Персональный сайт

Мониторинг микротика через zabbix сервер по протоколу SNMP V3

wown — Tue, 28 May 2019 08:26:11 GMT

Мониторинг микротика через zabbix сервер по протоколу SNMP V3.

Введение.
- Цель: настроить мониторинг микротика через zabbix сервер. Использовать версию 3 протокола SNMP, как наиболее безопасную.
- Будем использоваться zabbix сервер 4.0 . ~~В zabbix сервере версии ниже 4.0 нет полноценной поддержки протокола SNMP V3.~~
- В процедуре, описанной ниже, внимание акцентируется на важных параметрах. Настройка некоторых параметров опущена.
- Ссылки.
  - http://www.k-max.name/linux/snmp-protocol/ - SNMP протокол (основы).
  - https://wiki.mikrotik.com/wiki/Manual:SNMP - Manual:SNMP.
  - https://support.zabbix.com/browse/ZBX-13769 - inconsistent snmpV3 host availability detection in case of wrong credential parameters.
  - https://www.ekzorchik.ru/2016/12/interviewer-mikrotik-via-snmp-v3/ - Опрашиваем Mikrotik через SNMP v3.
  - https://www.ekzorchik.ru/2016/04/monitoring-mikrotik-using-zabbix/ - Мониторинг Mikrotik с помощью Zabbix
- Имеется виртуальный сервер, установлен debian 9 и zabbix сервер 4.0. Hostname = zabbix-srv4, IP сервера = 192.168.88.22 . Локальный пользователь = user1 , может sudo. IP адрес микротика = 192.168.88.1
Процедура I. Настраиваем мониторинг по SNMP V2.
- В качестве тренировки, настроим мониторинг микротика по SNMP V2. Напоминаю, что при этом вся информация (о мониторинге) передается в открытом виде.
- Через winbox подключаемся к микротику.
- Далее, IP > SNMP > в поле "Enabled" ставим галку > Apply. Это минимально необходимая настройка.
- Из соображений безопасности, рекомендуется ограничить диапазон IP адресов, с которых можно подключаться по SNMP. В winbox IP > SNMP > Communities > public > Addresses = 192.168.88.0/24 > Apply.
- Проверяем. На заббикс сервере в shell.
  
  user1@zabbix-srv4:~$ snmpwalk -v 2c -c public 192.168.88.1 | head -n 5 iso.3.6.1.2.1.1.1.0 = STRING: "RouterOS RB941-2nD" iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.14988.1 iso.3.6.1.2.1.1.3.0 = Timeticks: (10250400) 1 day, 4:28:24.00 iso.3.6.1.2.1.1.4.0 = "" iso.3.6.1.2.1.1.5.0 = STRING: "MikroTik"
- Далее на заббикс сервере подключаю микротик. Вариант подключения описан в 5-й ссылке. Можно использовать стандартный шаблон "Template Module Generic SNMPv2" или поискать на https://share.zabbix.com/. На этом этапе подойдет заббикс сервер версии меньше 4.0 .
Процедура II. По шагам настраиваем мониторинг по SNMP V3.
- Через winbox подключаемся к микротику и добавляем community.
- В winbox IP > SNMP > Communities > Нажимаем плюсик на панели инструментов.
  - Name = snmp-v3
  - Addresses = (можно оставить незаполненым)
  - Security = private
  - "Read Access" галка стоит.
  - "Write Access" галка не стоит.
  - "Authentication Protocol" = MD5
  - "Encryption Protocol" = DES
  - "Authentication Password" = long_A_pwd
  - "Encryption Password" = long_E_pwd
  - Apply.
- Проверяем. На заббикс сервере в shell.
  
  user1@zabbix-srv4:~$ snmpwalk -v 3 -u snmp-v3 -l authPriv -A long_A_pwd -a MD5 -X long_E_pwd -x DES 192.168.88.1 | head -n 5 iso.3.6.1.2.1.1.1.0 = STRING: "RouterOS RB941-2nD" iso.3.6.1.2.1.1.2.0 = OID: iso.3.6.1.4.1.14988.1 iso.3.6.1.2.1.1.3.0 = Timeticks: (10250400) 1 day, 4:28:25.00 iso.3.6.1.2.1.1.4.0 = "" iso.3.6.1.2.1.1.5.0 = STRING: "MikroTik"
- Далее в админке заббикс сервера.
  - Скачиваю и устанавливаю шаблоны: Template Module Generic SNMPv3, Template Module Interfaces Simple SNMPv3, Template Net Mikrotik SNMPv3.
  - Для настройки шифрования в протоколе SNMP V3, нужно переделать шаблоны. Ниже описаны важные параметры безопасности датчиков, которые нужно заменить (отредактировать) или проверить. Это касается и "Discovery rules"
    - Security name = {$SNMP_SECNAME_CONTEXT}
    - Security level = authPriv
    - Authentication protocol = MD5
    - Authentication passphrase = {$SNMPV3_AUTH_PWD}
    - Privacy protocol = DES
    - Privacy passphrase = {$SNMPV3_PRIV_PWD}
  - Добавляю host. SNMP interfaces = 192.168.88.1 . В разделе Macros добавляю:
    
    {$SNMP_SECNAME_CONTEXT} = snmp-v3
    
    {$SNMPV3_AUTH_PWD} = long_A_pwd
    
    {$SNMPV3_PRIV_PWD} = long_E_pwd
  - Далее к хосту подключаю шаблон "Template Net Mikrotik SNMPv3".
  - Далее в разделе "Latest data" выбираю микротик и смотрю состояние датчиков.
- На этом все.
Доделки, замечания, диагностика.
- Диагностика ошибок.
  - Если в журнале заббикс сервера (/var/log/zabbix/zabbix_server.log) возникает ошибка
    
    1273:20190530:143634.133 item "192.168.88.1:system.cpu.util[hrProcessorLoad.1]" became not supported: Cannot connect to "192.168.88.1:161": Unsupported security level.
    
    в моем случае это означало, что датчик "system.cpu.util[hrProcessorLoad.1]" настроен неправильно. Нужно проверить парамерты безопасности, описанные выше.
  - Добавлено 17.06.2019 . Если в журнале заббикс сервера (/var/log/zabbix/zabbix_server.log) возникает ошибка
    
    45002:20190611:084637.664 item "192.168.88.1:system.cpu.util[hrProcessorLoad.1]" on host "MikroTik" failed: first network error, wait for 15 seconds.
    
    в моем случае, вылечилось после установки параметра EngineID (раздел SNMP) на микротике. Желательно, чтобы этот параметр был уникальным, можно использовать MAC адрес сетевой платы. Через winbox, IP > SNMP > EngineID = "00:15:5d:00:64:05" . Ссылка на статью по теме.
- Замечания.
  - Если мониторинг осуществляется через публичные сети, необходимо обеспечить прохождение пакетов. Например, открыть порты на стенках. Для диагностики использовать snmpwalk.
  - Добавлено 26.06.2019 . Исследования показали, что заббикс сервер 3.4.15 вполне нормально собирает мониторинг по SNMP V3. Но эта версия (3.4.15) уже не поддерживается.
- Доделки.
  - Если SNMP V3 работает нормально, отключаем младшие версии SNMP.
    
