[devel] 4.0 Server + Desktop

[devel] 4.0 Server + Desktop

[Sergey V Kalinin]

Приветствую!

НАчали проект по переводу инфраструктуры одного предприятия на linux,
решили использовать продукты ALT Linux (ну роднее чтоли =)
сервер _куплен_

В общем есть несколько проблем:
сервер
- не всегда стартует slapd из сервисов, в ручную стартует, почему, так и
не разобрались, на последних тестах вроде запуск стал нормальным !
- pure-ftpd собран без поддержки ldap

десктоп
- autofs собран без поддержки ldap, попытка пересобрать успехом не
увенчалась, как я понял, ошибка в исходниках? или ldap откручен
сознательно? пока поставлен 4.0.1 из мастера 2.4, но работоспособность не
проверялась.

слишком уж закручена безопасность - причём нигде не документировано =(
что и где ковырять.

к примеру portmapper, slapd - в /etc/sysconfig приходилось включать явно
поддержку работы по сети, я не против этого но ведь данную возможность
нужно было описать, чтение доков и readme в пакетах ничего не дало =(
пришлось тыкаться всюду...если это где-то написано - то ткните носом.


Лдап мы всёж подняли, после плясок с бубном, авторизация работает
(pam_ldap, nss_ldap)

отсутствие поддержки ldap - это как - политика или баг?

-- 
Best regards!
===================================================
Sergey Kalinin (aka BanZaj)
"CONERO lab" | http://conero.lrn.ru | banzaj@lrn.ru

Re: [devel] 4.0 Server + Desktop

[Stanislav Ievlev]

On Mon, Oct 15, 2007 at 09:32:59AM +1000, Sergey V Kalinin wrote:
> слишком уж закручена безопасность - причём нигде не документировано =(
> что и где ковырять.
> 
> к примеру portmapper, slapd - в /etc/sysconfig приходилось включать явно
> поддержку работы по сети, я не против этого но ведь данную возможность
> нужно было описать, чтение доков и readme в пакетах ничего не дало =(
> пришлось тыкаться всюду...если это где-то написано - то ткните носом.
> 
> 
> Лдап мы всёж подняли, после плясок с бубном, авторизация работает
> (pam_ldap, nss_ldap)
pam_ldap заводится легко без бубна, но через control ;)

Re: [devel] 4.0 Server + Desktop

[Sergey V Kalinin]

banzaj@altlinux.org

> On Mon, Oct 15, 2007 at 09:32:59AM +1000, Sergey V Kalinin wrote:
> > слишком уж закручена безопасность - причём нигде не документировано
> =(
> > что и где ковырять.
> >
> > к примеру portmapper, slapd - в /etc/sysconfig приходилось включать
> явно
> > поддержку работы по сети, я не против этого но ведь данную
> возможность
> > нужно было описать, чтение доков и readme в пакетах ничего не дало =(
> > пришлось тыкаться всюду...если это где-то написано - то ткните носом.
> >
> >
> > Лдап мы всёж подняли, после плясок с бубном, авторизация работает
> > (pam_ldap, nss_ldap)
> pam_ldap заводится легко без бубна, но через control ;)

бубен был для slapd
бубен был для pure-ftpd
бубен есть - для autofs - в данный момент остался не решен только
этот вопрос.

-- 
Best regards!
===================================================
Sergey Kalinin (aka BanZaj)
"CONERO lab" | http://conero.lrn.ru | banzaj@lrn.ru

Re: [devel] 4.0 Server + Desktop

[Michael Shigorin]

On Mon, Oct 15, 2007 at 09:32:59AM +1000, Sergey V Kalinin wrote:
> В общем есть несколько проблем:
> сервер
> - не всегда стартует slapd из сервисов, в ручную стартует,
> почему, так и не разобрались, на последних тестах вроде запуск
> стал нормальным !

Ещё ловил (и вешал) грабли с нестартующим по крайней мере в VE
postgresql.

> слишком уж закручена безопасность - причём нигде не документировано =(
> что и где ковырять.

Ага.  И ручек нет, и дефолты не всегда разумные.  Вешайте баги и
просьба давать Cc: mike@altlinux org

> к примеру portmapper, slapd - в /etc/sysconfig приходилось
> включать явно поддержку работы по сети, я не против этого но
> ведь данную возможность нужно было описать, чтение доков и
> readme в пакетах ничего не дало =( пришлось тыкаться
> всюду...если это где-то написано - то ткните носом.

Нигде AFAIK.

> Лдап мы всёж подняли, после плясок с бубном, авторизация
> работает (pam_ldap, nss_ldap) отсутствие поддержки ldap - это
> как - политика или баг?

Недоделка -- кому он был нужен, те по жизни решают на коленке или
меняют дистрибутив, а вот системно заняться поддержкой LDAP в
дистрибутиве всем пока оказалось слабо.

