это не коробочное решение, не охота с этим из консоли работать, морду самому писать?

Коробочное решение с красивенькой вебкой - univention corporate server

ой, всё... я схемы сам делал, но тут даже "морду самому писать" боятся - другой use case

схемы можно самому, но надо слишком хорошо понимать, что делаешь ? дабы при обнове не умерло

по факту это лдап дописанный. с вебкой

что значит "коробочное"? ReOpenLDAP - это LDAP-сервер. а что требуется? нужна типа веб-морда, чтобы мышкой тыц-тыц-тыц?

да. а потом пыщ-пыщ морда свои схемы поменяла, но виноват LDAP и это называется "база развалилась" :)

Коробочное решение с красивенькой вебкой - univention corporate server

а кто запрещает? устраивает - используй. хоть FreeIPA, хоть что угодно - главное, чтобы тебе нравилось и твои задачи решало.

схемы можно самому, но надо слишком хорошо понимать, что делаешь ? дабы при обнове не умерло

ничего не умирало наверное потому что на болту проворачивал "морды пыщ-пыщ" :)

да. а потом пыщ-пыщ морда свои схемы поменяла, но виноват LDAP и это называется "база развалилась" :)

база развалилась это когда после аварийного выключения она реально крешится

да. а потом пыщ-пыщ морда свои схемы поменяла, но виноват LDAP и это называется "база развалилась" :)

потому что OpenLDAP исходный - говно. на Хабре годный материал про это был

на хабре! ну пиздец теперь, рукожопые (ан масс) эксперты с хабра так сказали

на хабре была публикация

не важно где она была

они и на хайлоаде выступали

на хабре! ну пиздец теперь, рукожопые (ан масс) эксперты с хабра так сказали

они сначала внедрили решение в "Мегафоне", а уже потом выступали, справедливости ради

http://0x1.tv/img_auth.php/7/70/ReOpenLDAP_%E2%80%94_%D1%81%D0%BA%D0%B2%D0%BE%D0%B7%D1%8C_%D1%82%D0%B5%D1%80%D0%BD%D0%B8%D0%B8_%D0%B2_%C2%AB%D0%9C%D0%B5%D0%B3%D0%B0%D0%A4%D0%BE%D0%BD%C2%BB%2C_%D0%BF%D1%83%D1%82%D1%8C_%D0%B7%D0%B0_%D0%B3%D0%BE%D0%B4_%28%D0%9B%D0%B5%D0%BE%D0%BD%D0%B8%D0%B4_%D0%AE%D1%80%D1%8C%D0%B5%D0%B2%2C_OSSDEVCONF-2016%29.pdf

https://github.com/ReOpen/ReOpenLDAP/wiki

они сначала внедрили решение в "Мегафоне", а уже потом выступали, справедливости ради

не а HLR надеюсь?) который недавно падал

нет, там железка от HP сдогла

эти парни без лишнего шума даже баги завели и поправили по мотивам проверки кода через PVS Studio

(ну мне интересно стало, проверил, не удержался)

люблю такое, когда 100 лямов DN's и близко нет в уютном хелловорде, но ссылаются на больших, потому что большие сказали, что на гигаобъемах говно про это, кстати, на хабре недавно тоже ХорошаяСтатья(тм) была )

нет, там железка от HP сдогла

то есть hardware failure? просто писали что репликация нарушилась и оба HLR отказали

я давно кстати это все гуглил, постмортема так и не видел

так. я оффтопер. стоп )

да тут все это оффтоп :) там где такие объемы юзеров крутятся, что уже форк опенлдапа нужен, ансиблу делать уже нечего :) too many хостов

зачем нужны freeipa, кстати. в смысле зачем вообще нужны все эти наслоения гамна, кроме чистого openldap

Кеш авторизационных данных

Чтобы принеся рабочий ноут домой можно было зайти в него

Но в реальности я такое не видел

зачем нужны freeipa, кстати. в смысле зачем вообще нужны все эти наслоения гамна, кроме чистого openldap

Конкретно фриипа нужна что бы меньше костылять вокруг продуктов рэдхэта - рхев, опенстак, фореман, Ансибл тауэр и т.д.единая точка входа и все между собой интегрится

Кеш авторизационных данных

это стандартными средствами системы настраивается, если мне память не изменяет - через тот же PAM

не буду спорить.

https://wiki.debian.org/LDAP/PAM - в одном дистрибе, https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/sssd-cache-cred.html - в другом (хотя по факту во втором и способ из первого работает ?)))

я смотрел презенташку по поводу ipa и там этот кеш преподносился как нечто важное.

в стиле ну наконецто нормальный вариант.

