Diese <setzen sie hier viele Schimpfwörter ein> machen da nur leider immer irgendwas so völlig anders, das ich mehr Zeit damit verbringe, Ubuntu dazu zu bewegen sich wie Debian zu verhalten, als mit meinem eigentlich Problem. In diesem Fall halt Authentifizierung am AD.
Wie das unter Debian in 5 Minuten geht steht ja unten, unter meinem Ubuntu geht das anders -.-
Die Kerberosgeschichte ändert sich nicht, das ist auch durchaus positiv, heißt für mich, das die Ubuntuleute davon zuwenig Ahnung haben um es kaputt zu spielen. NSS scheinen sie irgendwie verstanden zu haben, zumindest funktioniert die libnss-ldap nicht so wie das in der Manpage steht. Aus einem mir nicht nachvollziehbaren Grund wollte das Teil partout nicht die Daten aus dem AD lesen, weil die Verbindung schon nicht geklappt hat, wegen falscher Credentials …
Da ich die ldap.conf von dem Debian kopiert hatte, sollte man meinen das die Credentials richtig sind, zumal sie mit ldapsearch interaktiv auch funktionieren. Warum die ldap-utils nicht so wollen wie ich, versteh ich zwar auch nicht, aber das ist unter Debian auch so. Die OpenLDAP-Entwickler halte ich ja auch für ein wenig bescheuert bzw. denke ich das deren Drogenkonsum exorbitant hoch sein muß.

Die Lösung unter Ubuntu heißt libnss-ldapd, da ist dann der nslcd bei, der sich wieder seperat konfigurieren läßt. Da die Syntax für das Mapping der Attribute nicht die gleiche ist wie beim libnss-ldap ohne d, funktioniert das linken natürlich nicht, aber das ist eher ein kosmetisches Problem.
Jetzt spricht also unser DXS-System auch mit dem AD und erzeugt TGTs für die Nutzer, immerhin.
Bleibt nur noch der Schritt die Homeverzeichnisse via NFSv4 mit sec=krb5[p|i] anzubinden, da muß ich noch ne Weile manpages lesen.

Und weil ich soviel Spass mit Ubuntu hab, hab ich mir nochmal angeschaut warum upstart und mountall mit unserer NFSroot-Umgebung nicht klar kommen, der Bug ist natürlich immer noch nicht gefixt, wozu auch -.-
Das mein lustiges Squeeze überhaupt Null Probleme mit startup hat, brauch ich wohl nicht erwähnen. Niels hat schon vorgeschlagen auf Archlinux zu wechseln…
Zumindest entwickle ich langsam einen ähnlichen Hass auf Ubuntu wie damals auf SuSE, ich vermute fast da arbeiten die selben Menschen.

Für den irgendwo bereits erwähnten neuen Speicher der Firma BlueArc ist es allerdings notwendig, das sich unsere Linuxterminals mit dem am Standort eingesetzten ActiveDirectory verstehen. Eigentlich bin ich auch ganz froh das ich mich nicht selbst mit Kerberos und OpenLDAP auseinandersetzen muß, sondern dafür jemand anderes bezahlt wird :)
Wir hatten auch schon selbst mit Kerberos ein wenig experimentiert, der Niels hat sogar mal ne Hausarbeit darüber geschrieben. Nun wollen wir das ganze also auch im Produktivbetrieb haben. Als netten Nebeneffekt erhoffe zumindest ich mir, das wir mal brauchbares Single-Sign-On hinbekommen, aber das steht momentan nur auf der Wunschliste.

Im Internet findet man reichlich Zeug über Linux und AD, geraten wird einem da auch gern zu Likewyse, da gibt es bereits fertige Pakete um Linuxclienten einer Domäne hinzuzufügen. Aber wir wären ja nicht wir, wenn wir nicht das ganze selbst bauen würden und direkt der Domäne beitreten wollen wir auch nicht. Vorerst begnügen wir uns mit der Authentifizierung via PAM.
Ich weiß nicht genau womit ich damit soviel Zeit verplempert habe, wenn man erstmal alles wegwirft und nochmal in Ruhe von vorne anfängt, ist das in fünf Minuten erledigt:

krb5-client installieren, pam-krb5 dazu, nscd noch und die restlichen Pakete sind entweder Abhängigkeiten oder bereits auf dem System installiert. Winbind kann man direkt wieder runterkegeln und pam-ldap hab ich gleich mitentsorgt um sicher zu gehen das wir nicht doch noch gegen LDAP authentifiziern.
Kurz krb5.conf anpassen:

