cookbooks issueshttps://git.gsi.de/groups/chef/cookbooks/-/issues2022-06-23T14:14:42Zhttps://git.gsi.de/chef/cookbooks/sys/-/issues/1group databags not considered2022-06-23T14:14:42ZChristopher Huhngroup databags not consideredGroup databags are ignored when creating users and groupsGroup databags are ignored when creating users and groupshttps://git.gsi.de/chef/cookbooks/sys/-/issues/2sys_wallet overrides existing ressource2019-09-26T12:05:54ZChristopher Huhnsys_wallet overrides existing ressourcesys_wallet definiert das Attribut `ignore_failure`, siehe 7d2c4d23e87c2186352b62f5e1be49aa447d38c4
Das Attribut ist für alle Ressourcen vordefiniert, daher beschwert sich Chef:
>>>
WARN: Property `ignore_failure` of resource `sys_wallet...sys_wallet definiert das Attribut `ignore_failure`, siehe 7d2c4d23e87c2186352b62f5e1be49aa447d38c4
Das Attribut ist für alle Ressourcen vordefiniert, daher beschwert sich Chef:
>>>
WARN: Property `ignore_failure` of resource `sys_wallet` overwrites an existing method. Please use a different property name. This will raise an exception in Chef 13. (CHEF-11)/home/travis/build/GSI-HPC/sys-chef-cookbook/sys/resources/wallet.rb:19:in `class_from_file'.
Please see https://docs.chef.io/deprecations_property_name_collision.html for further details and information on how to correct this problem.
>>>m.pauschm.pauschhttps://git.gsi.de/chef/cookbooks/sys/-/issues/3Add support for chef-solo config2023-07-25T08:57:05ZChristopher HuhnAdd support for chef-solo configThe chef recipe bails out if `node['sys']['chef']['server_url']` is not defined.
It could drop an appropriate `/etc/chef/solo.rb` instead.The chef recipe bails out if `node['sys']['chef']['server_url']` is not defined.
It could drop an appropriate `/etc/chef/solo.rb` instead.Christopher HuhnChristopher Huhnhttps://git.gsi.de/chef/cookbooks/sys/-/issues/4Account removal not implemented2019-06-28T16:55:36ZChristopher HuhnAccount removal not implementedIn contrast with the [documentation](documents/accounts.md) accounts cannot be deleted via `sys::accounts` ie.
```
sys: {
accounts: {
qwerasdf: {
action: 'delete'
}
}
}
```
does not work as expected.In contrast with the [documentation](documents/accounts.md) accounts cannot be deleted via `sys::accounts` ie.
```
sys: {
accounts: {
qwerasdf: {
action: 'delete'
}
}
}
```
does not work as expected.https://git.gsi.de/chef/cookbooks/sys/-/issues/5sys::systemd vs sys::network vs sys::networkd2023-02-17T15:55:26Zm.pauschsys::systemd vs sys::network vs sys::networkd# Aktueller Zustand
Es gibt im Moment 3 recipes, die das Netzwerk einer Maschine konfigurieren:
1. `sys::network` für debian_version kleiner 9
2. `sys::systemd` für jessie(?) aufwärts
3. `sys::networkd` für stretch aufwärts
`sys::...# Aktueller Zustand
Es gibt im Moment 3 recipes, die das Netzwerk einer Maschine konfigurieren:
1. `sys::network` für debian_version kleiner 9
2. `sys::systemd` für jessie(?) aufwärts
3. `sys::networkd` für stretch aufwärts
`sys::systemd` und `sys::networkd` überschneiden sich, bieten aber unterschiedliche features an. In `sys::networkd` muss man alles manuell angeben, es gibt einen eigenen Namespace für die Attribute und auch ein eigenes Recipe. `sys::systemd` bietet allerlei praktische Schalter, mit denen man die aktuelle Konfiguration persistent machen kann.
# Problem
Die Konfiguration die von `sys::systemd` ist subtil kaputt, weil ipv6 nicht mit ausreichender Gründlichkeit abgeschaltet wird. Das führt dazu, dass `systemd-networkd-wait-online.service` auf die Konfiguration von ipv6 wartet und dadurch nicht erfolgreich ausgeführt wird. Das führt oft zu Problemen mit nslcd, autofs und sonstigem was auf auf das Netzwerk wartet. Ausserdem ist mir nicht klar, warum `sys::systemd` überhaupt das Netzwerk konfigurieren sollte.
`sys::networkd` bringt zwar viel Flexibilität, ist aber umständlich zu benutzen.