Если есть здоровье -- welcome.

PS: nss_ldapd не смотрели часом?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [devel] 4.0 Server + Desktop

[Damir Shayhutdinov]

Почему это письмо в devel@?

> слишком уж закручена безопасность - причём нигде не документировано =(
> что и где ковырять.
>
> к примеру portmapper, slapd - в /etc/sysconfig приходилось включать явно
> поддержку работы по сети, я не против этого но ведь данную возможность
> нужно было описать,
По умолчанию у большинства сервисов отключен сетевой доступ. Это
разумные в плане безопасности умолчания.

Re: [devel] 4.0 Server + Desktop

[Michael Shigorin]

On Mon, Oct 15, 2007 at 11:56:58AM +0400, Damir Shayhutdinov wrote:
> > слишком уж закручена безопасность - причём нигде не
> > документировано =( что и где ковырять.
> > к примеру portmapper, slapd - в /etc/sysconfig приходилось
> > включать явно поддержку работы по сети, я не против этого но
> > ведь данную возможность нужно было описать,
> По умолчанию у большинства сервисов отключен сетевой доступ.
> Это разумные в плане безопасности умолчания.

Особенно для portmap, который очень нужен на localhost.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [devel] 4.0 Server + Desktop

[Damir Shayhutdinov]

> On Mon, Oct 15, 2007 at 11:56:58AM +0400, Damir Shayhutdinov wrote:
> > > слишком уж закручена безопасность - причём нигде не
> > > документировано =( что и где ковырять.
> > > к примеру portmapper, slapd - в /etc/sysconfig приходилось
> > > включать явно поддержку работы по сети, я не против этого но
> > > ведь данную возможность нужно было описать,
> > По умолчанию у большинства сервисов отключен сетевой доступ.
> > Это разумные в плане безопасности умолчания.
>
> Особенно для portmap, который очень нужен на localhost.

Если portmap не работает для localhost - это проблемы portmap-а.
Работа с localhost - это разумное умолчание.

Re: [devel] 4.0 Server + Desktop

[Sergey V Kalinin]

banzaj@altlinux.org

> On Mon, Oct 15, 2007 at 09:32:59AM +1000, Sergey V Kalinin wrote:

> > слишком уж закручена безопасность - причём нигде не документировано
> =(
> > что и где ковырять.
>
> Ага.  И ручек нет, и дефолты не всегда разумные.  Вешайте баги и
> просьба давать Cc: mike@altlinux org

попытаюсь

> > к примеру portmapper, slapd - в /etc/sysconfig приходилось
> > включать явно поддержку работы по сети, я не против этого но
> > ведь данную возможность нужно было описать, чтение доков и
> > readme в пакетах ничего не дало =( пришлось тыкаться
> > всюду...если это где-то написано - то ткните носом.
>
> Нигде AFAIK.
>
> > Лдап мы всёж подняли, после плясок с бубном, авторизация
> > работает (pam_ldap, nss_ldap) отсутствие поддержки ldap - это
> > как - политика или баг?
>
> Недоделка -- кому он был нужен, те по жизни решают на коленке или
> меняют дистрибутив, а вот системно заняться поддержкой LDAP в
> дистрибутиве всем пока оказалось слабо.

менять дистрибутив, не хотелось бы - привык я уже , но вот заказчик уже
чешет репу =(

> Если есть здоровье -- welcome.

=)

хочешь чтобы было сделано как надо - сделай это сам..

>
> PS: nss_ldapd не смотрели часом?

не, до этого пока руки не дошли

-- 
Best regards!
===================================================
Sergey Kalinin (aka BanZaj)
"CONERO lab" | http://conero.lrn.ru | banzaj@lrn.ru

Re: [devel] 4.0 Server + Desktop

[Alexey Gladkov]

Michael Shigorin wrote:
> Особенно для portmap, который очень нужен на localhost.

portmap запускается с ключём -l. Так что для localhost всё нормально.

-- 
Rgrds, legion

Re: [devel] 4.0 Server + Desktop

[Sergey V Kalinin]

banzaj@altlinux.org

> On Mon, Oct 15, 2007 at 11:56:58AM +0400, Damir Shayhutdinov wrote:
> > > слишком уж закручена безопасность - причём нигде не
> > > документировано =( что и где ковырять.
> > > к примеру portmapper, slapd - в /etc/sysconfig приходилось
> > > включать явно поддержку работы по сети, я не против этого но
> > > ведь данную возможность нужно было описать,
> > По умолчанию у большинства сервисов отключен сетевой доступ.
> > Это разумные в плане безопасности умолчания.
>
> Особенно для portmap, который очень нужен на localhost.

