Dmitry
ой, всё... я схемы сам делал, но тут даже "морду самому писать" боятся - другой use case
Sergey
что значит "коробочное"?
ReOpenLDAP - это LDAP-сервер. а что требуется? нужна типа веб-морда, чтобы мышкой тыц-тыц-тыц?
greydjin
это не коробочное решение, не охота с этим из консоли работать, морду самому писать?
Коробочное решение с красивенькой вебкой - univention corporate server
Sergey
ой, всё... я схемы сам делал, но тут даже "морду самому писать" боятся - другой use case
схемы можно самому, но надо слишком хорошо понимать, что делаешь 😊 дабы при обнове не умерло
greydjin
по факту это лдап дописанный. с вебкой
Dmitry
что значит "коробочное"?
ReOpenLDAP - это LDAP-сервер. а что требуется? нужна типа веб-морда, чтобы мышкой тыц-тыц-тыц?
да. а потом пыщ-пыщ морда свои схемы поменяла, но виноват LDAP и это называется "база развалилась" :)
Sergey
Коробочное решение с красивенькой вебкой - univention corporate server
а кто запрещает? устраивает - используй. хоть FreeIPA, хоть что угодно - главное, чтобы тебе нравилось и твои задачи решало.
Dmitry
схемы можно самому, но надо слишком хорошо понимать, что делаешь 😊 дабы при обнове не умерло
ничего не умирало наверное потому что на болту проворачивал "морды пыщ-пыщ" :)
Gleb
да. а потом пыщ-пыщ морда свои схемы поменяла, но виноват LDAP и это называется "база развалилась" :)
база развалилась это когда после аварийного выключения она реально крешится
Sergey
да. а потом пыщ-пыщ морда свои схемы поменяла, но виноват LDAP и это называется "база развалилась" :)
потому что OpenLDAP исходный - говно. на Хабре годный материал про это был
Dmitry
на хабре! ну пиздец теперь, рукожопые (ан масс) эксперты с хабра так сказали
Gleb
на хабре была публикация
Gleb
не важно где она была
Gleb
они и на хайлоаде выступали
Sergey
на хабре! ну пиздец теперь, рукожопые (ан масс) эксперты с хабра так сказали
они сначала внедрили решение в "Мегафоне", а уже потом выступали, справедливости ради
Gleb
http://0x1.tv/img_auth.php/7/70/ReOpenLDAP_%E2%80%94_%D1%81%D0%BA%D0%B2%D0%BE%D0%B7%D1%8C_%D1%82%D0%B5%D1%80%D0%BD%D0%B8%D0%B8_%D0%B2_%C2%AB%D0%9C%D0%B5%D0%B3%D0%B0%D0%A4%D0%BE%D0%BD%C2%BB%2C_%D0%BF%D1%83%D1%82%D1%8C_%D0%B7%D0%B0_%D0%B3%D0%BE%D0%B4_%28%D0%9B%D0%B5%D0%BE%D0%BD%D0%B8%D0%B4_%D0%AE%D1%80%D1%8C%D0%B5%D0%B2%2C_OSSDEVCONF-2016%29.pdf
Gleb
https://github.com/ReOpen/ReOpenLDAP/wiki
Dima
они сначала внедрили решение в "Мегафоне", а уже потом выступали, справедливости ради
не а HLR надеюсь?) который недавно падал
Sergey
нет, там железка от HP сдогла
Sergey
эти парни без лишнего шума даже баги завели и поправили по мотивам проверки кода через PVS Studio
Sergey
(ну мне интересно стало, проверил, не удержался)
Dmitry
люблю такое, когда 100 лямов DN's и близко нет в уютном хелловорде, но ссылаются на больших, потому что большие сказали, что на гигаобъемах говно
про это, кстати, на хабре недавно тоже ХорошаяСтатья(тм) была )
Dima
нет, там железка от HP сдогла
то есть hardware failure? просто писали что репликация нарушилась и оба HLR отказали
Dima
я давно кстати это все гуглил, постмортема так и не видел
Dima
так. я оффтопер. стоп )
Dmitry
да тут все это оффтоп :) там где такие объемы юзеров крутятся, что уже форк опенлдапа нужен, ансиблу делать уже нечего :) too many хостов
Aleksey
зачем нужны freeipa, кстати. в смысле зачем вообще нужны все эти наслоения гамна, кроме чистого openldap
Кеш авторизационных данных
Aleksey
Чтобы принеся рабочий ноут домой можно было зайти в него
Aleksey
Но в реальности я такое не видел
Gleb
зачем нужны freeipa, кстати. в смысле зачем вообще нужны все эти наслоения гамна, кроме чистого openldap
Конкретно фриипа нужна что бы меньше костылять вокруг продуктов рэдхэта - рхев, опенстак, фореман, Ансибл тауэр и т.д.единая точка входа и все между собой интегрится
Sergey
Кеш авторизационных данных
это стандартными средствами системы настраивается, если мне память не изменяет - через тот же PAM
Aleksey
не буду спорить.