# Lösungsvorschlag
Da systemd-networkd mit aktuellem Debian alle Features hat die man braucht, um auch kompliziertere config wie die lxgws und Hypervisoren zu bauen, würde ich folgendes vorschlagen:
1. `sys::network` kann man wohl einfach so lassen, solange das noch benutzt wird.
2. `sys::systemd` konfiguriert nur systemd (Dateien unter `/etc/systemd/system` und `/etc/systemd/system.conf`).
3. `sys::networkd` wird mit den Features aus `sys::systemd` erweitert
# Offene Punkte
## Netzwerk managen?
Soll das Netzwerk prinzipiell gemanagt werden oder nicht? Bei der Installation bekommt man ja von FAI eine default-Konfiguration die normalerweise passt. Diese Konfiguration muss auch normalerweise nie geändert werden. Unter neuen Debian-Versionen würde ich vorschlagen alles mit systemd-networkd zu machen. Dazu muss man allerdings alle anderen Mechanismen abklemmen, wahlweise mit einem der folgenden Schritte:
1. /etc/default/networking anpassen, so dass ifupdown kein netzwerk mehr konfiguriert
2. /etc/network löschen oder umbenennen
3. Debian Paket ifupdown deinstallieren
4. Ggf. dhcpd oder sonst was deinstallieren oder abschalten.
Prinzipiell gibt es nicht besonders viele Maschinen bei denen das Netzwerk bisher gemanaged wird, was wohl auch erklärt warum sich die recipes überschneiden und in gsi-sys mit Attributen konfiguriert werden die teilweise gar keine Auswirkungen haben.
## Namensschema
Mit den neuen Interface-Namen, bei denen der Steckplatz im Rechner im Namen kodiert ist, sorgt dafür, dass die Interfaces in allen Rechnern anders heißen, was viele Dinge umständlich machen kann. Debian ist so voreingestellt, dass weiterhin das alte Namensschema verwendet wird. Maschinen die nicht das alte Schema haben, müssen allerdings eine neue initramfs bekommen und gebootet werden.https://git.gsi.de/chef/cookbooks/sys/-/issues/6sys::less2021-03-03T08:25:08Zm.pauschsys::lessWarum ist das hier? sollte das nicht eher gsi-sys::less sein und sys::env includen? Oder am besten direkt gsi-sys/attributes/less und sys::env in gsi-sys::default reinschreiben?Warum ist das hier? sollte das nicht eher gsi-sys::less sein und sys::env includen? Oder am besten direkt gsi-sys/attributes/less und sys::env in gsi-sys::default reinschreiben?https://git.gsi.de/chef/cookbooks/sys/-/issues/7sys::ferm vs sys::nftables vs gsi-firewall2022-03-31T11:10:59Zm.pauschsys::ferm vs sys::nftables vs gsi-firewallWie spielen die drei zusammen?
- `sys::ferm` sollte weg wenn das nicht mehr benutzt wird. Das ist aber im moment noch der Fall
- `sys::nftables` ist Schrott, muesste man im Prinzip neu bauen, aber dann kann man auch gsi-firewall nehm...Wie spielen die drei zusammen?
- `sys::ferm` sollte weg wenn das nicht mehr benutzt wird. Das ist aber im moment noch der Fall
- `sys::nftables` ist Schrott, muesste man im Prinzip neu bauen, aber dann kann man auch gsi-firewall nehmen. Benutzt wird das auch nicht.
- `gsi-firewall` koennte man auch sys und gsi-sys integrieren, oder soll das eigenstaendig bleiben?https://git.gsi.de/chef/cookbooks/sys/-/issues/8Chaos in sys::autofs2019-09-26T13:46:09Zm.pauschChaos in sys::autofssys::autofs ist etwas verwirrend und umstaendlich. Die autofs-maps sollten per nsswitch verfuegbar gemacht werden. Dadurch spart man sich die umfangreiche Konfiguration in /etc/auto.master.d und kann einfach nur eine /etc/auto.master h...sys::autofs ist etwas verwirrend und umstaendlich. Die autofs-maps sollten per nsswitch verfuegbar gemacht werden. Dadurch spart man sich die umfangreiche Konfiguration in /etc/auto.master.d und kann einfach nur eine /etc/auto.master hinlegen. Die Fallunterscheidung zwischen wheezy und jessie kann dann weg.
Mir ist kein Fall bekannt, wo wir noch Unterstuetzung fuer autofs-maps brauchen, die in lokalen Dateien verwendet werden, deswegen sollte das auch weg.
Von Jessie nach Stretch wird nicht mehr /etc/default/autofs verwendet, sondern /etc/autofs.conf. Das sollte man auch beruecksichtigen.