зачем LDAP и portmap локально?!
если уж закручивать гайки то просто не ставить его в базовой инсталляции а
не выносить ключик в несовсем явное место да еще и ни сказав ничего об
этом. имхо

-- 
Best regards!
===================================================
Sergey Kalinin (aka BanZaj)
"CONERO lab" | http://conero.lrn.ru | banzaj@lrn.ru

Re: [devel] 4.0 Server + Desktop

[Sergey V Kalinin]

banzaj@altlinux.org

> Michael Shigorin wrote:
> > Особенно для portmap, который очень нужен на localhost.
>
> portmap запускается с ключём -l. Так что для localhost всё нормально.
>
>

спорное решение

-- 
Best regards!
===================================================
Sergey Kalinin (aka BanZaj)
"CONERO lab" | http://conero.lrn.ru | banzaj@lrn.ru

[devel] LDAP typical problems (was 4.0 Server + Desktop)

[Gennady Kovalev]

> - не всегда стартует slapd из сервисов, в ручную стартует, почему, так
...
> к примеру portmapper, slapd - в /etc/sysconfig приходилось включать
> явно
...
> Лдап мы всёж подняли, после плясок с бубном, авторизация работает
> (pam_ldap, nss_ldap)

Недельку назад тоже начал знакомиться с openldap. Надо сказать, что тоже
были пляски с бубном. Но, так как около моего компьютера висят заячьи лапки,
то я обнаружил что совсем не знаком с ldap и бубен я использовал только для
изучения логики ldap.

Как только я правильно прописал конфиги, все заработало нормально. Работает
хорошо и четко. Повторил эксперемент на новом VE. В результате настроил все
с первого раза и нормально.

Для потомков, какие глупые ошибки я совершал (пишу по памяти, уже могу
врать):

1. Долго читал где же логи, в результате нашел ключ -s 65535 у slapd (можно
-1). Далее искал где же оно в syslog. Чтобы долго не париться сделал себе
all.log и прописал *.* в syslog.conf. Логи я так нашел. По умолчанию
создается каталог /var/log/ldap в котором просто так пусто.

2. Когда я первый раз отредактировал slapd.conf, я по привычке сделал
service slapd restart вместо service slapd start. При рестарте присходит
проверка конфигов. Проверка не нашла базы данных (еще бы, ее там нет!). И до
старта дело не доходило. Я долго чесал репу что бы это могло значить. Когда
сделал start, база данных создалась и было мне счастье. Можно конечно при
проверке использовать ключик, "игнорировать отсутствие БД", но можно и
сказать "нефиг делать рестарт, когда ты ни разу не делал start".  

3. Когда я плясал с бубном, то запускал slapd в дебаг-режиме от рута, чтобы
проверять вообще он запускается или нет. Он красиво запускался и было мне
счастье. Но естественно, владелец половины файлов в базе данных в
/var/lib/ldap становился root, и пользователю ldap при нормальном старте
было тяжеловато читать БД.

Что касается включать вручную в /etc/sysconfig - это правильно. Себе для
этих целей я завел несколько пакетиков, которые при установке меняют
настройки по умолчанию, например, если это публичный ldap сервер. Ибо
удобство удобством, а п**а, должны быть чистой.

pam_ldap и nss_ldap завелись у меня без проблем, помучался только с
авторизацией к slapd, но там было просто непонимание, чтение мануалов
помогло.

Гена Ковалев.

Re: [devel] 4.0 Server + Desktop

[Sergey Bolshakov]

>>>>> "Sergey" == Sergey V Kalinin <Sergey> writes:
[skipped]
 > десктоп
 > - autofs собран без поддержки ldap, попытка пересобрать успехом не
 > увенчалась, как я понял, ошибка в исходниках? или ldap откручен
 > сознательно? пока поставлен 4.0.1 из мастера 2.4, но работоспособность не
 > проверялась.
ldap откручен сознательно

-- 

Re: [devel] portmap@localhost

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 913 bytes --]

On Mon, Oct 15, 2007 at 10:58:02AM +0300, Michael Shigorin wrote:
> On Mon, Oct 15, 2007 at 11:56:58AM +0400, Damir Shayhutdinov wrote:
> > > слишком уж закручена безопасность - причём нигде не
> > > документировано =( что и где ковырять.
> > > к примеру portmapper, slapd - в /etc/sysconfig приходилось
> > > включать явно поддержку работы по сети, я не против этого но
> > > ведь данную возможность нужно было описать,
> > По умолчанию у большинства сервисов отключен сетевой доступ.
> > Это разумные в плане безопасности умолчания.
> 
> Особенно для portmap, который очень нужен на localhost.

Разумеется, поскольку самый распространённый клиент portmap -- это nfs, а
самое распространённое использование nfs -- это nfs client, то по
умолчанию portmap конфигурируется localhost only.

