[09:49] <hbogner> o/
[13:21] <hbogner> jel netko koristi lxc?
[13:25] <obrut> ja ponesto
[13:25] <hbogner> jel moguće sa hosta usere sherati u lxc?
[13:25] <hbogner> tipa imam 25 usera na hostu, ali bi htio da isti useri imaju login i na lxc-u
[13:25] <hbogner> ili moram tih 25 usera riucno kreirati na hostu
[13:26] <hbogner> ili moram tih 25 usera riucno kreirati u kontejneru
[13:26] <obrut> nemam blage... to je dijemetralno suprotno od onog sto meni treba
[13:26] <obrut> odnosno ajmo logikom
[13:27] <obrut> trebao bi shareat/overlayat /etc/passwrd (nije pametno), /etc/shadow (jos manje pametno) i homje direktorije (namjanji problem)
[13:27] <hbogner> i etc/group :)
[13:27] <hbogner> probao sherati, neradi login poslje
[13:27] <obrut> i to :)
[13:28] <hbogner> home direktoprij je mountan, to je prošlo bez beda, ali morma usere i grupe kreirati sa istim uid/gid da bi permisisoni za pristup radili
[13:28] <obrut> al ono, trebao bi uvijek imati sve isto u /etc/passwd na oba hosta sto znaci iste servisne accounte, iste uuidove, ne cini mi se to kao smisleno
[13:28] <obrut> pa da, shareanje homea je najmanje problem
[13:28] <hbogner> da, servisni id-ijev ne pasu i ne radi onda
[13:29] <hbogner> ali rkeo jel ima neki pametni nacin u configu na razili lxc-a
[13:29] <obrut> meni se cini da nesto krivo radite :)
[13:29] <obrut> kad vam tako nesto treba
[13:30] <hbogner> zakaj?
[13:30] <hbogner> treba mi /home pristup sa oba sistema, host noviji debian, lxc stariji debian
[13:31] <hbogner> neki klijenti su na stariji os-ovima i trebju pristup starim verzijama servisa, a neki su novi os-ovi i trebaju pristup novim verzijama servisa, s tim d aisti korisnik ima i nove i stare verzije... 
[13:32] <hbogner> i sve je u njegovom home folderu, a neda mi se to razdvarati na više servera, jer onda moram migrirati stotine terabajta i opet svejedno duple usere raditi...
[13:33] <obrut> pretpostavljam da ti se usere ne da migrirati na neki ldap ili tako nesto
[13:33] <hbogner> imamo specific use case :)
[13:33] <hbogner> nope, to je overkill
[13:33] <hbogner> ali sad kad ponovno razmislim, ...
[13:34] <hbogner> ali svejedno mi komplicirano sa ldap-om, jednostavnije mi slozit ansible koji ce kreirat usere iste
[13:35] <obrut> u teoriji bi se dalo slozit da napravis neki overlay, da sa hosta /etc/passwd bude baza, a da u lxc-u imas update tog fajla, ali opet to nece syncat novokreirane korisnike na hostu
[13:37] <hbogner> da, mislim da je najjednostavnije ansible ili bash skripta da kreira iste usere...
[13:39] <obrut> napravis skriptu koja synca s hosta u lxc sve u nekom rasponu uida (tipa od 1000 - nesto), na lxc-u jos eventualno slozit da useri ne mogu promijenit password na lxc-u nego samo na hostu i napravis da se posynca periodicki i/ili na file change
[13:39] <obrut> to mi se cini kak najmanje zajebancije :)
[13:48] <hbogner> je tak je i meni nešto palo na pamet, bash skripta koje će to "automatizirati"
[13:49] <jelly> ja bind-mountam /etc/{passwd,group,shadow,gshadow} read-only u kontejner i ne bi to nikome preporučio :-)
[13:49] <obrut> hahaha :)
[13:49] <hbogner> jelly, kakO?, pokušao sam ali ne radi mi poslje ssh login :)
[13:49] <jelly> prvi problem su servisni useri i grupe, koji moraju biti isti uid i gid a na debianu i derivatima se generiraju dinamicki
[13:50] <jelly> kod instalacije, i onda nisu isti ako se ne pazi
[13:50] <hbogner> da, nisu isti gid uid za servisne usere
[13:50] <jelly> znači prvo se mora napraivti da budu isti :-)
[13:51] <jelly> i da na hostu postoji sve što ti treba u kontejneru
[13:51] <jelly> to je tlaka
[13:51] <hbogner> ja sam cak symlinkao to, ali razliciti uid/gid ...