Wenn man in /etc/auto.master nur den Mapnamen und keine Suchbasis angibt, laesst sich ueber nsswitch steuern, wo diese Maps nachgeschlagen werden. Das vereinfach die Konfiguration und ist danach sogar mit Sachen wie cvmfs kompatibel.https://git.gsi.de/chef/cookbooks/sys/-/issues/9Flawed logic in sys::krb52020-09-29T05:56:00ZChristopher HuhnFlawed logic in sys::krb5The [krb5 recipe](recipes/krb5.rb#L41-43) tries to deploy `/etc/krb5.keytab`.
Anyhow the [`sys_wallet` provider](providers/wallet.rb#L15) tries to acquire derived keytabs using this `/etc/krb5.keytab`.
Therefore this can never work.
R...The [krb5 recipe](recipes/krb5.rb#L41-43) tries to deploy `/etc/krb5.keytab`.
Anyhow the [`sys_wallet` provider](providers/wallet.rb#L15) tries to acquire derived keytabs using this `/etc/krb5.keytab`.
Therefore this can never work.
Remove the resource?m.pauschm.pauschhttps://git.gsi.de/chef/cookbooks/sys/-/issues/10syntax error in auto.master2019-10-01T11:14:43Zm.pauschsyntax error in auto.master`sys::autofs` writes `/example autofs.example` to `/etc/auto.master` when it should write `/example auto.example`.`sys::autofs` writes `/example autofs.example` to `/etc/auto.master` when it should write `/example auto.example`.https://git.gsi.de/chef/cookbooks/sys/-/issues/11[sys::hosts] Drop managing '/etc/hosts' as a template2019-11-13T14:27:04ZChristopher Huhn[sys::hosts] Drop managing '/etc/hosts' as a templateI think that managing ''/etc/hosts' as a template is a rather bad idea and should be dropped completely.
Cf. https://github.com/GSI-HPC/sys-chef-cookbook/issues/8I think that managing ''/etc/hosts' as a template is a rather bad idea and should be dropped completely.
Cf. https://github.com/GSI-HPC/sys-chef-cookbook/issues/8https://git.gsi.de/chef/cookbooks/sys/-/issues/12[sys::banner] Get rid of _disk_ in /etc/profile.d/info.sh2019-11-26T11:42:07ZThomas Roth[sys::banner] Get rid of _disk_ in /etc/profile.d/info.sh**sys::banner** mit **info=true** spuckt beim Login eine Reihe von Infos aus, die in *etc_profile.d_info.sh.erb* definiert werden.
Unsinnigerweise ist dabei auch ein `df`, was die Benutzbarkeit einschraenkt: wenn ein Dateisystem nicht d...**sys::banner** mit **info=true** spuckt beim Login eine Reihe von Infos aus, die in *etc_profile.d_info.sh.erb* definiert werden.
Unsinnigerweise ist dabei auch ein `df`, was die Benutzbarkeit einschraenkt: wenn ein Dateisystem nicht da ist, ist der Login erst mit Ctrl-C abgeschlossen.
* Kommentarzeichen in das .erb-File zu schreiben ist nicht schwierig
* Labels, Tags, Branches usw. dagegen schonChristopher HuhnChristopher Huhnhttps://git.gsi.de/chef/cookbooks/sys/-/issues/13Write some documentation for `sys::networkd`2021-09-02T09:33:21ZChristopher HuhnWrite some documentation for `sys::networkd``sys::networkd` could use a little documentation in (this repo)[ocuments/networkd.md] or https://wiki.gsi.de/LXadmin/SystemdNetworkd`sys::networkd` could use a little documentation in (this repo)[ocuments/networkd.md] or https://wiki.gsi.de/LXadmin/SystemdNetworkdm.pauschm.pauschhttps://git.gsi.de/chef/cookbooks/fai/-/issues/1Manage apt repository keys2020-05-28T10:10:05ZChristopher HuhnManage apt repository keysAdd possibility to add apt repo keys to installation nfsroots via `/etc/fai/apt/keys/` and `/etc/fai/flavors/[flavor]/apt/keys/`
Also requires the addition of `gnupg` to the nfsroot via `debootstrap`:
```
FAI_DEBOOTSTRAP_OPTS='[…] --inc...Add possibility to add apt repo keys to installation nfsroots via `/etc/fai/apt/keys/` and `/etc/fai/flavors/[flavor]/apt/keys/`
Also requires the addition of `gnupg` to the nfsroot via `debootstrap`:
```
FAI_DEBOOTSTRAP_OPTS='[…] --include=gnupg'
```Debian Busterhttps://git.gsi.de/chef/cookbooks/sys/-/issues/14node['sys']['ssh']['config'] and node['sys']['ssh']['ssh_config'] handle opti...2020-05-29T15:06:26ZChristopher Huhnnode['sys']['ssh']['config'] and node['sys']['ssh']['ssh_config'] handle options differently`node['sys']['ssh']['config']` takes a hash as config:
```
{ host_pattern1: { key: value, … }, … }
```
In contrast `node['sys']['ssh']['ssh_config']` takes an array as config:
```
[ {host_pattern1: { key: value, … }}, … ]
```
I see no ...`node['sys']['ssh']['config']` takes a hash as config:
```
{ host_pattern1: { key: value, … }, … }
```
In contrast `node['sys']['ssh']['ssh_config']` takes an array as config:
```
[ {host_pattern1: { key: value, … }}, … ]
```
I see no reason to have the same host pattern multiple times w/o merging.
