Iain Hallam's questions

我刚刚使用 centos/7 框和 Vagrant 启动了一个全新的 CentOS 7 VM（bash 版本 4.2.46），当我以 vagrant 用户身份登录时，这是我的 PATH：

/usr/local/bin:/usr/bin:/usr/local/sbin:/usr/sbin:/home/vagrant/.local/bin:/home/vagrant/bin

以 root 身份登录时，路径如下：

/usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin

我知道这/etc/profile是添加/usr/local/sbin:/usr/sbin（对于大多数用户来说，在最后，对于 root 用户来说），并且/etc/skel/.bash_profile最终在 vagrant 主目录中添加/home/vagrant/.local/bin:/home/vagrant/bin，但是初始设置来自哪里？

目前，我无法解释为什么用户最终/usr/local/bin:/usr/bin会进入他们的 PATH，而 root 会得到其他人。

（坦率地说，根 PATH 的顺序似乎很奇怪，因为它/usr/local/sbin应该/usr/sbin在最后，根据/etc/profile.）

这花了我一整天的时间来锻炼，所以我想我会在这里记录下来！

我有一个带有 NAT 的 LibVirt 主机，而不是为托管的虚拟机桥接，安装时使用 LibVirt 构建的默认 IPTables 规则。我可以使用虚拟 CD 安装操作系统，然后获得完整的 Internet 连接，但由于用于 PXE 启动的 TFTP ^*更复杂的性质，伪装似乎没有将 TFTP 回复传递回 VM。

我可以从各种 tcpdump 实例中看到以下数据包序列：

1. VM udp/ephemeral 到 LibVirt 主机 udp/69 请求文件
2. LibVirt 主机 udp/ephemeral 到 TFTP 服务器 udp/69 请求文件
3. TFTP 服务器 udp/ephemeral2 到 LibVirt 主机 udp/ephemeral

在这一点上，没有进一步的事情发生，VM tftp 客户端超时。

我尝试使用内核模块 ip_conntrack_tftp/nf_conntrack_tftp 和 ip_nat_tftp/nf_nat_tftp，但这没有帮助。

^*虽然从客户端到服务器的初始请求是在 udp/69 上，但从服务器到客户端的回复源自一个伪随机临时端口。

我正在考虑为 Puppet 部署设置 r10k，并且我有各种示例 r10k.yaml 配置文件，但有些似乎使用了额外的 : 在许多行的开头，例如，在http://www.rubydoc。信息/宝石/r10k/1.1.4：

---
:cachedir: '/var/cache/r10k'

但是，在https://github.com/puppetlabs/r10k/blob/master/r10k.yaml.example：

---
cachedir: '/var/cache/r10k'

有什么区别，为什么我要使用另一种？

我在 Foreman 1.9 中设置了几个用户，并且我刚刚启用了 LDAP 身份验证。我可以让新用户登录，但很多机器都归老用户所有，并且配置模板有编辑历史记录。有什么方法（如有必要，乐意编辑数据库）将这些现有用户的身份验证更改为通过 LDAP？

我在 CentOS 6.5 上安装了 Red Hat 的集群软件，并使用它来提供从一个网络到另一个网络的冗余路由。这很好用，我有一对提供服务的盒子，所以如果一个失败（例如，如果我通过删除它的网络连接进行测试），另一个会接管路由。

但是，如果我必须对剩余的盒子做任何事情，由于 rgmanager 的问题，我无法重新启动它：

service rgmanager stop

挂起，并且停止该过程的唯一方法就是kill -9它。这显然也会影响任何试图停止服务的操作，例如 areboot或poweroff.

当我确实设法自行启动服务器时，尽管集群启动了，但 rgmanager 并未显示为正在运行，clustat甚至没有任何冗余路由服务可见，更不用说启动了。

例如，如果这些盒子被部署到远程位置，并且需要在我们有机会更换故障盒子之前关闭电源，这可能会导致问题。

这是我的 cluster.conf：

<?xml version="1.0"?>
<cluster config_version="2" name="router-ha">
        <fence_daemon/>
        <clusternodes>
                <clusternode name="router-01" nodeid="1"/>
                <clusternode name="router-02" nodeid="2"/>
        </clusternodes>
        <cman expected_votes="1" two_node="1"/>
        <fencedevices/>
        <rm>
                <failoverdomains/>
                <resources>
                        <ip address="10.0.0.1" monitor_link="1" sleeptime="0"/>
                        <ip address="10.0.0.2" monitor_link="1" sleeptime="0"/>
                        <ip address="10.2.0.1" monitor_link="1" sleeptime="0"/>
                        <ip address="10.4.0.1" monitor_link="1" sleeptime="0"/>
                </resources>
                <service autostart="1" name="routing-a" recovery="restart">
                        <ip ref="10.0.0.1"/>
                        <ip ref="10.2.0.1"/>
                </service>
                <service autostart="1" name="routing-b" recovery="restart">
                        <ip ref="10.0.0.2"/>
                        <ip ref="10.4.0.1"/>
                </service>
        </rm>
</cluster>

