Skip to content

Blog

Poolimage: Anmeldung schlägt fehl

Aus welchen Gründen auch immer, haben sich in den letzten Tagen vermehrt Probleme mit der Anmeldung am Poolclient ergeben. Der Rechner verweigerte schlicht die Anmeldung. Nachdem ich das auf mehreren Rechnern verifizieren konnte, habe ich vermutlich die Ursache gefunden: nslcd Dieser Daemon ist zuständig für die Anfragen gegen den LDAP. Soll heißen, der schaut nach, ob es User X im LDAP gibt. Genau dieser Daemon wird beim booten nicht korrekt gestartet, wegen dubioser Fehlermeldungen bezüglich der libcrypt11 Bibliothek. Fragt man Google, sind wir da nicht die Einzigen, mit dem Problem. Der Eintrag und einige andere sind schon älter, aber er betrifft uns jetzt.  Vermutlich hat eins der zahlreichen Updates uns dieses Problem eingebrockt :-/

Die Lösung sieht derzeit so aus, dass ich nslcd aus dem alten Init herausgenommen habe und dafür eine passende Systemd Konfiguration erstellt habe:

[Unit]
Description=LDAP connection daemon
After=syslog.target network.target

[Service]
EnvironmentFile=-/etc/default/nslcd
Type=forking
PIDFile=/var/run/nslcd/nslcd.pid
ExecStart=/usr/sbin/nslcd
Restart=always
RestartSec=2s

[Install]
WantedBy=multi-user.target
Alias=nslcd.service

Systemd sorgt nun dafür, dass der Daemon gestartet wird, sobald der sich verabschiedet hat. Wenn es noch Probleme geben sollte ... ihr wisst ja, wie ihr mich erreichen können ;-)

SCM Server 2. Versuch -> 21Uhr

Das Kopieren der Daten hat zwar geklappt, aber der Bootloader Grub hat sich bei der Installation verweigert :-/ Das Ursache habe ich mittlerweile gefunden. Daher starte ich heute einen zweiten Versuch gegen 21Uhr. Wenn dieses Mal alles klappt (rsync muss noch einmal komplett durchlaufen, um aktuelle Änderungen mitzunehmen), dürfte die Downtime bei 30 Minuten liegen.

Altes Image nicht mehr verfügbar

Das alte Poolimage wurde nun aus dem System entfernt. Das bedeutet: alle müssen nun das neue Image verwenden. Eure Dozenten etc. sind bereits vor einiger Zeit darauf hingewiesen worden, dass heute der letzte Tag ist. Leider habe ich versäumt euch auch Bescheid zu geben, weil ich dachte, ich hätte das bereits getan, aber es ging nur an interne Mailinglisten. Wie auch immer, das Image ist entfernt worden. Wenn ihr Probleme haben solltet: schreibt an die bekannte Adresse sysop@rbg...

SCM Server wird am Freitag umgezogen

Weil der Speicherplatz (wiedereinmal) ausgeht, muss ich den SCM Server (Git/SVN) herunterfahren. Daher nutze ich die Gelegenheit, und ziehe den Server auf unser neues RBG/ISP Clustersystem um. Der Server wird voraussichtlich am 28.03. / 8-11Uhr nicht erreichbar sein. Hier auch nochmal ein dezenter Hinweis, auf unsere Wartungsintervalle.

Belegt werden derzeit:

  • SVN 981 Projekte mit zusammen 49GB
  • Git 926 Projekte mit zusammen 33GB
  • Projektdateien 1838 mit zusammen 768MB

 