    В winbox, IP > SNMP > Communities > public > Addresses = 127.0.0.1/32 > Apply.

Сращиваю nextcloud с keycloak.

wown — Tue, 28 May 2019 07:56:03 GMT

Сращиваю nextcloud с keycloak.

Введение.
- Цель - настроить аутентификацию пользователей сервера nextcloud в сторонних системах аутентификации через keycloak.
- Имеются сервера: 1) hostname = nextcloud-tst.example.org ; 2) hostname = keycloak-tst.example.org . Оба имеют "белые" IP адреса.
- Ниже описана процедура настройки серверов. При этом, пользователи nextcloud будут проходить аутентификацию во внутренней базе пользователей keycloak.
- Ссылки по теме:
  - https://rmm.li/wiki/doku.php?id=linux_server_manuals:nextcloud_saml_authentication_against_keycloak - Keycloak as (SAML) SSO-Authentication provider for Nextcloud.
  - https://stackoverflow.com/questions/51011422/is-there-a-way-to-filter-avoid-duplicate-attribute-names-in-keycloak-saml-assert - Is there a way to filter/avoid duplicate attribute names in keycloak SAML assertions?.

Подготовка.
- Имеется сервер: ОС debian 9 , nextcloud 14.0.4 , URL = https://nextcloud-tst.example.org/ , сертификат из моей иерархии.
- Имеется сервер: ОС debian 9 , keycloak 4.8.2 , URL = https://keycloak-tst.example.org/ , сертификат из моей иерархии. Запросы проксируются через nginx. Создан realm = demo-1.
  - В realm demo-1 создан новый пользователь - user1 , задан пароль.
- Сохраняю сертификат keycloak.
  - Захожу (логинюсь) на https://keycloak-tst.example.org/ .
  - realm = demo-1 > Realm Settings > Keys > RSA > certifcate > Копирую текст сертификата в файл keycloak-tst_demo-1_rsa.cert .

По шагам. Настройка nextcloud.
- Создаю ключевую пару (закрытый ключ и сертификат).
  user@nextcloud-tst:~$ openssl req -nodes -new -x509 -keyout nextcloud-tst2.example.org.key -out nextcloud-tst2.example.org.cert
- В админке nextcloud активирую и подключаю приложение (app) "SSO & SAML authentication".
- Далее начинаю настраивать "SSO & SAML authentication". Прямая ссылка - https://nextcloud-tst.example.org/settings/admin/saml .
  - "Allow the use of multiple user back-ends" ставим галку.
  - "Add identity provider".
  - General. "Attribute to map the UID to" = username
  - "Optional display name of the identity provider..." = "SAML Keycloak"
  - Service Provider Data. Нажимаю "Show Service Provider settings…".
  - В поле "X.509 Certificate of Service provider" копирую содержимое файла (сертификат) nextcloud-tst2.example.org.cert .
  - В поле "Private Key of service provider" копирую содержимое файла (закрытый ключ) nextcloud-tst2.example.org.key .
  - Identity Provider Data. "Identifier of IdP entity" = https://keycloak-tst.example.org/auth/admin/demo-1
  - "URL Target of the IdP where the SP will send the Authentication Request Message" = https://keycloak-tst.example.org/auth/admin/demo-1/protocol/saml .
  - Нажимаю "Show optional Identity Provider settings…". "URL Location of the IdP where the SP will send the SLO Request" = https://keycloak-tst.example.org/auth/admin/demo-1/protocol/saml .
  - В поле "Public x.509 certificate of the IdP" вставляю содержимое файла keycloak-tst_demo-1_rsa.cert . В моем файле не оказалось строк "-----BEGIN CERTIFICATE-----" и "-----END CERTIFICATE-----". Добавил.
  - "Attribute mapping" не трогаю, у меня пусто.
  - Нажимаю "Show security settings…". Выставляю галки в полях:
    - "Indicates whether the
    - "Indicates whether the
    - "Indicates whether the
    - "Indicates a requirement for the
    - "Indicates a requirement for the
  - Далее, нажимаю "Download metadata XML" и сохраняю в файл nextcloud-tst.example.org_metadata.xml .

По шагам. Настройка keycloak.
- В админке keycloak выбираю realm demo-1 > Clients. Прямая ссылка - https://keycloak-tst.example.org/auth/admin/master/console/#/realms/demo-1/clients .
- Создаю нового клиента (Create) > Select file > выбираю файл nextcloud-tst.example.org_metadata.xml > Save. При этом в списке клиентов (Clients) появляется запись "https://nextcloud-tst.example.org/apps/user_saml/saml/metadata"
- Далее, в настройках клиента (https://nextcloud-tst.example.org/apps/user_saml/saml/metadata) выбираю Mappers и создаю Mapper (Create).
  - Name = username
  - Mapper Type = User Property
  - Property = username
  - Friendly Name = username
  - SAML Attribute Name = username
  - SAML Attribute NameFormat = Basic
  - В конце нажимаю Save.
- Далее настраиваю Client Scopes. Realm demo-1 > Client Scopes > role_list (saml) > Закладка Mappers >role list > "Single Role Attribute" = ON > Save. Если этого не сделать, в nextcloud появится ошибка: "Found an Attribute element with duplicated Name".

По шагам. Проверка.
- Захожу на сайт на сайт https://nextcloud-tst.example.org/. Выбираю "SAML Keycloak".
- На странице keycloak захожу (логинюсь) под user1 и вижу файлы и папки nextcloud.

Замечания. Прочее.
- Если имя (логин) "внешнего" (keycloak) пользователя совпадает с именем внутреннего пользователя (например, админа), то "внешний" пользователь получит доступ к файлам внутреннего.
- Описанная процедура проверена лично.

Установка zabbix 3.2.1 в debian 8.

wown — Mon, 05 Dec 2016 10:13:13 GMT

Установка zabbix 3.2.1 в debian 8.

