он дает пароль, все чинят. в понедельник гендир или главный инженер задают ему вопрос "а чо там в мониторинге даунтайм был?", а он такой "а, да там мы ядро накатывали, все по плану"

:) публичность лучшая политика.

утрирую

лучшая политика в данном случае - гора объяснительных :) вон люди выше шарят :))))

гора объяснительных это само собой.

только это не конвертами решается же...

с публичностью тоже все не так просто

а плановыми изменениями. и монитоингом. который отвечает на вопрос был ли ппр или нет

например, загрузка core оверселленым трафиком - это точно то, что должна знать каждая собака в лавке?

включая пресс-секретаря, ну :)))

средняя загрузка аплинка - публичная информация внтури конторы.

вот нет

вот да. много раз спорили.

телематике (в отличие от каналий) этого знать не только незачем, но и вредно

прозрачность и резервирование ведет к соблюдению sla

но всегда есть альтернативы у прозрачности да.

ведь когда кто то хочет мутить воду - он будет. и найдет для этого пути.

все эти конверты могут решать вопрос не скрытия косяков а действительно вопрос безопасности. и его он решает с большим гемороем - честно вот.

я бы постарался избежать такой бюрократии...

а ну то есть все знают пароли от всех серверов :) никакого бюрократии, все очень удобно :)

пароль qqq

Дим, ты утрируешь.

быть может vault с его токенами на доступ к ключам выход.

но я только краем глаза видел что оно такое есть

токены - могут быть аналогом конвертов

у нас была придумана схема самоограничений. когда по умолчанию доступ предоставляется на show. при необходимости делается запрос на изенения. он тащит за собой выдачу одного из двух уровней доступа на железяке. либо работа с клиентами либо с железом. на мремя работа + немного времени после. если нужен аварийный доступ он запрашивается через веб формочку.

но это для активки...

для серверов наверное тоже можно что то такое намутить...

видимо тут тоже ldap. ибо там эт было завязано на radius

да просто все: для штатного входа LDAP. для нештатного и без сети - одна учетка, "пароль от которой кто-то знает". кто и как знает - по большому счета не важно. для этого чатика неважно уж точно :)

да, лучше скиньте рецепты на заведение и изменение лдап и системного юзера.. )

freeipa выглядит хорошо

@cadmi ты им про бункер ещё расскажи

для полноты жирноты )

для полноты жирноты )

так а где по-твоему репетировали ежемесячное проворачивание генератора и всего такого :-P

Я имею в виду, к чему дело шло и как крыша текла ;)

Я, кстати, следующий вопрос имею: группень по Salt'у где? @cadmi ты там есть уже? )

нет, меня там точно нет.

Ппр дгу/бгу обязателен

Так что тут нет жира

Сашок, ты типичный пример женского мышления

Ты детали знаешь? — Нет. Димас и не рассказывал ещё. Какие могут быть умозаключения? )

да и не буду рассказывать. к работе не относится, а полосканий в публичных чатах личных заёбов например того же Морозова из Утренника я что-то не припомню :)))

Как токо узнаю за бункер — обязательно %-))

А можно как-то узнать из плейбука, в какой группе или группах находится в инвентори текущий хост?

По-моему, да

Но хостик может быть в нескольких

ну дак вернуть массив, делов-то

Ну одно дело массив

Другое дело сказать true/false

В общем, можно, вроде

group_names

ларчик просто открывался

Опять unarchive поехал крышей (2.2.0 master branch, RHEL 7), ругается на кодировки. Чегой бы вместо него можно заюзать?) Я сейчас копирую архив в удаленный /tmp, распаковываю на месте, архив удаляю. Но это тонна никчемной копипасты. Как сделать это правильно?

salt? )

@poige уже заебывать начинаешь здесь своим salt'ом :)

++1

эту шутку тут перешутили несколько месяцев назад :)

блеать

оказывается не существует win_replace

soooqa

напиши. если лень - возьми win_lineinfile.

опять ночь, время идиотских вопросов

у меня есть факт, который я устанавливаю исходя из того, что есть на линуксовом сервере

чуть позже мне надо этот же факт использовать для настройки виндового сервера

как его передать?

у меня есть аналогичный кейс и я до него скоро дойду, а пока голова в другом.

fact cache?

fact cache разве умеет кэшировать факты, которые я через set_fact ставлю?

не-а, прогнал

западло-с

ну оно у тебя в рамках выполнения того же playbook'а, надеюсь? )

конечно да

> To access the variable from a different host, you need to go through hostvars, e.g. ${hostvars.foo.time.stdout} should work in your case.

так пробовал?

хм, нет ещё

сработало, кажись

спасибо

у вас есть j2 шаблон, есть в defaults переменные, которые принимают значения false и true. шаблонизатор j2 заменяет false на False а true на True. прикольно, горшочек не вари. чтобы этого избежать, в шаблоне j2 нужно написать примерно так: “true_or_false_var100500”: {{ value_from_defaults | bool | lower }} может кому пригодится.

👍