SSH Pubkey über Support eintragen

Dank unseres sehr guten Hiwis Oliver G., ist es nun möglich den eigenen öffentlichen SSH Schlüssel über die Support Webseite hochzuladen. Technisch wurde es dadurch sinnvoll möglich, in dem ich den LDAP Server um ein passendes Schema erweiterte, damit der Schlüssel im jeweiligen Benutzerkontext abgelegt werden kann. Der Schlüssel wird vom Frontend (support.rbg..) entgegen genommen, auf Plausibilität überprüft (Fingerprint) und dann in den LDAP Server eingetragen. Das Backend unserer Studentenverwaltung (auf einem anderen Server) holt diesen Schlüssel aus dem LDAP heraus und schreibt ihn dann in das Heimatverzeichnis. Das Backend sorgt auch dafür, dass die Datei- und Verzeichnisrechte stimmen. Außerdem könnt ihr mehrere Schlüssel (nacheinander) hochladen, wenn ihr mehrere verwendet. Die authorized_keys wird nicht überschrieben, sondern immer nur angehangen. Das ist  sehr sinnvoll, wenn ihr eure schwachen Schlüssel gegen stärkere tauschen wollt :-)

SSH Passwort Login -> abgeschaltet

Wir bereits mehrfach angekündigt, wird ab heute der Passwort Login für die Clientssh Poolserver abgeschaltet. Es wird also zwingend ein SSH Schlüssel für den Login benötigt, der im Heimatverzeichnis unter ~/.ssh/authorized_keys liegen muss. Im Support Wiki befinden sich dazu ein paar Zeilen.

SSH TCP Forwarding

Vor langer(tm) Zeit haben wir das TCP Forwarding in der SSH Konfiguration abgeschaltet, allerdings ist das glaube ich in den letzten Monaten versehentlich rausgeflogen, was ich dann korrigiert habe. Der Hintergrund dazu ist schlicht der gewesen, dass nicht wenige Studenten das komplett missbraucht haben. Da wurde sehr viel Traffic verursacht, was nicht nur den jeweiligen Clientssh Rechner in Mitleidenschaft gezogen hat, sondern auch andere Server. Daher hatten wir uns dazu entschlossen, diese Funktion unbequemer zu gestalten, indem SSH dies nicht mehr zugelassen hat. Uns ist allerdings sehr wohl klar, dass sich diese Funktion anderweitig "nachrüsten" lässt, aber die Mehrheit von den Studenten die das missbraucht haben, konnte das eben nicht. Aber ich will mal nicht so sein und gestatte es wieder, bis zu dem Punkt, an dem ich merke, dass da wieder Blödsinn gemacht wird. Daher ist diese Funktion wieder aktiv.

Temp Speicherplatz für 24h

Ein Student kam auf mich zu und erzählte etwas von temporären Speicherplatz der in der Nacht gelöscht wurde. Dies war zu Zeiten, als jeder Student nur 30MB Speicherplatz besaß. Diese Idee habe ich wieder aufgegriffen, einfach um auch mal größere Projekte z.B. kompilieren zu können. Daher kann jeder auf dem Poolimage unter /export/files/stud-temp (wird automatisch beim Betreten des Verzeichnisses eingebunden) Dateien und Ordner anlegen. Da es für alle zugänglich ist, müsst ihr euch selbst um die Absicherung kümmern. Einzig: nur der Erzeuger der Ordner und Dateien darf sie auch wieder löschen (Unix Rechte 1777). Für alles andere ist der Nutzer selbst verantwortlich. Ihr solltet dort also keine kritischen Daten mit Passwörtern etc. ablegen, es sei dann ihr schützt sie entsprechend (Stichwort: UMASK). In Summe stehen 20GB zur Verfügung, ihr solltet also fair damit umgehen, sodass alle etwas davon haben.

Ein Cron sorgt ab heute jede Nacht um 01Uhr(AM) dafür, dass die Inhalte gelöscht werden. Die Daten werden auch nicht über das Backup gesichert.

LXDE/XFCE PolicyKit Fehlermeldung

Beim Einloggen am Poolrechner haben Benutzer von LXDE oder auch XFCE eine Fehlermeldung erhalten:

gdbus error org freedesktop policykit1 error failed

Daher habe ich das Paket lxpolkit rausgeworfen. Laut Google müsste das helfen.

Neuer Twitter Account

Da ich eh gerade dabei war diverse Profile um ISP und Co zu erweitern, habe ich im gleichen Atemzug mal einen neuen Twitter Account erstellt: @isp_technik_tud . Ich denke, in zwei bis drei Wochen werde ich Wordpress anweisen die Einträge dort zu twittern.

Made with Material for MkDocs