Введение.
- Цель: установить zabbix server 3.2.1 в debian 8. Будет использоваться nginx и postgresql.
- Ссылки.
  - http://notessysadmin.com/peculiarity-of-zabbix-installation-in-conjunction-with-postgresql-on-debian-8-jessie - Особенность установки Zabbix в связке с PostgreSQL на Debian 8 Jessie.
  - http://serveradmin.ru/ustanovka-zabbix-3-na-nginx-php-fpm/ - Установка Zabbix 3 на nginx + php-fpm.
  - http://serveradmin.ru/nginx-php-fpm-na-centos-7/ - Nginx + php-fpm на CentOS 7.
  - https://jumuro.ru/resources/zabbix-3-0-debian-8.3/ - Zabbix 3.0 Debian 8.
  - http://howitmake.ru/blog/centos/165.html - CentOS → Настройка сервера Zabbix с PostgresSQL на CentOS (Zabbix+PostgreSQL+Nginx+php).
  - https://www.zabbix.com/documentation/3.2/manual/installation/install_from_packages/repository_installation - Zabbix Documentation 3.2. 1 Repository installation
  - https://wiki.archlinux.org/index.php/Zabbix_with_NGINX_how-to_(Русский) - Zabbix with NGINX how-to (Русский).
- Имеется виртуальный сервер, установлен debian 8. Hostname = zabbix-srv1. Локальный пользователь = user1 , может sudo. Демон ngin будет "крутится" под пользователем www-data. Демон php5-fpm будет "крутится" под пользователем www-data. Демон postgresql будет "крутится" под пользователем postgres.
Пошаговая процедура.
- Подключаемся через ssh к zabbix-srv1.
- Смотрим, что есть.
  
  user1@zabbix-srv1:~$ uname -a Linux zabbix-srv1 3.16.0-4-686-pae #1 SMP Debian 3.16.36-1+deb8u1 (2016-09-03) i686 GNU/Linux
  
  user1@zabbix-srv1:~$ cat /etc/os-release | grep PRET PRETTY_NAME="Debian GNU/Linux 8 (jessie)"
  
  user1@zabbix-srv1:~$ cat /etc/apt/sources.list
  
  user1@zabbix-srv1:~$ ls /etc/apt/sources.list.d/ -l
  
  user1@zabbix-srv1:~$ aptitude search postgresql
  
  user1@zabbix-srv1:~$ aptitude search php | grep fpm p php5-fpm - server-side, HTML-embedded scripting langu
  
  user1@zabbix-srv1:~$ aptitude search ngin
- Устанавливаем postgresql.
  
  user1@zabbix-srv1:~$ sudo apt-get install postgresql
  
  user1@zabbix-srv1:~$ sudo systemctl enable postgresql.service
  
  user1@zabbix-srv1:~$ sudo service postgresql start
  
  user1@zabbix-srv1:~$ sudo service postgresql status
  
  user1@zabbix-srv1:~$ sudo ps -aux | grep pos
  
  user1@zabbix-srv1:~$ netstat -tan | grep 54
- Устанавливаем nginx.
  
  user1@zabbix-srv1:~$ sudo apt-get install nginx
  
  user1@zabbix-srv1:~$ sudo systemctl enable nginx.service
  
  user1@zabbix-srv1:~$ sudo service nginx start
  
  user1@zabbix-srv1:~$ sudo service nginx status
  
  user1@zabbix-srv1:~$ sudo ps -aux | grep ngin
  
  user1@zabbix-srv1:~$ sudo netstat -tanp | grep 80
- Устанавливаем php5-fpm.
  
  user1@zabbix-srv1:~$ sudo apt-get install php5-fpm php5-pgsql
  
  user1@zabbix-srv1:~$ sudo systemctl enable php5-fpm.service
  
  user1@zabbix-srv1:~$ sudo service php5-fpm start
  
  user1@zabbix-srv1:~$ sudo service php5-fpm status
  
  user1@zabbix-srv1:~$ sudo ps -aux | grep fpm
- Устанавливаем пакеты zabbix.
  
  user1@zabbix-srv1:~$ wget http://repo.zabbix.com/zabbix/3.2/debian/pool/main/z/zabbix-release/zabbix-release_3.2-1+jessie_all.deb
  
  user1@zabbix-srv1:~$ sudo dpkg -i zabbix-release_3.2-1+jessie_all.deb
  
  user1@zabbix-srv1:~$ sudo apt-get update
  
  user1@zabbix-srv1:~$ ls /etc/apt/sources.list.d/ -l
  
  user1@zabbix-srv1:~$ cat /etc/apt/sources.list.d/zabbix.list
  
  user1@zabbix-srv1:~$ aptitude search zabbi
  
  user1@zabbix-srv1:~$ sudo apt-get install zabbix-server-pgsql zabbix-frontend-php
  
  user1@zabbix-srv1:~$ sudo systemctl enable zabbix-server.service
- Настраиваем postgresql.
  
  user1@zabbix-srv1:~$ sudo su postgres -c psql postgres=# CREATE USER zabbixusr WITH PASSWORD 'long-passw0rd'; postgres=# CREATE DATABASE zabbixdb OWNER zabbixusr ENCODING 'UTF8'; postgres=# GRANT ALL PRIVILEGES ON DATABASE zabbixdb TO zabbixusr ; postgres-# \q
  
  user1@zabbix-srv1:~$ sudo mcedit /etc/postgresql/9.4/main/pg_hba.conf
  
  ... # "local" is for Unix domain socket connections only host zabbixdb zabbixusr 127.0.0.1/32 password local all all peer # IPv4 local connections: host all all 127.0.0.1/32 md5 # IPv6 local connections: host all all ::1/128 md5 # Allow replication connections from localhost, by a user with the ...
  
  user1@zabbix-srv1:~$ sudo service postgresql restart
  
  user1@zabbix-srv1:~$ zcat /usr/share/doc/zabbix-server-pgsql/create.sql.gz > /home/user1/create.sql
  
  user1@zabbix-srv1:~$ sudo psql --host=127.0.0.1 --username=zabbixusr --dbname=zabbixdb -f ./create.sql
- Настраиваем php5-fpm.
  
  user1@zabbix-srv1:~$ sudo mv /etc/php5/fpm/pool.d/www.conf /etc/php5/fpm/pool.d/www.co-n-f
  
  user1@zabbix-srv1:~$ sudo mcedit /etc/php5/fpm/pool.d/zabbix.conf
  
  ; Start a new pool named 'zabbix'. [zabbix] user = www-data group = www-data listen = 127.0.0.1:9024 listen.owner = www-data listen.group = www-data pm = dynamic pm.max_children = 20 pm.start_servers = 5 pm.min_spare_servers = 2 pm.max_spare_servers = 10 slowlog = /var/log/php-fpm/zabbix-slow.log php_admin_value[error_log] = /var/log/fpm-php.zabbix.log php_admin_flag[log_errors] = on php_admin_value[post_max_size] = 16M php_admin_value[max_execution_time] = 300 php_admin_value[max_input_time] = 300 php_admin_value[always_populate_raw_post_data] = -1
  
  user1@zabbix-srv1:~$ sudo service php5-fpm restart
- Настраиваем nginx.
  
