nocproject.org
01:27
bee27: привет
01:27
уменя нет кутеков
03:47
zi_rus, dns-ом не рулю.
04:15
freeseacher, Firefox can't find the server at static.nocproject.org.
04:16
эмм
04:16
днс поломали
04:16
Firefox can't find the server at bt.nocproject.org.
04:16
ага
04:16
у меня тоже
04:19
zi_home, есть днс сервер для размещения зоны ?
04:19
теоретически есть. ча что такое?
04:20
ну пиздец видимо ефортеловским
04:20
хз
04:20
не работают
04:27
вы там что, нелегально сидели?
04:28
что значит не легально ?
04:29
в смысле чтобы пнуть кого-нибудь чтобы починили
04:29
эм. ну наверное дима кого то может там пнуть
04:29
но врятли это официално предоставляемые услуги
04:29
и почти наверняка неоплачиваемые
04:31
примерно на тех же условиях я мог бы подселить зону на наши сервера, но раз у вас все так сложно давай dvolodin подождем
04:32
днсом там вроде какой то чувак занимается. хз кто. shapa вроде
04:34
а что, у тебя днсов своих нет? или чтобы туда зону прописать, без бумажки ни хрена не получится
04:34
а у меня открываются
04:35
у меня все пиздец как сложно с размещением левых серверов
04:35
TSergey, из кеша наверное
04:35
freeseacher, ну это же не левый сервер, просто новая зона
04:36
bt.nocproject.org открывается
04:36
static.nocproject.org нет
04:36
я напрямую в этой деятельности не участвую
04:36
а значит что даже если сейчас с этими людьми договориться при ближайшей уборке разберут и всё
04:38
у вас еще убираются... а у нас такой свинарник
04:38
пока пчелайн еще не добрался своими грязными руками до наших сервером, мы тут сами рулим.
04:39
сейчас до работы доберусь, скинешь зону
05:27
dvolodin, Firefox can't find the server at bt.nocproject.org.
06:00
dvolodin: традиционный вопрос про FM WARNING ?
06:01
TSergey, что ты не успокоишься
06:02
чего не работает?
06:02
TSergey: какой?
06:02
у тебя там 6-й порт в профиле default
06:02
да
06:02
а падает в аварию
06:02
freeseacher, ты на графите сейчас? можешь проверить, у тебя шедулер работает (который main > setup > schedules)
06:03
ну т.е. попадает в аларм
06:04
ссылка на картинку у тебя осталась?
06:05
06:06
zi_rus: профиль порта --- дефаулт, настройки дефайлта --- Log + FM INFO
06:06
но падение порта попадает в alarm
06:07
FM INFO это стиль, определяет только цвет порта в инвентори, на работу не влияет
06:07
можешь своих понаделать
06:07
у меня клиентские порты зеленые
06:08
ок, а тогда от чего зависит, попадает ли down порта в alarm или лежит только в events?
06:09
не то чтобы я сомневался, но вот такой стиль "FM CRITICAL", это только цвет? не влияющий ни на что?
06:09
ипать, нок с пробой начинают сервер нагибать. e_zombie даже не пытайся пробу на том же сервере запускать, он загнется
06:10
CPU: 7.0% user, 0.0% nice, 22.4% system, 0.2% interrupt, 70.3% idle
06:54
,,
06:55
да похуй. пусть подохнет.
06:56
меня счас это мало ебёт. всё равно никто не пользуется.
06:56
обновлю адрессные планы а потом поглядим.
06:58
нагнёт - будем искать узкое место.
06:59
в первый раз чтоли.
07:09
07:16
zi_rus: расскажи про стили, плс.
07:16
- добавил стиль в main\setup\styles [name: NNI, font color: black, background color: 99CC00 (green)]
07:16
- поставил стиль NNI профилю NNI
07:16
бэкграунд у портов с профилем NNI поменялся с FFDDCC на белый
07:16
что я делаю не так?
