Belmin Fernandez's questions

Estamos usando o F5 para realizar o balanceamento de carga. Ao usar ponte SSL em vez de terminação, geralmente usamos um curinga no front-end e um certificado SSL regular no back-end HTTPS.

No entanto, alguns colegas acreditam que, para alguns aplicativos como o MS Exchange, temos que usar a mesma chave privada no back-end e no balanceador de carga.

Não consigo entender como o back-end é capaz de verificar qual chave privada o balanceador de carga usou. Verifiquei a documentação do F5, mas não encontrei nada relevante.

Alguém pode me ajudar a entender?

Atualização 1: Comecei com uma forte suspeita de que isso é uma deturpação do que realmente está acontecendo, apesar dos relatos de alguns colegas. Essa suspeita foi agora reafirmada por outros. Vou atualizar quando encontrar algo conclusivo. Se mais alguém tiver alguma ideia, por favor envie.

Atualização 2: para o VMware Horizon, encontrei um artigo da KB explicando o erro recebido quando os certificados não correspondem. Posso concluir disso que a Horizon está implementando sua própria verificação comparando as impressões digitais em seu protocolo?

Em conformidade com a matriz de personalização de VM do VMWare , estou testando isso no vSphere 5.5 Update 2d. Eu crio o modelo com um DVD RHEL 7.1 e aponto o anaconda para um kickstart que se parece com este:

#version=RHEL7
# Ref: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Installation_Guide/sect-kickstart-syntax.html

# System authorization information
auth --enableshadow --passalgo=sha512

# Installation
cdrom
text
poweroff

# Run the Setup Agent on first boot
firstboot --disable
ignoredisk --only-use=sda

# Localization
keyboard --vckeymap=us --xlayouts='us'
lang en_US.UTF-8
timezone America/New_York --isUtc

# Network information
network  --bootproto=static --ip=192.168.3.10 --netmask=255.255.255.0 --gateway=192.168.3.1 --nameserver=192.168.3.1 --hostname=rhel-template.example.com

# Root password
rootpw --iscrypted $6$SNIP

# Storage
bootloader --append=" crashkernel=auto" --location=mbr --boot-drive=sda
clearpart --all --initlabel --drives=sda
part /boot --fstype="xfs" --ondisk=sda --size=286
part pv.1378 --fstype="lvmpv" --ondisk=sda --size=16093
volgroup vg_example --pesize=4096 pv.1378
logvol /home  --fstype="xfs" --size=2860 --name=lv_home --vgname=vg_example
logvol /  --fstype="xfs" --size=5600 --name=lv_root --vgname=vg_example
logvol /var  --fstype="xfs" --size=3814 --name=lv_var --vgname=vg_example
logvol swap  --fstype="swap" --size=3814 --name=lv_swap --vgname=vg_example

# VMware OSP
# Ref: http://kb.vmware.com/kb/2075048
repo --name="vmware-osp" --baseurl="http://packages.vmware.com/packages/rhel7/x86_64/"

# Install packages
%packages
@core
open-vm-tools
open-vm-tools-deploypkg
net-tools
%end

%post --log=/root/ks-post.log

# So we could see what is happening
exec < /dev/tty3 > /dev/tty3
chvt 3

#Set some variables
export RHEL_MAJ_VER=$(uname -r | grep -Po '(?<=el).*(?=\.)')
export RHEL_ARCH=$(uname -a | grep "x86_64" > /dev/null && echo 64 || echo 32)

# Install satellite RPM
rpm -i http://satellite.example.com/pub/katello-ca-consumer-latest.noarch.rpm

# Register
subscription-manager register --org="example" --activationkey="rhel${RHEL_MAJ_VER}-${RHEL_ARCH}bit"

# Puppet install
yum update -y
yum install -t -y -e 0 puppet
chkconfig --level 345 puppet on

# Configure puppet
cat > /etc/puppet/puppet.conf <<EOF
[main]
    logdir = /var/log/puppet
    rundir = /var/run/puppet
    ssldir = $vardir/ssl
    pluginsync = true

[agent]
    classfile = $vardir/classes.txt
    localconfig = $vardir/localconfig
    server = satellite.example.com
    report = true
    runinterval = 60
EOF