  user1@zabbix-srv1:~$ sudo openssl req $@ -new -x509 -days 365 -nodes -out /etc/nginx/cert/zabbix-srv1.localnet.cert.pem -keyout /etc/nginx/cert/zabbix-srv1.localnet.key.pem
  
  user1@zabbix-srv1:~$ sudo chown -R www-data /usr/share/zabbix
  
  user1@zabbix-srv1:~$ sudo chown -R www-data /etc/zabbix/web/
  
  user1@zabbix-srv1:~$ sudo mcedit /etc/nginx/sites-available/zabbix
  
  upstream php-handler-zabbix { server 127.0.0.1:9024; #server unix:/var/run/php5-fpm.sock; } server { listen 443 ssl; server_name zabbix-srv1.localnet ; # replace with your domain name add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; ssl_certificate /etc/nginx/cert/zabbix-srv1.localnet.cert.pem ; ssl_certificate_key /etc/nginx/cert/zabbix-srv1.localnet.key.pem ; disable_symlinks if_not_owner from=$root_path ; root $root_path; set $root_path /usr/share/zabbix; index index.php; # root /usr/share/zabbix; access_log /var/log/nginx/zabbix.access.log; error_log /var/log/nginx/zabbix.error.log; client_max_body_size 10G; # set max upload size fastcgi_buffers 64 4K; location / { try_files $uri $uri/ /index.php?$uri&$args; location ~ [^/]\.ph(p\d*|tml)$ { try_files /does_not_exists @php; } } location /conf/ { deny all; } location /app/ { deny all; } location /include/ { deny all; } location /local/ { deny all; } location @php { fastcgi_index index.php; fastcgi_pass php-handler-zabbix ; fastcgi_param SCRIPT_FILENAME $request_filename; # fastcgi_pass unix:/var/run/php-fpm-zabbix.sock; fastcgi_split_path_info ^((?U).+\.ph(?:p\d*|tml))(/?.+)$; try_files $uri =404; fastcgi_param PHP_VALUE "date.timezone = Asia/Novosibirsk " ; fastcgi_buffers 8 256k; fastcgi_buffer_size 128k; fastcgi_intercept_errors on; include fastcgi_params; } ssi on; gzip on; gzip_comp_level 5; gzip_disable "msie6"; gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml+rs ; }
  
  user1@zabbix-srv1:~$ sudo ln -s /etc/nginx/sites-available/zabbix /etc/nginx/sites-enabled/zabbix
  
  user1@zabbix-srv1:~$ sudo service nginx restart
  
  user1@zabbix-srv1:~$ netstat -tan | grep 443
- В браузере заходим на https://zabbix-srv1.localnet/
  - Welcome to Zabbix 3.2. Next step.
  - Check of pre-requisites. Проверяем, исправляем, если нужно. Next step.
  - Configure DB connection.
    - Database type = PostgreSQL
    - Database host = localhost
    - Database port = 0
    - Database name = zabbixdb
    - User = zabbixusr
    - Password = *******
    - Next step.
  - Zabbix server details. Ничего не меняем. Next step.
  - Pre-installation summary. Next step.
  - Congratulations! You have successfully installed Zabbix frontend. Configuration file "/usr/share/zabbix/conf/zabbix.conf.php" created. Finish.
- Доделки.
  - В браузере открываем https://zabbix-srv1.localnet . Заходим: Username = Admin ; Password = zabbix .
  - Обычно в браузере возникает сообщение: "Zabbix server is not running...". Редактируем файл /etc/zabbix/zabbix_server.conf .
    
    # This is a configuration file for Zabbix server daemon LogFile=/var/log/zabbix/zabbix_server.log LogFileSize=0 PidFile=/var/run/zabbix/zabbix_server.pid DBName=zabbixdb DBUser=zabbixusr DBPassword=****** Timeout=4 AlertScriptsPath=/usr/lib/zabbix/alertscripts ExternalScripts=/usr/lib/zabbix/externalscripts FpingLocation=/usr/bin/fping Fping6Location=/usr/bin/fping6 LogSlowQueries=3000
  - Перезапуск демона.
    
    user1@zabbix-srv1:~$ sudo service zabbix-server restart
Все. Установка завершена.

Настройка nextcloud 10 для работы с Collabora Online

wown — Fri, 25 Nov 2016 03:50:29 GMT

Настройка nextcloud 10 для работы с Collabora Online

Введение.
- Collabora Online - это некоторое решение, которое позволяет (пользователям nextcloud) редактировать офисные документы в браузере.
- Решение Collabora Online состоит из нескольких частей:
  - Расширение (называется app) для nextcloud (owncloud), которое реализует интерфейс с другими частями (компонентами).
  - Прокси сервер (для https запросов), реализован на apache.
  - Docker контейнер, с установленным libreoffice. В нем реализованы все функции редактирования документов.
- Ссылки.
  - http://wown.ucoz.ru/blog/ustanovka_nextcloud_10_v_centos_7/2016-09-21-34 - Установка nextcloud 10 в centos 7.
  - https://nextcloud.com/collaboraonline/ - Collabora Online in Nextcloud
- Имеется виртуальный сервер, с установленным centos 7. Hostname = nextcloud-srv1. Локальный пользователь = user1 , может sudo.
Пошаговая процедура.
- Подготовка.
  - Смотрим что есть.
    
    [user1@nextcloud-srv1 ~]$ uname -a Linux nextcloud-srv1 3.10.0-327.36.3.el7.x86_64 #1 SMP Mon Oct 20 16:09:20 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux
    
    [user1@nextcloud-srv1 ~]$ cat /etc/os-release ... PRETTY_NAME="CentOS Linux 7 (Core)" ...
  - Установка docker.
    [user1@nextcloud-srv1 ~]$ sudo yum install docker
    
    [user1@nextcloud-srv1 ~]$ ls /usr/lib/systemd/system/*dock* -l
    
    [user1@nextcloud-srv1 ~]$ sudo service docker status
    
    [user1@nextcloud-srv1 ~]$ sudo systemctl enable docker.service
    
    [user1@nextcloud-srv1 ~]$ sudo service docker start
    
    [user1@nextcloud-srv1 ~]$ sudo ps -aux | grep dock
  - Установка apache.
    [user1@nextcloud-srv1 ~]$ yum list installed | grep httpd
    
    [user1@nextcloud-srv1 ~]$ service httpd status
    
    [user1@nextcloud-srv1 ~]$ httpd -M
    
    [user1@nextcloud-srv1 ~]$ yum list | grep mod_
    
    [user1@nextcloud-srv1 ~]$ sudo yum install mod_ssl
    
    [user1@nextcloud-srv1 ~]$ service httpd status
    
    [user1@nextcloud-srv1 ~]$ sudo systemctl enable httpd.service
  - Прочее.
    - В DNS (или hosts) прописываем: collabora-online.local = {IP of nextcloud-srv1}.
    - В фаерволе разрешаем подключения на порт 8043 .
- Настройка docker.
  