Похоже, не все в курсе, что для nfs client достаточно чтобы portmap слушал
только localhost.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] portmap@localhost

[Michael Shigorin]

On Mon, Oct 15, 2007 at 03:57:07PM +0400, Dmitry V. Levin wrote:
> > > По умолчанию у большинства сервисов отключен сетевой доступ.
> > > Это разумные в плане безопасности умолчания.
> > Особенно для portmap, который очень нужен на localhost.

(":-/" пропущено)

> Разумеется, поскольку самый распространённый клиент portmap --
> это nfs, а самое распространённое использование nfs -- это nfs
> client, то по умолчанию portmap конфигурируется localhost only.
> Похоже, не все в курсе, что для nfs client достаточно чтобы
> portmap слушал только localhost.

Некоторые успели забыть, что для _client_ он требуется. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [devel] LDAP typical problems (was 4.0 Server + Desktop)

[Sergey V Kalinin]

banzaj@altlinux.org

> Недельку назад тоже начал знакомиться с openldap. Надо сказать, что
> тоже были пляски с бубном. Но, так как около моего компьютера висят заячьи
> лапки, то я обнаружил что совсем не знаком с ldap и бубен я использовал только
> для изучения логики ldap.

настраивал товарищ мой который лдап использует в работе уже лет 5

> 1. Долго читал где же логи, в результате нашел ключ -s 65535 у slapd
> (можно -1). Далее искал где же оно в syslog. Чтобы долго не париться сделал
> себе all.log и прописал *.* в syslog.conf. Логи я так нашел. По умолчанию
> создается каталог /var/log/ldap в котором просто так пусто.

логи должны быть настроены "из коробки", имхо

> 2. Когда я первый раз отредактировал slapd.conf, я по привычке сделал
> service slapd restart вместо service slapd start. При рестарте
> присходит
> проверка конфигов. Проверка не нашла базы данных (еще бы, ее там нет!).
> И до старта дело не доходило. Я долго чесал репу что бы это могло значить.
> Когда сделал start, база данных создалась и было мне счастье. Можно конечно
> при проверке использовать ключик, "игнорировать отсутствие БД", но можно и
> сказать "нефиг делать рестарт, когда ты ни разу не делал start".

сервис должен сказать об отсутствии бд в лог или консоль а не падать тихо
и молча

> Что касается включать вручную в /etc/sysconfig - это правильно. Себе
> для этих целей я завел несколько пакетиков, которые при установке меняют
> настройки по умолчанию, например, если это публичный ldap сервер. Ибо
> удобство удобством, а п**а, должны быть чистой.

включать правильно - не документировать - _не_ правильно

> Гена Ковалев.
> _______________________________________________
> Devel mailing list
> Devel@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/devel

-- 
Best regards!
===================================================
Sergey Kalinin (aka BanZaj)
"CONERO lab" | http://conero.lrn.ru | banzaj@lrn.ru

Re: [devel] LDAP typical problems (was 4.0 Server + Desktop)

[Genix]

Sergey V Kalinin пишет:
> banzaj@altlinux.org
> 
>> Недельку назад тоже начал знакомиться с openldap. Надо сказать, что
>> тоже были пляски с бубном. Но, так как около моего компьютера висят заячьи
>> лапки, то я обнаружил что совсем не знаком с ldap и бубен я использовал только
>> для изучения логики ldap.
> 
> настраивал товарищ мой который лдап использует в работе уже лет 5

вариант "использует лет 5" может означать и информацию пятилетней
давности, в том числе

-- 
У каждого в башке свои тараканы...

Re: [devel] LDAP typical problems (was 4.0 Server + Desktop)

[Sergey V Kalinin]

banzaj@altlinux.org

> Sergey V Kalinin пишет:
> > banzaj@altlinux.org
> >
> >> Недельку назад тоже начал знакомиться с openldap. Надо сказать, что
> >> тоже были пляски с бубном. Но, так как около моего компьютера висят
> заячьи
> >> лапки, то я обнаружил что совсем не знаком с ldap и бубен я
> использовал только
> >> для изучения логики ldap.
> >
> > настраивал товарищ мой который лдап использует в работе уже лет 5
>
> вариант "использует лет 5" может означать и информацию пятилетней
> давности, в том числе

к сведению - сейчас на debian etch (4.0) думаю это достаточно свежая
система

в общем вопрос не в том кто сколько и где ...

