[devel] I: openldap 2.4.16

[devel] I: openldap 2.4.16

[Lebedev Sergey]

Openldap 2.4.16. Задача #8923.

В связи с тем, что уже длительное время у нас openldap не
обновлялся, мантейнера давно не видно и не слышно,  прошу
пропустить сборку #8923 в Сизиф.

В новой сборке, помимо закрытия блокеров и перехода с ветки 
2.3 на 2.4, сделаны следующие изменения:

Upstream удалил slurpd и back-ldbm.
http://www.openldap.org/doc/admin24/appendix-changes.html

Я постарался реализовать прозрачное обновление сервера и
библиотек.

1) libldap2.4 обратно совместима с libldap2.3.

Из 2.4 (относительно 2.3) были удалены следующие функции и
переменная
-D  ldap_pvt_sockbuf_io_sasl
-T  desc2str
-T  ldap_parse_sort_control
-T  ldap_parse_vlv_control
-T  ldap_pvt_tls_get_peer_hostname
-T  ldap_pvt_tls_get_peer_issuer

В Сизифе только libwine и libwine-vanilla требуют
ldap_parse_sort_control ldap_parse_vlv_control. Остальные
проекты, слинкованные с libldap2.3, не используют удаленные
функции, переменную.

Таким образом, libldap2.4 провайдит libldap-2.3 liblber-2.3
libldap_r-2.3.

2) openldap 2.4.16 собран с новой версией berkeley db (4.7).

По этому на этапе обновления будет сделана попытка автомагического
обновления баз.

Для каждой базы, объявленной в slapd.conf и окрестностях, будет
сделана резервная копия самой базы (/var/lib/ldap/bases/$base_name.rpmorig),
логов (/var/lib/ldap/dblogs/$name.rpmorig) и дамп базы в
формате ldif (/var/lib/ldap/bases/$base_name.rpmorig/dump.ldif).

После обновления openldap-servers, дамп базы будет залит обратно.

3) В момент обновления сервера, будут закомментированы строки 
replica-pidfile и replica-argsfile в /etc/openldap/slapd.conf.

Re: [devel] I: openldap 2.4.16

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 1594 bytes --]

Lebedev Sergey <barabashka-u2l5PoMzF/Uox3rIn2DAYQ@public.gmane.org>
writes:

> Таким образом, libldap2.4 провайдит libldap-2.3 liblber-2.3
> libldap_r-2.3.
Я извиняюсь конечно, но вы с какого дерева упали?
Разве там есть библиотека libldap-2.3.so.0?

> 2) openldap 2.4.16 собран с новой версией berkeley db (4.7).
>
> По этому на этапе обновления будет сделана попытка автомагического
> обновления баз.
>
> Для каждой базы, объявленной в slapd.conf и окрестностях, будет
> сделана резервная копия самой базы (/var/lib/ldap/bases/$base_name.rpmorig),
> логов (/var/lib/ldap/dblogs/$name.rpmorig) и дамп базы в
> формате ldif (/var/lib/ldap/bases/$base_name.rpmorig/dump.ldif).
А если у меня база на 10 гиг, и 2 гига свободного места на винте?

> После обновления openldap-servers, дамп базы будет залит обратно.
А если я не хочу?

> 3) В момент обновления сервера, будут закомментированы строки 
> replica-pidfile и replica-argsfile в /etc/openldap/slapd.conf.
А если я не хочу, чтобы кто-то лазил в мой конфиг? а если он у меня
порезан на части и репликация вынесена?

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [devel] I: openldap 2.4.16

[Lebedev Sergey]

On 08 Jul, Ivan Fedorov wrote:
> Lebedev Sergey <barabashka-u2l5PoMzF/Uox3rIn2DAYQ@public.gmane.org>
> writes:
> 
> > Таким образом, libldap2.4 провайдит libldap-2.3 liblber-2.3
> > libldap_r-2.3.
> Я извиняюсь конечно, но вы с какого дерева упали?
> Разве там есть библиотека libldap-2.3.so.0?

Библиотеки конечно нет, но есть символьная ссылка
libldap-2.3.so.0 -> libldap-2.4.so.0.

> > 2) openldap 2.4.16 собран с новой версией berkeley db (4.7).
> >
> > По этому на этапе обновления будет сделана попытка автомагического
> > обновления баз.
> >
> > Для каждой базы, объявленной в slapd.conf и окрестностях, будет
> > сделана резервная копия самой базы (/var/lib/ldap/bases/$base_name.rpmorig),
> > логов (/var/lib/ldap/dblogs/$name.rpmorig) и дамп базы в
> > формате ldif (/var/lib/ldap/bases/$base_name.rpmorig/dump.ldif).
> А если у меня база на 10 гиг, и 2 гига свободного места на винте?

Вам об этом сообщат и пакеты не будут установлены.

> > После обновления openldap-servers, дамп базы будет залит обратно.
> А если я не хочу?

rpm --noscripts

> > 3) В момент обновления сервера, будут закомментированы строки 
> > replica-pidfile и replica-argsfile в /etc/openldap/slapd.conf.
> А если я не хочу, чтобы кто-то лазил в мой конфиг? а если он у меня
> порезан на части и репликация вынесена?

rpm --noscripts

git репозитарий с моeй сборкой openldap 2.4 живет тут
git.altlinux.org/people/barabashka/packages/openldap.git

Иван, ваши конструктивные предложения и комментарии?

