dimarts, 25 d’agost del 2015

Connectar client Ubuntu a LDAP server NAS Synology

Hem adquirit un equipet a l'IES, que a més d'un sistema NAS (Network Area Storage), és tot un servidor Linux de fàcil configuració amb un munt de serveis que poden ser instal·lats:
  • Servidor Web
  • Servidor de correu
  • Portals Moodle, Drupal, Joomla
  • I el que ens interessa: sevidor LDAP
En aquest post vaig a descriure els passos seguits per configurar aquest NAS (un Synology DiskStation 214+) com a servidor LDAP i la configuració dels ordinadors de l'IES, amb Ubuntu 14.04 com a clients d'aquest LDAP, per a que en aquests ordinadors puguen validar-se els usuaris continguts al servidor LDAP.
El procés seguit ha estat:
Primer instal·lem i configurem el servei LDAP al dispositiu NAS seguint aquest tutorial. Hem de configurar també que el NAS siga client d'ell mateix, del servidor LDAP i cerar alguns usuaris LDAP de prova.
Per configurar el client, he seguit  aquest tutorial (amb aquest altre tutorial no funcionava bé), les coses importants són:
  • Cal instal·lar els paquets libnss-ldap, libpam-ldap, ldap-utils, com diu l'anterior tutorial, i a més el paquet nslcd, per a que PAM busque a LDAP.
  • Recordar eliminar el paquet nis, per a que no hi haja conflictes entrte els serveis NIS i LDAP, que fan el mateix de diferent forma.
  • La configuració de /etc/ldap.conf:
    • posar la línia base com reporta la configuració del servidor LDAP:
      base dc=ldap,dc=iesgregorimaians,dc=org
    • Afegir la URI del servidor LDAP:
      uri ldap://IP-INTERNA-DEL-NAS
    • Fer servir rootbinddn i NO binddn, amb el contingut reportat també a la configuració del servidor LDAP:
      rootbinddn uid=root,cn=users,dc=ldap,dc=iesgregorimaians,dc=org
    • Posar el password pel servidor LDAP al fitxer /etc/ldap.secret (només el pot llegir root)
  • Al fitxer /etc/nsswitch.conf:
    • Canviar les tres primeres línies a:
      passwd:       compat ldap 
      group:         compat ldap 
      shadow:      
      compat ldap 

Muntatge dels HOME

1ª versió

El primer que he pogut aconseguir, és que em cree el directori HOME de cada usuari dins el directori LOCAL /home la primera vegada que un usuari LDAP es valide. Així, com /home és local aquest usuari tindrà un perfil diferent en cada màquina que es valide, amb els seus documents i demés.
Per fer-ho he seguit les instruccions del tutorial anterior:
root@www:~#
vi /etc/pam.d/common-password
# line 26: change ( remove 'use_authtok' )

password     [success=1 user_unknown=ignore default=die]     pam_ldap.so try_first_pass
root@www:~#
vi /etc/pam.d/common-session
# add at the last if needed ( create home directory automatically at first login )

session optional        pam_mkhomedir.so skel=/etc/skel umask=077

2ª versió

Si faig que el directori /home siga muntat per xarxa amb NFS, aconseguiré una configuració similar a la que tenia abans amb el servidor Ubuntu.
Després de perdre moltes hores fent proves, no he pogut aclarir-me amb els permisos NFS, ja que s'apliquen sempre altres permisos, deu ser aquella cosa dels permisos ACL, Access Control List.

3ª versió

És tracta de fer servir el nou procediment amb l'automounter autofs.
Farem servir el recurs compartit homes, que és creat automàticament quan activem el servei user home service, activant-lo segons aquest tutorial. Aquest servei ens crea una compartició homes i fa que cada usuari tinga una carpeta HOME. Un problema que vorem després és que aquestes carpetes tenen un nom estrany: nomusuari-IDusuari, on IDusuari és l'uid de l'usuari, un número que comença amb 1000000. També aquestes carpetes estan a /var/services/homes/@LH-LDAP.IESGREGORIMAIANS.ORG/61/nomusuari-idusuari , aquest número 61 és el resultat de desplaçar cap a la dreta el uid 14 bits, per tant el 61 no canviarà almenys pels primers 10000 usuaris.