# RHSM cleanup
subscription-manager unregister
subscription-manager clean

# Truncate logs
>| /var/log/audit/audit.log
>| /var/log/wtmp
>| /var/log/lastlog

# Clean out udev (device naming)
rm -f /etc/udev/rules.d/70*

# Clear out networking
sed -i'' '/^\(HWADDR\|UUID\|IPADDR\|GATEWAY\|NETMASK\|DNS\)/d' /etc/sysconfig/network-scripts/ifcfg-eth* || true
sed -i'' '/^\(HWADDR\|UUID\|IPADDR\|GATEWAY\|NETMASK\|DNS\)/d' /etc/sysconfig/network-scripts/ifcfg-ens* || true

%end

Depois que a VM RHEL7 é criada, eu a converto em um modelo e implanto uma VM com base nela. No entanto, nenhuma das personalizações leva:

• A configuração de rede não é aplicada
• A alteração do nome do host não é aplicada

É assim que os deployPkglogs se parecem:

[root@rhel-template ~]# cat /var/log/vmware-imc/toolsDeployPkg.log
## Starting deploy pkg operation
Deploying /tmp/vmware-root/49b2eefe/imc93D2.tmp
Initializing deployment module.

Cleaning old state file from tmp directory.

EXIT STATE INPROGRESS

Setting deploy error: Error removing lock /tmp/.vmware-deploy.INPROGRESS (No such file or directory)

EXIT STATE Done

Setting deploy error: Error removing lock /tmp/.vmware-deploy.Done (No such file or directory)

EXIT STATE ERRORED

Setting deploy error: Error removing lock /tmp/.vmware-deploy.ERRORED (No such file or directory)

Setting deploy error: Success.

Deploying cabinet file /tmp/vmware-root/49b2eefe/imc93D2.tmp.

Transitioning from state (null) to state INPROGRESS.

ENTER STATE INPROGRESS

Reading cabinet file /tmp/vmware-root/49b2eefe/imc93D2.tmp.

Creating directory /tmp
Creating directory /tmp/.vmware
Creating directory /tmp/.vmware/linux
Creating directory /tmp/.vmware/linux/deploy
Extracting package files.

Launching deployment /usr/bin/perl -I/tmp/.vmware/linux/deploy/scripts /tmp/.vmware/linux/deploy/scripts/Customize.pl /tmp/.vmware/linux/deploy/cust.cfg.

Command to exec : /usr/bin/perl

sizeof ProcessInternal is 56

## Starting deploy pkg operation
Deploying /tmp/vmware-root/49b2eefe/imc93D2.tmp
Initializing deployment module.

Cleaning old state file from tmp directory.

EXIT STATE INPROGRESS

Setting deploy error: Error removing lock /tmp/.vmware-deploy.INPROGRESS (No such file or directory)

EXIT STATE Done

Setting deploy error: Error removing lock /tmp/.vmware-deploy.Done (No such file or directory)

EXIT STATE ERRORED

Setting deploy error: Error removing lock /tmp/.vmware-deploy.ERRORED (No such file or directory)

Setting deploy error: Success.

Deploying cabinet file /tmp/vmware-root/49b2eefe/imc93D2.tmp.

Transitioning from state (null) to state INPROGRESS.

ENTER STATE INPROGRESS

Reading cabinet file /tmp/vmware-root/49b2eefe/imc93D2.tmp.

Creating directory /tmp
Creating directory /tmp/.vmware
Creating directory /tmp/.vmware/linux
Creating directory /tmp/.vmware/linux/deploy
Extracting package files.

Launching deployment /usr/bin/perl -I/tmp/.vmware/linux/deploy/scripts /tmp/.vmware/linux/deploy/scripts/Customize.pl /tmp/.vmware/linux/deploy/cust.cfg.

Command to exec : /usr/bin/perl

sizeof ProcessInternal is 56

Returning, pending output from stdout
Returning, pending output from stderr
Process exited normally after 0 seconds, returned 127
No more output from stdout
No more output from stderr
Customization command output:

Customization process returned with error.

Deployment result = 127

Setting generic error status in vmx.

Transitioning from state INPROGRESS to state ERRORED.

ENTER STATE ERRORED

EXIT STATE INPROGRESS

Setting deploy error: Deployment failed. The forked off process returned error code.

Deployment failed. The forked off process returned error code.

Wait before set enable-nics stats in vmx.