07:23
баги нока, такие баги
07:23
спасибо тебе
07:24
значит вопрос мой теперь можно задать по другому
07:26
задай его по-другому
07:26
почему ивентс link down по порту, профиль default, link events: Log events, do not alarms попадает в alarms
07:26
и не по всем портам с профилем default
07:26
07:29
TSergey, а интерфейс есть в инвентори
07:30
07:30
вот смотри, порт 6
07:30
нок дескрипшен порта дернул при поднятии аларма?
07:31
это не он
07:31
там 6
07:31
а там 1Ж6
07:31
он же по имени дергает
07:31
/opt/noc/etc/noc-classifier.conf
07:31
[classifier]
07:31
default_interface_profile = default
07:31
погоди
07:32
в ивене порт прилетает "6"
07:32
в инвентори он "1:6"
07:32
классифир не понимает профиль порта?
07:33
[classifier]
07:33
# Interface profile name to use as default, when
07:33
# event interface is not found in inventory
07:33
default_interface_profile =
07:33
я понимаю что это один порт
07:33
а нок этого не понимает
07:33
имена разные
07:33
уф, а то я начал теряться
07:34
и ты пишешь как мне настроить для классифера профиль по умолчанию?
07:34
да
07:34
в общем тебе это не поможет
07:34
но...
07:34
ща, поправлю конфиг
07:34
но сразу вопрос: а как сдлеать что-бы классифер понимал, что это один и тот-же порт?
07:34
просто с этой настройкой у тебя ни по одному порту не будет аларм подниматься
07:34
:)
07:35
надо привести имена к одному виду
07:35
в инвентори и в ФМ
07:35
это видимо длинки
07:35
тебе надо к Dmitry1
07:35
в ФМ мы не можем это сделать (хотя гляну сам трап)
07:35
значит инвентору
07:36
zi_rus: я жду пока он с мибами поможет, видимо некогда ему глобально
07:36
"просто с этой настройкой у тебя ни по одному порту не будет аларм подниматься" точно, вот ведь
07:36
ему очень некогда, но get_interfaces для длинка без него переписать будет геморно
07:37
скажи, правильно понимаю, что при стэкировании будет следующий диапазон с 2:1 ?
07:37
в душе не ебу как оно будет
07:37
я стэка на длинках не видел
07:37
я тоже не видел
07:38
если у тебя стеков нет можешь костыль подставить
07:39
пририсуй единичку прямо в правиле
07:39
так это сильно не для всех
07:39
ну я не знаю
07:39
смотри как у тебя оно рабтает
07:40
с циской проще
07:40
"IF-MIB::ifIndex" "A unique value, greater than zero, for each interface."
07:40
имена везде примерно одинаковые и легко нормируются
07:40
это snmp_ifindex
07:40
ну в ивент именно так попадает
07:41
а в сислог стопудово 1:
07:41
get_interfaces для этого свича возвращает snmp_ifindex в параметрах?
07:41
где это посмотреть?
07:42
debug-script запусти
07:42
ну или скрипт из веба выполни
07:42
скрипт get_ifindex?
07:42
get_interfaces
07:42
"oper_status": true,
07:42
"snmp_ifindex": 1007,
07:42
"name": "Vl 1007",
07:42
"subinterfaces": [
07:43
секунд
07:43
но вряд-ли, т.к. я снмп-коммунити не заполнял
07:44
это не про то
07:44
выполни скрипт
07:46
{
07:46
"name": "1:6",
07:46
"subinterfaces": [
07:46
{
07:46
"name": "1:6",
07:46
"enabled_afi": [
07:46
"BRIDGE"
07:46
],
07:46
"oper_status": true,
07:46
"untagged_vlan": 42,
07:46
"mac": "78:54:2E:46:4F:C6",
07:46
"admin_status": true
07:46
}
07:46
],
07:47
в общем нету у него "snmp_ifindex"
07:48
ну вот, тебе надо Dmitry1 чтобы научить его дергать
07:48
сейчас выяснили багу что ложила нашу сеть два дня. qtech по управляющей вланке обьявлял себя рутом и начинал сыпать bpdu по кольцу и ПЕ складывалась. так что кутечи гавно.