Per configurar l'autofs cal seguir aquest tutorial, però un problema molt, molt gros que vaig tindre, amb el que vaig perdre unes tres setmanes de temps fent provatures i innumerables correus amb el servei tècnic que no resolien res, va ser que el fitxer de mostra auto.syno havia estat editat des d'una màquina Windows i per tant contenia els dos caràcters propis de Windows per cada línia, LF i CR, quan vaig trobar el problema vaig fer servir la utilitat dos2unix per convertir el fitxer a format de text Unix. Al tutorial també diu que cal cridar el mapa auto.syno des de l'auto.master amb la línia /home program:/etc/auto.syno , això no és així, la línia ha de ser simplement  /home /etc/auto.syno , però el fitxer auto.syno ha de ser executable. El fitxer de mapa auto.syno és un script executable i per solucionar problemes es pot executar des d'un terminal per vore com funciona.

Una vegada resolt el tema dels caràcters Windows al fitxer auto.syno, aquest servei autofs i el mapa executable funciona perfectament, però encara es presenta un altre problema: als usuaris LDAP no se'ls crea la seu carpeta HOME (aquesta del nom amb l'uid) al crear l'usuari, cal que l'usuari es valide a DSM o per Samba per a que es cree la carpeta. Però quan aquest usuari es valide a un client Linux, com s'ha de muntar la carpeta per autofs, tampoc pot ser creada pel pam_mkhomedir, ja ha d'existir. Per tant, després de donar d'alta els usuaris, caldrà crear les carpetes d'aquests manualment mitjançant un shell script.
Resoldre error de bloquejos al muntar els HOME
Un malfuncionament va comença a aparèixer quan es van connectar varis clients al servidor LDAP, que començaven a bloquejar-se i quedava tot enganxat fins que es resetejava el NAS.
Vaig recordar que també em passava una cosa semblant amb l'antic servidor i se solucionava afegint la opció nolock a la línia del muntatge del HOME als clients. Com ara aquesta línia la genera el autofs des del mapa executable auto.syno, ha sigut necessari canviar aquest per afegir l'opció a l'última ordre de l'script, que ha de quedar:
echo "-fstype=nfs,nolock,nfsvers=3 $NFS_SERVER:/var/services/homes/@LH-$domain/$num/${key// /\\ }-$uid"

Muntatge dels recursos programari i treball

Aquest recursos abans estaven dins el /home de l'antic servidor, al ser exportat per NFS i muntat pels clients, des d'aquests clients teniem accés a aquestes carpetes, per exemple a programes compartits desats a programari.
Ara com els HOME de cada usuari es exportat per separat amb l'automounter, caldrà muntar-los a banda en cada client. El muntatge via SMB des del navegador de fitxers té molts problemes: absència dels permissos UNIX i per tant de la possibilitat d'execució i que de fet els recursos no estan autènticament muntats sobre l'arbre de fitxers del client.
La solució trobada funciona fins i tot millor que la de l'antic servidor i és altra vegada fer servir l'autofs:

  • Afegim a /etc/auto.master una nova clau externa:
/net /etc/auto.nfs
  • Creem el fitxer /etc/auto.nfs que conté les línies de muntatge dels dos recursos:
    programari -fstype=nfs,soft,tcp,nolock  192.168.0.253:/volume1/programari
    treball -fstype=nfs,rw,soft,tcp,nolock 192.168.0.253:/volume1/treball
I així, tindrem els dos recursos muntats a /net/programari i a /net/treball, però atenció: només quan els necessitem, tal i com fa l'automounter, per tant si no ens apareixem al Nautilus, utilitzem el menú Vés->Introdueix la ubicació...

dissabte, 25 d’abril del 2015

Mercè: manifest tancament 25 d'abril

A l'acabament de la manifestació del passat 25 d'abril, Mercè va ser nomenada per llegir part del manifest final:



 Per finalitzar la manifestació, la colla dels muixeranguers de Sueca alçaren una muixeranga al compàs del veritable himne del nostre País:



 Molt emotiu! Una bonica foto que un amic ve prendre d'un altre angle de l'anxaneta:


dimecres, 27 d’agost del 2014

Camí Santiago aragonés amb La Xecta - 16 al 20 d'abril de 2014

Un pas de diapositives amb fotos del tram del Camí de Santiago Aragonés, des de Somport a Sangüesa fet amb la Xecta del 16 al 20 d'abril de 2014.
Fantàstic el camí i més fantàstica encara la companyia de la gent de La Xecta!
He hagut de canviar part de la música: en l'original Youtube detectava la presència de "Knocking on the Heaven's door" de Bob Dylan i em silenciava tot el vídeo per infracció dels drets d'autor! He substituit eixa cançó per una altra lliure de royalties: "Never let it go" de Michael Ellis.

dissabte, 26 de juliol del 2014

Caràcters catalans i espanyols a Chrome 35.x sobre Ubuntu

Reporte ací un problema d'aquells amb els que et pots trencar les banyes, per si algú altre li passa.