[libdefaults]

     default_realm = AD_DOMAIN.OHNE.TIPPFEHLER

[realms]

    AD_DOMAIN.OHNE.TIPPFEHLER = {

        kdc = ip.oder.name.vom.ad-cluster

        admin_server = ip.oder.name.vom.ad-cluster

    }

[domain_realm]

    .unsere.dns.domain = AD_DOMAIN.OHNE.TIPPFEHLER

   unsere.dns.domain = AD_DOMAIN.OHNE.TIPPFEHLER

und fertig ist die Kerberos anbindung, das ganze PAM-Zeug wird automagisch bei Debian mitkonfiguriert, aber so schwer ist es jetzt auch nicht noch pam_krb5 mit einzubinden. Vorausgesetzt man schreibt nicht wie ich pro Zeile 4-5 Dinge falsch …
Danach sollte man bereits mit kinit dein-user@deine.domain ein gültiges Ticket Granting Ticket vom KDC bekommen, Aliase kann man noch hinzufügen, muß man aber nicht.

Jetzt muß man Linux nur noch beibringen die Nutzer auch im AD zu suchen. Da AD auch simpelstes LDAP kann, benutzen wir das also in der ldap.conf:

uri     ldaps://ad-cluster.als.name.oder.ip

base  dc=beispiel,dc=einer,dc=baumstruktur

rootbinddn    authnutzer@ad-domain

nss_map_attribute   homeDirectory   unixHomeDirectory

Nss-maps kann man beliebig erweitern, falls noch andere Infos aus dem AD gezogen werden sollen. Nur noch das Passwort für den authnutzer in nss-ldap.secret hinterlegen, fertig.

Danach sollte alles was mit PAM zu tun hat die Credentials via Kerberos gegen das AD authentifizieren und ein TGT nach erfolgtem Login erstellen.
Jetzt muß ich es nur noch hinbekommen die HomeDirectories via NFSv4 und sec=krb5 automatisch zu mounten, aber das kann ja eigentlich nicht so schwer sein…

Unser eingesetztes Linux ist allerdings schon etwas betagter und verhält sich nicht mehr so gewohnt wie z.B. mein Laptop :)
Letzte Woche war ich dann der Meinung man müßte mal wieder ein paar Updates einspielen unter anderem Flash, da gab’s neulich ja mal das ein oder andere Problem … Was mir nicht direkt aufgefallen war, war die Fehlermeldung das zwar das Paket runtergeladen wurde, aber die Installation fehlschlug. Daraufhin hat sich relativ schnell jemand beschwert das Youtube nicht mehr geht.
Also kurz von Hand installiert, wenn der Paketmanager das nicht automagisch erledigt. Dabei ist dann irgendwie Udev ein bisschen kaputt gegangen, das hat mir eine Gruppe auf dem System angelegt mit einem komplett falschen Namen, weswegen die Soundausgabe dann nicht mehr funktioniert hat. Den Fehler zu finden hat mich dann schon ein paar Minuten länger gekostet.
Lösung war dann wieder super einfach, die Gruppe umbenennen, dann gehören die Sounddevices auch wieder der Gruppe “Studenten” mit der zugehörigen GID und nicht “Studenten” mit der GID 112 .. Das ist nämlich eigentlich die Gruppe “audio”.

Gestern hat sich dann noch jemand beschwert das USB-Wechselmedien nicht mehr funktionieren, das hat mich auch wieder ein paar Minuten gekostet. Fazit: PolicyKit ist totaler Mist, deswegen hab ich das auf meinem Laptop vermutlich auch nicht drauf. Zumindest funktioniert es jetzt wieder so wie es soll.
Zuerst war ich so schlau und hab einfach mal alles was an PolicyKit geht mit “result=yes” zurückgehen zu lassen, da war ich kurz gedanklich wohl woanders. Jetzt gibt er das nur noch für die Wechselmedien zurück und verhält sich sonst wie Ubuntu das voreinstellt :)

Jetzt muß ich nur noch herausbekommen warum udev und PolicyKit diesen Murks veranstalltet haben, das war irgendwie nicht so auf den ersten Blick ersichtlich. Vielleicht lass ich das auch einfach in Ruhe und beschäftige mich nochmal mit dem zukünftigen System, da gibt es auch noch ein paar Stolpersteine mit dem ndb als root-Device.