如果看不到另一个，为什么我不能在一个盒子上启动服务？当然，作为冗余对的必要部分，您不依赖另一台机器来启动集群服务？

我有一个全新的 CentOS 最小安装，并安装了 Samba，如下所示：

yum install krb5-workstation samba

首先，我是否获得了成为域成员所需的所有软件包？上面的命令还安装了依赖项：

libtalloc libtdb samba-common samba-winbind samba-winbind-clients

在我的 smb.conf 中，我有以下几行：

template shell = /bin/bash
template homedir = /home/%D/%U

我已通过以下方式加入域：

net ads join -U <admin>

我现在可以使用getent passwd和查看 AD 用户以及本地用户，但是所有 AD 帐户的 shell 都列为/bin/false. 不过，它们确实有正确的主目录/home/<DOMAIN>/<username>。

什么可能导致这种行为？当前所有 AD 用户都在身份验证时注销！

我有几个别名文件被用作 Postfix 中虚拟别名的来源，其中一个是自动生成的。有时，这个包含与静态文件中声明的别名冲突的别名；Postfix 如何决定首选哪个别名？

方案 1

静止的：

[email protected] [email protected]

动态的：

[email protected] [email protected]

我可以强迫它选择我的静态的吗？我无法控制动态文件，所以我需要一些保护措施。

期望的结果：[email protected] -> 授权用户@my.domain

方案 2

静止的：

[email protected] [email protected]

动态的：

[email protected] [email protected]

有时我需要将临时用户添加到别名中，以便他们进入动态文件；在某些情况下可以合并这些而不是像上面那样覆盖吗？

期望的结果：[email protected] -> [email protected], [email protected]

我一直在 CentOS 6.4 上测试集群套件，并且运行良好，但我今天注意到 [ 8 月 8 日，当这个问题最初被问到时]，它不喜欢以前工作的配置。我尝试使用 CCS 从头开始​​重新创建配置，但这会导致验证错误。

8月21日编辑：

我现在已经从 CentOS 6.4 x86_64 最小安装中完全重新安装了该盒子，添加了以下软件包及其依赖项：

yum install bind-utils dhcp dos2unix man man-pages man-pages-overrides nano nmap ntp rsync tcpdump unix2dos vim-enhanced wget

和

yum install rgmanager ccs

以下命令都有效：

ccs -h ha-01 --createcluster test-ha
ccs -h ha-01 --addnode ha-01
ccs -h ha-01 --addnode ha-02
ccs -h ha-01 --addresource ip address=10.1.1.3 monitor_link=1
ccs -h ha-01 --addresource ip address=10.1.1.4 monitor_link=1
ccs -h ha-01 --addresource ip address=10.110.0.3 monitor_link=1
ccs -h ha-01 --addresource ip address=10.110.8.3 monitor_link=1
ccs -h ha-01 --addservice routing-a autostart=1 recovery=restart
ccs -h ha-01 --addservice routing-b autostart=1 recovery=restart
ccs -h ha-01 --addsubservice routing-a ip ref=10.1.1.3
ccs -h ha-01 --addsubservice routing-a ip ref=10.110.0.3
ccs -h ha-01 --addsubservice routing-b ip ref=10.1.1.4
ccs -h ha-01 --addsubservice routing-b ip ref=10.110.8.3

并导致以下配置：

<?xml version="1.0"?>
<cluster config_version="13" name="test-ha">
    <fence_daemon/>
    <clusternodes>
        <clusternode name="ha-01" nodeid="1"/>
        <clusternode name="ha-02" nodeid="2"/>
    </clusternodes>
    <cman/>
    <fencedevices/>
    <rm>
        <failoverdomains/>
        <resources>
            <ip address="10.1.1.3" monitor_link="1"/>
            <ip address="10.1.1.4" monitor_link="1"/>
            <ip address="10.110.0.3" monitor_link="1"/>
            <ip address="10.110.8.3" monitor_link="1"/>
        </resources>
        <service autostart="1" name="routing-a" recovery="restart">
            <ip ref="10.1.1.3"/>
            <ip ref="10.110.0.3"/>
        </service>
        <service autostart="1" name="routing-b" recovery="restart">
            <ip ref="10.1.1.4"/>
            <ip ref="10.110.8.3"/>
        </service>
    </rm>
</cluster>

但是，如果我使用ccs_config_validate或尝试启动该cman服务，它会失败并显示：

Relax-NG validity error : Extra element rm in interleave
tempfile:10: element rm: Relax-NG validity error : Element cluster failed to validate content
Configuration fails to validate

这是怎么回事？这曾经奏效！

我正在尝试将 VPN 进一步扩展到组织中：

在主要位置，我有一个专用网络（称为 192.168.0.0/24），它通过 Cisco ASA 5510 连接到 Draytek ADSL 路由器。远程位置还有一个专用网络（称为 192.168.1.0/24）直接连接到他们的 Draytek ADSL 路由器。

Cisco ASA 和远程 Draytek 配置了站点到站点 IPSec VPN，因此我们可以安全地与其内部网络设备通信。此设置被复制了几次（192.168.2.0/24 等）。

有没有办法通过 ASA 上的 VLAN 将远程专用网络连接到我们的专用网络，这样我就可以拥有一个支持 VLAN 的交换机，端口 1 位于 192.168.1.0，端口 2 位于 192.168.2.0 等，用于测试和配置目的？

我正在使用 TinyDNS，并已成功使用以下形式的通配符记录：

+*.<domain>:<ip>

（+ 表示 A 记录。）

我还可以使用：

+development.*.<domain>:<ip>

？

我的意图是让所有子域在一条规则中让他们的开发网站指向我们的开发机器。