-- 
Best regards!
===================================================
Sergey Kalinin (aka BanZaj)
"CONERO lab" | http://conero.lrn.ru | banzaj@lrn.ru

Re: [devel] LDAP typical problems (was 4.0 Server + Desktop)

[Sergey Lebedev]

В сообщении от Tuesday 16 October 2007 05:48:51 Sergey V Kalinin написал(а):
> banzaj@altlinux.org
[skip]
> сервис должен сказать об отсутствии бд в лог или консоль а не падать тихо
> и молча

Попробуйте это решение, может оно вас больше устроит.


http://www.freesource.info/wiki/SergeyLebedev/EisSystem

Re: [devel] LDAP typical problems (was 4.0 Server + Desktop)

[Vitaly Ostanin]

[-- Attachment #1: Type: text/plain, Size: 725 bytes --]

Sergey Lebedev пишет:
> В сообщении от Tuesday 16 October 2007 05:48:51 Sergey V Kalinin написал(а):
>> banzaj@altlinux.org
> [skip]
>> сервис должен сказать об отсутствии бд в лог или консоль а не падать тихо
>> и молча
> 
> Попробуйте это решение, может оно вас больше устроит.
> 
> http://www.freesource.info/wiki/SergeyLebedev/EisSystem

Да, FDS производит впечатление бОльшей вменяемости. Хотя тоже
падает при отсутствии /var/lock/fedora-ds/slapd-<instance> со
словами про возможный конфликт запущенных экземпляров.

Это мало ли кто вдруг наткнётся. Когда воспроизведу и выясню, кто
удаляет этот каталог, повешу багу.

-- 
Regards, Vyt
mailto:  vyt@altlinux.org
JID:     vitaly.ostanin@gmail.com


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

Re: [devel] LDAP typical problems (was 4.0 Server + Desktop)

[Sergey Lebedev]

В сообщении от Tuesday 16 October 2007 14:41:27 Vitaly Ostanin написал(а):
[skip]
> Да, FDS производит впечатление бОльшей вменяемости. Хотя тоже
> падает при отсутствии /var/lock/fedora-ds/slapd-<instance> со
> словами про возможный конфликт запущенных экземпляров.
>
> Это мало ли кто вдруг наткнётся. Когда воспроизведу и выясню, кто
> удаляет этот каталог, повешу багу.

Это скорее ошибка сборки. start-скрипт кладет в одно место lock-файл, а fds 
ищет его в другом. Хотя в исходники я не заглядывал.

Re: [devel] LDAP typical problems (was 4.0 Server + Desktop)

[Vitaly Ostanin]

[-- Attachment #1: Type: text/plain, Size: 1078 bytes --]

Sergey Lebedev пишет:
> В сообщении от Tuesday 16 October 2007 14:41:27 Vitaly Ostanin написал(а):
> [skip]
>> Да, FDS производит впечатление бОльшей вменяемости. Хотя тоже
>> падает при отсутствии /var/lock/fedora-ds/slapd-<instance> со
>> словами про возможный конфликт запущенных экземпляров.
>>
>> Это мало ли кто вдруг наткнётся. Когда воспроизведу и выясню, кто
>> удаляет этот каталог, повешу багу.
> 
> Это скорее ошибка сборки. start-скрипт кладет в одно место lock-файл, а fds 
> ищет его в другом. Хотя в исходники я не заглядывал.

Он в правильном месте ищет, но неправильно создаёт lock файл. При
обломе создать lock файл в каталоге slapd-<instance> нужно либо
создавать сам каталог с нужными правами, либо ругаться, что
каталога нет.

А так ругани нет, и потом instance не может получить доступ к
lock файлу, и ругается про возможный конфликт instance'ов.

Другой вопрос, куда девается каталог
/var/lock/fedora-ds/slapd-<instance> - это я пока не отловил.

-- 
Regards, Vyt
mailto:  vyt@altlinux.org
JID:     vitaly.ostanin@gmail.com


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]

Re: [devel] 4.0 Server + Desktop

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 662 bytes --]

On Mon, Oct 15, 2007 at 10:45:44AM +0300, Michael Shigorin wrote:

>> В общем есть несколько проблем:
>> сервер
>> - не всегда стартует slapd из сервисов, в ручную стартует,
>> почему, так и не разобрались, на последних тестах вроде запуск
>> стал нормальным !
MS> Ещё ловил (и вешал) грабли с нестартующим по крайней мере в VE
MS> postgresql.

8.1 или 8.2?
# багов скажи, пожалуйста?

Неработающий в сервере постгрес это не ужас, это кошмар.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
сейчас mike@ прийдет и будет всем Administrativa
		-- gns in community@

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] 4.0 Server + Desktop

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 412 bytes --]

* Денис Смирнов <mithraen@> [071017 07:23]:
> MS> Ещё ловил (и вешал) грабли с нестартующим по крайней мере в VE
> MS> postgresql.
> 8.1 или 8.2?
Любой.  Если об'ём доступной шареной памяти сильно не
соответствует тому, что задано в конфиге.  Это зависит не только
от лимитов VE, но и от конфигурации HN (kernel.shm_*).

Кстати, postgresql об этом честно пишет в лог, IIRC.