Die Konfigurationsdateien für die über 250 Windows- und Linux-Rechner werden mittlerweile per Skript erzeugt. Die dafür notwendigen Basisdaten liegen in einer Datenbank und Perl baut die Host-, Hostgroup- und Servicegroup-Configs (dabei muss man leider auch zwischen Windows- und Linux-Clients Unterschiede machen: Die Windows-Namen müssen groß geschrieben werden, da NSClient++ den Hostnamen – wenn dies automatisch geschieht – nur als Großbuchstaben zurück gibt…wieder ein paar überflüssige Zeilen Code mehr :-) ).  Irgendwann hoffe ich ja, diese Infos aus dem OTRS::ITSM zu ziehen, aber das dauert wohl noch etwas, bis ich da durchschaut habe, wie ich Hosts und Standort-Zuordungen vernünftig exportieren kann.

Jetzt haben wir zwar alle notwendigen Informationen, aber richtig interessant wird es ja erst, wenn man diese auch den Studierenden in vernünftiger Form zur Verfügung stellen kann. Am Besten bunt und einfach. Also fix Nagvis installiert und eine Übersichtskarte unserer Standorte gebaut. Aber damit war der Herr Dennis nicht zufrieden, der möchte Zoomen und Blinken und weiß der Geier. Da Nagvis sowas aber leider nicht kann (jedenfalls habe ich es damit nicht innerhalb von 5 Minuten hinbekommen), muss etwas eigenes her.

Auftritt Icinga-API: Damit ist es möglich, auf die Informationen von Icinga strukturiert zuzugreifen (die Icinga-Leute nutzen das auch selbst, bspw für ihr neues Webinterface). Nachteil (aus meiner Sicht) ist allerdings, dass man dafür PHP benötigt. Aber was tut man nicht alles für die Nutzer…  Schritt eins ist, die notwendigen Infos über die API auszulesen. Das ist kein großes Problem, die Doku dazu ist recht gut (obwohl ich ein, zwei Mal das Gefühl hatte, dass in der API-Doku Abfrage-Parameter und -objekte beschrieben werden, die die API gar nicht kennt :-) ). Für die Studierenden als interessant  befunden wurden die Infos zu Anzahl der Rechner pro Standort, Hardware-Verfügbarkeit und ob die Rechner besetzt oder frei sind.

Als nächstes kommt die grafische Darstellung dieser Daten. Da ich mit Openstreetmap nicht nach 5 Minuten zurecht kam (man mag hier vielleicht ein Muster erkennen), kommt dafür momentan GoogleMaps zum Einsatz. Auch da ist eine gute Doku vorhanden, so dass nur noch die Geo-Koordinaten der Standorte ermittelt werden müssen (Momentan habe ich diese noch manuell herausgesucht und der Datenbank gespeichert. Allerdings wäre es auch möglich, diese mittels der Adresse der Standorte per Skript zu erzeugen…allerdings hat die seperate Speicherung den Vorteil, dass man per GPS die exakten Koordinaten eines Standorts erfassen kann). Das dafür notwendige Javascript-Zeug erzeuge ich natürlich auch per Skript :-)

Aber Dennis wollte ja noch mehr: Man soll auf die Standorte klicken können, um mehr Infos zu erhalten. Gefährliches Halbwissen kommt mir wieder in den Sinn: Per CSS und Javascript kann man ja Elemente sichtbar und unsichtbar setzen… Allerdings wollte ich neben PHP nicht noch ‘ne Sprache nehmen, die ich nicht sonderlich mag und habe ich aus diesem Grund für jquery als Framework entschieden…obwohl ich das bestimmt auch sehr quick’ dirty benutze, da ich auch diesen Code über PHP und Schleifen erzeugen lasse… im Endeffekt entstehen so über 1000 Zeilen HTML aus 90 Zeilen PHP. :-) Für die Webseite selbst nutze ich Smarty als Framework – einfach, weil es durch die Trennung von Template und Skript übersichtlicher wird – klar kann man das ganze auch hardcore direkt mit PHP bauen, aber dann führt das entweder zu Kraut und Rüben oder aber – aus meiner Sicht – unnützer Mehrarbeit für die “saubere” Lösung.