Re: [devel] I: openldap 2.4.16

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 401 bytes --]

On Thu, Jul 09, 2009 at 12:31:24AM +0400, Lebedev Sergey wrote:

LS> Библиотеки конечно нет, но есть символьная ссылка
LS> libldap-2.3.so.0 -> libldap-2.4.so.0.

Ужас! Кошмар!

Прошу прочитать http://www.altlinux.org/SharedLibsPolicy и никогда _так_
не делать.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] I: openldap 2.4.16

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 339 bytes --]

On Thu, Jul 09, 2009 at 07:31:17AM +0400, Денис Смирнов wrote:
> On Thu, Jul 09, 2009 at 12:31:24AM +0400, Lebedev Sergey wrote:
> 
> LS> Библиотеки конечно нет, но есть символьная ссылка
> LS> libldap-2.3.so.0 -> libldap-2.4.so.0.
> 
> Ужас! Кошмар!

Посмотри, как это сделано в пакете, и обоснуй своё утверждение.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] I: openldap 2.4.16

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 681 bytes --]

On Thu, Jul 09, 2009 at 12:54:48PM +0400, Dmitry V. Levin wrote:

DVL> Посмотри, как это сделано в пакете, и обоснуй своё утверждение.

В результате появилась библиотека с якобы старым soname, но не
экспортирующая тех же функций что библиотека с тем же soname.

Кроме того из письма неочевидна что была проделана работа по выяснению не
изменился ли размер и формат структур данных для обмена с этой
библиотекой.

Т.е. это средство обмануть сборочницу и проверки на soname (которыми мы
так гордились) вместо сборки compatibility library.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] I: openldap 2.4.16

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 2939 bytes --]

Lebedev Sergey <barabashka-u2l5PoMzF/Uox3rIn2DAYQ@public.gmane.org>
writes:

> On 08 Jul, Ivan Fedorov wrote:
>> Lebedev Sergey <barabashka-u2l5PoMzF/Uox3rIn2DAYQ@public.gmane.org>
>> writes:
>> 
>> > Таким образом, libldap2.4 провайдит libldap-2.3 liblber-2.3
>> > libldap_r-2.3.
>> Я извиняюсь конечно, но вы с какого дерева упали?
>> Разве там есть библиотека libldap-2.3.so.0?
>
> Библиотеки конечно нет, но есть символьная ссылка
> libldap-2.3.so.0 -> libldap-2.4.so.0.
эээ... а если я сделаю симлинки с FireFox 3.5 на FireFox 3.0 у меня
старые кривые расширения заработают? а то может зря и их патчу?

>> > Для каждой базы, объявленной в slapd.conf и окрестностях, будет
>> > сделана резервная копия самой базы (/var/lib/ldap/bases/$base_name.rpmorig),
>> > логов (/var/lib/ldap/dblogs/$name.rpmorig) и дамп базы в
>> > формате ldif (/var/lib/ldap/bases/$base_name.rpmorig/dump.ldif).
>> А если у меня база на 10 гиг, и 2 гига свободного места на винте?
>
> Вам об этом сообщат и пакеты не будут установлены.
Ну спасибо... а ничего, что у меня на соседнем разделе пара терабайт
свободного места со внешного стораджа?

А ничего, что бэкаб базы в 10 гиг будет идти достаточно долго? и всё это
время у меня будет полуобновлённая система и залоченная база RPM?

>> > После обновления openldap-servers, дамп базы будет залит обратно.
>> А если я не хочу?
>
> rpm --noscripts
Учитывая ваши Provides apt начнёт установку сам в процессе
dist-upgrade. Как мне передать туда этот параметр? А как его передать
тем, кто привык к синаптику или ALT Linux Control Center?

> git репозитарий с моeй сборкой openldap 2.4 живет тут
> git.altlinux.org/people/barabashka/packages/openldap.git
>
> Иван, ваши конструктивные предложения и комментарии?
Выкинуть это всё! Ну или в крайнем случае положить в качестве
экспериментального опционального скрипта миграции в %_docdir/%name.


PS: Я КАТЕГОРИЧЕСКИ против попадания данной сборки куда-либо.

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [devel] I: openldap 2.4.16

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 2329 bytes --]

On Thu, Jul 09, 2009 at 10:25:47AM +0400, Ivan Fedorov wrote:
> Lebedev Sergey <barabashka-u2l5PoMzF/Uox3rIn2DAYQ@public.gmane.org> writes:
> > On 08 Jul, Ivan Fedorov wrote:
> >> Lebedev Sergey <barabashka-u2l5PoMzF/Uox3rIn2DAYQ@public.gmane.org>
> >> writes:
> >> 
> >> > Таким образом, libldap2.4 провайдит libldap-2.3 liblber-2.3
> >> > libldap_r-2.3.
> >> Я извиняюсь конечно, но вы с какого дерева упали?
> >> Разве там есть библиотека libldap-2.3.so.0?
> >
> > Библиотеки конечно нет, но есть символьная ссылка
> > libldap-2.3.so.0 -> libldap-2.4.so.0.
> эээ... а если я сделаю симлинки с FireFox 3.5 на FireFox 3.0 у меня
> старые кривые расширения заработают? а то может зря и их патчу?

Иван, какое это имеет отношение к предмету обсуждения?
Как можно серьёзно воспринимать другие высказывания человека,
который такое написал?

