OPSI Installation auf CentOS7 - Problem

[ueluekmen]

Hallo Norman,

mach dir keinen Kopf, solche Situation helfen immens dabei die eigene Lernkurve nach oben zu treiben. Nur wer sich durch so einen Mist durchboxt, kann auch anständig was lernen. Beim nächsten mal brauchst du nicht solange und hilfe.... Danke fürs lob übrigends, wir geben uns mühe, aber ein feedback ist immer net.

ByTheWay: Wir haben noch eine Umfrage laufen bis Ende des Monats, vielleicht möchtest du deine Erfahrungen ja mit uns teilen. Auch die Erfahrung von Evaluierern ist für uns immer sehr interessant.

Grüßle

[the_mgt]

der Vollständigkeit halber hier noch die Befehle, wie wir sie zum Anlegen der User in python-opsi verwenden:

Code: Alles auswählen

groupadd -g 992 pcpatch
useradd -u 992 -g 992 -d /var/lib/opsi -s /bin/bash pcpatch
useradd -u 993 -g 992 -d /var/lib/opsi -s /bin/bash opsiconfd
groupadd opsiadmin

Hallo Zusammen!

Ich habe heute meinen Spaß mit der Installation von Opsi auf Centos7 gehabt und dachte, ich könnte euch mal teilhaben lassen.
Ich bezweifle ernsthaft, dass die Befehle von oben so funktionieren, denn auf meinem System gehört /var/lib/opsi dem user und der group pcpatch. Daher hat der Benutzer opsiconfd keinerlei Möglichkeit dort hineinzukommen. Das möchte er aber, wenn man den Dämon startet. Ebenso kann es nicht funktionieren, wenn das homedir des opsiconfd Nutzers /var/lib/opsi ist. Denn er darf ja dort nichts tun, das möchte mein System aber auch beim start des Dämon. Ich kann zwar /var/lib/opsi zu opsiconfd chown'en, aber dann komme ich zu diesem Problem hier: https://forum.opsi.org/viewtopic.php?f=7&t=5330 (hwaudit & swaudio können nicht installiert werden)

Ich schlage daher folgendes vor:

Code: Alles auswählen

groupadd -g 988 pcpatch
useradd -u 988 -g 988 -d /var/lib/opsi -s /bin/bash pcpatch
useradd -u 989 -g 988 -d /var/lib/opsiconfd -s /bin/bash opsiconfd
groupadd opsiadmin

Hier noch ein paar Befehle, die das Leben unter SELinux leicher machen. Bitte nach der Installation anwenden:

Code: Alles auswählen

chcon -t tftpdir_rw_t /tftpboot/*
chcon -t samba_share_t -R /var/lib/opsi/{config,depot,ntfs-images}

Mit den Ports hatte ich keinerlei SELinux Konflikte, der TFTP Port ist bereits richtig eingetragen und 4441 und 4447 funktionierten einfach so.

[embl-structures]

die IDs sind in den Installationsscripten hart hinterlegt.
Sind die bereits belegten IDs durch euch vergeben wurden oder durch andere Software?

Als Workaround kann ich mir vorstellen entweder den User/Gruppe manuell anzulegen, denn dann werden sie nicht mehr angelegt, oder die Pakete (opsi-depotserver und python-opsi) auszupacken, die IDs ändern und dann neu zu packen.
Konfigurierbar sind die IDs bisher nicht, weil wir keine Notwendigkeit sahen - wenn wir im Code UID oder GID brauchen, dann lesen wir diese Infos über den entsprechenden Namen aus.

Gleiches Problem hier (CentOS 6, eingebunden in unser institutsweites LDAP). Vielleicht waere es besser - um weniger erfahrene Admins nicht zu sehr zu verwirren - die Pakete so zu machen, dass nach der Installation eine interaktive Konfiguration durchgefuehrt werden muss waehrend welchem man die Gelegenheit bekommt, alternative UIDs, GIDs und evtl. sogar alternative Benutzer- und Gruppennamen zu waehlen.

Frank

[n.wenselowski]

Hallo Frank,

ob die weniger erfahrenen Admins gleich ihre Server in ein LDAP einbinden?

Zumindest den Gruppennamen kann der fileadmins kann man schon jetzt anpassen.
Was wäre der Sinn/Usecase dabei auch die Benutzernamen anpassen zu können?


Viele Grüße

Niko

PS: Ich habe mal ein Ticket aufgemacht, dass überprüft wird, ob die uid noch hart hinterlegt sein muss und eventuell rausgenommen wird.

[embl-structures]

ob die weniger erfahrenen Admins gleich ihre Server in ein LDAP einbinden?

Wohl eher nicht . aber wie dieser Thread zeigt, koennen UID und/oder GID aus verschiedenen Gruenden bereits belegt sein. LDAP ist nur eine der vielen Moeglichkeiten. Die Fehlermeldung die waehrend der Installation auftritt ist hingegen nicht benutzerfreundlich. Schon deshalb nicht, weil sie vermutlich ziemlich schnell aus dem Terminalfenster herausscrollt und die Installation am Ende trotzdem als "erfolgreich" deklariert wird (wer schaut schon die ganze Zeit auf seinem yum-Output .

Zumindest den Gruppennamen kann der fileadmins kann man schon jetzt anpassen.
Was wäre der Sinn/Usecase dabei auch die Benutzernamen anpassen zu können?

Wichtig waere, UID und GID waehlen zu koennen. Gruppen- und User-Namen interaktiv waehlen zu koennen, koennte in Umgebungen wichtig sein, wo eine strikte Namenspolicy gilt (theoretische Ueberlegung, ich persoenlich brauche das nicht)

Gruss
Frank

[n.wenselowski]

Hi,

PS: Ich habe mal ein Ticket aufgemacht, dass überprüft wird, ob die uid noch hart hinterlegt sein muss und eventuell rausgenommen wird.

Mit 4.0.6 gibt es keine harten IDs mehr.
Würde mich über Rückmeldung freuen - momentan ist es in Testing.


Gruß

Niko