Aber da die von uns eingesetzten Dell-Notebooks auch die doofe Angewohnheit haben, meinen Cursor verspringen zu lassen, wenn man auch nur in die Nähe des Sticks kommt, bin ich froh, das Ding abschalten zu können. Ein einfaches:

xinput set-int-prop “DualPoint Stick” “Device Enabled” 8 0

und ich kann in Ruhe schreiben. :-)

Jedenfalls heißt das Ding bei mir so, im Einzelfall sorgt aber ein kurze Suche mittels

xinput list |grep -i stick

dafür, den Namen auf dem eigenen System rauszufinden.

Angefangen habe ich mit dem Firefox, da war erst die DPI-Berechnung kaputt, dann mal wieder eine andere Kleinigkeit. Auch das Zusammenspiel mit dem Flash-Plugin war nie so beeindruckend und jedesmal, wenn der Player den Abgang machte, hing der ganze Browser im Nirvana fest (klar: auf der Kommandozeile konnte man den nswrapper-Prozess abschießen, dann lief wenigstens wieder so, dass man weiter surfen konnte – aber dass kann nicht der Standardweg sein ;-) ). Zwar kann der Firefox mittlerweile wohl auch seine Tabs einzeln absichern, so dass dieses Verhalten so nicht mehr vorkommen soll, aber jetzt will ich nicht mehr.. :-)

Der von Dennis bevorzugte Opera kam danach: An sich war da – so meine Erinnerung – nicht wirklich viel kaputt, aber da das Ding auf QT aufsetzt, passte es sich nie richtig in meinen Gnome-Desktop ein. Dann konnten die ersten Versionen vom Zehner nicht mit dunklen Desktop-Themes umgehen. In der Folge waren dann Formulare auf Webseiten der Horror – Schwarz auf Schwarz finde ich persönlich nicht bestmöglichste Kombination. Also musste wieder was neues her.

Nach einer kurzen Rückkehr zum Firefox nutzte ich jetzt Chromium. Und war da bis heute auch recht zufrieden mit. Aber dann habe ich vorhin mal die DPI-Auflösung angepasst und jetzt lese ich gerade im Bugtracker, dass das blöde Ding intern immer mit 96dpi rechnet. Waah, ist klar: Warum sollte man sowas auch als Variable definieren…schließlich sind ja alle Monitore der Welt gleich und zeigen die identische Auflösung.

Egal, jetzt habe ich die Fontgröße auf 24 gesetzt. Und es sieht fast so aus, wie der Rest des Systems. Ich verstehe es einfach nicht…

Unter VMWare Player funktioniert dann halt die Maus nicht richtig, überläßt man Xorg sich selbst, so wie Niels das gern hätte funktioniert die Keyboardausgabe im GDM nicht mehr :(
Man sieht also nicht mehr was man da grad eintippt und es soll Helden geben, die ihren eigenen Namen nicht schreiben können. Oder wie ich ihr Passwort regelmäßig falsch schreiben. Ist also auch keine zufriedenstellende Lösung.
Konfiguriere ich die Maus manuell als vmmouse, stürzt Xorg beim start mit einem Trace ab, der selbe Treiber wird anstandslos geladen wenn ich nichts mache… wtf
Im Internet bin ich natürlich bisher auch nicht fündig geworden, dafür hab ich einen lustigen Fehler in unserem DXS System gefunden. “cmd && (cmd2 ; cmd3)” hab ich da irgendwann mal schlauerweise geschrieben und durfte grad nachlesen das () eine Subshell startet, das ist aber nicht was da passieren soll und eigentlich weiß ich das auch. Somit läuft das dritte Kommando eigentlich im falschen Kontext, funktioniert allerdings trotzdem. Damit werde ich mich dann mal bei schlechtem Wetter auseinandersetzen :)

Nebenbei hab ich mich mit einer unserer Beraterinnen unterhalten, welche Nutzerprobleme da genau behoben werden können/sollen. Unter anderem das zurücksetzen des Windowsprofils. Da benennen wir einfach den Profilordner um, der wird dann beim nächsten Login neuerstellt. Unsere Beratung macht das, wie ich finde etwas zu umständlich via WinSCP. Das kann man den Studenten auch schlecht erklären, also eher nicht Do-It-Yourself geeignet. Das geht unter Linux natürlich einfach und bunt.
Weiteres häufiges Problem, überfüllte Mailbox auf dem Exchange. Dank GMX und lustigen Forwardings unserer Nutzer, kommt es schon mal vor das innerhalb von 2 Minuten 8000 Fehlermeldungen das Postfach sprengen. Jetzt haben unsere Studierenden die Möglichkeit:
1: über den Outlook Web Access, die Fehlermeldungen Seitenweise löschen
2: dem Nutzer erklären wie er ein Mailprogramm einrichtet um dort die Mails zu löschen
oder mein Favorit, Nummer 3: sich unter Linux einloggen und einfach den Thunderbird starten. Den konfigurieren wir bereits so, daß die Studenten nur noch ihr Passwort eingeben müssen, mit AD/Kerberos fällt das dank Single-Sign-On auch irgendwann weg. Dann können die bequem per Filter markiert und gelöscht werden.