07:49
есть правильные варианты как исправить, есть костыльные. выбирай как тебе больше нравится
07:49
e_zombie, дык настраивать надо правильно
07:49
zi_rus: ну скажем присвоить "snmp_ifindex" порт без "1:" ?
07:49
zi_rus: а ты что предлагаешь ?
07:52
e_zombie, spanning-tree guard root
07:52
в сторону кольца включаешь и все
07:52
zi_rus: а почему ты думаешь что классифир берет для анализа порт из "snmp_ifindex"? с чего бы?
07:52
будет ложиться только одно кольцо
07:52
The configuration of root guard is on a per-port basis. Root guard does not allow the port to become an STP root port, so the port is always STP-designated. If a better BPDU arrives on this port, root guard does not take the BPDU into account and elect a new STP root. Instead, root guard puts the port into the root-inconsistent STP state. You must enable root guard on all ports where the root bridge should not appear. In a way, you can configure a perime
07:52
ter around the part of the network where the STP root is able to be located.
07:53
TSergey, какое правило используется?
07:54
DLink | DxS | Network | Link | Link Down (SNMP)
07:55
^IF-MIB::ifIndex\.\d+$
07:55
в трапе прилетает ифиндекс
07:56
а парсится как имя интерфейса (?P<interface>\d+)$
07:56
у нас ситуация в том что один из коммутаторов не пропускает bpdu в центре кольца.
07:56
так всюду так в правилах
07:57
а дольно быть так
07:57
"value_re": "^(?P<interface__ifindex>\\d+)$
07:58
TSergey, скорее всего так сделали потому что для длинков ифиндексы не собираются
07:59
по-моему самое правильное решение дописать скрипт чтобы они собирались
07:59
все остальное будет костылями разной степени кривизны
07:59
e_zombie, ты говорил что свич рутом становится
07:59
теперь что бпду не пропускает
08:01
dvolodin, шедулер починишь? или у тебя опять все работает?
08:01
interface__ifindex не сделает из "6" "1:6"
08:01
я не настоящий сварщик
08:02
TSergey, сделает, он возьмет инфекс и посмотри у какого интерфейса такой записан и будет использовать его имя и профиль при классификации
08:02
e_zombie, скажи настоящим сварщикам что они рукожопые
08:04
рукожопость как инопланетяне, они могут в них не верить, но это не значит что их нет
08:06
zi_rus: должен ли ifindex показываться при get_interface?
08:06
нету его у этого коммутатора
08:07
кого нету
08:07
чего нету
08:08
допиши, пусть собирает
08:08
ну да, к этому и вернулись
08:09
ну а от меня чего хочешь
08:09
у меня ент длинков
08:09
значит нужно
08:09
- сдеалть из нэйм порта ифиндекс в get_interface
08:09
- поправить правило, на выдергивавание найм по ифиндекс
08:10
"zi_rus: ну а от меня чего хочешь"
08:10
ты главное не останавливайся, рассказывай :)
08:10
ага, я попробую
08:10
только учти что работать должно для всех длинков, а не только твоих
08:10
все равно мои патчи не берут
08:11
рассказываю, точка входа Dmitry1
08:11
ifindex имеется в виду snmp?
08:11
что значит, его нет у dlink?
08:12
что скрип get_interface его не отдает
08:12
оу.
08:12
zi_rus: чего ругаешься!?
08:12
на четвертый круг не хочу идти
08:13
buggy-funhouse: а трап прилетает с ifindex, а fm-правило ищет интерфейс
08:13
а ifindex не всегда равен интерфейсу
08:13
"в общем, жопа" (q)
08:14
evyscr: не соглашусь, это четвертый день, когда я спрашиваю почему событие классифицировалось как alarm, и сегодня уже все ясно
08:14
D-Link официально ответил, что через CLI невозможно узнать ifindex порта. Кому интересно - поищите на длинковском форуме
08:14
Dmitry1: привет
08:14
силбно будет неправильно сделать из name=1:6 ifindex=6 ?
