[devel] Fwd: [#197224] DONE (try 2) openldap.git=2.4.45-alt3

[devel] Fwd: [#197224] DONE (try 2) openldap.git=2.4.45-alt3

[Leonid Krivoshein]

Всем привет!

У нас в Сизифе новый openldap-2.4.45-alt3. И готовится аналогичный для 
c7. Потому что это давно пора было сделать и этого просят некоторые 
крупные заказчики (пользователи Альт Линукс). Мы вынуждены двигаться 
вперёд ещё и потому, что старое ставит палки в колёса масштабируемости 
таких решений, как АЛЬТ-ДОМЕН -- есть сложности в реальных высоко 
нагруженных проектах. Предлагается два важных изменения (нововведения), 
одновременно являющихся давней рекомендацией апстрима.

ПЕРВОЕ: переход на более быстрый и более эффективный бэкэнд (L)MDB 
по-умолчанию. Почитать об этом подробнее можно здесь: 
https://pro-ldap.ru/tr/art/20130702-mdb/ . Изменение критичное, может 
"поломать" что-то из следующего списка:

alt-domain-server
alterator-openldap
ldap-user-tools
MigrationTools
amavisd-new-ldap-server

А может что-то ещё. Не представляю только что, и как это проверить. 
Главная проблема вот в чём: такие утилиты, как нечто из состава 
alt-domain-server вполне могут изменять файл 
/etc/openldap/slapd-hdb-db01.conf, но он хоть и остался, теперь не 
используется, все значимые строки в нём закомментированы. Теперь вместо 
него -- slapd-mdb-db01.conf, его синтаксис схож, но не полностью.

ВТОРОЕ: переход на конфигурационную директорию (OLC, cn=config DIT, 
/etc/openldap/slapd.d) вместо конфигурационного файла 
/etc/openldap/slapd.conf. Почитать об этом подробнее можно здесь: 
https://pro-ldap.ru/tr/zytrax/ch6/slapd-config.html -- тут утверждают, 
что многие дистрибутивы уже перешли на OLC по умолчанию. Не берусь это 
подтверждать или опровергать, поскольку не знаю. Но поддержать хранилище 
cn=config конечно нужно, к тому же пользователи об этом просят. Сначала 
думал, что это не столь критичное изменение, и вряд ли чего "разломает". 
Но сейчас вижу, что это может затронуть те же самые пакеты при условии, 
что сисадмин уже перешёл на cn=config и далее пытается внести изменения 
в настройки через GUI альтератора.

Предварительно я проверил новую сборку самого сервера openldap. Но, как 
выявить и проверить всё остальное -- пока не представляю. Поэтому во 
вторник заговорили о необходимости передачи этой задачи тестировщикам. 
Если есть кто-то в Тиме, кому эта штука знакома и представляется 
интересной, милости прошу к нашему шалашу! :)


ЛК


-------- Перенаправленное сообщение --------
Тема: 	[#197224] DONE (try 2) openldap.git=2.4.45-alt3
Дата: 	Fri, 22 Dec 2017 18:51:22 +0000
От: 	Girar Builder pender robot <girar-builder@altlinux.org>
Отвечать: 	klark@altlinux.org
Кому: 	Leonid Krivoshein <klark@altlinux.org>
Копия: 	openldap@packages.altlinux.org, 
sisyphus-incominger@lists.altlinux.org



http://git.altlinux.org/tasks/archive/done/_192/197224/logs/events.2.1.log

2017-Dec-22 17:40:14 :: task #197224 for sisyphus resumed by klark:
#100 build 2.4.45-alt3 from /people/klark/packages/openldap.git
2017-Dec-22 17:40:14 :: [x86_64] #100 openldap.git 2.4.45-alt3: build start
2017-Dec-22 17:40:14 :: [i586] #100 openldap.git 2.4.45-alt3: build start
...
2017-Dec-22 18:50:13 :: gears inheritance check OK
2017-Dec-22 18:50:13 :: srpm inheritance check OK
girar-check-perms: access to openldap DENIED for klark: does not belong to approved builders list: @openldap
girar-check-perms: access to openldap ALLOWED for imz: member of approved group
openldap: Update approved by imz
...
2017-Dec-22 18:51:13 :: updated /gears/o/openldap.git branch `sisyphus'
2017-Dec-22 18:51:22 :: gears update OK
2017-Dec-22 18:51:22 :: task #197224 for sisyphus DONE

Re: [devel] Fwd: [#197224] DONE (try 2) openldap.git=2.4.45-alt3

[Ivan Zakharyaschev]

[-- Attachment #1: Type: text/plain, Size: 2839 bytes --]

On Sat, 23 Dec 2017, Leonid Krivoshein wrote:

> У нас в Сизифе новый openldap-2.4.45-alt3. И готовится аналогичный для c7. 
> Потому что это давно пора было сделать и этого просят некоторые крупные 
> заказчики (пользователи Альт Линукс). Мы вынуждены двигаться вперёд ещё и 
> потому, что старое ставит палки в колёса масштабируемости таких решений, как 
> АЛЬТ-ДОМЕН -- есть сложности в реальных высоко нагруженных проектах. 
> Предлагается два важных изменения (нововведения), одновременно являющихся 
> давней рекомендацией апстрима.