  [user1@nextcloud-srv1 ~]$ sudo docker pull collabora/code
  
  [user1@nextcloud-srv1 ~]$ docker images
  
  [user1@nextcloud-srv1 ~]$ docker ps
  
  [user1@nextcloud-srv1 ~]$ docker run -t -d -p 127.0.0.1:9980:9980 -e "domain=nextcloud-srv1\.local" --cap-add MKNOD collabora/code
  
  [user1@nextcloud-srv1 ~]$ docker ps
- Настройка apache.
  - Создаем сертификат.
    [user1@nextcloud-srv1 ~]$ sudo openssl req $@ -new -x509 -days 365 -nodes -out /etc/httpd/cert/collabora-online.local.crt.pem -keyout /etc/httpd/cert/collabora-online.local.key.pem
  - Создаем файл /etc/httpd/conf.d/collabora-online.conf , содежащий:
    <VirtualHost *:8043> ServerName collabora-online.local:8043 SSLEngine on SSLCertificateFile /etc/httpd/cert/collabora-online.local.crt.pem SSLCertificateKeyFile /etc/httpd/cert/collabora-online.local.key.pem SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES 128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SH A384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-S HA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RS A-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA25 6:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS SSLHonorCipherOrder on AllowEncodedSlashes On SSLProxyEngine On SSLProxyVerify None SSLProxyCheckPeerCN Off SSLProxyCheckPeerName Off ProxyPreserveHost On ProxyPass /loleaflet https://127.0.0.1:9980/loleaflet retry=0 ProxyPassReverse /loleaflet https://127.0.0.1:9980/loleaflet ProxyPass /hosting/discovery https://127.0.0.1:9980/hosting/discovery retry=0 ProxyPassReverse /hosting/discovery https://127.0.0.1:9980/hosting/discovery ProxyPass /lool/ws wss://127.0.0.1:9980/lool/ws ProxyPass /lool/adminws wss://127.0.0.1:9980/lool/adminws ProxyPass /lool https://127.0.0.1:9980/lool ProxyPassReverse /lool https://127.0.0.1:9980/lool </VirtualHost>
  - Запуск apache.
    [user1@nextcloud-srv1 ~]$ sudo service httpd start
- Доделки в nextcloud.
  - Скачиваем расширение (app) на странице https://apps.owncloud.com/content/show.php/Collabora+Online+connector?content=174727 , кнопка "download" . Я скачивал версию 1.1.7.
  - Распаковываем.
    [user1@nextcloud-srv1 ~]$ sudo unzip 174727-richdocuments.zip -d /var/www/nextcloud/apps/
  - Устанавливаем и настраиваем app.
    [user1@nextcloud-srv1 ~]$ sudo chown -R nginx:nginx /var/www/nextcloud/apps
    
    [user1@nextcloud-srv1 ~]$ sudo service nginx restart
    
    [user1@nextcloud-srv1 ~]$ sudo -u nginx php56 /var/www/nextcloud/occ app:list
    
    [user1@nextcloud-srv1 ~]$ sudo -u nginx php56 /var/www/nextcloud/occ app:enable richdocuments
    
    [user1@nextcloud-srv1 ~]$ sudo service nginx restart
  - В браузере (яндекс-браузер) заходим - https://nextcloud-srv1.local/index.php/settings/admin/additional . Collabora Online server = https://collabora-online.local:8043 . Apply.
  - В браузере (яндекс-браузер) заходим - https://nextcloud-srv1.local/index.php/apps/richdocuments/index . Возникает сообщение об ошибке сетификата. Исправляем.
    [user1@nextcloud-srv1 ~]$ cat /etc/nginx/cert/collabora-online.local.crt.pem >> /var/www/nextcloud/resources/config/ca-bundle.crt
  - Поновой, в браузере (яндекс-браузер) заходим - https://nextcloud-srv1.local/index.php/apps/richdocuments/index . Видим список документов.
  - Нажимаем на документ About.odt > Скорее всего появится сообщение "Не удаётся установить соединение с сайтом." > Открываем в другой закладке адрес - https://collabora-online.local:8043/loleaflet/1.8.3/loleaflet.html, появляется сообщение "Соединение с этим сервером небезопасно", далее "Подробности" > "Сделать исключение для этого сайта".
  - В браузере (яндекс-браузер) возвращаемся на закладку https://nextcloud-srv1.local/index.php/apps/richdocuments/index. Обновляем страницу, Видим список документов. Нажимаем на документ About.odt . Видим окно редактора, можно редактировать.
Диагностика.
- Читать журналы: nextcloud, nginx, apache.
- Проверить запущены ли демоны. Доступны ли TCP порты.

Экспорт/импорт пользователей active directory

wown — Thu, 06 Oct 2016 10:12:40 GMT

Экспорт/импорт пользователя active directory

Введение.
- Имеются два домена: dom1.local и dom2.local ; в домене dom1.local есть пользователь user1 . Нужно перенести (т.е. скопировать) пользователя user1 в домен dom2.local.
- Будет использоваться PowerShell. Экспорт/импорт будет осуществляться через XML файл. Пароль НЕ копируется, хотя при некоторых настройках это можно сделать.
- Ссылки.
  - https://4sysops.com/archives/export-active-directory-users-with-powershell/ - Export Active Directory users with PowerShell
  - https://community.spiceworks.com/topic/484300-export-import-ad-user-info?page=1 - Export/Import AD user info
Пошаговая процедура.
- Экспорт. Запускаем PowerShell (под админом) на домен-контроллере dom1.local .
  - Ищем пользователя. Вывод команды должен показать список параметров пользователя user1
    
    get-aduser -filter {SamAccountName -like '*user1*'}
  - Результат поиска сохраняем в переменную.
    
    $dom1_users = get-aduser get-aduser -filter {SamAccountName -like '*user1*'} -Properties *
  - Проверяем содержимое переменной.
    
    $dom1_users
  - Сохраняем в файл.
    
    $dom1_users | export-clixml C:\export\dom1_user1.xml
  - Проверяем содержимое файла.
    
    import-clixml C:\export\dom1_user1.xml
- Копируем файл dom1_user1.xml с домен-контроллера dom1.local на домен-контроллер dom2.local.
- Импорт.Запускаем PowerShell (под админом) на домен-контроллере dom2.local.
  - Смотрим содержимое файла.
    
    import-clixml C:\import\dom1_user1.xml
  - Загружаем содержимое файла в переменную.
    
    $dom2_users = import-clixml C:\import\dom1_user1.xml
  - Проверяем содержимое переменной.
    
    $dom2_users
  - Создаем пользователя (в домене dom2.local), на основе информации в переменной. На этом этапе можно заменить некоторые параметры учетной записи.
    
    $dom2_users | Foreach { New-ADUser -Name $_.name -SamAccountName $_.samaccountname -DisplayName $_.displayName -GivenName $_.givenName -OtherName $_.OtherName -Surname $_.Surname -Description "import from dom1.loca" -UserPrincipalName "$($_.samaccountname)@dom2.local" -Enabled $true -AccountPassword (ConvertTo-SecureString -AsPlainText "l0nG-password" -Force) -ChangePasswordAtLogon $true }
  - Проверяем параметры пользователя.
    
    get-aduser get-aduser -filter {SamAccountName -like '*user1*'}
- На этом процедуру копирования пользователя можно считать завершенной. Замечания, дополнения.
  - Новый пользователь (в домене dom2.local) создается с паролем - l0nG-password
  - После некоторых модификаций, можно использовать данную процедуру для копирования нескольких пользователей.