Sergey
https://wiki.debian.org/LDAP/PAM - в одном дистрибе, https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/sssd-cache-cred.html - в другом (хотя по факту во втором и способ из первого работает 😊)))
Aleksey
я смотрел презенташку по поводу ipa и там этот кеш преподносился как нечто важное.
Aleksey
в стиле ну наконецто нормальный вариант.
Aleksey
сам такое не экусплуатировал так что не обладаю достаточным опытом
Sergey
Забавно. Второе решение - на базе sssd (это такое специальное поделие редхатовское, которое принято в комплекте со FreeIPA заводить повсеместно).
Первое - это стандартные искаропковые компоненты. А вот поддержка обратного поиска списка групп, в которые входит конкретный пользователь, у OpenLDAP сделана так себе - на троечку с минусом, через оверлей.
Aleksey
ну sssd вижу там используется как еще более нижележащий сервис. типа он данные предоставляет для pam и nss
Sergey
У меня на данный момент пользвоатели - posixUser, группы - posixGroup. Если кто запускал оверлей для поддержки атрибута 'memberOf' - прошу поделиться информацией.
Sergey
Aleksey
мож парни чо знают :) ?
Sergey
с теми же целями
Aleksey
ну ок
Sergey
ну тут оффтопик несколько - про LDAP, однако есть ролька (не оффтопик), которая настраивает авторизацию на конкретном хосте через LDAP 😊
Sergey
если интересно - сообщайте как-нибудь
Aleksey
а если я использую модуль patch значит это уже дно ?
Dima
This module is flagged as stableinterface!
Ruslan
камрады, чем в ансибле следует дожидаться старта эластика?
Dima
wait_for:
Dima
- wait_for: host=1.2.3.4 port=9300 timeout=36000 ?
Ruslan
спасибо!
Nikita
господа, я что-то не понимаю, так будет работать или нет? "{{ lookup('file','templates/' + item + '.json') }}" где item из with_items и если нет то как правильно?
Dima
я чот не видел чтобы в лукапе ещё и айтемы были.
Dima
http://docs.ansible.com/ansible/playbooks_lookups.html
Dima
зачем?
Dima
попробуй айтемами сделать сам lookup
Nikita
Мне айтемы нужны эти в двух местах в таске) значит придется объектами уже как то так себе
Dima
ну переменную положи туда
Dima
{{ переменную }}
Dima
так работает
Dima
или тоже не вариант?
Dima
хотя стоп, я кажется не прав, мне померещилось что так будет работать.
Dima
'переменную' - вот так понимает внутри лукапов.
Lev
По наблюдениям, спам исходит от людей, либо, которые только что зашли (в течении нескольких минут), либо, которые не имели ни одного сообщения долгое время, либо не были кикнуты за спам ранее. Я писал небольшого бота, буквально несколько строк кода, чтобы кикать именно тех людей, кто при входе форвардит сообщения из других групп.
Lev
2017/07/19 10:23:12 Welcome new user 106029536...
2017/07/19 10:23:37 Spam from user 106029536...
2017/07/19 10:23:37 Increase spam counter for user 106029536...
2017/07/19 10:23:37 SPAM: user=Murod Maxmudov
Bruno
По наблюдениям, спам исходит от людей, либо, которые только что зашли (в течении нескольких минут), либо, которые не имели ни одного сообщения долгое время, либо не были кикнуты за спам ранее. Я писал небольшого бота, буквально несколько строк кода, чтобы кикать именно тех людей, кто при входе форвардит сообщения из других групп.
ага, только у них эвристика ещё иногда меняется
Bruno
даже сейчас уже есть более интересные боты. заходят сразу двое и ведут между собой диалог
Lev
хитро) не встречал таких в профильных чатах
Sergey
вот сюда бы режимы каналов ирковские 😊
Lev
v+ tnt4brain
Lev
😁
Sergey
+o leominov 😊
Lev
😎 серьезно))
Lev
я даже как-то кодил скрипты для мирка)
Sergey
я даже как-то кодил скрипты для мирка)
был такой скрипт - MafBot by LightStar, вёл игру в Мафию. Шикарная ведь вещь!
Lev
с игровыми ботами как-то не заладилось, были более важные цели, например, автоматически писать re, когда кто-то здоровался с тобой)))
Dmitry
Я был +O :)
Dima
че это вы начали? давайте ansible-playbook ban.yml -e "banned_user=murod_blalala"
Dima
😆