Damit das funktioniert wäre halt nur eine normal funktionierende Maus vorteilhaft und nicht der Schrott der da im Moment erkannt wird :(

apt-get autoremove –purge, was einem erzählt es möchte 1200 Pakete löschen, sollte man allerdings nicht einfach mit “y” beantworten. Der schwerwiegende Fehler war es dann allerdings eine alte bash-Version deinstallieren zu wollen, das “yes, do as I say so!” hätte mich stutzig machen sollen. Das ist unter anderem einer der Gründe warum immer irgendwo 2 Shells offen sind um solchen Unfug dann noch korrigieren zu können :)

Jedenfalls bin ich jetzt auf insgesamt 12xx Pakete runter, also knapp die Hälfte deinstalliert. Fühlt sich auch flotter an, wenn nicht 20+ Prozesse sinnlos im Hintergrund laufen. Außerdem passt mein Xfce-Menü wieder auf eine Seite, ist also auch etwas übersichtlicher geworden.

“dpkg -l | grep ^rc | cut -d’ ‘ -f3|  xargs dpkg -P” hat dann auch gleich mal die Paketendatenbank wieder hübsch gemacht.

Und beim Thema Müllhalde hab ich es auch geschafft den Rasen vor meiner Wohnung mähen zu lassen … weil ich mich mit dem Rasentrimmer zu blöd angestellt hab, hat das mein Vater erledigt mit dem Hinweis ich soll mir gefälligst mal nen Rasenmäher kaufen. Hat er irgendwie recht, nur gab’s Samstag bei Obi nur noch das klapperige 30€ Gerät das irgendwie nicht nach TÜV geprüft aussah

Sicher, ein paar Bugs sind wohl auch darauf zurückzuführen, dass wir das jetzt schon recht lange einsetzen und die Migrationen über die verschiedenen Debian-, MySQL- und OTRS-Versionen ihre Spuren hinterlassen haben. Aber bei der Datenbank bin ich heute ausgestiegen – obwohl ich da schon seit Tagen dran rumschraube: Ein Teil der Datenbank war latin1 (war so ja mal Standard für neue Datenbanken, irgendwann bei Debian 3…), der Rest schon utf8.

Egal, denkt sich der Admin von heute: Fix exportiert, recode drüber laufen lassen und wieder rein damit. Klar, war naiv von mir, denn innerhalb der Datenbank war schon alles als UTF8 kodiert…innerhalb der latin1-Tabelle…. Ich muss das bestimmt nicht verstehen und versuche auch, dass schnell zu verdrängen, hat schließlich genug meiner Lebenszeit in Anspruch genommen! :-)

Jetzt ist das ganze OTRS utf8, auch im Frondend. Folglich schnell eine Testmail an mich verschickt und festgestellt, dass alle Umlaute im Arsch sind. Glückwunsch! Kurz in den Innereien vom OTRS gewühlt, die Sendmail-Einstellungen gefunden und das Mail-Coding von base64 auf 8bit umgestellt….und nicht den Effekt bekommen, den ich erwartet hatte (sondern wahrscheinlich den, den ich verdient habe…), denn jetzt habe ich 8bit-kodierte, falsche Umlaute.

Also die S.U.P.E.R.-Doku vom OTRS samt FAQs, nicht-beantworteten Emails auf der Mailingliste und dem brauchbaren Forum durchsucht. Nix konkretes, aber es gibt wohl Probleme mit den Perl MIME::Tools vor Version 4.25. Drauf war natürlich 4.26, also eigentlich kein Problem. Egal, CPAN ist mein Freund :-)

Strike! :-) Jetzt werden auch in versandten Emails Umlaute dargestellt. Was bleibt: Unicode ist doof und OTRS auch. Zumindest teilweise…