Trying to connect network interfaces, attempt 1
Got VMX response 'queryNicsSupported'
Got VMX response 'disconnected'
Got VMX response 'connected'
The network interfaces are connected on 1 second
Launching cleanup.

Command to exec : /bin/rm

sizeof ProcessInternal is 56

Returning, pending output from stdout
Returning, pending output from stderr
Process exited normally after 0 seconds, returned 0
No more output from stdout
No more output from stderr
Customization command output:

Deploy error: Deployment failed. The forked off process returned error code.

Package deploy failed in DeployPkg_DeployPackageFromFile
## Closing log

O que estou perdendo aqui? Se houver mais alguma coisa que ajude a descobrir a causa raiz, solicite-a por meio de um comentário.

Usando o Satellite 6 que vem com o Foreman 1.6.0.53.

Por padrão, a documentação do Puppetlabs afirma que a configuração hiera deve estar em $config/hiera.yaml.

# puppet config print confdir hiera_config
confdir = /etc/puppet
hiera_config = /etc/puppet/hiera.yaml

Olhando para a nossa configuração hiera:

# cat /etc/puppet/hiera.yaml
---
:backends: yaml
:yaml:
  :datadir: /var/lib/hiera
:hierarchy:
  - users
  - groups
  - global

O arquivo de dados existe:

# cat /var/lib/hiera/users.yaml
---
users:
  bfernandez:
    uid: 300
    fullname: Belmin Fernandez

E, para testar, eu uso a CLI do hiera e um puppet apply:

# hiera --conf=/etc/puppet/hiera.yaml --debug -h users
DEBUG: 2015-05-06 14:11:37 -0400: Hiera YAML backend starting
DEBUG: 2015-05-06 14:11:37 -0400: Looking up users in YAML backend
DEBUG: 2015-05-06 14:11:37 -0400: Looking for data source users
DEBUG: 2015-05-06 14:11:37 -0400: Found users in users
DEBUG: 2015-05-06 14:11:37 -0400: Looking for data source groups
DEBUG: 2015-05-06 14:11:37 -0400: Looking for data source global
{"bfernandez"=>{"uid"=>300, "fullname"=>"Belmin Fernandez"}}

# puppet apply -e '$foo = hiera_hash(users) notify { $foo: }'
Notice: Compiled catalog for foosat.example.com in environment production in 0.08 seconds
Notice: {"bfernandez"=>{"uid"=>300, "fullname"=>"Belmin Fernandez"}}
Notice: /Stage[main]/Main/Notify[{"bfernandez"=>{"uid"=>300, "fullname"=>"Belmin Fernandez"}}]/message: defined 'message' as '{"bfernandez"=>{"uid"=>300, "fullname"=>"Belmin Fernandez"}}'
Notice: Finished catalog run in 0.30 seconds

Até agora, tudo parece bom. No entanto, quando faço referência hiera_hash('users')em um módulo e o aplico a um nó, recebo este erro:

May  6 13:49:04 foo1 puppet-agent[8688]: Could not retrieve catalog from remote server: Error 400 on SERVER: Could not find data item users in any Hiera data file and no default supplied at /etc/puppet/modules/accounts/manifests/init.pp:10 on node foo1.example.com

Alguma ideia do que devo olhar? Sinto que estou perdendo algo do lado de Foreman, talvez.

Atualização 1:

Por @lsd, tentei usar /etc/hiera.yamlpara a configuração criando um link simbólico. Testei com hiera CLI para confirmar a configuração:

# hiera --conf=/etc/hiera.yaml --debug -h users
DEBUG: 2015-05-06 14:31:13 -0400: Hiera YAML backend starting
DEBUG: 2015-05-06 14:31:13 -0400: Looking up users in YAML backend
DEBUG: 2015-05-06 14:31:13 -0400: Looking for data source defaults
DEBUG: 2015-05-06 14:31:13 -0400: Cannot find datafile /var/lib/hiera/defaults.yaml, skipping
DEBUG: 2015-05-06 14:31:13 -0400: Looking for data source users
DEBUG: 2015-05-06 14:31:13 -0400: Found users in users
DEBUG: 2015-05-06 14:31:13 -0400: Looking for data source groups
DEBUG: 2015-05-06 14:31:13 -0400: Looking for data source global
{"bfernandez"=>{"uid"=>300, "fullname"=>"Belmin Fernandez"}}

Ainda recebi o erro no agente, portanto, isso não resolveu o problema.

