Weird World
Wann immer ich bisher Django anfassen musste, meist unfreiwillig, bin ich direkt ueber nen neuen Bug gestolpert. Die sind jetzt in Version 1.1 und es gibt immer noch sehr essentielle Dinge nicht, BigInt, splitten der Models Dateien etc.. Die sollten eher mal wieder auf Version 0.01 umsteigen – kack pythonzeug da.
So am Samstag wurde es vollbracht shackspace ist gegruendet!
Wir haben es in nur 4h geschafft allen Formalitaeten gerecht zu werden. Danach gabs noch bischen Club-Mate fuer die ausgetrockneten Hacker 
Aber die eigentliche Arbeit hat jetzt erst begonnen, die Raumsuche. Wie immer erweisst sich dies als nicht so einfach. Der eine will den Raum nicht an “Hacker” geben, dem naechsten gefaellt es nicht das 24/7 Leute da rumwuseln koennten, dem uebernaechsten ist man nicht serioes genug.
Alles schlimme Vorurteile, also wer nen Raum in Stuttgart kennt sollte mal den Aufruf vom shackspace lesen und wer denkt, dass das voll cool ist sollte Mitglied werden!
Heute Abend war ich in Stuttgart im Forum3 bei der Vorbesprechung zur Gründungssitzung des SHackspaces. Ich war sehr überrascht über die Ambitionen am Samstag den Hackerspace Stuttgart zu gründen. Viele nette neue Leute, ich bin sehr gespannt was am Samstag passieren wird und wir haben von Selfnet aus schon mal ein bischen Unterstützung signalisiert und werden am Samstag ordentlich feiern.
Wer gerade in Stuttgart oder Umgebung unterwegs ist, ist herzlich eingeladen mit zu feiern – wir freuen uns.
Die Formalitäten beginnen um 16 Uhr und ich denke gefeiert wird so ab 18 Uhr bis Openend.
Man findet das ganze in Räumen des Stadtjugendrings Stuttgart in der Junghansstraße 5.
Den Flyer findet man hier.
Kommt zahlreich und lasst uns feiern 
Falls man sich als Student kein Essen leisten kann, muss man nicht mehr Hungern. Selfnet bietet ein sehr uneigenuetziges Konzept, man wird Mitglied, macht 1-2x die Woche Support fuer andere Studenten, welche auch Mitglied sind und bekommt von deren Mitgliedsbeitrag Essen. Vorzugsweise Pizza oder Salat, diesen Service kann man 2x pro Woche in Anspruch nehmen. Aber falls man mal nicht so motiviert ist etwas zu tun, kann man sich auch einfach so in die gesellige Runde setzen und bekommt aus reiner Naechstenliebe auch etwas zu Essen … soll ja niemandem schlecht gehen. Falls einem dann auch noch die Leute in dieser illustren Runde nicht zusagen, darf man das Essen auch mit heim nehmen. Mitgliedsbeitrag muss man auch nicht zahlen, da man ja immer fleissig am Arbeiten ist fuer den Verein. So kommt uebers Jahr hinweg schon mal eine Pizzarechnung in Hoehe von mehr als 8000 Euro zusammen. Aber die restlichen Mitglieder zahlen natuerlich gerne ihre 9 Euro im Monat damit sie Internet bekommen und den Beduerftigen geholfen wird.
Phew, eben heim gekommen, schwupp wurde mir ein Bier angeboten. Sagt man ja nicht nein also hatte ich direkt ein Starkbier in der Hand, denkt man sich ja auch nix Boeses so 8% gehen ja schon. Angesetzt und fast das Spucken bekommen, nachgeschaut hat das Bier 11%. Hat geschmeckt wie wenn Schnaps drin waere … neuer Alcopop Bier mit Schnaps. *baeh*
Heute musste ich fuer Selfnet mal wieder Pam anfassen, da wir immer noch das Problem hatten, dass man sich zwar als lokaler Root-User anmelden kann, aber nicht wenn das Netzwerk weg ist. Dies lag daran, dass “ignore_unknown_user” nur funktioniert wenn das Ldap pam-modul auch noch den Ldap-Server erreicht.
Also mal wieder zu allem Graus die Pam Doku angeschaut mit dem Vorsatz diesmal wirklich zu wissen wie es funktioniert und nicht nur intelligent guessing zu betreiben. Jetzt mal die tiefen Einsichten in PAM.