OTOH ordering may be relevant (→ array).
Anyhow these attributes should behave similar.https://git.gsi.de/chef/cookbooks/sys/-/issues/15Add SSH keys from account data bags2023-02-17T15:50:59ZChristopher HuhnAdd SSH keys from account data bagsCurrently no logic exists to automatically add SSH keys from account data bags to `~/authorized_keys`.Currently no logic exists to automatically add SSH keys from account data bags to `~/authorized_keys`.https://git.gsi.de/chef/cookbooks/sys/-/issues/16Monkey patch apt_repository on Stretch2020-07-17T07:39:55ZChristopher HuhnMonkey patch apt_repository on StretchKey management does not work on Stretch, see
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=858265
and
https://github.com/chef/chef/commit/d7ac39bb7a7f710726bfd1adcf32ea07e6cb711dKey management does not work on Stretch, see
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=858265
and
https://github.com/chef/chef/commit/d7ac39bb7a7f710726bfd1adcf32ea07e6cb711dhttps://git.gsi.de/chef/cookbooks/sys/-/issues/17template_header helper output for LWRPs2020-11-27T15:55:31ZChristopher Huhntemplate_header helper output for LWRPsFor config files created by LWRPs (like `sys_apt_conf`) `@recipe_name` is `nil` and the output looks like:
```
# Created by sys:: (line 32) from template …
```For config files created by LWRPs (like `sys_apt_conf`) `@recipe_name` is `nil` and the output looks like:
```
# Created by sys:: (line 32) from template …
```https://git.gsi.de/chef/cookbooks/sys/-/issues/18`chef_zero/server` Ruby module not found in Serverspec test for omnibus--inst...2022-06-09T16:38:10ZChristopher Huhn`chef_zero/server` Ruby module not found in Serverspec test for omnibus--installed chef-clients`require 'chef_zero/server'` fails in `kitchen verify` with serverspec when an omnibus-packages chef client is installed.
chef-zero is installed beneath `/opt/chef/embedded/lib/ruby/gems/2.5.0/gems/` and can be loaded inside `/opt/chef/...`require 'chef_zero/server'` fails in `kitchen verify` with serverspec when an omnibus-packages chef client is installed.
chef-zero is installed beneath `/opt/chef/embedded/lib/ruby/gems/2.5.0/gems/` and can be loaded inside `/opt/chef/embedded/irb` without problems.Debian Bullseyehttps://git.gsi.de/chef/cookbooks/sys/-/issues/19snmp silencing2022-01-20T19:50:36ZThomas Rothsnmp silencingVermutlich wird snmpd von aussen befragt, Log-Eintraege auf einer Maschine mit snmpd werden im Normalbetrieb nie genutzt.
-> Default-Werte fuer snmpd-Logging auf 1 oder 0 setzen?
Beispiel:
`SNMPDOPTS='-LS0d -Lf ...`
statt
`SNMPDOPTS='...Vermutlich wird snmpd von aussen befragt, Log-Eintraege auf einer Maschine mit snmpd werden im Normalbetrieb nie genutzt.
-> Default-Werte fuer snmpd-Logging auf 1 oder 0 setzen?
Beispiel:
`SNMPDOPTS='-LS0d -Lf ...`
statt
`SNMPDOPTS='-LS0-6d -Lf ...`
fuehrt zu lesbarem syslog.
Der Fehler 'SNMP AGENT: Error in getting Shared Memory' wird aber weiterhin reported.
-> Im Template etc_default_snmpd was in der Art:
`SNMPDOPTS='-LS<%= @logparams %> -Lf /dev/null -u snmp -g snmp -I -smux,mteTrigger,mteTriggerConf -p /run/snmpd.pid'`
?