08:14
на самом деле это не проблема
08:15
теоретически можно по снмп дернуть ifalias
08:15
там будет имя
08:15
snmp не любит Dmitry1
08:15
и отсюда выделить индекс
08:15
погодите, а вот просто из имени вычислить ifindex --- это некорректно?
08:16
TSergey, а ты гарантируешь что на всех длинках это сработает
08:16
и на стеках
08:16
TSergey, но для себя ты можешь так сделать, если в твоей сети это сработает, то пользуйся
08:16
в стеке нумерация портов второго свича может начинаься как с 65, 501, так и с 1001
08:17
Dmitry1: ты б записывал где-нить в жире, что ли
08:17
я гарантирую, что это будет работать для 1:6 а для 2:6 просто не будет вычеслен ifindex, это улучшит ситуацию на существующем оборудовании
08:17
не гарантируешь ты ничего
08:18
На новых свичах появился mgmt интерфейс. Какой у него ifindex ? 1 или 1001 ?
08:18
evyscr, забей, пусть у себя пользуется, в апстрим просто нельзя будет принять
08:18
может быть, что name=1:6 не всегда ifindex=6
08:19
так а сейчас у нас вовсе нет решения
08:20
Dmitry1: а какой у него name?
08:21
IP Interface : mgmt_ipif
08:21
IF-MIB::ifDescr.6 = STRING: D-Link DGS-3627G R3.00.B36 Port 6
08:21
IF-MIB::ifDescr.1024 = STRING: 802.1Q Encapsulation Tag 0001
08:21
IF-MIB::ifDescr.5122 = STRING: rif1(10.118.252.1)
08:21
Dmitry1: а если сузить решение до портов "physical"?
08:22
D-Link официально ответил, что через CLI невозможно узнать ifindex порта.
08:22
TSergey: получи список ifindex, составь соответствие именам портов
08:22
запиши в ноковскую базу
08:22
или не используй снмп трапы, только сислог
08:22
root@monitor:/opt/noc# ./scripts/upgrade
08:22
Set up configuration files
08:22
Creating required directories
08:22
Checking virtualenv
08:22
08:22
not trusting file /opt/noc/.hg/hgrc from untrusted user noc, group noc
08:23
not trusting file /opt/noc/.hg/hgrc from untrusted user noc, group noc
08:23
abort: error: Name or service not known
08:23
08:23
че эт вдруг так стало?
08:23
Firefox can't find the server at static.nocproject.org.
08:23
чет не понял)
08:23
сломали все ?
08:24
дайте мне зону, что ли
08:24
Dmitry1: с мибами некогда было посмотреть?
08:24
жду разморозки develop ветки
08:25
у меня создается впечатление, что чем больше я начинаю использовать в ноке, тем меньше в нем работает
08:25
evyscr, freeseacher мне предлагал зону, но пропал куда-то
08:25
ну да, "все мужики такие"
08:25
TSergey, по-моему нок это поделка в которой вообще ничего не работает :)
08:26
вот боюсь его использовать
08:26
совсем закроется проект
08:26
evyscr, и там плохо, я хотел пирульчик вкусный набросать, а оказалось шедулер сломан и ip_discovery не до конца работает
08:27
TSergey, отож, видишь, даже на днс приходится побираться по админам
08:28
как работает Ignore Event Rules? можно прикрутить, чтобы правило с одной переменной было бы INFO, а с другой игнорировалось?
08:28
не
08:28
он может кокнкретные классы заигнорить
08:28
я боялся этого ответа
08:29
ты хочешь странного
08:29
я хотел, например, завернуть в игнор сообщение от IPAM с IP 0.0.0.0
08:30
Network | IMPB | Unauthenticated IP-MAC
08:30
да ерунда, просто неясен был механизм игнора
08:30
можешь попробовать хендлер написать
08:31
left re: ^message$
08:31
right re - то, что выфильтровывать
08:33
спасибо
08:35
а вот еще, раз такой удачный день: noc / sa / profiles / DLink / DxS / нет скрипта get_ifindex, в SA\MO\Edit\Scripts\ get_ifindex показывается --- откуда веб его дергает?
