hbogner | o/ | 09:49 |
---|---|---|
hbogner | jel netko koristi lxc? | 13:21 |
obrut | ja ponesto | 13:25 |
hbogner | jel moguće sa hosta usere sherati u lxc? | 13:25 |
hbogner | tipa imam 25 usera na hostu, ali bi htio da isti useri imaju login i na lxc-u | 13:25 |
hbogner | ili moram tih 25 usera riucno kreirati na hostu | 13:25 |
hbogner | ili moram tih 25 usera riucno kreirati u kontejneru | 13:26 |
obrut | nemam blage... to je dijemetralno suprotno od onog sto meni treba | 13:26 |
obrut | odnosno ajmo logikom | 13:26 |
obrut | trebao bi shareat/overlayat /etc/passwrd (nije pametno), /etc/shadow (jos manje pametno) i homje direktorije (namjanji problem) | 13:27 |
hbogner | i etc/group :) | 13:27 |
hbogner | probao sherati, neradi login poslje | 13:27 |
obrut | i to :) | 13:27 |
hbogner | home direktoprij je mountan, to je prošlo bez beda, ali morma usere i grupe kreirati sa istim uid/gid da bi permisisoni za pristup radili | 13:28 |
obrut | al ono, trebao bi uvijek imati sve isto u /etc/passwd na oba hosta sto znaci iste servisne accounte, iste uuidove, ne cini mi se to kao smisleno | 13:28 |
obrut | pa da, shareanje homea je najmanje problem | 13:28 |
hbogner | da, servisni id-ijev ne pasu i ne radi onda | 13:28 |
hbogner | ali rkeo jel ima neki pametni nacin u configu na razili lxc-a | 13:29 |
obrut | meni se cini da nesto krivo radite :) | 13:29 |
obrut | kad vam tako nesto treba | 13:29 |
hbogner | zakaj? | 13:30 |
hbogner | treba mi /home pristup sa oba sistema, host noviji debian, lxc stariji debian | 13:30 |
hbogner | neki klijenti su na stariji os-ovima i trebju pristup starim verzijama servisa, a neki su novi os-ovi i trebaju pristup novim verzijama servisa, s tim d aisti korisnik ima i nove i stare verzije... | 13:31 |
hbogner | i sve je u njegovom home folderu, a neda mi se to razdvarati na više servera, jer onda moram migrirati stotine terabajta i opet svejedno duple usere raditi... | 13:32 |
obrut | pretpostavljam da ti se usere ne da migrirati na neki ldap ili tako nesto | 13:33 |
hbogner | imamo specific use case :) | 13:33 |
hbogner | nope, to je overkill | 13:33 |
hbogner | ali sad kad ponovno razmislim, ... | 13:33 |
hbogner | ali svejedno mi komplicirano sa ldap-om, jednostavnije mi slozit ansible koji ce kreirat usere iste | 13:34 |
obrut | u teoriji bi se dalo slozit da napravis neki overlay, da sa hosta /etc/passwd bude baza, a da u lxc-u imas update tog fajla, ali opet to nece syncat novokreirane korisnike na hostu | 13:35 |
hbogner | da, mislim da je najjednostavnije ansible ili bash skripta da kreira iste usere... | 13:37 |
obrut | napravis skriptu koja synca s hosta u lxc sve u nekom rasponu uida (tipa od 1000 - nesto), na lxc-u jos eventualno slozit da useri ne mogu promijenit password na lxc-u nego samo na hostu i napravis da se posynca periodicki i/ili na file change | 13:39 |
obrut | to mi se cini kak najmanje zajebancije :) | 13:39 |
hbogner | je tak je i meni nešto palo na pamet, bash skripta koje će to "automatizirati" | 13:48 |
jelly | ja bind-mountam /etc/{passwd,group,shadow,gshadow} read-only u kontejner i ne bi to nikome preporučio :-) | 13:49 |
obrut | hahaha :) | 13:49 |
hbogner | jelly, kakO?, pokušao sam ali ne radi mi poslje ssh login :) | 13:49 |
jelly | prvi problem su servisni useri i grupe, koji moraju biti isti uid i gid a na debianu i derivatima se generiraju dinamicki | 13:49 |
jelly | kod instalacije, i onda nisu isti ako se ne pazi | 13:50 |
hbogner | da, nisu isti gid uid za servisne usere | 13:50 |
jelly | znači prvo se mora napraivti da budu isti :-) | 13:50 |