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] 4.0 Server + Desktop

[Michael Shigorin]

On Wed, Oct 17, 2007 at 12:51:58PM +0400, Alexey I. Froloff wrote:
> > MS> Ещё ловил (и вешал) грабли с нестартующим по крайней мере в VE
> > MS> postgresql.
> > 8.1 или 8.2?
> Любой.  Если об'ём доступной шареной памяти сильно не
> соответствует тому, что задано в конфиге.  Это зависит не
> только от лимитов VE, но и от конфигурации HN (kernel.shm_*).

О как.  Не хочешь добавить к
http://www.freesource.info/wiki/AltLinux/Dokumentacija/OpenVZ?

OTOH может, есть смысл привести дефолтную конфигурацию Pg к тому,
чтоб в VE по умолчанию всё-таки запускался, а рядом оставить
оптимизированное в комментариях?

> Кстати, postgresql об этом честно пишет в лог, IIRC.

Кажется, умудрился не заметить, хотя будто разве что не strace'ил
его тогда...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [devel] 4.0 Server + Desktop

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 293 bytes --]

On Wed, 17 Oct 2007 12:51:58 +0400
Alexey wrote:

>Кстати, postgresql об этом честно пишет в лог, IIRC.

не далее как вчера имел счастье видеть postgres, не запустившийся в ovz
из-за нехватки шареной памяти, и ничего не написавший в лог.

-- 
np: Fear My Thoughts - In The Hourglass

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] 4.0 Server + Desktop

[Alexey I. Froloff]

[-- Attachment #1: Type: text/plain, Size: 866 bytes --]

* Michael Shigorin <mike@> [071017 15:57]:
> > Любой.  Если об'ём доступной шареной памяти сильно не
> > соответствует тому, что задано в конфиге.  Это зависит не
> > только от лимитов VE, но и от конфигурации HN (kernel.shm_*).
> О как.  Не хочешь добавить к
> http://www.freesource.info/wiki/AltLinux/Dokumentacija/OpenVZ?
Вообще-то это написано в любом PostgreSQL Configuration Guide.

> OTOH может, есть смысл привести дефолтную конфигурацию Pg к тому,
> чтоб в VE по умолчанию всё-таки запускался, а рядом оставить
> оптимизированное в комментариях?
Нужна ручка для управления sysctl вообще и kernel.shm_* в
частности...

> > Кстати, postgresql об этом честно пишет в лог, IIRC.
> Кажется, умудрился не заметить, хотя будто разве что не strace'ил
> его тогда...
Я точно не помню с какой диагностикой оно падает...

-- 
Regards,
Sir Raorn.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

[devel] 4.0 Server, OpenVZ, PostgreSQL 8 -- не стартует в VE

[Michael Shigorin]

On Wed, Oct 17, 2007 at 05:14:57PM +0400, Alexey I. Froloff wrote:
> > > Любой.  Если об'ём доступной шареной памяти сильно не
> > > соответствует тому, что задано в конфиге.  Это зависит не
> > > только от лимитов VE, но и от конфигурации HN (kernel.shm_*).
> > О как.  Не хочешь добавить к
> > http://www.freesource.info/wiki/AltLinux/Dokumentacija/OpenVZ?
> Вообще-то это написано в любом PostgreSQL Configuration Guide.

Да не собирался я его админить -- думал человеку передать.
В итоге пришлось поселить в тот контейнер мандриву, к которой
он сам привык (и где проблем с pg не вылезло).

> > OTOH может, есть смысл привести дефолтную конфигурацию Pg к
> > тому, чтоб в VE по умолчанию всё-таки запускался, а рядом
> > оставить оптимизированное в комментариях?
> Нужна ручка для управления sysctl вообще и kernel.shm_* в
> частности...

Из VE эта ручка в HN дёргаться не должна, поэтому всё-таки 
пошёл вешать #13150 насчёт дефолтной конфигурации...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [devel] 4.0 Server + Desktop

[Dmitry Lebkov]

Alex Gorbachenko пишет:
> On Wed, 17 Oct 2007 12:51:58 +0400
> Alexey wrote:
> 
>> Кстати, postgresql об этом честно пишет в лог, IIRC.
> 
> не далее как вчера имел счастье видеть postgres, не запустившийся в ovz
> из-за нехватки шареной памяти, и ничего не написавший в лог.

Если я правильно помню, в syslog он начинает писать только после
успешного запуска postmaster. До этого момента -- stderr.

/me тоже недавно по этим граблям ходил ... =\

-- 
WBR, Dmitry Lebkov

Re: [devel] 4.0 Server, OpenVZ, PostgreSQL 8 -- не стартует в VE

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 579 bytes --]

On Wed, Oct 17, 2007 at 04:27:57PM +0300, Michael Shigorin wrote:

MS> Из VE эта ручка в HN дёргаться не должна, поэтому всё-таки 
MS> пошёл вешать #13150 насчёт дефолтной конфигурации...