> >> > Для каждой базы, объявленной в slapd.conf и окрестностях, будет
> >> > сделана резервная копия самой базы (/var/lib/ldap/bases/$base_name.rpmorig),
> >> > логов (/var/lib/ldap/dblogs/$name.rpmorig) и дамп базы в
> >> > формате ldif (/var/lib/ldap/bases/$base_name.rpmorig/dump.ldif).
> >> А если у меня база на 10 гиг, и 2 гига свободного места на винте?
> >
> > Вам об этом сообщат и пакеты не будут установлены.
> Ну спасибо... а ничего, что у меня на соседнем разделе пара терабайт
> свободного места со внешного стораджа?
> 
> А ничего, что бэкаб базы в 10 гиг будет идти достаточно долго? и всё это
> время у меня будет полуобновлённая система и залоченная база RPM?
> 
> >> > После обновления openldap-servers, дамп базы будет залит обратно.
> >> А если я не хочу?
> >
> > rpm --noscripts
> Учитывая ваши Provides apt начнёт установку сам в процессе
> dist-upgrade. Как мне передать туда этот параметр? А как его передать
> тем, кто привык к синаптику или ALT Linux Control Center?
> 
> > git репозитарий с моeй сборкой openldap 2.4 живет тут
> > git.altlinux.org/people/barabashka/packages/openldap.git
> >
> > Иван, ваши конструктивные предложения и комментарии?
> Выкинуть это всё! Ну или в крайнем случае положить в качестве
> экспериментального опционального скрипта миграции в %_docdir/%name.
> 
> PS: Я КАТЕГОРИЧЕСКИ против попадания данной сборки куда-либо.

Неконструктивные мнения здесь не учитываются.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] I: openldap 2.4.16

[Ivan Fedorov]

[-- Attachment #1: Type: text/plain, Size: 1711 bytes --]

"Dmitry V. Levin" <ldv-u2l5PoMzF/Vg9hUCZPvPmw@public.gmane.org> writes:

> On Thu, Jul 09, 2009 at 10:25:47AM +0400, Ivan Fedorov wrote:
>> Lebedev Sergey <barabashka-u2l5PoMzF/Uox3rIn2DAYQ-XMD5yJDbdMReXY1tMh2IBg@public.gmane.org> writes:
>> > On 08 Jul, Ivan Fedorov wrote:
>> >> Lebedev Sergey <barabashka-u2l5PoMzF/Uox3rIn2DAYQ-XMD5yJDbdMReXY1tMh2IBg@public.gmane.org>
>> >> writes:
>> >> 
>> >> > Таким образом, libldap2.4 провайдит libldap-2.3 liblber-2.3
>> >> > libldap_r-2.3.
>> >> Я извиняюсь конечно, но вы с какого дерева упали?
>> >> Разве там есть библиотека libldap-2.3.so.0?
>> >
>> > Библиотеки конечно нет, но есть символьная ссылка
>> > libldap-2.3.so.0 -> libldap-2.4.so.0.
>> эээ... а если я сделаю симлинки с FireFox 3.5 на FireFox 3.0 у меня
>> старые кривые расширения заработают? а то может зря и их патчу?
>
> Иван, какое это имеет отношение к предмету обсуждения?
> Как можно серьёзно воспринимать другие высказывания человека,
> который такое написал?

>> PS: Я КАТЕГОРИЧЕСКИ против попадания данной сборки куда-либо.
>
> Неконструктивные мнения здесь не учитываются.

Дмитрий, ну раз вы так настаиваете, то я удаляюсь из данной
дискуссии... с модератором не спорят!

[-- Attachment #2: Type: application/pgp-signature, Size: 196 bytes --]

Re: [devel] I: openldap 2.4.16

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 399 bytes --]

On Thu, Jul 09, 2009 at 12:31:24AM +0400, Lebedev Sergey wrote:
[...]

> git репозитарий с моeй сборкой openldap 2.4 живет тут
> git.altlinux.org/people/barabashka/packages/openldap.git

Нестандартные имена бранчей тоже надо сообщать.
Насколько я понимаю, обсуждаемое живёт здесь:
http://git.altlinux.org/people/barabashka/packages/?p=openldap.git;a=shortlog;h=refs/heads/2.4


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] I: openldap 2.4.16

[Sergey V Turchin]

[-- Attachment #1: Type: text/plain, Size: 363 bytes --]

On Wednesday 08 July 2009, Lebedev Sergey wrote:

[...]
> > А если у меня база на 10 гиг, и 2 гига свободного места на
> > винте?
> Вам об этом сообщат и пакеты не будут установлены.
Какие буквы искать в spec-файле? Что-то не вижу.

[...]

-- 
Regards, Sergey, ALT Linux Team, http://www.altlinux.ru
http://stinkfoot.org:11371/pks/lookup?op=get&search=0x1C2A3F08

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: openldap 2.4.16

[Dmitry Lebkov]

On 09.07.2009 04:00, Lebedev Sergey wrote:
> Openldap 2.4.16. Задача #8923.
> 
> В связи с тем, что уже длительное время у нас openldap не
> обновлялся, мантейнера давно не видно и не слышно,  прошу
> пропустить сборку #8923 в Сизиф.

Ну, как минимум, майнтейнеру можно было хотя бы письмо кинуть.
Писем от barabashka@altlinux.ru в своем почтовом ящике я не
наблюдаю.

> В новой сборке, помимо закрытия блокеров и перехода с ветки 
> 2.3 на 2.4, сделаны следующие изменения:
> 
> Upstream удалил slurpd и back-ldbm.
> http://www.openldap.org/doc/admin24/appendix-changes.html
> 
> Я постарался реализовать прозрачное обновление сервера и
> библиотек.

