm] alt server 9 beta1

[Evgeny Sinelnikov]

Здравствуйте.

пт, 16 авг. 2019 г. в 15:39, Gleb Kulikov <glebus@asd.iao.ru>:
>
> В письме от 2019 августа 16  14:12:29 пользователь Andrey Cherepanov написал:
> > 16.08.2019 13:59, Gleb Kulikov пишет:
> > > В письме от 2019 July 24  (13:20:47) тов. Anton V. Boyarshinov написал:
> > >> Похоже, что анонс альфа-версии alt-server не добрался до этого списка
> > >> рассылки, надеюсь, что этому письму повезёт больше.
> > >
> > > Добрый день,
> > >
> > > что сразу бросилось в глаза:
> > >
> > > 1. не инсталлируется на btrfs ни в каком виде. при попытке указать
> > > инсталлятору заранее подготовленные разделы вылетает с "broken pipe"
> > >
> > > 2. в веб-центре управления нельзя настроить домен типа Active Directory:
> > > Этот тип невозможно использовать, поскольку не установлен пакет samba-DC.
> > А при установке включали этот пункт?
>
> Да. Работает, если грубой силой изменить samba-DC на samba-dc.
>
> Однако, дела ещё интереснее. Самба (systemctl start samba) стартует и
> немедленно валится:
>
>   samba_terminate: samba_terminate of samba 11291: winbindd child process
> exited
> [2019/08/16 18:33:30.679789,  0]
> ../../source4/smbd/process_standard.c:84(sigterm_signal_handler)
>   sigterm_signal_handler: Exiting pid 11298 on SIGTERM
>
> [2019/08/16 18:33:30.249392,  0] ../../source3/winbindd/winbindd.c:1795(main)
>   Failed to create directory /var/run for pid files - Файл существует
>
> Хм.

Уже исправлено в текущем релизе в сизифе 4.10.6-alt2 в сизифе и в p9.


-- 
Sin (Sinelnikov Evgeny)

Re: [Comm] alt server 9 beta1

[Gleb Kulikov]

В письме от 2019 августа 20  14:14:25 пользователь Evgeny Sinelnikov написал:

> > ../../source3/winbindd/winbindd.c:1795(main)
> 
> >   Failed to create directory /var/run for pid files - Файл существует

Да, подтверждаю, всё хорошо

-- 

С уважением, /GL

Re: [Comm] alt server 9 beta1

[Gleb Kulikov]

В письме от 2019 августа 17  13:41:40 пользователь Aleksey Novodvorsky 
написал:

> Спасибо, Глеб!
> Будем исправлять.

:)

Добрый день!

Немного запоздало, но таки нашёл пару минуток отписать ещё немного замеченных 
косяков :)

1) не работает смена способа аутентификации в веб-интерфейсе

после выбора пункта способа аутентификации, процесс завершается с ошибкой

Async request failed<br><strong>Request 
status</strong>&nbsp;error<br><strong>Response</strong>&nbsp;Backend: 
error_browse

Это неприятно, так как acc через ssh -C -Y у нас не работает: падает на GLX.

примите #37158 :)

*****************************

2)  несогласованность поясняющего текста в выборе способа аутентификации и 
доступных пунктов выбора:

поясняющий текст:

Вы можете выбрать один из следующих методов аутентификации пользователя на 
компьютере:
Локальные база пользователей
Домен ALT Linux
Домен Active Directory
Домен FreeIPA

На самом деле Меню предлагает:

Выберите способ аутентификации
    Локальные файлы
    База LDAP
    Домен Kerberos
    Multi
    Pkcs11

в домен IPA можно присоединиться только через комстроку.

# 37159

****************************************************************

3) просто вишенка на торте.

Невозможно установить доверенные отношения между AD DC (сделанном на samba 4 
из коробки) и free ipa.

ПРичина тривиальна:

Error loading module '/usr/lib64/samba-dc/pdb/ipasam.so': /usr/lib64/samba-
dc/pdb/ipasam.so: невозможно открыть разделяемый объектный файл:
 Нет такого файла или каталога
No builtin nor plugin backend for ipasam found

после копирования /usr/lib64/samba/pdb ipasam.so -> /usr/lib64/samba-dc/pdb
всё чудесным образом начинает работать.

#37160



-- 

С уважением, /GL

Re: [Comm] alt server 9 beta1

[Sergey V Turchin]

29.08.2019 21:59, Gleb Kulikov пишет:

[...]
> Это неприятно, так как acc через ssh -C -Y у нас не работает: падает на GLX.
У меня работает acc на p9, ssh -Y на Sisyphus. Intel/modesetting.
[...]

Re: [Comm] alt server 9 beta1

[Gleb Kulikov]

В письме от 2019 August 30  (11:01:45) тов. Sergey V Turchin написал:

> 29.08.2019 21:59, Gleb Kulikov пишет:
> 
> [...]
> 
> > Это неприятно, так как acc через ssh -C -Y у нас не работает: падает на
> > GLX.

> У меня работает acc на p9, ssh -Y на Sisyphus. Intel/modesetting.

И не падает при попытке ввести пароль? У меня стабильно, повторяемость 100%
Вообще, с пробросом opengl/glx у нас давняя беда. Что очень жалко: другого 
способа, кроме ssh, запустить что-то графическое из lxc, сходу не 
придумывается.