Делать его в дефолтной конфигурации тормозом/якорем это неправильно.
Правильно -- в инитскрипте тестировать на достаточность ресурсов и громко
ругаться в консоль.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
btw, I don't care of *unix systems which mishandle the "su -" case.
		-- ldv in #3580

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] 4.0 Server, OpenVZ, PostgreSQL 8 -- не стартует в VE

[Michael Shigorin]

On Thu, Oct 18, 2007 at 05:33:50PM +0400, Денис Смирнов wrote:
> MS> Из VE эта ручка в HN дёргаться не должна, поэтому всё-таки 
> MS> пошёл вешать #13150 насчёт дефолтной конфигурации...
> Делать его в дефолтной конфигурации тормозом/якорем это неправильно.

Тормоз по дефолту -- это лучше, чем неработа по дефолту.

> Правильно -- в инитскрипте тестировать на достаточность
> ресурсов и громко ругаться в консоль.

Хоть так.  Но лучше, чтоб запускался в _любой_ ситуации,
а в инитскрипте проверять дефолтно-якорность конфигурации
и предлагать запустить_скрипт/почитать_README.

По крайней мене IMNSHO...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [devel] 4.0 Server, OpenVZ, PostgreSQL 8 -- не стартует в VE

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 2172 bytes --]

On Thu, Oct 18, 2007 at 05:46:54PM +0300, Michael Shigorin wrote:

> MS>> Из VE эта ручка в HN дёргаться не должна, поэтому всё-таки 
> MS>> пошёл вешать #13150 насчёт дефолтной конфигурации...
>> Делать его в дефолтной конфигурации тормозом/якорем это неправильно.
MS> Тормоз по дефолту -- это лучше, чем неработа по дефолту.

Тормоз по дефолту в 99% инсталляций, и не работа по дефолту в 1%
инсталяций где используется openvz. Да еще и по вине пользователя, который
наверняка на failcount не посмотрел (с учетом чего не гарантируется что в
openvz вообще хотя бы что-то заработает).

>> Правильно -- в инитскрипте тестировать на достаточность
>> ресурсов и громко ругаться в консоль.
MS> Хоть так.  Но лучше, чтоб запускался в _любой_ ситуации,
MS> а в инитскрипте проверять дефолтно-якорность конфигурации
MS> и предлагать запустить_скрипт/почитать_README.
MS> По крайней мене IMNSHO...

Я правильно понимаю, что если на 386-й с 4-мя мегами памяти apache не
заработает, мне на тебя блокер вешать? А еще у меня на моем Nokia N95 альт
вообще не ставится. Кванторы общности в реальной жизни малоприменимы (это
я до слова "любой", тем более подчеркнутого доколебался).

Дефолты делают удобными для максимального процента реально используемых
конфигураций. И таки для того процента который пользуется openvz
правильнее таки лимиты поднять все-таки.

Посему:
 - то, что постгрес в этой ситуации не запускается это minor (не более,
   именно в связи с тем что пользователь openvz который не смотрит на
   user_beancounter сильно не прав);
 - то, что постгрес в такой ситуации не ругается нехорошими словами, это
   возможно все-таки major, при том что мы пропагандируем всю из себя
   совместимость с openvz;
 - был бы полезен enchancement заключающийся в том, что постгрес мог бы
   если его послали с shared memory попытаться выделить его _меньше_, и
   потом уже ругаться нехорошими словами что ему приходится обходиться
   объедками;

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Ничто так не ограничивает полёт мысли программиста, как компилятор.

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] 4.0 Server, OpenVZ, PostgreSQL 8 -- не стартует в VE

[Michael Shigorin]

On Thu, Oct 18, 2007 at 09:18:06PM +0400, Денис Смирнов wrote:
> > MS>> Из VE эта ручка в HN дёргаться не должна, поэтому всё-таки 
> > MS>> пошёл вешать #13150 насчёт дефолтной конфигурации...
> >> Делать его в дефолтной конфигурации тормозом/якорем это неправильно.
> MS> Тормоз по дефолту -- это лучше, чем неработа по дефолту.
> Тормоз по дефолту в 99% инсталляций, и не работа по дефолту в
> 1% инсталяций где используется openvz.

Хорошо, я проверю на стенде.

> Да еще и по вине пользователя, который наверняка на failcount
> не посмотрел (с учетом чего не гарантируется что в openvz
> вообще хотя бы что-то заработает).

Не надо на мою больную голову со своей, уж туда-то я смотреть
первым делом при граблях в контейнерах давно научился. :)

> >> Правильно -- в инитскрипте тестировать на достаточность
> >> ресурсов и громко ругаться в консоль.
> MS> Хоть так.  Но лучше, чтоб запускался в _любой_ ситуации,
> MS> а в инитскрипте проверять дефолтно-якорность конфигурации
> MS> и предлагать запустить_скрипт/почитать_README.
> MS> По крайней мене IMNSHO...
> Я правильно понимаю, что если на 386-й с 4-мя мегами памяти
> apache не заработает, мне на тебя блокер вешать?