Идея хорошая. Но я так и не смог это реализовать с учетом
_всех_ нюансов своих "боевых" систем.

> 1) libldap2.4 обратно совместима с libldap2.3.
> 
> Из 2.4 (относительно 2.3) были удалены следующие функции и
> переменная
> -D  ldap_pvt_sockbuf_io_sasl
> -T  desc2str
> -T  ldap_parse_sort_control
> -T  ldap_parse_vlv_control
> -T  ldap_pvt_tls_get_peer_hostname
> -T  ldap_pvt_tls_get_peer_issuer
> 
> В Сизифе только libwine и libwine-vanilla требуют
> ldap_parse_sort_control ldap_parse_vlv_control. Остальные
> проекты, слинкованные с libldap2.3, не используют удаленные
> функции, переменную.
> 
> Таким образом, libldap2.4 провайдит libldap-2.3 liblber-2.3
> libldap_r-2.3.

Мда. По этому поводу коллеги уже высказались.

> 2) openldap 2.4.16 собран с новой версией berkeley db (4.7).
> 
> По этому на этапе обновления будет сделана попытка автомагического
> обновления баз.

См. выше, про "прозрачное обновление".

> 
> Для каждой базы, объявленной в slapd.conf и окрестностях, будет
> сделана резервная копия самой базы (/var/lib/ldap/bases/$base_name.rpmorig),
> логов (/var/lib/ldap/dblogs/$name.rpmorig) и дамп базы в
> формате ldif (/var/lib/ldap/bases/$base_name.rpmorig/dump.ldif).
> 
> После обновления openldap-servers, дамп базы будет залит обратно.
> 
> 3) В момент обновления сервера, будут закомментированы строки 
> replica-pidfile и replica-argsfile в /etc/openldap/slapd.conf.

ТАКОЕ на базах в десятки гиг я делать не решусь.

Ну и не мешало бы предварительно озвучить/показать то, что планируется
делать с пакетом либо в этом листе, либо в openldap@lists.osdn.org.ua

-- 
WBR, Dmitry Lebkov

Re: [devel] I: openldap 2.4.16

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 838 bytes --]

On Thu, Jul 09, 2009 at 06:41:58PM +1100, Dmitry Lebkov wrote:
> On 09.07.2009 04:00, Lebedev Sergey wrote:
> > Openldap 2.4.16. Задача #8923.
> > 
> > В связи с тем, что уже длительное время у нас openldap не
> > обновлялся, мантейнера давно не видно и не слышно,  прошу
> > пропустить сборку #8923 в Сизиф.
> 
> Ну, как минимум, майнтейнеру можно было хотя бы письмо кинуть.

Я кидал blocker-баги в багзиллу.  Считаю, что этого достаточно.

[...]
> Ну и не мешало бы предварительно озвучить/показать то, что планируется
> делать с пакетом либо в этом листе, либо в openldap@lists.osdn.org.ua

Этот тред и является тем самым предварительным обсуждением.
Большая просьба к тем, кто готов высказывать конструктивную критику,
сперва ознакомиться с предметом обсуждения:
http://git.altlinux.org/tasks/8923/


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] I: openldap 2.4.16

[Dmitry Lebkov]

On 09.07.2009 20:04, Dmitry V. Levin wrote:
> On Thu, Jul 09, 2009 at 06:41:58PM +1100, Dmitry Lebkov wrote:
>> On 09.07.2009 04:00, Lebedev Sergey wrote:
>>> Openldap 2.4.16. Задача #8923.
>>>
>>> В связи с тем, что уже длительное время у нас openldap не
>>> обновлялся, мантейнера давно не видно и не слышно,  прошу
>>> пропустить сборку #8923 в Сизиф.
>>
>> Ну, как минимум, майнтейнеру можно было хотя бы письмо кинуть.
> 
> Я кидал blocker-баги в багзиллу.  Считаю, что этого достаточно.

Ну речь не о ldv@, а о barabashka@ и фразе "мантейнера давно не
видно и не слышно".

> [...]
>> Ну и не мешало бы предварительно озвучить/показать то, что планируется
>> делать с пакетом либо в этом листе, либо в openldap@lists.osdn.org.ua
> 
> Этот тред и является тем самым предварительным обсуждением.

Угу, особенно первое письмо треда.

> Большая просьба к тем, кто готов высказывать конструктивную критику,
> сперва ознакомиться с предметом обсуждения:
> http://git.altlinux.org/tasks/8923/

Ну и чтоб не возникало "лишних" вопросов:

$ ./acl-anarchy.sh dlebkov
Starting to undermine law and order in sisyphus
girar-acl: Go ahead and type your commands
girar-acl: 40 command(s) queued
Starting to undermine law and order in 5.0
girar-acl: Go ahead and type your commands
girar-acl: 40 command(s) queued
Starting to undermine law and order in 4.1
girar-acl: Go ahead and type your commands
girar-acl: 43 command(s) queued
Starting to undermine law and order in 4.0
girar-acl: Go ahead and type your commands
girar-acl: 44 command(s) queued
Evil plans complete: 100%

-- 
WBR, Dmitry Lebkov

PS. Жаль, что не "осилили":
    http://lists.altlinux.org/pipermail/devel/2009-May/170963.html

Re: [devel] I: openldap 2.4.16

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 238 bytes --]

On Thu, Jul 09, 2009 at 10:41:49PM +1100, Dmitry Lebkov wrote:
[...]
> Ну и чтоб не возникало "лишних" вопросов:
> 
> $ ./acl-anarchy.sh dlebkov

Я уже жаловался, что этот скрипт не поддерживает анархизацию групп. :)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] I: openldap 2.4.16

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1139 bytes --]

On Thu, Jul 09, 2009 at 06:41:58PM +1100, Dmitry Lebkov wrote:
> On 09.07.2009 04:00, Lebedev Sergey wrote:
> > Openldap 2.4.16. Задача #8923.
[...]
> > Я постарался реализовать прозрачное обновление сервера и
> > библиотек.
> 
> Идея хорошая. Но я так и не смог это реализовать с учетом
> _всех_ нюансов своих "боевых" систем.