jelly | i da na hostu postoji sve što ti treba u kontejneru | 13:51 |
jelly | to je tlaka | 13:51 |
hbogner | ja sam cak symlinkao to, ali razliciti uid/gid ... | 13:51 |
jelly | moraš popraviti ownershipe po fs-u u kontejneru prije nego bind-mount ili nešto | 13:52 |
jelly | i onda tek dići OS u | 13:52 |
hbogner | auuu, tlaka :) | 13:52 |
jelly | da | 13:52 |
jelly | mislim, na base debian imaš 5-10 gidova i nešto manje uida i dosta toga uopće ne postoji na filesystemu | 13:53 |
jelly | tako da ako ih imaš unaprijed npr. usere i grupe za postgres, mysql, dovecot kajgod i tek onda instaliraš pakete u kontejneru, onda će instalacija vidit da već postoje i neće raditi problem | 13:54 |
jelly | ako se radi o non-service userima i grupama onda je bolje imat ih u AD-u ili nekom drugom ldap-u, nečemu | 13:55 |
hbogner | non-service useri su kod mene bitni | 13:55 |
jelly | samo ako su AD-u moraš paziti da AD admin ne kreira domenskog usera "mysql" i da se onda instalira mysql paket i koristi domenskog jer postoji :-) | 13:55 |
hbogner | 1000+ useri | 13:55 |
jelly | da, to je točno stvar za posebni IdM | 13:56 |
hbogner | IdM? | 13:56 |
jelly | identity management, generički naziv za tamo di su spremljeni useri, grupe, passwordi | 13:57 |
hbogner | aha, ok, tak sma i mislio | 13:57 |
hbogner | ovo mi treba sad "privremeno" :) | 13:57 |
hbogner | 5-10 godina dok ne migriram sve usere na nove debiane :) | 13:58 |
jelly | ne znam dal ima neki pam i nss modul da čita jedan dodatni passwd/group/shadow/gshadow file, pa da imaš i kontejnerov i hostov na drugom pathu | 13:58 |
jelly | lol | 13:58 |
jelly | vjerojatno ima | 13:58 |
jelly | onda nss i pam nađu i koriste prvog po redu | 13:58 |
jelly | https://serverfault.com/questions/998405/add-a-second-etc-passwd-etc-shadow-etc-group-combination | 13:59 |
jelly | eto, libnss-extrausers | 13:59 |
obrut | nisam jos to trebao u zivotu, al zapamticu :) | 14:00 |
jelly | ja prvi put vidim | 14:00 |
obrut | al od pama i auth modula imam traume jos od prije 20 godina kad sam trebao pisat svoje :P | 14:00 |
jelly | ali imam storjeve sa BerkeleyDB passwd i sa ldap passwd i sa AD passwd | 14:01 |
jelly | i, bar na debian i ubuntu, PAM konfa je dovoljno jednostavna da uzme uid i gid gdje prvo nađe | 14:02 |
jelly | a password proba svugdje gdje ga ima! Tako da ako se poklapa lokalni user i AD user, može se ulogirati sa AD passwordom a dobije se lokalni uid i gid iz /etc/password | 14:03 |
jelly | a grupe budu joinane | 14:03 |
jelly | na EL je PAM konfa komplicirana i neće primiti domenski password za lokalnog usera | 14:03 |
jelly | (što je tehnički ispravno, ali manje korisno) | 14:04 |
jelly | najkorisniji skill: znati izguglati što ti treba | 14:06 |
hbogner | klanjam se gugl majstoru | 14:08 |
hbogner | ja sma guglao lxc mogucnosti, ali se je to bilo nevezano uz usere | 14:08 |
jelly | pitam se da li ima neki fejk ldap server koji koristi /etc/passwd kao backend | 14:11 |
jelly | https://www.openldap.org/faq/data/cache/150.html "da" | 14:12 |
jelly | to, ako radi, bi bilo elegantnije od extrausers hacka | 14:13 |
jelly | (nikad probao, isto prvi put vidim) | 14:16 |
dodobas | yutro | 14:49 |
hbogner | dobro jutro dodobas :) | 14:51 |
hbogner | jelly, thx za sve ideje, nastavim s tim sljedeci tjedan :) | 15:15 |
hbogner | odoh doma spavat :) | 15:15 |
=== madmax_ is now known as madmax | ||
Vlado9A | hell o world | 20:15 |
Vlado9A | a onda je došao squizac, narezao mi malo šunke i sira i skuhao mi jaja za večeru... ajoj :D | 20:21 |
Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!