Tentando trazer um ambiente muito ad-hoc para um estado mais padronizado e gerenciado.

No meu caso de uso, gostaria de desabilitar todos os repositórios não Red Hat (fornecidos pelo plug-in do gerenciador de assinaturas). No entanto, seria bom ter uma solução flexível que desabilitasse todos os repositórios não gerenciados pelo Puppet.

Alguma sugestão?

Estamos transferindo alguns domínios para o Google Domains para testar.

Antes de finalizar a transferência, existe uma Detect and import my domain's current settingsopção.

O Google conseguiu encontrar todos os nossos registros A, MX, CNAME e TXT.

Como isso é possível? Existe um mecanismo para fazer transferências de zona entre registradores? Eu sei que você não pode obter os registros por meio de consultas DNS normais.

Tenho um consultor que foi contratado para instalar um software personalizado em um servidor CentOS 5. Depois que ela terminar, gostaria de revisar suas alterações para possivelmente automatizá-las ou otimizá-las.

eu estava pensando em:

1. De alguma forma, tire um instantâneo do sistema antes de entregá-lo a ela.
2. Depois que ela terminar, compare o instantâneo para revisar as alterações de arquivo, alterações de permissão etc.

Já estou executando o shell dela automaticamente scriptpara manter um registro do console. No entanto, isso não capturará todas as alterações de arquivo (por exemplo, se ela usar o comando de edição vimpara modificar um arquivo).

Tentando adicionar as chaves públicas do Github de duas pessoas ao arquivo de usuários autorizados de um usuário. Consigo recuperar com sucesso as chaves SSH:

---
- hosts: 127.0.0.1
  connection: local
  vars:
    my_users:
      belminf: "belminf"
      bob: "tmessins"
  tasks:
    - name: Retrieving all keys from GitHub
      shell: /usr/bin/curl https://github.com/{{ item.value }}.keys 2> /dev/null
      register: ssh_keys
      with_dict: my_users

    - debug: var=ssh_keys

No entanto, não tenho certeza de como percorrer os ssh_keysresultados e usar authorized_keysa tarefa para adicionar as chaves recuperadas.

Minha tentativa ridícula:

   - name: Adding keys to authorized_keys
      authorized_key: user=belminf key="{{ item }}" path=/home/belminf/test_auth state=present
      with_items: ssh_keys.results

Resultados em invalid key specified. Compreensivelmente, mas estou sem ideias. Alguém?

Parece haver benefícios de velocidade ao usar os modelos da VMware para criar novas VMs. No entanto, estou preocupado com possíveis implicações menos óbvias de segurança e flexibilidade. Por exemplo:

• Chaves geradas pela primeira inicialização
• Métodos proprietários da VMware para definir as configurações do servidor (IPs, nome do host, etc.)

Em uma loja que é quase inteiramente VMware, com a maioria do Linux sendo distros baseados em RHEL, alguém se deparou com algumas armadilhas ao provisionar a partir de modelos? E as preocupações ao clonar?

BTW: Independentemente do método de provisionamento inicial, ele seria usado principalmente como um bootstrap para o Puppet para o restante da configuração.

Quando ativo o Advanced features( View-> Advanced Features) e abro as propriedades de um usuário navegando até sua UO e clicando com o botão direito do mouse no objeto do usuário, vejo a Attribute Editorguia.

No entanto, se eu procurar um usuário (clique com o botão direito do mouse no domínio -> Find-> procurar o usuário) e clicar duas vezes no usuário, não vejo a guia.

Normalmente, não consigo navegar para os usuários porque algumas UOs têm muitos usuários. Alguém pode sugerir uma alternativa que me permita visualizar a Attribute Editorguia?

As perguntas anteriores do SF que vi levaram a respostas que produzem a senha com hash MD5.

Alguém tem uma sugestão para produzir uma senha com hash SHA-512? Eu preferiria um forro em vez de um script, mas, se um script for a única solução, tudo bem também.

Atualizar

Substituindo as versões anteriores do py2 por esta:

python3 -c "import crypt;print(crypt.crypt(input('clear-text pw: '), crypt.mksalt(crypt.METHOD_SHA512)))"