В связи с обновлением bdb обновлять openldap без обновления баз просто
нельзя: обычный пользователь пакета openldap-servers не сможет обновить
базы после такого обновления openldap, у него в системе уже не будет
необходимых для этого инструментов.
Грубо говоря, если обновление баз не удаётся провести, то
безопаснее просто прекратить обновление в духе /sbin/glibc_preinstall.

Таким образом, если сисадмин не доверяет автоматике, это значит, что
ему не следует начинать dist-upgrade, содержащий это обновление openldap.
Для успокоения нервных сисадминов, предпочитающих ручное управление,
можно завести какой-нибудь /etc/sysconfig/что-нибудь-на-тему, отключающий
автоматическое обновление баз.

P.S. Cисадмину вообще не следует забывать про RPM::Hold в /etc/apt/apt.conf


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] I: openldap 2.4.16

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 757 bytes --]

On Thu, Jul 09, 2009 at 01:30:39PM +0400, Dmitry V. Levin wrote:

DVL> P.S. Cисадмину вообще не следует забывать про RPM::Hold в /etc/apt/apt.conf

В постгресе эта проблема решенеа идеально -- разные версии серверов под
разными именами, и таким образом apt-get upgrade не будет пытаться
заменить версию сервера, но при этом будет обновлять ветку если были
выпущены к ней обновления.

Идеальным было бы обеспечить возможность сосуществования нескольких версий
сервера на одной машине, это сделало бы переход мягким и безболезненным,
однако для манетйнера это слишком трудоемкая работа, поэтому ее никто не
делает.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] I: openldap 2.4.16

[Michael Shigorin]

On Fri, Jul 10, 2009 at 09:36:59AM +0400, Денис Смирнов wrote:
> Идеальным было бы обеспечить возможность сосуществования
> нескольких версий сервера на одной машине, это сделало бы
> переход мягким и безболезненным, однако для манетйнера это
> слишком трудоемкая работа, поэтому ее никто не делает.

Для такого критичного подарка как openldap -- +1.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] I: openldap 2.4.16

[Lebedev Sergey]

On 09 Jul, Dmitry Lebkov wrote:
> On 09.07.2009 04:00, Lebedev Sergey wrote:
[skip]
> Ну, как минимум, майнтейнеру можно было хотя бы письмо кинуть.
> Писем от barabashka@altlinux.ru в своем почтовом ящике я не
> наблюдаю.

В целом, первое письмо было попыткой напомнить всем
заинтересованным лицам о существовании openldap в Сизифе. 

> > В новой сборке, помимо закрытия блокеров и перехода с ветки 
> > 2.3 на 2.4, сделаны следующие изменения:
[skip]
> Идея хорошая. Но я так и не смог это реализовать с учетом
> _всех_ нюансов своих "боевых" систем.

Очевидно, что для _всех_ "боевых" систем сделать это крайне
сложно. Опытный системный администратор может самостоятельно
сдампить базы до обновления и залить их обратно после.
А для простых смертных обновление должно пройти тихо и спокойно.  

> > 1) libldap2.4 обратно совместима с libldap2.3.
> > 
> > Из 2.4 (относительно 2.3) были удалены следующие функции и
> > переменная
> > -D  ldap_pvt_sockbuf_io_sasl
> > -T  desc2str
> > -T  ldap_parse_sort_control
> > -T  ldap_parse_vlv_control
> > -T  ldap_pvt_tls_get_peer_hostname
> > -T  ldap_pvt_tls_get_peer_issuer
> > 
> > В Сизифе только libwine и libwine-vanilla требуют
> > ldap_parse_sort_control ldap_parse_vlv_control. Остальные
> > проекты, слинкованные с libldap2.3, не используют удаленные
> > функции, переменную.
> > 
> > Таким образом, libldap2.4 провайдит libldap-2.3 liblber-2.3
> > libldap_r-2.3.
> 
> Мда. По этому поводу коллеги уже высказались.

Я конструктивных высказываний не увидел. Обоснование своей
позиции по поводу обратной совместимости libldap2.3 и libldap2.4
я написал. В чем мои доводы неверны? 

Как вариант могу предложить shared task на ~80 пакетов. 
* kdebase
* openoffice.org
* postgresql8.3
и так далее

Думаю к выходу openldap 2.5 мы доберемся до ACCEPT этого task'а.

> > Для каждой базы, объявленной в slapd.conf и окрестностях, будет
> > сделана резервная копия самой базы (/var/lib/ldap/bases/$base_name.rpmorig),
> > логов (/var/lib/ldap/dblogs/$name.rpmorig) и дамп базы в
> > формате ldif (/var/lib/ldap/bases/$base_name.rpmorig/dump.ldif).
> > 
> > После обновления openldap-servers, дамп базы будет залит обратно.
> > 
> > 3) В момент обновления сервера, будут закомментированы строки 
> > replica-pidfile и replica-argsfile в /etc/openldap/slapd.conf.
> 
> ТАКОЕ на базах в десятки гиг я делать не решусь.