08:38
через интерфейс igetifindex?
08:40
noc / sa / interfaces / igetifindex.py
08:40
вот это?
08:40
08:44
все, удача закончилась :)
08:57
(11:30:50) TSergey: я хотел, например, завернуть в игнор сообщение от IPAM с IP 0.0.0.0
08:58
настрой zero_ip
08:59
ну так откуда тогда вылазят сообщения IPAM с IP 0.0.0.0 ?
08:59
меня интересовало как работает механизм игнора
08:59
я знаю откуда, спасибо :)
09:01
Dmitry1: скажи, а запросить ifindex по snmp, это такая затратная по ресурсам опция для коммутатора?
09:02
смотря для кого
09:02
для нока - нет
09:02
для длинка - порой да
09:02
так я и спрашиваю "для коммутатора"
09:02
Дима вообще потенциальный хейтер снмп у длинка
09:02
а в Cisco.IOS это из CLI берется?
09:02
TSergey: Для некоторых моделей d-link в зависимости от прошивки и фазы луны запрос snmp загружает процессор на 100%
09:03
TSergey, там можно и так и так
09:03
Dmitry1: любой запрос?
09:03
HaLVeR, не потенциальный, а вполне реальный и активный, только проблема не в снмп, а в длинке
09:03
не думаю что он все мибы тестил на этот предмет)
09:03
zi_rus, ктож спорит
09:04
я за точность терминологии
09:04
TSergey: если интересно поэкспериментировать, поставь The Dude от Mikrotik и объяви свои коммутаторы как snmp устройства.
09:04
Dmitry1: кстати, я включал на некоторых des-3200 safeguard, периодически, ровно на 5 сескунд происходит вот такое:
09:04
804 2014-10-15 16:00:18 Safeguard Engine enters NORMAL mode
09:04
803 2014-10-15 16:00:13 Safeguard Engine enters EXHAUSTED mode
09:05
ага
09:05
Просто у мня это проявилось с The Dude
09:05
Dmitry1: не встречал такое? что он может делать эти 5 секунд?
09:05
buggy-funhouse, просто как пример активной дергатни по снмп
09:06
TSergey: Смотря как настроен Safeguard Engine
09:06
fuzzy, 50 \ 20
09:07
все не доберусь шарком посмотреть чего в эти моменты происходит
09:07
в режиме fuzzy он ограничивает количество arp запросов, а в режиме strict - вообще их рубает
09:08
ну да, но вопрос что может так грузить проц на 5 секунд
09:08
09:12
я конечно читал твою ветку
09:13
а "официальный ответ" --- это же не оно? ты еще запрашивал у длинка?
09:15
По поводу загрузки CPU
09:15
09:16
09:16
видимо не мой случай
09:17
пока я смотрю глазами --- загрузка ну сильно меньше 30%
09:17
и ровно 5 секунд этот режим
09:17
09:22
4-я страница обсуждения
09:24
Это еще ничего. У меня еще циски есть, у которых STP и SLB жимут по каким-то законам, не описанным в мануале
09:24
я грешил на snmp, до конца не уверен, что его никто не дергает, но уж больно вермя возниконовения разное, нет периодичности
09:25
там как вариант решения был прописать ACL на промежуточных коммутаторых. В частности flow_meter на пакеты, идущие в сторону CPU главного
09:26
тот же ping -f тупо ложит CPU коммутатора
09:26
или 100500 arp запросов
09:26
да, и это коммутатор, которого нет в официальном биллинге, нет в "старом" ноке, айпишник его не сразу нашли, врдя ли он кем-то центролизованно опрашивается
09:26
кроме нока 0.8.dev
09:27
ARP, Multicast, IPv6 - это на вскидку
09:27
Дим, ровно 5 секунд, это из чего может быть, это настройка
09:27
Еще всякие служебные, типа CTP, STP, LLDP, Ethernet OAM, CDP
09:29
ты не сужаешь круг поисков :)
09:29
на новых прошивках появилась команда "show cpu port" и "debug show cpu utilization"
09:30
что за свич хоть ?