[13:52] <jelly> moraš popraviti ownershipe po fs-u u kontejneru prije nego bind-mount ili nešto
[13:52] <jelly> i onda tek dići OS u
[13:52] <hbogner> auuu, tlaka :)
[13:52] <jelly> da
[13:53] <jelly> mislim, na base debian imaš 5-10 gidova i nešto manje uida i dosta toga uopće ne postoji na filesystemu
[13:54] <jelly> tako da ako ih imaš unaprijed npr. usere i grupe za postgres, mysql, dovecot kajgod i tek onda instaliraš pakete u kontejneru, onda će instalacija vidit da već postoje i neće raditi problem
[13:55] <jelly> ako se radi o non-service userima i grupama onda je bolje imat ih u AD-u ili nekom drugom ldap-u, nečemu
[13:55] <hbogner> non-service useri su kod mene bitni
[13:55] <jelly> samo ako su AD-u moraš paziti da AD admin ne kreira domenskog usera "mysql" i da se onda instalira mysql paket i koristi domenskog jer postoji :-)
[13:55] <hbogner> 1000+ useri
[13:56] <jelly> da, to je točno stvar za posebni IdM
[13:56] <hbogner> IdM?
[13:57] <jelly> identity management, generički naziv za tamo di su spremljeni useri, grupe, passwordi
[13:57] <hbogner> aha, ok, tak sma i mislio
[13:57] <hbogner> ovo mi treba sad "privremeno" :)
[13:58] <hbogner> 5-10 godina dok ne migriram sve usere na nove debiane :)
[13:58] <jelly> ne znam dal ima neki pam i nss modul da čita jedan dodatni passwd/group/shadow/gshadow file, pa da imaš i kontejnerov i hostov na drugom pathu
[13:58] <jelly> lol
[13:58] <jelly> vjerojatno ima
[13:58] <jelly> onda nss i pam nađu i koriste prvog po redu
[13:59] <jelly> https://serverfault.com/questions/998405/add-a-second-etc-passwd-etc-shadow-etc-group-combination
[13:59] <jelly> eto, libnss-extrausers
[14:00] <obrut> nisam jos to trebao u zivotu, al zapamticu :)
[14:00] <jelly> ja prvi put vidim
[14:00] <obrut> al od pama i auth modula imam traume jos od prije 20 godina kad sam trebao pisat svoje :P
[14:01] <jelly> ali imam storjeve sa BerkeleyDB passwd i sa ldap passwd i sa AD passwd
[14:02] <jelly> i, bar na debian i ubuntu, PAM konfa je dovoljno jednostavna da uzme uid i gid gdje prvo nađe
[14:03] <jelly> a password proba svugdje gdje ga ima!  Tako da ako se poklapa lokalni user i AD user, može se ulogirati sa AD passwordom a dobije se lokalni uid i gid iz /etc/password
[14:03] <jelly> a grupe budu joinane 
[14:03] <jelly> na EL je PAM konfa komplicirana i neće primiti domenski password za lokalnog usera
[14:04] <jelly> (što je tehnički ispravno, ali manje korisno)
[14:06] <jelly> najkorisniji skill: znati izguglati što ti treba
[14:08] <hbogner> klanjam se gugl majstoru
[14:08] <hbogner> ja sma guglao lxc mogucnosti, ali se je to bilo nevezano uz usere
[14:11] <jelly> pitam se da li ima neki fejk ldap server koji koristi /etc/passwd kao backend
[14:12] <jelly> https://www.openldap.org/faq/data/cache/150.html "da"
[14:13] <jelly> to, ako radi, bi bilo elegantnije od extrausers hacka
[14:16] <jelly> (nikad probao, isto prvi put vidim)
[14:49] <dodobas> yutro
[14:51] <hbogner> dobro jutro dodobas :)
[15:15] <hbogner> jelly, thx za sve ideje, nastavim s tim sljedeci tjedan :)
[15:15] <hbogner> odoh doma spavat :)
[20:15] <Vlado9A> hell o world
[20:21] <Vlado9A> a onda je došao squizac, narezao mi malo šunke i sira i skuhao mi jaja za večeru... ajoj :D