Изменение редакции Windows Server 2012 R2 с Datacenter на Standard.

wown — Wed, 21 Sep 2016 03:14:46 GMT

Изменение редакции Windows Server 2012 R2 с Datacenter на Standard.

Введение.
- Имеется сервер, установлена ОС - Windows Server 2012 R2, Datacenter Edition. Нужно изменить редакцию на Standard, с максимальным сохранением настроек.
- Microsoft НЕ поддерживает downgrade в таких случаях.
- Описанная ниже процедура проверена мною лично.
- Ссылки по теме:
  - http://activedirectoryfaq.com/2015/09/downgrade-windows-server-2012-licenses/ - Downgrade Windows Server 2012 licenses
  - https://social.technet.microsoft.com/Forums/windowsserver/en-US/0b0af758-44c7-48ee-be94-d6aa6828e739/installed-datacenter-want-to-downgrade-to-standard?forum=winserver8gen - Installed Datacenter want to downgrade to Standard
По шагам.
- На работающей Windows Server 2012 R2, Datacenter Edition заходим в редактор реестра (regedit), находим ветку - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion :
  - Меняем ключ EditionID на ServerStandard
  - Меняем ключ ProductName на "Windows Server 2012 R2 Standard"
- Подключаем как диск (монтируем) образ (.iso) дистрибутива Windows Server 2012 R2, Standard Edition.
- На подключенном диске запускам setup.exe (в корне диска). Запускается программа установки Windows Server 2012 R2, Standard Edition. Выбираем обновление (upgrade).
- После обновления имеем установленную ОС Windows Server 2012 R2, Standard Edition.

Установка nextcloud 10 в centos 7.

wown — Wed, 21 Sep 2016 02:35:32 GMT

Установка nextcloud 10 в centos 7.

Введение.
- Цель: установить nextcloud 10 в centos 7. Будет использоваться nginx и postgresql.
- Ссылки.
  - https://www.howtoforge.com/centos-owncloud-nginx - Install ownCloud with SSL and Nginx in CentOS 6.5.
  - https://www.rosehosting.com/blog/install-nextcloud-on-ubuntu-16-04/ - Install Nextcloud on Ubuntu 16.04.
  - https://docs.nextcloud.com/server/10/admin_manual/installation/nginx_examples.html - Nginx Example Configurations.
  - https://help.nextcloud.com/t/access-denied-on-nginx/2956 - Access denied on nginx.
- Имеется виртуальный сервер, с установленным centos 7. Hostname = nextcloud-srv1. Локальный пользователь = user1 , может sudo.
Пошаговая процедура.
- Подключаемся через ssh к nextcloud-srv1 .
- Смотрим версию центоса.
  
  user1@nextcloud-srv1 ~$ cat /etc/os-release ... PRETTY_NAME="CentOS Linux 7 (Core)" ...
- Устанавливаем EPEL и Remi репозитории. Эти репозитории нужны для установки php 5.6 и выше. Ссылка.
  
  user1@nextcloud-srv1 ~$ yum repolist
  
  user1@nextcloud-srv1 ~$ wget http://rpms.famillecollet.com/enterprise/remi-release-7.rpm
  
  user1@nextcloud-srv1 ~$ wget https://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
  
  user1@nextcloud-srv1 ~$ sudo rpm -Uvh epel-release-latest-7*.rpm
  
  user1@nextcloud-srv1 ~$ sudo rpm -Uvh remi-release-7.rpm
  
  user1@nextcloud-srv1 ~$ yum update
  
  user1@nextcloud-srv1 ~$ yum repolist Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile * base: mirror.nsu.ru * epel: ftp.lysator.liu.se * extras: mirror.nsu.ru * remi-safe: mirror.h1host.ru * updates: mirror.nsu.ru repo id repo name status base/7/x86_64 CentOS-7 - Base 9,007 *epel/x86_64 Extra Packages for Enterprise Linux 7 - x86_64 10,641 extras/7/x86_64 CentOS-7 - Extras 391 remi-safe Safe Remi's RPM repository for Enterprise Linux 7 - x86_64 1,143 updates/7/x86_64 CentOS-7 - Updates 2,507 repolist: 23,689
- Устанавливаем postgresql.
  
  user1@nextcloud-srv1 ~$ yum list | grep postgresq
  
  user1@nextcloud-srv1 ~$ yum install postgresql postgresql-libs postgresql-server
  
  user1@nextcloud-srv1 ~$ systemctl is-enabled postgresql.service
  
  user1@nextcloud-srv1 ~$ systemctl enable postgresql.service
  
  user1@nextcloud-srv1 ~$ service postgresql status
  
  user1@nextcloud-srv1 ~$ sudo postgresql-setup initdb
  
  user1@nextcloud-srv1 ~$ sudo service postgresql start
  
  user1@nextcloud-srv1 ~$ sudo service postgresql status
  
  user1@nextcloud-srv1 ~$ sudo ps -aux | grep portg
  
  user1@nextcloud-srv1 ~$ netstat -tan | grep 54
- Установка PHP (php-fpm).
  
  user1@nextcloud-srv1 ~$ sudo yum install php-fpm php-pdo php56-php-fpm php56-php-gd php56-php-pgsql php-xml php56-php-xml php56-php-xmlrpc php-xmlrpc php-gd php56-php-gd php-pgsql php56-php-pgsql php-mbstring php56-php-mbstring
  
  user1@nextcloud-srv1 ~$ yum list installed | grep fpm php-fpm.x86_64 5.4.16-36.3.el7_2 @updates php56-php-fpm.x86_64 5.6.26-1.el7.remi @remi-safe
- Установка nginx.
  
  user1@nextcloud-srv1 ~$ yum list | grep ngin
  
  user1@nextcloud-srv1 ~$ sudo yum install nginx
  
  user1@nextcloud-srv1 ~$ systemctl is-enabled nginx.service
  
  user1@nextcloud-srv1 ~$ sudo systemctl enable nginx.service
  
  user1@nextcloud-srv1 ~$ cat /etc/nginx/nginx.conf | grep user user nginx; ...
  
  user1@nextcloud-srv1 ~$ service nginx status
  
  user1@nextcloud-srv1 ~$ sudo service nginx start
  
  user1@nextcloud-srv1 ~$ service nginx status
  
  user1@nextcloud-srv1 ~$ sudo netstat -tanp | grep 80
- Настройка postgresql.
  
