Pull to refresh
6
0
Александр Петренко @OyraOyra

Пользователь

Send message
Не стану отрицать, что это overkill.

Сейчас я прописал все зависимые модули руками в Puppetfile. Но это просто, пока модулей мало.

После нового года начну активно переводить клиентов со старого на новый Puppet, потребуется ставить большое количество модулей с зависимостями. Тогда и пригодится librarian-puppet. Будет повод сделать еще одну публикацию.
modules/postgresql/manifests/params.pp
class postgresql::params inherits postgresql::globals {

И далее в params.pp идет присваивание:
$version                    = $postgresql::globals::globals_version


Насколько я понимаю, это означает, что postgresql::params является наследником postgresql::globals.
И если я хочу установить postgresql 9.4, то мне следует начинать именно с объявления:
postgresql::globals::version: '9.4'


Или я что-то неправильно понял?
Согласен, что тема librarian-puppet в моей статье раскрыта не до конца.
В данном случае я ставлю librarian-puppet только на aspetrenko-pc, где работаю с репозиторием, и после этого выполняю librarian-puppet init, чтобы создать дефолтный Puppetfile. Конечно для этого не обязательно ставить librarian-puppet, и можно взять Puppetfile из репозитория одного из puppet-master или с github.
С другой стороны, считаю, что нужно хотя бы упомянуть о существовании librarian-puppet и о его возможностях.
Замечание дельное. Как же я сам мог об этом забыть… Это наверное от того, что я слишком большой зануда, и даже не подумал об этом в процессе написания статьи )
Конституцию пока никто не отменял.

Статья 6
1. Гражданство Российской Федерации приобретается и прекращается в соответствии с федеральным законом, является единым и равным независимо от оснований приобретения.
2. Каждый гражданин Российской Федерации обладает на ее территории всеми правами и свободами и несет равные обязанности, предусмотренные Конституцией Российской Федерации.
3. Гражданин Российской Федерации не может быть лишен своего гражданства или права изменить его.

По факту эту будет лишение гражданства, и нарушение п.3., чтобы там не было написано про "… добновольно..."
Авиакомпании такой ерундой не занимаются. Более того, у них уже заложено, что на каждый рейс не приходит в среднем N-пассажиров, поэтому и билетов продают на это N больше, чем может вместить самолет. Иногда, если прийти последним на регистрацию, можно неожиданно для себя выяснить, что вы не поместились на самолет. И вам предложат следующий рейс.
При использовании опции iso-scan/filename в работе пакета iso-scan могут возникнуть проблемы с именами папок, содержащими пробел (например, "Program Files"), во время поиска iso-образов на диске.
Подробнее о проблеме можно почитать здесь:
https://bugs.launchpad.net/ubuntu/+source/iso-scan/+bug/838720
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=628991
https://lists.debian.org/debian-boot/2011/09/msg00081.html

Исправление для Ubuntu доступно начиная с версии xenial, которая сейчас находится на стадии альфа-тестирования, пакет iso-scan (1.55ubuntu1).

Для trusty исправление не доступно даже в trusty-updates.

Скачивание udeb-пакетов с зависимостями от xential, и добавление их в дистрибутив trusty не помогает. Т.к. некорректный файл iso-scan.postinst размещается в initrd в каталоге /var/lib/dpkg/info/. Т.е. чтобы исправить проблему — необходимо пересобрать initrd:

# Создаем отдельный каталог для сохранения initrd
mkdir -p /opt/packages/hd-media/20101020ubuntu318.36/
cd /opt/packages/hd-media/20101020ubuntu318.36/

# Скачиваем initrd.gz от соответсвующего ядра
wget http://security.ubuntu.com/ubuntu/dists/trusty-updates/main/installer-i386/20101020ubuntu318.36/images/hd-media/initrd.gz

# Распаковываем его во вложенный каталог
mkdir initrd
cd initrd
zcat ../initrd.gz | cpio -i

# Исправляем баг
sed -ri 's/isolist=\$\(find \$dir/isolist=\$\(find \"\$dir\"/' var/lib/dpkg/info/iso-scan.postinst

# Собираем initrd с нашими исправлениями
find . | cpio -o -H newc | gzip -9 > ../initrd.gz.fixed

Все, теперь можно грузить ISO-образы с дисков, даже если на этих дисках есть папки с пробелами в именах.
Главное после развертывания, перед вводом в домен, не забыть поменять имя компьютера на уникальное.
А чем не понравилась preseed установка?
Вот неплохое руководство на эту тему:

Установка Windows 7 – часть 24: Управление драйверами – проблемы и подходы к их решению
www.oszone.net/12991/Windows-7-install-24

Установка Windows 7 — часть 26: Управление драйверами – по марке и модели
www.oszone.net/13275/Windows-7-install-26
Если вы ставите образ через MDT, вам тоже не нужно каждый раз пересобирать установочный образ. Драйверы добавляются на лету во время установки аппаратно-независимого образа. Причем только нужные драйверы. Познакомьтесь с технологией.
К тому же сетевые драйверы в PE и в устанавливаемую систему все-равно придется добавлять не через WSUS.
Установка драйверов через MDT работает гораздо быстрее, что важно при массовом развертывании ОС.

Через WSUS ставятся далеко не все драйверы. Попробуйте ка поставить ASUS ACPI драйвер через WSUS. Гарантированно он ставится, только если зашить его в образ, см. п. 11.
Драйверы через оснастку WDS добавляются только в Windows PE. В устанавливаемую систему они из WDS не попадают.

При использовании MDT все решается проще.
Можно добавить все нужные драйверы Out-Of-Box Drivers:


В предустановочную среду они попадут в соответствии с настройками:

При этом я бы советовал вместе с сетевыми драйверами добавлять еще драйверы для дисковых подсистем.

В устанавливаемую систему драйверы попадают согласно правилам, которые можно задать в Task Sequence:

Причем, после небольших доработок, можно сделать автоопределение оборудование в VBScript с помощью WMI-запросов, и ставить все драйверы автоматически.
Причин достаточно:

Во-первых, rc4-hmac входит в MIT Kerberos defaults:
web.mit.edu/kerberos/krb5-devel/doc/mitK5defaults.html

Во-вторых, этот алгоритм не считается слабым:
web.mit.edu/kerberos/krb5-1.12/doc/admin/conf_files/kdc_conf.html#encryption-types

В-третьих, этот алгоритм поддерживается всеми ОС от Microsoft:
technet.microsoft.com/en-us/library/jj852180.aspx
RC4_HMAC_MD5
Supported in Windows 2000 Server, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.

В-четвертых, у Microsoft есть некоторые проблемы при использовании AES:
support.microsoft.com/en-us/kb/961302
Vista and Windows Server 2008 clients are unable to access cluster names with AES-encrypted Kerberos tickets
AES encryption cannot be used for Kerberos negotiation with cluster names; only up to RC4-HMAC is supported.

В-пятых, тот алгоритм подойдет в т.ч. для клиентов, использующих Samba3:
web.mit.edu/samba/swat/help/Samba3-ByExample/upgrades.html
IT kerberos 1.3.1 supports the ARCFOUR-HMAC-MD5 encryption type which is necessary for servers on which the administrator password has not been changed, or kerberos-enabled SMB connections to servers that require Kerberos SMB signing. Besides this one difference, either MIT or Heimdal Kerberos distributions are usable by Samba 3.0.
Да и в Samba4 с поддержкой AES пока не все гладко. Подробности можно поискать на lists.samba.org

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Date of birth
Registered
Activity