Dima
стой
nvkv
стою
Dima
если ты отключишь серт то доступ потеряешь.
nvkv
тогда лучше не буду
nvkv
к слову, ансибл через локального юзера ходит отлично
nvkv
через доменного нет
nvkv
вряд ли дело в сертификатах РДП
Dima
лучше проверь что ты на клиенте, с которого запускаешь ansbile, доверяешь этому сертификату этого сервера.
nvkv
доверяю
Dima
то есть наоборот: ssl: the specified credentials were rejected by the server"
nvkv
проверил уже
nvkv
ансибл сначала пытается зайти по керберосу
nvkv
получает отлуп и фоллбечится в стандартную авторизацию
nvkv
а так как на серваке такого юзера нет — даёт такую ошибку
nvkv
kerberos: authGSSClientStep() failed: ((' Miscellaneous failure (see text)', 851968), ('unable to reach any KDC in realm OLOLO.LAN, tried 3 KDCs', -1765328228))
nvkv
вот основная ошибка
Dima
ну а как ты в ansible пишешь доменного юзера и локального юзера? username и DOMAIN/username?
nvkv
не понял я
nvkv
в ансибл один способ указать доменного юзера user@DOMAIN
nvkv
просто сам по себе ансибл устроен вот так, он при коннекте пытается сначала керберос, если не получается делает фоллбек и пробует локального с теми же параметрами
Dima
а в домене сделано, что юзер, которым идёт ансибл, может ходить на все эти серверы по RDP (для каждого сервера из списка)?
Dima
(на всякий случай)
nvkv
Походу дела получилось
nvkv
щя
nvkv
разберусь какая из пяти строчек в krb5.conf починила и расскажу
nvkv
походу дела надо было выключить dns lookup для реалма и kdc
nvkv
пойду админов озадачу, шо за хуйня
Yar 🇺🇦
Заббикс говно
я думаю, что Алекс настроил бота реагировать в чатах на словосочетания. Чистяков, заббикс, говно. А ну-ка, проверка. Чистяков, заббикс, это круто.
nvkv
походу дела надо было выключить dns lookup для реалма и kdc
лол, отпали те сервера, на которых оно работало до этого =(
nvkv
я люблю винду нахуй
Yar 🇺🇦
вы не умеете ее готовить
nvkv
это чистая правда
nvkv
не умею
nvkv
и не очень рад тому, что надо учиться
Alexander 🐕
Yar 🇺🇦
чорд, бот о себе во множественном. #скайнет_мы_все_умрем
Dmitry
вы не умеете ее готовить
я был сертифицированным сектантом Microsoft и всё равно её не любил :)
Dmitriy
Anonymous
Ну это не ansible vault но тоже интересно
One
Ivan
Oleksandr
посоны, а если один хост в двух группах, то групповые переменные не работают?
Oleksandr
это баг или фича?
Oleksandr
MacBook-Pro:Ansible alex$ cat hosts
[group1]
host
[group1:vars]
var=1
[group2]
host
[group2:vars]
var=2
MacBook-Pro:Ansible alex$ ansible -i hosts -m debug -a "msg={{ var }}" group1
host | SUCCESS => {
"msg": 2
}
MacBook-Pro:Ansible alex$ ansible -i hosts -m debug -a "msg={{ var }}" group2
host | SUCCESS => {
"msg": 2
}
MacBook-Pro:Ansible alex$
Navern
а это просто один файл
Navern
у тебя переменные переопределяются
Oleksandr
инвентори это не ямл
Oleksandr
если хосты в группах будут называться по разному (host1 и host2) то вывод для групп будет разный
Navern
а если переменные будут по разному называться?
Oleksandr
тоже норм
Navern
по-моему у тебя просто инвентори выглядит примерно так:
[group][host][var]
Oleksandr
не совсем понял..
Oleksandr
две группы, хост в обоих
Oleksandr
групповые переменные, вроде всё обычно
Pavel
список переменных в конце концов формируется для хоста. У тебя var=2 затерла значение var=1
Pavel
Поэтому хост будет везде иметь var=2
Navern
да
Navern
причем у тебя тут может быть андефайнед херня
Navern
как собралось:)
Pavel
угу если поменяешь порядок объявления групп то все может измениться
Navern
Ну да. И это фигово. Поэтому если хост один в двух группах, то лучше иметь разные переменные для него(названия)
Oleksandr
ну вот гипотетитечкая ситуация. две группы, фронтенд и бекенд. есть роль деплой, которая деплоит в зависимости от значения переменной. хочу в одной группе target=frontend, в другой target=backend
Oleksandr
а в плейбуке как-то так
- hosts: frondend_group
roles:
- deploy
Oleksandr
а оно может взять переменную из другой группы
Oleksandr
я что-то делаю не так?
Pavel
Да, переменная не может одновременно иметь два значения
Pavel
Тогда тебе надо передавать в роль непосредственно эту переменную.
roles:
- { role: deploy,
target: frontend
}
Oleksandr
мда, печально
Oleksandr
если переменных много, это будет не очень удобно
Oleksandr
разве что как-то так:
[group1]
host1 ansible_host=hostname
[group1:vars]
var=1
[group2]
host2 ansible_host=hostname
[group2:vars]
var=2
Oleksandr
но это как-то совсем костыль
Pavel
Если переменных много и все сильно меняется, то стоит разделить один плейбук на два
Pavel
Так как они выполняют разные задачи
Dmitry
программирование на конфигах. любимые грабли же.
Oleksandr
Если переменных много и все сильно меняется, то стоит разделить один плейбук на два
то есть в инвентори переменные для груп не совсем правильно юзать? лучше в плейбук всё?