  user1@nextcloud-srv1 ~$ sudo su [sudo] password for user1: [root@nextcloud-srv1 ~]# su - -c "psql" postgres psql (9.2.15) Type "help" for help. postgres=# CREATE USER nextcloudusr WITH PASSWORD 'long-passw0rd'; CREATE ROLE postgres=# CREATE DATABASE nextclouddb OWNER nextcloudusr ENCODING 'UTF8'; CREATE DATABASE postgres=# GRANT ALL PRIVILEGES ON DATABASE nextclouddb TO nextcloudusr ; GRANT postgres=# \q
  
  user1@nextcloud-srv1 ~$ sudo cat /var/lib/pgsql/data/pg_hba.conf ... # TYPE DATABASE USER ADDRESS METHOD # "local" is for Unix domain socket connections only local all all peer # IPv4 local connections: #host all all 127.0.0.1/32 ident host all all 127.0.0.1/32 password # IPv6 local connections: host all all ::1/128 ident ...
  
  user1@nextcloud-srv1 ~$ sudo service postgresql restart
- Настройка php 5.6 (php56-fpm).
  
  user1@nextcloud-srv1 ~$ service php-fpm status
  
  user1@nextcloud-srv1 ~$ service php-fpm stop
  
  user1@nextcloud-srv1 ~$ service php-fpm status
  
  user1@nextcloud-srv1 ~$ yum list installed | grep fpm php-fpm.x86_64 5.4.16-36.3.el7_2 @updates php56-php-fpm.x86_64 5.6.26-1.el7.remi @remi-safe
  
  user1@nextcloud-srv1 ~$ ls /usr/lib/systemd/system/php* -l -rw-r--r--. 1 root root 564 Sep 15 18:16 /usr/lib/systemd/system/php56-php-fpm.service -rw-r--r--. 1 root root 314 Aug 12 04:27 /usr/lib/systemd/system/php-fpm.service
  
  user1@nextcloud-srv1 ~$ service php56-php-fpm status
  
  user1@nextcloud-srv1 ~$ sudo systemctl enable php56-php-fpm.service
  
  user1@nextcloud-srv1 ~$ service php56-php-fpm status | grep conf Redirecting to /bin/systemctl status php56-php-fpm.service ├─17146 php-fpm: master process (/opt/remi/php56/root/etc/php-fpm.conf
  
  user1@nextcloud-srv1 ~$ sudo service php56-php-fpm start
  
  user1@nextcloud-srv1 ~$ sudo systemctl disable php-fpm.service
  
  user1@nextcloud-srv1 ~$ sudo mv /opt/remi/php56/root/etc/www.conf /opt/remi/php56/root/etc/www.c-o-n-f
  
  user1@nextcloud-srv1 ~$ cat /opt/remi/php56/root/etc/php-fpm.d/nextcloud.conf [nextcloud] listen = 127.0.0.1:9000 listen.allowed_clients = 127.0.0.1 user = nginx group = nginx pm = dynamic pm.max_children = 50 pm.start_servers = 5 pm.min_spare_servers = 5 pm.max_spare_servers = 35 slowlog = /var/log/php56-fpm/nextcloud-slow.log php_admin_value[error_log] = /var/log/php56-fpm/nextcloud-error.log php_admin_flag[log_errors] = on php_value[session.save_handler] = files php_value[session.save_path] = /var/lib/php/session
  
  user1@nextcloud-srv1 ~$ sudo service php56-php-fpm restart
  
  user1@nextcloud-srv1 ~$ sudo netstat -tanp | grep 90
  
  user1@nextcloud-srv1 ~$ sudo ps -aux | grep fpm
- Настройка nginx.
  
  user1@nextcloud-srv1 ~$ sudo mkdir /var/www
  
  user1@nextcloud-srv1 ~$ sudo mkdir /var/www/nextcloud
  
  user1@nextcloud-srv1 ~$ sudo openssl req $@ -new -x509 -days 365 -nodes -out /etc/nginx/cert/nextcloud-srv1.localnet.crt.pem -keyout /etc/nginx/cert/nextcloud-srv1.localnet.key.pem
  
  user1@nextcloud-srv1 ~$ cat /etc/nginx/conf.d/nextcloud.conf upstream php-handler { server 127.0.0.1:9000; } server { listen 443 ssl; server_name nextcloud-srv1.localnet ; # replace with your domain name or internal server ip # Path to the root of your installation root /var/www/nextcloud/ ; ssl on; # ssl_certificate /etc/nginx/cert/nextcloud-srv1.localnet.crt.pem ; ssl_certificate_key /etc/nginx/cert/nextcloud-srv1.localnet.key.pem ; ssl_session_timeout 5m; ssl_ciphers 'AES128+EECDH:AES128+EDH:!aNULL'; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_prefer_server_ciphers on; add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload;"; add_header X-Content-Type-Options nosniff; add_header X-Frame-Options "SAMEORIGIN"; add_header X-XSS-Protection "1; mode=block"; add_header X-Robots-Tag none; add_header X-Download-Options noopen; add_header X-Permitted-Cross-Domain-Policies none; access_log /var/log/nginx/nextcloud.access.log; error_log /var/log/nginx/nextcloud.error.log; location = /robots.txt { allow all; log_not_found off; access_log off; } client_max_body_size 10G; # set max upload size fastcgi_buffers 64 4K; rewrite ^/caldav(.*)$ /remote.php/caldav$1 redirect; rewrite ^/carddav(.*)$ /remote.php/carddav$1 redirect; rewrite ^/webdav(.*)$ /remote.php/webdav$1 redirect; index index.php; error_page 403 /core/templates/403.php; error_page 404 /core/templates/404.php; location ~ ^/(data|config|\.ht|db_structure\.xml|README) { deny all; } location ~ ^/(?:build|tests|config|lib|3rdparty|templates|data)/ { deny all; } location ~ ^/(?:\.|autotest|occ|issue|indie|db_|console) { deny all; } location / { # The following 2 rules are only needed with webfinger rewrite ^/.well-known/host-meta /public.php?service=host-meta last; rewrite ^/.well-known/host-meta.json /public.php?service=host-meta-json last; rewrite ^/.well-known/carddav /remote.php/carddav/ redirect; rewrite ^/.well-known/caldav /remote.php/caldav/ redirect; rewrite ^(/core/doc/[^\/]+/)$ $1/index.html; try_files $uri $uri/ =404; allow all; } location ~ \.php(?:$|/) { fastcgi_split_path_info ^(.+\.php)(/.+)$; include fastcgi_params; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; fastcgi_param PATH_INFO $fastcgi_path_info; fastcgi_param HTTPS on; fastcgi_pass php-handler; fastcgi_intercept_errors on; } location ~* ^.+\.(jpg|jpeg|gif|bmp|ico|png|css|js|swf)$ { expires 30d; # Optional: Don't log access to assets access_log off; } location ~* \.(?:svg|gif|png|html|ttf|woff|ico|jpg|jpeg)$ { try_files $uri /index.php$uri$is_args$args; access_log off; } location ~ /\.ht { deny all; } location ~* \.(?:css|js)$ { try_files $uri /index.php$uri$is_args$args; add_header Cache-Control "public, max-age=7200"; add_header X-Content-Type-Options nosniff; add_header X-Frame-Options "SAMEORIGIN"; add_header X-XSS-Protection "1; mode=block"; add_header X-Robots-Tag none; add_header X-Download-Options noopen; add_header X-Permitted-Cross-Domain-Policies none; # Optional: Don't log access to assets #access_log off; } }
  
  user1@nextcloud-srv1 ~$ sudo service nginx restart
- Проверки.
  
