Коллеги, есть здесь те, кто настраивал почтовые сервера? Ща настраивал у себя в офисе Dovecot + Postfix. И вот не понял. А что, до сих пор между серверами принято обмениваться почтой по 25-му порту SMTP без всяких SSL? Связь работает и с русскими и с зарубежными серверами. Гугл, Яндекс, Мейл, Китай со мной общаются. Вот пытаюсь понять, это норма - кидаться почтой между серверами без шифрования, или со мной все в fallback режиме общаются? Или, если насильно требовать SSL, можно ли самоподписанными сертами обойтись? Как-то не кошерно в эру тотальной слежки кидаться Plain Text’ами. Но всё пашет.. Причём столько разговоров про обязательные SMTP / Submission over TLS при связи клиент->сервер и никакой инфы про TLS для s2s.

Добрый день, коллеги. Настроил XEN сервер с виртуалками. Вот тут, если что. И заметил, что когда вырубаешь основную систему, XEN не Graceful Shutdown'ит виртуалки. Сделал такой сервис. Как думаете, всё правильно здесь?

cat /usr/lib/systemd/system/xl_shutdown.service

[Unit]
Description=Shutdown all XEN VMs before Dom0 shutdown
DefaultDependencies=no
Before=shutdown.target reboot.target halt.target

[Service]
Type=oneshot
ExecStart=xl shutdown -aw
TimeoutStartSec=0

[Install]
WantedBy=shutdown.target reboot.target halt.target

Хочется, чтобы отрабатывало и по кнопке Power на железе и по командам типа reboot, shutdown и т. п. из системы. Вроде пашет, но хотел услышать ваше мнение.

Сейчас ощущение, что shutdown виртуалок и shutdown в основной системе происходит параллельно. А хотелось бы, чтобы shutdown основной (Dom0) не начинался раньше shutdown'а виртуалок.

Добрый день, коллеги. Мучаюсь 5й день, не могу освоить NFS + Kerberos. Сталкиваюсь с Kerberos'ом 1й раз. До этого NFS шару с sec=sys делал не раз. Задача - сделать в офисе сетевую ФС, к которой все подключаются с desktop'ов/laptop'ов, работают с файлами, имеют разграничения по правам доступа на r/rw/rwx и т. п. NFS - потому что все на Linux.

В Интернете много инфы, но вся какая-то обрывочная, не законченная.

Шёл по этим официальным мануалам: Раз, два.

И всё в этих мануалах меня устраивает и всё понятно, если б работало...

Что сделано и что хорошо умею: DNS в два «View», NTP.

Что хочу: подключение к ФС с любого ПК по любому user/pass - без привязки к host'у. Возможно ли это вообще? По мануалу openSUSE - да, там просто создаётся principal «suzanne», задаётся пароль, и должно работать. Но в других источниках говорится, что на NFS клиенты тоже нужно класть keytab файл.. Кому верить?

Если подключаться без keytab'а на клиенте, то явно ругается:

journalctl -u rpc-gssd.service
ERROR: Key table file '/etc/krb5.keytab' not found while beginning keytab scan for keytab 'FILE:/etc/krb5.keytab'
ERROR: gssd_refresh_krb5_machine_credential_internal: no usable keytab entry found in keytab /etc/krb5.keytab for connection with host main.3r.ru

Подумал, что нужно на сервер положить keytab'ы от принципала сервера, а на клиенты нужно выдавать keytab'ы клиента...

Сервер:

> sudo klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   3 host/main.3r.ru@3R.RU
   3 host/main.3r.ru@3R.RU
   2 nfs/main.3r.ru@3R.RU
   2 nfs/main.3r.ru@3R.RU

Клиент:

> sudo klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   2 nfs/NeWTs-SUSE-Laptop.3r.ru@3R.RU
   2 nfs/NeWTs-SUSE-Laptop.3r.ru@3R.RU

И...

> sudo mount -t nfs4 -o sec=krb5 main.3r.ru:/opt/docs/ /mnt/
mount.nfs4: access denied by server while mounting main.3r.ru:/opt/docs/

При этом rpc.gssd на клиенте уже не ругается.

Вобщем, я пока не до конца понимаю сам принцип, что куда зачем...

1) Можно ли для NFS клиентов не выдавать krb5.keytab? Можно ли только по user/pass? kinit же, вроде?..
2) Если нельзя не выдавать, что там должно быть? Привязка по username или к хосту?
3) Можно ли не привязываться к reverse DNS? Ну не хочу я быть настолько параноиком. Тем более, что клиенты - DHCP. rdns = false это же оно?
4) Можно ли вообще клиентов по DNS даже по прямому просмотру не проверять и не привязывать?

Сейчас в тестовой системе 3 хоста: сервер NFS (main.3r.ru), сервер KDC (krb.3r.ru), клиент (у него есть Хостнэйм, но это важно? Он не прописан в DNS, это просто ноут с просто DHCP)..

Настройка конфига на krb сервере:

( читать дальше... )

Настройка конфига на NFS Server'е (krb клиенте):

( читать дальше... )

Настройка зоны DNS:

( читать дальше... )

И это работает - клиент NFS и без настройки конфига /etc/krb5.conf (точнее, с дефолтным) тоже общается с Kerberos сервером. Т. е. работает kinit - билеты выдаются.

Но я перепробовал уже, кажется, все варианты.... Может кто-то подсказать что куда и зачем класть, чтобы NFS подключился?

Добрый день, коллеги.

Настраиваю корпоративный сервер на вышеприведённом конфиге. Основная связка OpenSUSE + XEN встала нормально, всё ок, всё работает. Есть Dom0, есть 'xl dmesg', 'xenpm'...

Далее решил настроить CPU Governors. Выбрал вариант Hypervisor based cpufreq. Для этого в BIOS пришлось переключить управление процессором с BIOS'овского на «OS Controlled». Всё управляется, есть P и C-State режимы, Turbo и всё такое. Выбрал 'ondemand'.

Но есть незадача. В режиме управления «CPU BIOS Controlled» (не точное название) CPU Fan'ы уходили в Idle при простое, при загрузке основной системы. Теперь же CPU Fan'ы все всегда на 100%. При том, что система простаивает и вообще ничего не потребляет по ресурсам. Проверил наличие модуля 'xen_acpi_processor' - он есть.

Что же делать? Как заставить XEN управлять CPU Fan'ами? Пробовал 'sensors' - просканировал систему из Dom0. 'sensors' нашли только IPMI, но потом написали, что дров под IPMI у них пока нет. Неужели такую базовую функцию придётся как-то вручную настраивать? Т. е. нужно идти по пути пакетов 'lm-sensors'? Есть 'ipmitools', есть 'racadm', есть iDRAC по Web, есть pdf'ки с инструкциями к настройкам iDRAC'а... Но там не особо много про Fan'ы и какого-то переключателя 'Auto' там нет.