А что вы будете делать с этими базами? В любом случаи при
переходе на 2.4 вы сделаете ровным счетом тоже самое. Backup
всего, dump, заливка обратно.  

> Ну и не мешало бы предварительно озвучить/показать то, что планируется
> делать с пакетом либо в этом листе, либо в openldap@lists.osdn.org.ua

Захватить, распилить на кучу маленьких подпакетиков и продавать
за большие деньги мантейнерам. :)

У меня убедительная просьба ко всем мантейнерам заинтересованным
в openldap и тем, кто не заинтересован, больше _конструктивных_,
подтвержденных фактами, высказываний. 

К примеру, было бы очень здорово услышать
* от Дмитрия Лебкова, как он планировал переход от 2.3 к 2.4
* от Дениса Смирнова, почему libldap2.3 -> libldap2.4 это ужас и
комар
* от Ивана Федорова, сколько времени уйдет на бекап 10 гигабайт

Re: [devel] I: openldap 2.4.16

[Денис Смирнов]

[-- Attachment #1: Type: text/plain, Size: 1610 bytes --]

On Thu, Jul 09, 2009 at 08:42:38PM +0400, Lebedev Sergey wrote:

LS> Я конструктивных высказываний не увидел. Обоснование своей
LS> позиции по поводу обратной совместимости libldap2.3 и libldap2.4
LS> я написал. В чем мои доводы неверны? 
LS> 
LS> Как вариант могу предложить shared task на ~80 пакетов. 
LS> * kdebase
LS> * openoffice.org
LS> * postgresql8.3
LS> и так далее
LS> 
LS> Думаю к выходу openldap 2.5 мы доберемся до ACCEPT этого task'а.

http://www.altlinux.org/SharedLibsPolicy здесь есть все ответы.

LS> А что вы будете делать с этими базами? В любом случаи при
LS> переходе на 2.4 вы сделаете ровным счетом тоже самое. Backup
LS> всего, dump, заливка обратно.

Однако сделать чтобы эта операция нормально выполнялась автоматически --
нереально.

LS> * от Дениса Смирнова, почему libldap2.3 -> libldap2.4 это ужас и комар

Потому что кроме пакетов из репозитория у людей могут быть и самосборные
пакеты, или коммерческие приложения. soname защищает от потенциальных
проблем в этом случае. То есть вы просто сломали штатный механизм защиты
от несоответствия ABI.

И еще -- вы гарантируете что хоть функции и те же, но все структуры данных
имеют тот же размер, и т.д.?

Если хочется _красивого_ решения, то обеспечьте возможность работы на
машине одновременно старой и новой версии LDAP.

Все эти проблемы уже проходили при обдумывании проблем с постгресом -- так
вот там проблему экспорта/импорта базы так решить и не смогли.

-- 
С уважением, Денис

http://freesource.info
----------------------------------------------------------------------------

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] I: openldap 2.4.16

[Sergey N. Yatskevich]

В Птн, 10/07/2009 в 09:34 +0400, Денис Смирнов пишет:
> Все эти проблемы уже проходили при обдумывании проблем с постгресом -- так
> вот там проблему экспорта/импорта базы так решить и не смогли.
Вы упомянули postgres. Я в своё время для одной конторы дорабатывал и
паковал postgres. У нас так же стояла проблема с обновлениями с учётом
того, что меняется бинарный формат баз и x.y+1 версия не может работать
с базами x.y. Т.е. при переходе с x.y версии postgres на x.y+1 версию
dump/restore приходится делать всегда. После обсуждения и практической
обкатки пришли к следующему варианту:
1. автоматического обновления не делать
2. в документации прописать порядок обновления версии:
       - ручной дамп старых баз
       - ручной останов сервера и ручная очистка каталога с базами
       - ручная обновление версии
       - ручной запуск с автоматической инициализацией кластера баз
       - ручная закачка дампа
   на каждый пункт прописали как именно это делается и где что находится
3. для того, чтобы не оставлять администраторов в тупиковой ситуации в
   случае нарушения порядка обновления, описанного в пункте 2 и не
   заставлять их делать downrage версии при обновлении пакета
   решили автоматически сохранять бинарники предыдущей версии в
   специальном каталоге и в инструкции прописали как запустить эти
   сохранённые бинарники для доступа к базам в старом формате с тем,
   чтобы можно было слить dump.

Поскольку для пакетов, упаковываемых в Sisyphus нет официального места
для выкладки руководств по обновлению, эту информацию можно поместить в
описание пакета, содержащего сервер.

Re: [devel] I: openldap 2.4.16

[Afanasov Dmitry]

[-- Attachment #1: Type: text/plain, Size: 936 bytes --]

On Wed, Jul 08, 2009 at 09:00:03PM +0400, Lebedev Sergey wrote:
> В новой сборке, помимо закрытия блокеров и перехода с ветки 
> 2.3 на 2.4, сделаны следующие изменения:
> 
> Upstream удалил slurpd и back-ldbm.
> http://www.openldap.org/doc/admin24/appendix-changes.html
> 
> Я постарался реализовать прозрачное обновление сервера и
> библиотек.
> 
> 1) libldap2.4 обратно совместима с libldap2.3.
> 2) openldap 2.4.16 собран с новой версией berkeley db (4.7).
нет, и ещё раз нет.

