На сейчас alterator-net-domain не умеет работать с изменённой в openldap схемой конфигов -- настоятельная просьба адаптировать (или откатить openldap).
2klark: это нужно срочно.
Странно, с багзиллы письмо в этот раз не пришло! Полагаю, с новыми инсталляциями Альт-домена должен исправить ситуацию Task #209222. Завтра после тестов на виртуалке это станет понятней. Ещё обязательно Task #209223, но с ним пока воюю -- мелкое, но важное исправление. Случайно под раздачу попал alterator-openldap (Task #209221) -- видимо он к делу не относится и изменения в нём косметические (необязательные). (В ответ на комментарий №0) > На сейчас alterator-net-domain не умеет работать с изменённой в openldap > схемой конфигов -- настоятельная просьба адаптировать (или откатить openldap). Схема конфигов (OLC) была добавлена в openldap как опция, которую ещё надо уметь активировать. К счастью по дефолту она отключена, поэтому ничего не ломает. Альт-домен на управление через OLC-конфигурацию не рассчитан абсолютно. Его надо переписывать для этого практически полностью. К слову, другой известный ALD, равно как и управлялки LDAP'ом в некоторых других дистрибутивах, заточены под OLC "из коробки". Однако я теперь согласен с Антоном Бояршиновым на предмет того, что наш старый ALD можно закопать^W продолжить поддерживать без глобальных изменений. Так что в документации стоит отразить, что если люди активируют OLC, они лишаются возможности управления ALT-доменом через Альтератор и ldap-user-tools. Для масштабных внедрений и улучшения ситуации с большой нагрузкой на openldap мы внесли другое важное изменение, к которому не был готов Альт-домен: как рекомендовал апстрим много лет назад, по умолчанию вместо HDB-базы стали использовать бэкэнд LMDB (MDB). Конфиги openldap'а Альт-домен выкидывает и генерирует свои, но ориентируется при этом на HDB-бэкэнд. Самое простое -- вернуть поддержку HDB, убрав один символ в главном конфиге. Но это плохо отразится на большой нагрузке. Поэтому решил до-выкидывать HDB ото всюду и сделать поддержку MDB в Альт-домене. Но с оглядкой на прошлое. Вопрос с миграцией существующих BDB/HDB баз на MDB оказался не так прост. Необходимо сначала выяснить, есть ли в Сизифе хоть кто-то, кому это действительно надо. Потому что там всё очень не просто и в любом случае с риском для данных.
Совместимость критически важна в продуктах, нынешних и будущих. Потому прошу завтра обсудить с Михаилом, можно ли ее обеспечить в c7_e2k , не откатывая пакеты Сизифа. Если нельзя, то придется безусловно откатить.
(В ответ на комментарий №3) > Совместимость критически важна в продуктах, нынешних и будущих. Потому прошу > завтра обсудить с Михаилом, можно ли ее обеспечить в c7_e2k c8_e2k, конечно.
(В ответ на комментарий №3) > Совместимость критически важна в продуктах, нынешних и будущих. Можно, однозначно! Откатывать не придётся. В последнем абзаце я был не совсем прав (но это не касается e2k): если мы планируем бэкпортировать улучшения в c7/p8/c8, придётся проблему с миграцией решать всё равно. Но я лишь хочу сказать, что это можно сделать отдельно, поскольку нынешние изменения улучшат ситуацию с новыми инсталляциями в Сизифе.
У нас должен быть совместимый вариант завтра для передачи тестерам.
(В ответ на комментарий №6) > У нас должен быть совместимый вариант завтра для передачи тестерам. Будет! Помог бы кто с Task #209223... бьюсь с волшебными зависимостями в Сизифе. Грешу на commit 8072b6ff из alt-domain-server, как забороть -- пока не знаю.
(В ответ на комментарий №7) Грешу на commit 8072b6ff из alt-domain-server, как забороть... Зависимость победил. Дело действительно в этом комите. Очевидно, так было задумано. Решение: apt-repo add 209223 apt-get install samba alt-domain-server Тогда нет "битых" пакетов. И вообще apt на сизифе какой-то странный. Завтра будем выяснять, как это правильно обходить...