-- 

С уважением, /GL

Re: [Comm] alt server 9 beta1

[Vladimir D. Seleznev]

On Sat, Aug 31, 2019 at 01:43:43AM +0700, Gleb Kulikov wrote:
> В письме от 2019 August 30  (11:01:45) тов. Sergey V Turchin написал:
> 
> > 29.08.2019 21:59, Gleb Kulikov пишет:
> > 
> > [...]
> > 
> > > Это неприятно, так как acc через ssh -C -Y у нас не работает: падает на
> > > GLX.
> 
> > У меня работает acc на p9, ssh -Y на Sisyphus. Intel/modesetting.
> 
> И не падает при попытке ввести пароль? У меня стабильно, повторяемость 100%
> Вообще, с пробросом opengl/glx у нас давняя беда. Что очень жалко: другого 
> способа, кроме ssh, запустить что-то графическое из lxc, сходу не 
> придумывается.

Можно пробросить X11 unix-сокет внутрь контейнера:

lxc.mount.entry = /tmp/.X11-unix/X0 tmp/.X11-unix/X0 none bind,create=file 0 0

Если хочется ускорения, то можно внутри контейнера создать
dri-устройство, но это ещё дополнительный вектор атаки из контейнера на
хост. Создать скрипт devices.sh c чем-то наподобие:

    #!/bin/sh

    mkdir -p "$LXC_ROOTFS_MOUNT/dev/shm"
    for dev in $(find /dev/dri -maxdepth 1 -type b -o -type c); do
        major="$((16#$(stat -c "%t" "$dev")))"
        minor="$((16#$(stat -c "%T" "$dev")))"
        type="$(stat -c "%F" "$dev")"
        mkdir -p "$LXC_ROOTFS_MOUNT/$(dirname $dev)"
        mknod "$LXC_ROOTFS_MOUNT/$dev" "${type:0:1}" "$major" "$minor"
    done

И прописать в конфиге:

lxc.hook.autodev = /var/lib/lxc/container/devices.sh

-- 
   С уважением,
   Владимир Селезнев

Re: [Comm] alt server 9 beta1

[Vladimir D. Seleznev]

On Fri, Aug 30, 2019 at 10:28:37PM +0300, Vladimir D. Seleznev wrote:
> On Sat, Aug 31, 2019 at 01:43:43AM +0700, Gleb Kulikov wrote:
> > В письме от 2019 August 30  (11:01:45) тов. Sergey V Turchin написал:
> > 
> > > 29.08.2019 21:59, Gleb Kulikov пишет:
> > > 
> > > [...]
> > > 
> > > > Это неприятно, так как acc через ssh -C -Y у нас не работает: падает на
> > > > GLX.
> > 
> > > У меня работает acc на p9, ssh -Y на Sisyphus. Intel/modesetting.
> > 
> > И не падает при попытке ввести пароль? У меня стабильно, повторяемость 100%
> > Вообще, с пробросом opengl/glx у нас давняя беда. Что очень жалко: другого 
> > способа, кроме ssh, запустить что-то графическое из lxc, сходу не 
> > придумывается.
> 
> Можно пробросить X11 unix-сокет внутрь контейнера:
> 
> lxc.mount.entry = /tmp/.X11-unix/X0 tmp/.X11-unix/X0 none bind,create=file 0 0
> 
> Если хочется ускорения, то можно внутри контейнера создать
> dri-устройство, но это ещё дополнительный вектор атаки из контейнера на
> хост. Создать скрипт devices.sh c чем-то наподобие:
> 
>     #!/bin/sh
> 
>     mkdir -p "$LXC_ROOTFS_MOUNT/dev/shm"
      ^^^
      Ненужная строчка

>     for dev in $(find /dev/dri -maxdepth 1 -type b -o -type c); do
>         major="$((16#$(stat -c "%t" "$dev")))"
>         minor="$((16#$(stat -c "%T" "$dev")))"
>         type="$(stat -c "%F" "$dev")"
>         mkdir -p "$LXC_ROOTFS_MOUNT/$(dirname $dev)"
>         mknod "$LXC_ROOTFS_MOUNT/$dev" "${type:0:1}" "$major" "$minor"
>     done
> 
> И прописать в конфиге:
> 
> lxc.hook.autodev = /var/lib/lxc/container/devices.sh

-- 
   С уважением,
   Владимир Селезнев

Re: [Comm] alt server 9 beta1

[Sergey V Turchin]

On Friday, 30 August 2019 21:43:43 MSK Gleb Kulikov wrote:
> В письме от 2019 August 30  (11:01:45) тов. Sergey V Turchin написал:
> > 29.08.2019 21:59, Gleb Kulikov пишет:
> > 
> > [...]
> > 
> > > Это неприятно, так как acc через ssh -C -Y у нас не работает: падает на
> > > GLX.
> > 
> > У меня работает acc на p9, ssh -Y на Sisyphus. Intel/modesetting.
> 
> И не падает при попытке ввести пароль?
Какой пароль?

> У меня стабильно, повторяемость 100%
> Вообще, с пробросом opengl/glx у нас давняя беда. Что очень жалко: другого
> способа, кроме ssh, запустить что-то графическое из lxc, сходу не
> придумывается.

-- 
Regards, Sergey.