я как представлю обновление машины на сизифе полугодичной давности, так
страшно становится.

качество обновления нужно учесть не только сейчас, но и через год, два, а
то и три.

в var у меня 2Г, 1.5 которых часто занято apt-cache'ем. /var/log всегда
отдельно ибо нефиг размножаться.



кстати, это тянет не на openldap, а на openldap4 с сохранением
принципиально не обновляемого compat.

-- 
 С уважением
 Афанасов Дмитрий

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: openldap 2.4.16

[Lebedev Sergey]

On 09 Jul, Afanasov Dmitry wrote:
[skip]
> > Я постарался реализовать прозрачное обновление сервера и
> > библиотек.
> > 
> > 1) libldap2.4 обратно совместима с libldap2.3.
> > 2) openldap 2.4.16 собран с новой версией berkeley db (4.7).
> нет, и ещё раз нет.

Почему? В чем объективные причины этого не делать?

> я как представлю обновление машины на сизифе полугодичной давности, так
> страшно становится.

Хотелось бы уточнить. У вас есть некий сервер на Сизифе с
openldap'ом и вам страшно его обновлять, потому что в Сизифе
будет новый openldap?

> качество обновления нужно учесть не только сейчас, но и через год, два, а
> то и три.

Дмитрий, что конкретно в сборке, которую я предлагаю, снижает
качество обновления?

> в var у меня 2Г, 1.5 которых часто занято apt-cache'ем. /var/log всегда
> отдельно ибо нефиг размножаться.

Если размер свободного места на разделе недостаточно для создания 
backup'а, то установка будет прекращена. Похожий вопрос уже был в 
этом треде.
 
> кстати, это тянет не на openldap, а на openldap4 с сохранением
> принципиально не обновляемого compat.

Лично я не вижу _существенных_ причин этого делать. 

Re: [devel] I: openldap 2.4.16

[Afanasov Dmitry]

[-- Attachment #1: Type: text/plain, Size: 4008 bytes --]

On Fri, Jul 10, 2009 at 12:49:51AM +0400, Lebedev Sergey wrote:
> On 09 Jul, Afanasov Dmitry wrote:
> [skip]
> > > Я постарался реализовать прозрачное обновление сервера и
> > > библиотек.
> > > 
> > > 1) libldap2.4 обратно совместима с libldap2.3.
> > > 2) openldap 2.4.16 собран с новой версией berkeley db (4.7).
> > нет, и ещё раз нет.
> 
> Почему? В чем объективные причины этого не делать?
я рассуждаю не на уровне объективности, а на уровне последствий и их
приемлемости. те последствия, что я вижу сейчас мне не нравятся. не
нравятся по тем же причинам, что и Денису Смирнову

основные изменения, что здесь происходят: смена soname и смена формата
базы.

soname сейчас сменился, по SharedLibPolicy делать ссылку со старого soname
на старый просто нельзя. compat быть обязан.

я не знаю, объективен ли SharedLibPolicy, как я понимаю, это просто
формулировка того, что мы считаем неприелемым разъезд API и ABI программ
и библиотек.

второй пункт: конвертация баз из одного формата в другой в общем случае
является нетривиальной задачей. проблема в том, что у нас именно общий
случай - мы не знаем, как и где используется сизифный openldap.

более того, при смене формата баз конвертация должна запускаться на уровне
сервера, а не на уровне обновления.

наконец, я прошу учитывать, что разница между текущим сизифом и рабочей
системой не обязательно будет неделя-две-месяц, разница может быть в годы
и система может быть какой угодно, например точечно быть осизифленной, но
ни разу не dist-upgrade'нутой.

а теперь представим обновление сентябрского сизифа до текущего.
обвновляется будет порядка 1200 пакетов. интересно, много шансов заметить
в этом километровом листинге ошибку обновления ldap'а? не прервет ли этот
красивый листинг ошибка при обновлении ldap'а?

именно по причине сложности конвертации и высоких шансов пропустить, что
же там происходит, я считаю, что конвертацию базы на этапе rpm -Uhv делать
нельзя. максимум перекинуть её из %post в service openldap start, хотя и
здесь та же проблема: машина может запускаться без монитора, и опять
пользователь не увидит ошибки. либо отвалится по service slapd
condreload/condrestart при том же обвнолении.


я и здесь согласен с Денисом, что самым правильным вариантом будет вариант
postgresql: нужен openldap4 (или 24), а 2.3 оформить как compat.


это было по делу, дальше JT :)

> > я как представлю обновление машины на сизифе полугодичной давности, так
> > страшно становится.
> 
> Хотелось бы уточнить. У вас есть некий сервер на Сизифе с
> openldap'ом и вам страшно его обновлять, потому что в Сизифе
> будет новый openldap?
ай-ай-ай, не в ту ведь сторону уходим. причем здесь страшно/не страшно?
мне не страшно, я просто считаю, что ручную работу делать автоматической
неправильно.

а если бы и было, что это надо исправлять. разве правильно, когда народ
боится? :)

> > качество обновления нужно учесть не только сейчас, но и через год, два, а
> > то и три.
> 
> Дмитрий, что конкретно в сборке, которую я предлагаю, снижает
> качество обновления?
то что оно автоматическое и высок шанс пропустить, где же ошибка.

> > в var у меня 2Г, 1.5 которых часто занято apt-cache'ем. /var/log всегда
> > отдельно ибо нефиг размножаться.
> 
> Если размер свободного места на разделе недостаточно для создания 
> backup'а, то установка будет прекращена. Похожий вопрос уже был в 
> этом треде.
аха, и после обновления openldap будет в дауне, а причина будет описана
на 30 shift-pgdn'ов вверх и до неё будет не добраться - кеш у консоли
маленький.