Alle Realms funktionieren als ACL. Es gibt Standardmaessig 4 Realms naemlich auth, account, session und password. Die Bedeutung sowie fast alles Nachfolgende kann man hier in Englisch nachlesen. Ich hab hier und da noch Ergaenzungen gemacht und es gibt nochn Beispiel.
required: Wenn ein Modul, welches auf “required” gesetzt ist, einen Status ungleich “Success” zurueckgibt, wird der Vorgang nicht Erfolgreich beendet. Allerdings werden noch alle folgenden PAM-Module aufgerufen, damit angeblich es Angreifern erschwert wird den Fehler zu finden. Sprich wenn irgendein Modul das “required” ist fehlschlaegt wird alles kaputt gehen und es werden alle “required” Module ausgewertet.
requisite: Wenn ein “requisite” Modul fehlschlaegt, wird sofort abgebrochen ohne weitere Module auszuwerten.
sufficient: Wenn ein “sufficient” Modul Erfolgreich ist, dann reicht es damit das ganze Realm Erfolgreich ist. Weitere Module die als “sufficient” markiert sind werden nicht ueberprueft wenn eines erfolgreich war. Wenn es fehlschlaegt wird so lange weiter geprueft bis ein “sufficient” erfolgreich war oder das Gesamtergebnis ein Fehlschlag ist. Falls ein “required” Modul vor einem “sufficient” Fehlschlaegt, schlaegt das gesamte Realm fehl. Wenn aber ein “required” nach einem Erfolgreichen “sufficient” fehlschlagen wuerde wird das Realm trotzdem Erfolgreich beendet.
optional: Tut nix ausser es ist allein in dem Realm, dann wird bei seinem Fehlschlag das ganze Realm nicht erfolgreich beendet.
So jetzt Beispiele, zumindest ich hatte nachdem diesem Text nicht so ganz verstanden.
Also Ziel ist es jetzt, dass Root immer ueber die lokale Datenbank authentifiziert und autorisiert wird und alle anderen User ueber Ldap und das Hostflag beruecksichtigt wird:
/etc/pam.d/common-account
account required pam_unix.so # Dieses Modul ruft standard Routinen auf und wird fuer den Root-User benoetigt, schlaegt aber auch nicht Fehl fuer die Ldap User
account sufficient pam_succeed_if.so user = root #Diese Zeile laesst das Account Realm fuer den User Root erfolgreich enden
account sufficient pam_ldap.so #Falls man nicht Root ist wird noch diese Zeile ausgewertet
account required pam_deny.so #Nun muss noch ein Modul geladen werden was immer Fehlschlaegt, damit falls die beiden Sufficients fehlschlagen (dadurch wird das Realm nicht fehlerhaft beendet) auch die “requireds” fehlschlagen und somit das ganze Realm, da man ansonsten durch das erfolgreiche pam_unix.so trotzdem eingeloggt wird.
/etc/pam/common-auth
auth sufficient pam_unix.so nullok_secure #wieder das Standard Pam-Plugin welches mit nullok_secure ueberprueft, dass das Passwort nicht leer ist.
auth requisite pam_succeed_if.so user != root # nun wird mit “requisite” die ACL abgebrochen falls man User root ist damit dann bloss nicht der Ldap-Server gefragt wird, falls u.a. das Netz weg ist und der eh nicht mehr erreichbar ist.
auth sufficient pam_ldap.so use_first_pass #Nun wird fuer alle anderen User der Ldap-Server nach der Authentifizierung gefragt und zwar mit dem ersten eingegebenen Passwort, sonst muss man zwei eingeben
auth required pam_deny.so #Hier wieder das obligatorische Deny falls die “sufficients” Fehlschlagen das erste “required” aber erfolgreich war.
/etc/pam.d/common-session
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 #hiermit wird dem User ein Homedir angelegt, falls er noch keines besitzt, ansonsten hat das keine Auswirkung
session sufficient pam_ldap.so #jetzt wird das Ldap befragt ob du ne Session bekommst
session required pam_unix.so #und jetzt wieder der Standard Inix kruscht, hier gibts effektiv nix spannendes
/etc/pam.d/common-password
#auch hier ist alles Standard nix spannendes nur der Vollstaendigkeit halber.
password sufficient pam_unix.so md5 min=8 nullok
password sufficient pam_ldap.so
password required pam_deny.so
So hoffe das war halbwegs verstaendlich, da ich nur Leute kenne die PAM hassen wegen der Unverstaendlichkeit
UPDATE:
Eigentlich will man die Config wie folgt, da sich dann immer noch alle lokalen User einloggen koennen und nicht nur root:
/etc/pam.d/common-account
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_ldap.so
account required pam_deny.so
/etc/pam.d/common-auth
auth sufficient pam_unix.so nullok_secure
auth [success=die default=ignore ignore=ignore new_authtok_reqd=ok]
pam_localuser.so
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
/etc/pam.d/common-session
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
session sufficient pam_ldap.so
session required pam_unix.so
/etc/pam.d/common-password
password sufficient pam_unix.so md5 min=8 nullok
password sufficient pam_ldap.so
password required pam_deny.so
So jetzt haben wir heute Abend bei Selfnet noch den Mailserver und den Webserver virtualisiert. Jetzt noch den Primaeren DNS umziehen und hoffen, dass alles gut wird. KVM hat aber bisher gute Dienste geleistet und auch ansonsten recht pflegeleicht.
Nettes GUI Tool ist virt-manager allerdings hat es noch ein paar Kinderkrankheiten, aber fuer den Anfang besser als gar nix. Ansonsten halt Console, Virsh und libvirt Configs
Falls jemand schon mal Livemigration mit KVM gemacht hat bitte melden.
Dann muss jetzt nur noch das Routing schoener werden. *traeum*
P.S. Vordiplom habsch jetzt auch endlich