El problema

A partir de la versió 35 del navegador Google Chrome vaig començar a notar una cosa estranyíssima: quan escrivia algun text dins el navegador (a un formulari, redactant un correu o un document a GDocs o fins i tot dins la mateixa barra d'adreces del navegador) no podia escriure ni "eñes", ni "ç trencades", ni el punt volat de la "l geminada", pel contrari les vocals accentuades funcionaven sense cap problema. En aquesta imatge es veu el problema durant la redacció d'un correu:


Per altra banda, aquest problema únicament era dins Google Chrome, en tots els altres programes el teclat funcionava correctament, de fet una solució transitòria que feia servir per poder escriure aquests caràcters dins Chrome era escriure'ls a un fitxer de text amb Gedit i copiar-pegar, i funcionava bé. El problema tampoc semblava ser del sistema, ja que presentava el problema Chrome amb versions 35.x i 36.x sobre Ubuntu 14.04 LTS 64 bits, però també sobre una altra màquina amb Ubuntu 12.04 LTS 32 bits, que m'havia funcionat perfectament des de l'any 2012.

Comprovacions
Vaig començar a fer "troubleshooting", traduït "trencar-me les banyes" i al principi vaig estar a punt de canviar de navegador per defecte i retornar al Firefox. Trobava gent per internet amb problemes similars, però les solucions aportades a mi no em funcionaven. Li donava les culpes a que Google Chrome no gestionava bé el teclat degut a algun problema en la versió internacional.

Solució
Avui, mentre preparava un sistema amb Ubuntu 14.04 LTS per fer-lo servir com a imatge a clonar pels ordinadors dels alumnes TIC de l'IES, se m'ha acudit de posar l'opció de poder triar el castellà com a idioma de tot l'escriptori i taxan!!! amb el castellà com a primer idioma de l'escriptori (del sistema), Chrome acceptava eixes tecles sense cap problema! Després de regirar per vore si era alguna cosa errònia en el maneig dels idiomes per part del propi Chrome no he pogut trobar res. 


I ara el més al·lucinant de tot el tema:
Quan estava pràcticament convençut que el problema residia amb la traducció al català de Chrome, que gestionava malament eixes tecles o eixos caràcters, he recordat que en un moment donat, crec que durant el cicle de vida d'Ubuntu 11.xx, va començar a aparèixer dins el "Suport d'Idioma" d'Ubuntu una variant del Català anomenada "Català (Espanya) - valencia", a més de l'habitual "Català" i era la que jo feia servir com a primera opció des de la seua aparició, ja que portava traduccions a la meua varietat dialectal (Per exemple "Ix..." en lloc de "Surt..." i "Alça" en lloc de "Desa") I m'he preguntat "I si fora..."
I, efectivament, bingo! El problema descrit només apareix quan fas servir com idioma del sistema la varietat valenciana, en la varietat Catalana "a seques" també funciona tot correctament. Així que fins ho solucionen, he posat l'ordre de preferència d'idiomes del sistema com el de la figura de sota i l'he fet extensiu a "Tot el sistema" (per tots els usuaris). Així haurem de "surtir" i "desar" en compte de "eixir" i "alçar", però podrem escriure amb Ç i Ñ per internet! No sé qui o quin organisme s'encarrega del manteniment del paquet d'idioma Català - varietat valenciana, per reportar-li aquest problema!



divendres, 13 de setembre del 2013

Viatge a Port Aventura

Com a regal d'aniversari de Guillem i amb més de tres mesos de retard, vam anar tres dies a Port Aventura i el Guillemet (i Bernat i Mercè també, clar) bé que ho va aprofitar, va pujar vàries vegades a les atraccions més fortes, entre elles el Shambala, la blanca que es veu ací, la roja és el Dragon Khan on també puja:


Ací un vídeo d'un dels viatges de Guillem i Bernat:



Flipant, no?

dissabte, 24 d’agost del 2013

Font salada: aprofitant final d'estiu.