> > кстати, это тянет не на openldap, а на openldap4 с сохранением
> > принципиально не обновляемого compat.
> 
> Лично я не вижу _существенных_ причин этого делать. 
надеюсь выше я объяснил, почему несущественные для вас причины для меня
являеются существенными.

если есть хоть шанс неожиданно усложнить жизнь - надо искать другой
способ. благо другой способ есть.
-- 
С уважением
Афанасов Дмитрий

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: openldap 2.4.16

[Sergey N. Yatskevich]

В Птн, 10/07/2009 в 10:54 +0400, Afanasov Dmitry пишет:
> а теперь представим обновление сентябрского сизифа до текущего.
> обвновляется будет порядка 1200 пакетов. интересно, много шансов заметить
> в этом километровом листинге ошибку обновления ldap'а? не прервет ли этот
> красивый листинг ошибка при обновлении ldap'а?
> 
> именно по причине сложности конвертации и высоких шансов пропустить, что
> же там происходит, я считаю, что конвертацию базы на этапе rpm -Uhv делать
> нельзя. максимум перекинуть её из %post в service openldap start, хотя и
> здесь та же проблема: машина может запускаться без монитора, и опять
> пользователь не увидит ошибки. либо отвалится по service slapd
> condreload/condrestart при том же обвнолении.
Дмитрий, моё IMHO: в описанной Вами ситуации принципиально нельзя делать
обновления, при которых требуется что-либо более сложное, чем простой
перезапуск сервиса (т.е. фактически допускаются только баг-фиксы ПО).
Описанная Вами ситуация, на мой взгляд, требует установки нового сервера
с новым ПО, перекачки туда данных со старого сервера, отладки его
функционирования с последующей заменой старого сервера новым с
сохранением старого сервера в резерве в течении контрольного срока.

Re: [devel] I: openldap 2.4.16

[Afanasov Dmitry]

[-- Attachment #1: Type: text/plain, Size: 1435 bytes --]

On Fri, Jul 10, 2009 at 04:42:15PM +0400, Sergey N. Yatskevich wrote:
> В Птн, 10/07/2009 в 10:54 +0400, Afanasov Dmitry пишет:
> > именно по причине сложности конвертации и высоких шансов пропустить, что
> > же там происходит, я считаю, что конвертацию базы на этапе rpm -Uhv делать
> > нельзя.
> Дмитрий, моё IMHO: в описанной Вами ситуации принципиально нельзя делать
> обновления, при которых требуется что-либо более сложное, чем простой
> перезапуск сервиса (т.е. фактически допускаются только баг-фиксы ПО).
> Описанная Вами ситуация, на мой взгляд, требует установки нового сервера
именно, миграция с версии на версию требует нового сервера. тоже верно,
что в обновлениях резкие изменения нежелательны.

моя мысль проста - в подобных случаях обновление должно контролироваться
глазами, а процедура обновления должна быть предельно упрощена.

простой пример: при exit 1 rpm -Uhv может завершиться по середине, что в
итоге порождает dup: два openldap'а в системе. подобное было с man-pages.

exit 1 случается как в случае нехватки места, так возможно при ошибках в
schema после slapcat -b "$base" -l "$dir.rpmsave/dump.ldif" || exit 1.

потому, считая, что обновление априори должно проходить успешно, а все
сложное должно инициироваться и контролироваться человеков, я заявляю, что
подобный подход неправилен. чем меньше нечаянных отказов, тем лучше,
правильно ведь?
-- 
С уважением
Афанасов Дмитрий

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 198 bytes --]

Re: [devel] I: openldap 2.4.16

[Vladimir V. Kamarzin]

>>>>> On 08 Jul 2009 at 23:00 "LS" == Lebedev Sergey writes:

LS> Openldap 2.4.16. Задача #8923.
LS> В связи с тем, что уже длительное время у нас openldap не
LS> обновлялся, мантейнера давно не видно и не слышно,  прошу
LS> пропустить сборку #8923 в Сизиф.

Собрал на 4.0 бранче и попробовал сделать обновление в тестовом контейнере:

 1: libsasl2                 ########################################################################### [  5%]
 2: openldap                 ########################################################################### [ 11%]
cp: target `/var/lib/ldap/bases/ldap.distance.ru.rpmsave/' is not a directory: No such file or directory
error: execution of %pre scriptlet from libldap2.4-2.4.16-alt2.M40.1 failed, exit status 1
error:   install: %pre scriptlet failed (2), skipping libldap2.4-2.4.16-alt2.M40.1
 3: openldap-clients         ########################################################################### [ 16%]

После этого в системе оказался новый openldap, и libldap2.3.
С помощью apt-get --fix-missing install libldap2.4 таки поставился, но slapd
стартовать отказался с такой диагностикой:

Jul 10 13:37:41 ve181-ldap-stand slapd[22209]: unable to dlopen /usr/lib/sasl2/libsasldb.so: libdb-4.4.so: canno
t open shared object file: No such file or directory

Не понял, почему так, но вылечилось следующим образом
ln -s /lib/libdb-4.4.so /usr/lib/sasl2/

(у меня тут libsasl2 2.0.24, а не 2.0.22, как в оригинальном бранче 4.0)

После этого slapd успешно стартовал и успешно стал отвечать на тестовые запросы

-- 
vvk