09:30
Build 1.84.B010, нет такого
09:30
DES-3200-18
09:31
show ethernet_oam ports statistics
09:32
show lldp statistics ports
09:32
спасиб
09:33
Dmitry1: что ты смотришь для мониторинга состояния длинков?
09:34
ничего не смотрю :)
09:34
я повключал трапы, но как-то скудновато
09:35
на абонентских портах
09:36
config filter dhcp_server ports <ports> state enable
09:36
config filter dhcp_server log enable
09:37
включи dos_preventiom
09:37
включи bpdu_protection
09:37
побалуйся flood_fdb
09:38
запрети мультикаст с абонентских портов
09:38
настрой port_security
09:39
попробуй обновить прошивку до 1.84.B012
09:40
есть 12, я пропустил
09:40
смотри как мы хитро задействуем STP
09:40
да коммутатор стоит в комнате для презентаций, клиентов, в привычном смысле нет
09:41
на центральном коммутаторе у нас включен STP, а на всех промежуточных стоит "Forwarding BPDU : Enabled"
09:41
на абонентских портах включен bpdu protection
09:42
на самих коммутаторах stp отключен
09:42
на промежуточных, на транковых, включен STP?
09:42
BPDU пакет идет от центрального коммутатора к абоненту. Если пытается вернуться - значит там петля
09:42
На промежуточных отключен stp, но включен Forwarding BPDU
09:43
Это позволяет отловить случай, когда петля находитсяне за одним портом, а за несколькими.
09:43
Штатный CTP от длинка отлавливает петлю только за одним портом
09:44
у нас все запутаннее
09:44
и не все объясняется логикой :)
09:45
я рассказываю про наш район.
09:45
какие настройки на других участках - мне неизвестно
09:46
у меня бэкбон на цисках, к нему деревьями длинки
09:46
везде включен stp
09:47
периодичесик со стороны циски идет сообщение об изменении топологии
09:47
*периодически
09:48
ну и iptv, в этом я пока вовсе ноль
09:48
У меня ядро на каталистах, аггрегация на DGS-3627 и DGS-3620, субмагистраль на DGS-3120 и DGS-3100, доступ на DES-3010, DES-2526 и DES-3200
09:49
Ну и еще всякая экзотика, в виде Linksys, Allied Telesis, EdgeCore и т.п.
09:55
спросил у региональщика про ifindex, чем черт не шутит
09:56
Dmitry1: есть еще две темы, что с ходу помню, неполный конфиг и удаление портов при интерфейс дисквери
09:56
но уже убегаю
09:56
спасибо за советы
10:36
днс кстати так и не работает
10:36
dvolodin, ты вообще тут?
10:52
видимо не тут
11:20
/ nocproject AD.
11:20
?
11:23
/ nocproject AD.
11:23
?
11:23
nope
11:23
bad coding
11:23
use utf
11:25
freeseacher, ты вообще днс не занимаешься? отдай зону, давай поднимем хоть как-нибудь, а то у людей даже обновления не работают
11:25
realrbg, теперь ок
11:25
zi_rus, совсем
11:26
есть вопрос по аутентификации/авторизации пользователей nocproject в AD.
11:26
поможете?
11:27
хз. спрашивай
11:27
у нас вроде у кого то была такая схема
11:30
nocproject c виртуалки
11:30
собтвенно все настроил, и даже авторизует местами.
11:30
местами, тк. некоторые аккаунты авторизует, а некоторые
11:30
Login failed due to internal error
11:30
разница между акками - в кол-ве вхождений в группы (по карйне мере я больше ничего не вижу)
11:30
в логах ничего внятного нет
11:30
что это может быть? логи показать?
11:31
нее не показывать.
11:31
ты уже знаешь больше меня :)
11:31
могу только порекомендовать почитать main/auth/backends
11:31
realrbg: кирилица есть?
11:32
скорее всего, причина именно в этом
11:32
логины на кирилице....