(В ответ на комментарий №0) > На сейчас alterator-net-domain не умеет работать с изменённой в openldap > схемой конфигов -- настоятельная просьба адаптировать (или откатить openldap). Адаптировал. Последний #task 209225, как я понимаю, требует сборки тестовой регулярки, заодно в неё стоит прихватить #209222 и (возможно) #209221. Сделаешь завтра? Попросил rider@ завтра это всё потестить в срочном порядке...
просить надо не rider а sotor. И нужно сразу говорить какой образ собирать.
(В ответ на комментарий №10) > просить надо не rider а sotor. Принято! > И нужно сразу говорить какой образ собирать. Тут mike@ видней. Может вообще не надо, а достаточно проверить на просто на Сизифной виртуалке.
Перевёл на ldap-user-tools, поскольку основная проблема в нём. Предварительная информация: task #209455 проблему решил, у меня сборка тестового установочного образа x86_64 на Сизифе с этим заданием проблем не выявила, домен поднялся сходу "из-коробки". ISO-образ и задание переданы в Redmine (#1847). Однако всё это хорошо для Сизифа и новых инсталляций. Проблему миграции базы openldap на существующих инсталляциях в c7/p8/c8 надо решать либо отдельно, либо писать инструкцию (что ИМХО надёжнее).
2klark: решена ли проблема соответствия alterator-net-domain новой схеме конфигов openldap? Именно так была поставлена задача изначально.
(В ответ на комментарий №13) > 2klark: решена ли проблема соответствия alterator-net-domain новой схеме > конфигов openldap? > Именно так была поставлена задача изначально. Видимо да, в том виде, что имел ввиду mike@, но назвал это иначе -- я подробнее это прокомментировал в #2. Суть проблемы заключалась в том, что на e2k_c8 и в Сизифе с новым openldap старый ALT-domain "из-коробки" не заводился, требовалась ручная правка многих конфигов (это не имеет никакого отношения к новой схеме OLC-config, которая не активна и сейчас). Из-за перехода на новый бэкэнд mdb не заводилось. Теперь заводится. И это утроит mike@, как понятно из сегодняшнего с ним общения. Не устроит в таком виде клиентов, которые сидят на c7/p8 и используют АЛЬТ-домен уже -- после обновления работать не будет. Но и в 2016 их много чего не устраивало, баг #3172 к примеру и сейчас некоторые багом не считают. Хотя и его можно закрыть.
Одна цифра не пропечаталась. Этот баг имел ввиду: https://bugzilla.altlinux.org/show_bug.cgi?id=31712
У меня очень простой вопрос: работает ли сейчас alterator-net-domain в Сизифе? Задача была поставлена именно так. А кого что устроит -- вопрос не для bugzilla.
(В ответ на комментарий №16) > У меня очень простой вопрос: работает ли сейчас alterator-net-domain в Сизифе? Думаю, ДА! Но точнее стоит дождаться ответа от Обнинска -- я провёл достаточно поверхностное тестирование только на одной архитектуре и только на предмет проверки тех разломов, которые были сходу видны именно в alterator-net-domain.
(В ответ на комментарий №14) > > 2klark: решена ли проблема соответствия alterator-net-domain новой схеме > > конфигов openldap? Именно так была поставлена задача изначально. > Видимо да, в том виде, что имел ввиду mike@, но назвал это иначе Да. > И это утроит mike@, как понятно из сегодняшнего с ним общения. Боюсь, даже не удвоит, а было бы здорово :-] > Не устроит в таком виде клиентов, которые сидят на c7/p8 и используют > АЛЬТ-домен уже -- после обновления работать не будет. В смысле "после обновления до p9", так понимаю -- вряд ли такие изменения возьмут и попадут в c7/p8.
ldap-user-tools-0.9.4-alt1 -> sisyphus: Sun Jul 08 2018 Leonid Krivoshein <klark@altlinux> 0.9.4-alt1 - deprecated backend template renamed to slapd-hdb-template.conf - added new MDB template for work with openldap >= 2.4.45-alt3 - new MDB backend template now used by default (ALT #35095) - added support both database backends: deprecated HDB and new MDB - before create DN may set key SLAPD_BACKEND in /etc/sysconfig/ldap - for create HDB-based DN's also may run: 'ldap_dn create <DN> --hdb'