сам такое не экусплуатировал так что не обладаю достаточным опытом

Забавно. Второе решение - на базе sssd (это такое специальное поделие редхатовское, которое принято в комплекте со FreeIPA заводить повсеместно). Первое - это стандартные искаропковые компоненты. А вот поддержка обратного поиска списка групп, в которые входит конкретный пользователь, у OpenLDAP сделана так себе - на троечку с минусом, через оверлей.

ну sssd вижу там используется как еще более нижележащий сервис. типа он данные предоставляет для pam и nss

У меня на данный момент пользвоатели - posixUser, группы - posixGroup. Если кто запускал оверлей для поддержки атрибута 'memberOf' - прошу поделиться информацией.

ну sssd вижу там используется как еще более нижележащий сервис. типа он данные предоставляет для pam и nss

искаропки - демон nslcd

мож парни чо знают :) ?

с теми же целями

ну ок

ну тут оффтопик несколько - про LDAP, однако есть ролька (не оффтопик), которая настраивает авторизацию на конкретном хосте через LDAP ?

если интересно - сообщайте как-нибудь

а если я использую модуль patch значит это уже дно ?

This module is flagged as stableinterface!

камрады, чем в ансибле следует дожидаться старта эластика?

wait_for:

- wait_for: host=1.2.3.4 port=9300 timeout=36000 ?

спасибо!

господа, я что-то не понимаю, так будет работать или нет? "{{ lookup('file','templates/' + item + '.json') }}" где item из with_items и если нет то как правильно?

я чот не видел чтобы в лукапе ещё и айтемы были.

http://docs.ansible.com/ansible/playbooks_lookups.html

зачем?

попробуй айтемами сделать сам lookup

Мне айтемы нужны эти в двух местах в таске) значит придется объектами уже как то так себе

ну переменную положи туда

{{ переменную }}

ERROR: S client not available

так работает

или тоже не вариант?

хотя стоп, я кажется не прав, мне померещилось что так будет работать.

'переменную' - вот так понимает внутри лукапов.

По наблюдениям, спам исходит от людей, либо, которые только что зашли (в течении нескольких минут), либо, которые не имели ни одного сообщения долгое время, либо не были кикнуты за спам ранее. Я писал небольшого бота, буквально несколько строк кода, чтобы кикать именно тех людей, кто при входе форвардит сообщения из других групп.

2017/07/19 10:23:12 Welcome new user 106029536... 2017/07/19 10:23:37 Spam from user 106029536... 2017/07/19 10:23:37 Increase spam counter for user 106029536... 2017/07/19 10:23:37 SPAM: user=Murod Maxmudov

По наблюдениям, спам исходит от людей, либо, которые только что зашли (в течении нескольких минут), либо, которые не имели ни одного сообщения долгое время, либо не были кикнуты за спам ранее. Я писал небольшого бота, буквально несколько строк кода, чтобы кикать именно тех людей, кто при входе форвардит сообщения из других групп.

ага, только у них эвристика ещё иногда меняется

даже сейчас уже есть более интересные боты. заходят сразу двое и ведут между собой диалог

хитро) не встречал таких в профильных чатах

вот сюда бы режимы каналов ирковские ?

v+ tnt4brain

?

v+ tnt4brain

благодарю ?

+o leominov ?

? серьезно))

я даже как-то кодил скрипты для мирка)

я даже как-то кодил скрипты для мирка)

был такой скрипт - MafBot by LightStar, вёл игру в Мафию. Шикарная ведь вещь!

с игровыми ботами как-то не заладилось, были более важные цели, например, автоматически писать re, когда кто-то здоровался с тобой)))

Я был +O :)

че это вы начали? давайте ansible-playbook ban.yml -e "banned_user=murod_blalala"

?

Я был +O :)

чисто операторский канал, это ж режим канала ?

На прошлой неделе кто-то поделился ссылкой на https://github.com/fboender/ansible-cmdb - Подскажите пж-та, как правильно вписать комментарии или поля типа dtap в хостсы ? Или это в host_vars должно быть?

[group] host1 dtap="prod" comment="zomg-app server" типа такого можно использовать?

Привет! Как заставить Ansible передавать кирилицу для переменной окружения?

можно как-то с синхронизировать директории по списку item-ов?

synnchronize работает на добавление, но если из item-ов что-то убарть, то в директории назначения ничего не меняет

- name: Enable proftpd modules synchronize: src: "/etc/proftpd/mods-available/{{ item }}" dest: "/etc/proftpd/mods-enabled/{{ item }}" delegate_to: "{{ ansible_host }}" with_items: - dir.conf - status.conf