  user1@nextcloud-srv1 ~$ service postgresql status
  
  user1@nextcloud-srv1 ~$ sudo ps -aux | grep portg
  
  user1@nextcloud-srv1 ~$ sudo netstat -tanp | grep 54
  
  user1@nextcloud-srv1 ~$ service php-fpm status
  
  user1@nextcloud-srv1 ~$ sudo ps -aux | grep fpm
  
  user1@nextcloud-srv1 ~$ sudo netstat -tanp | grep 90
  
  user1@nextcloud-srv1 ~$ service nginx status
  
  user1@nextcloud-srv1 ~$ sudo ps -aux | grep ngin
  
  user1@nextcloud-srv1 ~$ sudo netstat -tanp | grep 443
- Установка самого nextcloud.
  
  user1@nextcloud-srv1 ~$ wget https://download.nextcloud.com/server/releases/nextcloud-10.0.0.zip
  
  user1@nextcloud-srv1 ~$ sudo unzip nextcloud-10.0.0.zip -d /var/www/
  
  user1@nextcloud-srv1 ~$ sudo mkdir /var/nextcloud-data
  
  user1@nextcloud-srv1 ~$ cat /home/user1/set-nextcloud-permissions.sh #!/bin/bash ocpath='/var/www/nextcloud' ocdata='/var/nextcloud-data' htuser='nginx' htgroup='nginx' rootuser='root' printf "Creating possible missing Directories\n" mkdir -p $ocdata mkdir -p $ocpath/assets printf "chmod Files and Directories\n" find ${ocpath}/ -type f -print0 | xargs -0 chmod 0640 find ${ocpath}/ -type d -print0 | xargs -0 chmod 0750 find ${ocdata}/ -type f -print0 | xargs -0 chmod 0640 find ${ocdata}/ -type d -print0 | xargs -0 chmod 0750 printf "chown Directories\n" chown -R ${rootuser}:${htgroup} ${ocpath}/ chown -R ${htuser}:${htgroup} ${ocpath}/apps/ chown -R ${htuser}:${htgroup} ${ocpath}/config/ chown -R ${htuser}:${htgroup} ${ocdata}/ chown -R ${htuser}:${htgroup} ${ocpath}/themes/ chown -R ${htuser}:${htgroup} ${ocpath}/assets/ chmod +x ${ocpath}/occ printf "chmod/chown .htaccess\n" if [ -f ${ocpath}/.htaccess ] then chmod 0644 ${ocpath}/.htaccess chown ${rootuser}:${htgroup} ${ocpath}/.htaccess fi if [ -f ${ocdata}/.htaccess ] then chmod 0644 ${ocdata}/.htaccess chown ${rootuser}:${htgroup} ${ocdata}/.htaccess fi
  
  user1@nextcloud-srv1 ~$ sudo set-nextcloud-permissions.sh
- На рабочей станции в браузеру открываем: https://nextcloud-srv1.localnet . Должен появиться диалог "Create an admin account" на синем фоне. На этом этапе нужно определить пароль админа и другие параметры:
  - Data folder = "/var/nextcloud-data".
  - Database user = nextcloudusr
  - Database password = long-passw0rd
  - Database name = nextclouddb
  Далее нажимаем "Finish setup".
- Характерные ошибки и способы устранения.
  - Проблема: error 404 . Решение: отключить selinux.
  - Проблема: Сообщение "PHP module ... not installed". Решение: установить нужный модуль php.
  - Проблема: Возникают сообщения об ошибках подключения к БД. Решение: читать журналы - /var/lib/pgsql/data/pg_log . Править конфиг - /var/lib/pgsql/data/pg_hba.conf .
  - Проблема: После установки нельзя войти (залогиниться) . В журнале (/var/nextcloud-data/nextcloud.log) есть запись: "Failed to write session data (files). Please verify that the current setting of session.save_path is correct (\/var\/lib\/php\/session) ...". Решение: поменять права на /var/lib/php/session . Ссылка.
- Все.

Установка и начальная настройка ansible.

wown — Fri, 09 Sep 2016 02:47:08 GMT

Установка и начальная настройка ansible.

Введение.
- Ссылки.
  Свернуть/Развернуть
  - https://ru.wikipedia.org/wiki/Ansible - Ansible.
  - https://blog.amet13.name/2016/02/ansible.html - Ansible: введение
  - https://rtfm.co.ua/ansible-ustanovka-i-pervonachalnaya-nastrojka/ - Ansible: установка и первоначальная настройка.
- Цель - описать процедуру начальной настройки ansible: установка и подключение хоста.
- Имеются 2 виртуальных сервера.
  - hostname = ansible1 , локальный пользователь = user1 .
  - hostname = srv1 , локальный пользователь = user2 .
Пошаговая процедура. Вариант I
- Подключаемся через ssh к управляющему серверу (hostname=ansible1).
- Стоит дебиан 8.
  
  user1@ansible1:~$ cat /etc/os-release ... PRETTY_NAME="Debian GNU/Linux 8 (jessie)" ...
- Устанавливаем ansible из официального репозитория.
  
  user1@ansible1:~$ sudo apt-get install ansible
- Проверяем версию.
  
  user1@ansible1:~$ ansible --version ansible 1.7.2
- Редактируем файл /etc/ansible/hosts . Комментарии можно удалить.
  
  [test-servers] srv1.local
- Проверяем доступность управляемого хоста.
  
  user1@ansible1:~$ ping srv1.local user1@ansible1:~$ ssh user2@srv1.local
- Проверяем доступность через ansible. При запросе пароля, вводим пароль для user2 . Вывод последней команды должен показать длинный список параметров управляемого хоста (srv1.local).
  
  user1@ansible1:~$ ansible srv1.local -m ping -u user2 -k SSH password: srv1.local | success >> { "changed": false, "ping": "pong" } user1@ansible1:~$ ansible srv1.local -m setup -u user2 -k ...
- Можно отфильтровать вывод.
  
  user1@ansible1:~$ ansible srv1.local -m setup -a 'filter=ansible_distribution' -u user2 -k SSH password: srv1.local | success >> { "ansible_facts": { "ansible_distribution": "CentOS" }, "changed": false } ...
- Если в выводе нет ошибок, то начальную настройку ansible можно считать завершенной.