Не выпендривайся, и не подковырнут при встрече будешь. ;-P

> Кванторы общности в реальной жизни малоприменимы (это я до
> слова "любой", тем более подчеркнутого доколебался).

Я ж говорю "лучше", а не требую с пристрастием.  Типа, помечтать,
как бывает с серверами у хороших майнтейнеров, не считающих
коллег сплошь латентными слакваристами. ;-)

> Дефолты делают удобными для максимального процента реально
> используемых конфигураций. И таки для того процента который
> пользуется openvz правильнее таки лимиты поднять все-таки.

Хорошо, если ты так считаешь, я согласен просто на внятную
диагностику.  Заодно баунснул тебе письмо насчёт того, что 
у кого-то сизифовый pg не стартует без contrib по причине
окривевшего chroot-файлика.

> Посему:
>  - то, что постгрес в этой ситуации не запускается это minor
>  (не более, именно в связи с тем что пользователь openvz
>  который не смотрит на user_beancounter сильно не прав);

Кхм.  Полез доказывать, что верблюд -- ты, но в VE с 4.0.1
postgresql8.2-server-8.2.4-alt2 встал, стартовал и пустил psql.
Придётся списать на обратный визит-эффект ;-)

failcnt, разумеется, остаётся по нулям.  Какие-то лимиты я этому
контейнеру поднимал сразу после создания, но это было едва ли не
летом ещё.

>  - то, что постгрес в такой ситуации не ругается нехорошими
>  словами, это возможно все-таки major, при том что мы
>  пропагандируем всю из себя совместимость с openvz;

Дык.

>  - был бы полезен enchancement заключающийся в том, что
>  постгрес мог бы если его послали с shared memory попытаться
>  выделить его _меньше_, и потом уже ругаться нехорошими словами
>  что ему приходится обходиться объедками;

Яволь.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [devel] 4.0 Server, OpenVZ, PostgreSQL 8 -- не стартует в VE

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 2565 bytes --]

On Thu, Oct 18, 2007 at 11:05:12PM +0300, Michael Shigorin wrote:

>> Тормоз по дефолту в 99% инсталляций, и не работа по дефолту в
>> 1% инсталяций где используется openvz.
MS> Хорошо, я проверю на стенде.

Спасибо.

>> Да еще и по вине пользователя, который наверняка на failcount
>> не посмотрел (с учетом чего не гарантируется что в openvz
>> вообще хотя бы что-то заработает).
MS> Не надо на мою больную голову со своей, уж туда-то я смотреть
MS> первым делом при граблях в контейнерах давно научился. :)

Тодга очень, очень странно. Я хотел бы посмотреть на эту багу живьем.

>> Я правильно понимаю, что если на 386-й с 4-мя мегами памяти
>> apache не заработает, мне на тебя блокер вешать?
MS> Не выпендривайся, и не подковырнут при встрече будешь. ;-P

Боюсь что в навыках флейма мы на равных :-P

>> Кванторы общности в реальной жизни малоприменимы (это я до
>> слова "любой", тем более подчеркнутого доколебался).
MS> Я ж говорю "лучше", а не требую с пристрастием.  Типа, помечтать,
MS> как бывает с серверами у хороших майнтейнеров, не считающих
MS> коллег сплошь латентными слакваристами. ;-)

Увы, есть серьезная проблема -- "работающее везде" и "работающее
оптимально" в связи с нашим несовершенством часто являются конфликтующими.

>> Дефолты делают удобными для максимального процента реально
>> используемых конфигураций. И таки для того процента который
>> пользуется openvz правильнее таки лимиты поднять все-таки.
MS> Хорошо, если ты так считаешь, я согласен просто на внятную
MS> диагностику.  Заодно баунснул тебе письмо насчёт того, что 
MS> у кого-то сизифовый pg не стартует без contrib по причине
MS> окривевшего chroot-файлика.

Нужно дорабатывать диагностику в постгресе. С учетом последних новостей
Etersoft постгрес становится еще более приоритетной задачей.

>> Посему:
>>  - то, что постгрес в этой ситуации не запускается это minor
>>  (не более, именно в связи с тем что пользователь openvz
>>  который не смотрит на user_beancounter сильно не прав);
MS> Кхм.  Полез доказывать, что верблюд -- ты, но в VE с 4.0.1
MS> postgresql8.2-server-8.2.4-alt2 встал, стартовал и пустил psql.
MS> Придётся списать на обратный визит-эффект ;-)

Возможно у нас неправильно работает именно 8.1, причины включения которого
в дистрибутив я до сих пор не понимаю -- это неуловимый джо.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------
Ёлки-палки, я и забыл, что man уже давно не мой пакет. :)
		-- ldv in #6988

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]