11:32
будь микрософт проклита за эта
11:32
алсо, по логам судя лдап отдает ее как надо
11:32
пароль кирилицей О_о
11:33
вот это надо уточнить
11:33
меня то авторизует
11:35
есть еще одно предположение, что возможно срабатывает некий таймаут обратобтки вхождения в группы
11:36
пароли тоже без кириллицы
11:36
Login failed due to internal error
11:36
ну и влогах
11:36
2014-10-14 15:25:43,030 LDAP checking user in group 'Telecom_Admins'.
11:36
2014-10-14 15:25:43,050 500 POST /main/desktop/login/ (127.0.0.1) 155.71ms
11:37
при удачном входе:
11:37
2014-10-15 12:44:39,567 Granting superuser access to 'xxxxxx-xx'
11:37
2014-10-15 12:44:39,567 LDAP user 'xxxxxx-xx' authenticated. User is active
11:37
2014-10-15 12:44:39,789 200 POST /main/desktop/login/ (127.0.0.1) 342.19ms
11:38
logging.basicConfig(level=logging.DEBUG)
11:39
как вариант
11:42
это где такое сделать?
11:42
noc-web.conf уже выставил debug
11:42
/data/repo/noc/main/auth/backends/adbackend.py
11:42
ну или так )
11:42
перезапустил?
11:42
да
11:43
в том то и дело что внятно ничего не пишет
11:43
в самой дьянге ничего нельзя покрутить?
11:43
в питоне я ноль
11:50
что в конфиге по поводу ад указанно?
11:50
B_M, ушел. боюсь вы напугали его.
11:51
ох. вернулся
11:58
freeseacher, тебя штырит?
11:59
черт, что меня спалило ?
12:02
припадки
12:02
разговоры сам с собой
12:05
в конфиге ничего необычного:
12:05
ad_server = ldap://dc.domain.local/
12:05
ad_bind_method = simple
12:05
ad_bind_dn = adnocuser
12:05
ad_bind_password = adnocpasswd
12:05
ad_users_base = DC=domain,DC=local
12:05
ad_users_filter = (&(objectClass=organizationalPerson)(sAMAccountName={{user}}))
12:05
ad_groups_base = ou=Resource Groups,DC=domain,DC=local
12:05
ad_required_group = Telecom_Admins
12:05
ad_required_filter =
12:05
ad_superuser_group = Telecom_Admins
12:05
ad_superuser_filter =
12:07
судя по логу, проблема возникает при раскручивании вхождения юзера в группы
12:07
у того акка, где таких вхождений мало все норм.
12:07
у того, где много вложенных вхождений, проблема
12:15
freeseacher: опять спайсухи курнул?
12:17
realrbg: возможно у пользователя есть группы с кирилицей
12:18
хм
12:18
а нет ли таймаута от такой вот разворотки ?
12:18
вот и мне кажется что проблема в этом
12:18
на самом деле грабля сложнее.
12:19
realrbg, у тя много юзеров ?
12:19
юзеров нока? пока нет, но потенциально развернем и по филиалам
12:19
ты планируешь выдавать права на ipam ?
12:20
в первую очередь да
12:20
потом будем посмотреть
12:20
начнем с ipama
12:20
дык вот выдать права пользователю в ипам можно
12:20
а вот группе нельзя
12:21
после того как я это понял у меня все локальное стало
12:21
и пользователи стали типа admin-филиал
12:21
хотелось покрасивше
12:22
а полчилось как всегда
12:22
ну в принципе права для ипам можно было бы копировать.
12:22
но для этого пришлось бы писать внешний скриптец
12:22
в модуе sa/ группы поддерживаюбтся нормально.