Aprofitant els darrers dies de l'estiu Guillem i jo hem fet un viatge a la Font Salada ...


i a la Muntanyeta verda...


dimecres, 12 de juny del 2013

Robots mOway


Va arribar a les meues orelles que els robots mOway ja eren utilitzables des de GNU/Linux i, a més a més, que podien programar-se des d'un món Scratch!!
Em vaig posar mans a l'obra a vore si podíem donar-li alguna utilitat als 6 kits que disposàvem a l'IES, que eren un immobilitzat que estava cobrint-se de pols.
Després de moltes provatures, comprovacions i de posar-me en contacte amb el suport tècnic... plof! la botifarra a la cendra! Els robots mOway des de GNU/Linux i des d'Scratch només és per la versió 2!
Una vegada enfangats, vaig continuar investigant a vore si podia fer anar els mOway que jo tenia amb els ordinadors i SO que utilitzem a l'IES. Primer vaig estar fent provatures diverses amb Wine, sense cap èxit. Després ho vaig intentar amb una màquina virtual amb Windows UE sobre VirtualBox i... BINGOOOO!!!!
Vaig a posar ací el procediment, amb algunes cosetes que cal recordar:
  1. Cal afegir unes regles per udev a GNU/Linux per a que reconega quan es connecte per USB la targeta d'interface. Per això cal copiar, com a root a

    /etc/udev/rules.d/

    aquests fitxers, crec que només és necessari el 99-rfusb.rules. Posar permissos de lectura per a tots.
  2. Ara, per a que la màquina virtual tinga accés a l'USB físic, cal afegir l'usuari amb que volem executar VirtualBox al grup vboxusers:

    sudo adduser usrlocal vboxusers

  3. Arranquem la màquina virtual amb Windows.
  4. Instal·lem el programa a la màquina virtual des del CD-Rom (cal tindre connectat el drive de CD físic a la màquina virtual). No actualitzem, ja que l'actualització no es troba a l'adreça on la cerca!
  5. Seleccionem dins el menú del VirtualBox Dispositius -> Disp. USB -> Bizintekinnova programador USB
  6. El windows de la màquina virtual ha de reconeixer la targeta i començar amb el Nuevo Hardware Encontrado.
Ja deu funcionar tot dins la màquina virtual i podem programar i bolcar els programes al mOway!


diumenge, 21 d’abril del 2013

Segona paella de rajada, ara en família.

La segona vegada que faig la paella de rajada del bloc de Kiko.
Aquesta vegada amb la family...


Una mica massa gruixuda, haguera calgut fer-la amb menys arròs o amb una paella una mica més gran... Però de tota manera molt bona... i amb bona companyia!

diumenge, 31 de març del 2013

Pasqües a Pamplona: Torneig Handbol Anaitasuna


Hem passat unes pasqües diferents a Pamplona, al Primer Torneig de Handbol Anaitasuna. La ciutat devia ser molt bonica darrere tota aquella pluja ;-)
Un vídeo fet per algú d'allà:

dimecres, 27 de març del 2013

Problema amb configuracions "particulars" de Lliurex - SOLUCIONAT

Un dels motius pels quals no utilitze la distribució Lliurex, ni a casa ni a l'IES és per la immensa quantitat de configuracions no standard  que té, per a fer (suposadament) "fàcil" el funcionament i configuració del "Model d'aula". A més, la documentació de tot això és notòriament escassa.
La última m'ha passat amb un servidor que tenim a la biblioteca del centre, que ha de ser Lliurex i no l'hem canviat pel programa de gestió de la biblioteca (que encara ningú s'ha posat amb ell) i per a que faça de servidor TCOS de tres clients lleugers per ús dels alumnes.
El problema ha estat que després d'una actualització, ha deixat de validar usuaris contra el servidor central NIS que tenim al centre. El problema estava que un obscur i amagat script de la família dels llxcfg-xxx em canviava el fitxer /etc/nsswitch.conf i canviava en tres línies l'opció "files nis" (necessària pel correcte funcionament com a client NIS) per l'opció "compat".
A base d'assaig i error, he trobat la solució:
  • He cercat per internet, consultat al SAI, etc... quin script era el que canviava el fitxer /etc/nsswitch.conf -> Resultat nul.
  • He estat provant amb les opcions dels scripts llxcfg-setvars i llxcfg-setvars, donat que aquest problema amb els DNS era semblant al meu -> Resultat nul.
  • He pogut trobar (no recorde ni com!!) que a /usr/share/llxcfg/config/pamnss-common/templates/nsswitch.conf , sembla increïble, però ho he trobat!!! Aquest fitxer és una plantilla (template, clar ;-) d'on es treu el fitxer /etc/nsswitch.conf. En aquesta plantilla he canviat les línies dins un if:
    passwd:         compat 
    group:          compat
    shadow:         compat
    Per açò altre:
    passwd:         files nis
    group:          files nis
    shadow:         files nis
I TOT ARREGLAT!!!!