Спасибо за улучшения!

(Для сведения разработчиков task для c7: 
http://git.altlinux.org/tasks/197332/ )

Советую сообщить также в sisyphus@lists.altlinux.org об этих изменениях, 
затрагивающих пользователей Sisyphus и представляющих для них 
интерес, потому что они могут начать использовать новые возможности, в 
частности online configuration, с поддержой из скриптов в пакете. Не вижу 
смысла откладывать такое объявление.

> ПЕРВОЕ: переход на более быстрый и более эффективный бэкэнд (L)MDB 
> по-умолчанию. Почитать об этом подробнее можно здесь: 
> https://pro-ldap.ru/tr/art/20130702-mdb/ . Изменение критичное, может 
> "поломать" что-то из следующего списка:
>
> alt-domain-server
> alterator-openldap
> ldap-user-tools
> MigrationTools
> amavisd-new-ldap-server
>
> А может что-то ещё. Не представляю только что, и как это проверить. Главная 
> проблема вот в чём: такие утилиты, как нечто из состава alt-domain-server 
> вполне могут изменять файл /etc/openldap/slapd-hdb-db01.conf, но он хоть и 
> остался, теперь не используется, все значимые строки в нём закомментированы. 
> Теперь вместо него -- slapd-mdb-db01.conf, его синтаксис схож, но не 
> полностью.
>
> ВТОРОЕ: переход на конфигурационную директорию (OLC, cn=config DIT, 
> /etc/openldap/slapd.d) вместо конфигурационного файла 
> /etc/openldap/slapd.conf. Почитать об этом подробнее можно здесь: 
> https://pro-ldap.ru/tr/zytrax/ch6/slapd-config.html -- тут утверждают, что 
> многие дистрибутивы уже перешли на OLC по умолчанию. Не берусь это 
> подтверждать или опровергать, поскольку не знаю. Но поддержать хранилище 
> cn=config конечно нужно, к тому же пользователи об этом просят. Сначала 
> думал, что это не столь критичное изменение, и вряд ли чего "разломает". Но 
> сейчас вижу, что это может затронуть те же самые пакеты при условии, что 
> сисадмин уже перешёл на cn=config и далее пытается внести изменения в 
> настройки через GUI альтератора.
>
> Предварительно я проверил новую сборку самого сервера openldap. Но, как 
> выявить и проверить всё остальное -- пока не представляю. Поэтому во вторник 
> заговорили о необходимости передачи этой задачи тестировщикам. Если есть 
> кто-то в Тиме, кому эта штука знакома и представляется интересной, милости 
> прошу к нашему шалашу! :)


-- 
Best regards,
Ivan

Re: [devel] Fwd: [#197224] DONE (try 2) openldap.git=2.4.45-alt3

[Leonid Krivoshein]

23.12.2017 15:29, Ivan Zakharyaschev пишет:
> On Sat, 23 Dec 2017, Leonid Krivoshein wrote:
>> У нас в Сизифе новый openldap-2.4.45-alt3. И готовится аналогичный 
>> для c7.
> Спасибо за улучшения!

Или наоборот! :)


> (Для сведения разработчиков task для c7: 
> http://git.altlinux.org/tasks/197332/ )

А тут не выправили... похоже на вот это:
https://bugzilla.altlinux.org/show_bug.cgi?id=32388


> Советую сообщить также в sisyphus@lists.altlinux.org об этих 
> изменениях, затрагивающих пользователей Sisyphus и представляющих для 
> них интерес, потому что они могут начать использовать новые 
> возможности, в частности online configuration, с поддержой из скриптов 
> в пакете. Не вижу смысла откладывать такое объявление.

Пока не подписан на него.


А ещё обнаружил такой "баг":
https://bugzilla.altlinux.org/show_bug.cgi?id=31713
Однако не могу сказать с уверенностью про сертификаты.
Сейчас в slapd.conf есть такие строчки (обе закомментированы):

#TLSCACertificateFile /var/lib/ssl/cert.pem
#TLSCertificateFile /var/lib/ssl/certs/slapd.cert


-- 
Best regards,
Leonid Krivoshein.