12:23
в vc/ нет вообще деления на права
12:23
на sa тоже планы есть
12:23
в ипам только по пользователям
12:23
пока все в стадии теста
12:23
запускать текущую версию нока надо с модуля sa/
12:23
он тогда кучу других модулей сам заполнит
12:24
в том числе соберет данные для ipam/
12:24
ну и при должном рвении со стороны админа сделает еще и карту сети
12:25
и до этого доберемся
12:26
пока есть куча разрозненных БД
12:26
надо это дело причесать
12:30
должном рвении задницы админа
12:30
ты пропустил
12:31
не всё так радужно
12:31
а я и не говорю что радужно
12:32
но не так давно я порядка 300 линков обнаружил коробочной поставкой нока
12:32
и еще 90 после некоторого рвения
12:32
на текущий момент не хватает линов только там где надо запускать bfd
12:51
везет тебе
12:52
а у меня нифига не находит
12:55
f e nz rfrbt vtnjls &
12:55
а у тя какие методы ?
12:55
у мя и на длинке тока в путь дискаверило доступ
13:14
задам оригинальный вопрос - что с сайтом?
13:15
не оригинальный
13:15
днс валаятсо
13:16
никто не может починить днс
13:16
пичаль бида
13:16
Kostua, есть днс хостинг ?
13:16
а давайте скинемся по писят деревянных на днс
13:16
да есть днс
13:16
и у меня и у evyscr
13:17
вон и у e_zombie есть видимо
13:17
вы кто-нибудь зону отдайте
13:17
у меня 5 серваков днс
13:17
ну зону могу подерджать
13:18
все могут подержать
13:18
а может у кого и cdn етсь ?
13:18
гигов на 30 ?
13:18
а админит ее dvolodin и видимо его сегодня нет
13:18
freeseacher, я сделал Володину виртуалку, но на нее даже ни разу не залогинился
13:18
просто nginx который немножко статики пораздает
13:18
файло в вк можно положить ))
13:19
и забирать его по длинным кривым ссылкам
13:19
надо по красивым и ровным
13:19
а с какого нибудь дохлого сервака прост редирект делать
13:19
а то может вы там руткиты рассылаете
13:19
zi_rus, давай я диму уломаю таки сделать по нормальному dns и cdn
13:20
и тебе все положу в виртуалку
13:20
ломай его полностью
13:20
мы тот раз обсуждали что контент на сами виртуалки должен попадать по Btsynс-у
13:20
root@89.189.29.22's password:
13:20
Last failed login: Wed Oct 15 17:22:39 MSK 2014 from 117.21.173.177 on ssh:notty
13:20
There were 82669 failed login attempts since the last successful login.
13:20
Last login: Fri Sep 26 10:17:58 2014 from 195.98.35.35
13:21
[root@cdn ~]#
13:21
82669 failed login attempts
13:21
freeseacher,
13:21
/dev/vda5 16G 321M 16G 3% /var
13:21
/dev/vda1 20G 1.1G 19G 6% /
13:21
хватит?
13:23
freeseacher, давай я тебе просто пароль рута дам
13:23
Ы ?
13:23
руту разрешен логин ?
13:23
что ы?
13:23
да
13:23
ну как еще
13:23
это прямая дорога к взлому.
13:23
вернее так
13:23
пока да
13:23
сырая виртуалка с одним nginx
13:23
я ее отдал как есть
13:24
dvolodin так и не добрался настроить
13:24
[root@cdn ~]# cat /etc/redhat-release
13:24
CentOS Linux release 7.0.1406 (Core)
13:24
[root@cdn ~]#
13:24
короче если надо будет днс подержать или ещё что - пишите. найду по сусекам.
13:29
e_zombie, а что ты искать будешь? место на днс под одну маленькую зону?
13:29
e_zombie, а какой ip у ваших днс, посмотрю откуда они ко мне приходят
16:13
heij... is nocproject.org, right? is there an eta for when it will be back up?
16:14
* "is down", is what I wanted to write.
16:19
hsychla_, temporary problem with dns
16:22
zi_home, thanks! what's the correct IP?
18:42
dvolodin, ты тут? ты в курсе про неработающий днс?
18:43
да
18:43
я уже поднял два бинда и перекинул зону на них
18:44
хм, а все еще не работает
18:45
** server can't find nocproject.org: NXDOMAIN
18:49
а гугл уже знает ответ
18:50
значит мои сервера закешировали
Share this page
Share this page: