Summary: | slinux 9.1: сломана загрузка по cifs | ||
---|---|---|---|
Product: | Simply Linux | Reporter: | Alexey Sheplyakov <asheplyakov> |
Component: | installer | Assignee: | Mikhail Efremov <sem> |
Status: | CLOSED FIXED | QA Contact: | Andrey Cherepanov <cas> |
Severity: | blocker | ||
Priority: | P5 | CC: | aen, antohami, boyarsh, klark, midyukov-anton, mike, sin, zagagyka |
Version: | 9.1 | ||
Hardware: | x86_64 | ||
OS: | Linux |
Description
Alexey Sheplyakov
2021-07-21 13:35:39 MSK
(Ответ для Alexey Sheplyakov на комментарий #0) [...] > Варианты исправления: > > 1) Добавить в initramfs (full.cz) модуль cmac.ko > (lib/modules/$kernel_version/kernel/crypto/cmac.ko) > 2) Объяснить propagator, что cifs надо попытаться смонтировать с vers=1.0 Я уже об этом неоднократно сообщал и меня уверяли, что всё исправлено. Предлагаю добавить модуль. Вообще, это относится не только к Simply Linux, но и к другим проджуктам. И к другим продуктам гораздо больше. А вот что делать с уже выпущенными образами? Ну, отсаётся только пересобирать, если хочется их ставить по сети через cifs. commit eb34af1318969cea668fb90ef0b75b5669e2cc40 вошёл в релиз mkimage-profiles 1.4.9-alt1 http://git.altlinux.org/gears/m/mkimage-profiles.git?p=mkimage-profiles.git;a=commitdiff;h=eb34af1318969cea668fb90ef0b75b5669e2cc40 В ветке alt-p9-v2 у sem@ действительно отсутствует. Спасибо, заберу. Спасибо, я искал как раз эту информацию. Однако замечу, что очевидно ошибка очень специфична для настроек серверной части. Поскольку стендировал не добавляя специально ни модуля, ни опции vers=1.0, хотя такая возможность была. С этим кодом: http://git.altlinux.org/people/klark/packages/?p=make-initrd-bootchain.git;a=blob;f=bootchain-cifs/data/lib/bootchain/cifs;h=d1062cc72d5ec84bacbb289c482506f9b7c947e6;hb=a76395e644060c2cbf509dbcca9dfe65dc0016ba#l84 Получался примерно такой лог загрузки: http://git.altlinux.org/people/klark/packages/?p=make-initrd-bootchain.git;a=blob;f=boot-logs/network/live%2Bcifs%2Bnormal.log;h=5859822ee469145653e4b523272b22f3e6f85191;hb=a76395e644060c2cbf509dbcca9dfe65dc0016ba#l282 Как я понял, фичу cifs лучше сделать зависимой от этого модуля ядра. В рамках фич поддерживаемых инсталлятором, предлагаю рассмотреть ещё и вот такую, которая появится только к осени - "Support for Offline Domain Join (ODJ)": - https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.15 - https://gitlab.com/samba-team/samba/-/commit/68bd2229bd4528505ab9695bbcbde59fc0fe2a33 Суть в том, что для аутентификации иногда требуются учётные данные, а вбивать везде один и тот же пароль администратора домена - идея не очень. Вообще, учётку с правами на редактирование домена шарить - так себе затея. Если же сгененировать специальный файл, то с его помощью можно вводить в домен машину по заранее сформированным данным. А далее, это позволяет использовать эти данным и для: - авторизованного доступа к шарам, в принципе; - для доступа к специфичным данным от имени компьютера; - возможности применения групповых политик на этапе установки операционной системы. (Ответ для Evgeny Sinelnikov на комментарий #6) > В рамках фич поддерживаемых инсталлятором, предлагаю рассмотреть ещё и вот > такую, которая появится только к осени - "Support for Offline Domain Join > (ODJ)": > - https://wiki.samba.org/index.php/Release_Planning_for_Samba_4.15 > - > https://gitlab.com/samba-team/samba/-/commit/ > 68bd2229bd4528505ab9695bbcbde59fc0fe2a33 > > Суть в том, что для аутентификации иногда требуются учётные данные, а > вбивать везде один и тот же пароль администратора домена - идея не очень. > Вообще, учётку с правами на редактирование домена шарить - так себе затея. > > Если же сгененировать специальный файл, то с его помощью можно вводить в > домен машину по заранее сформированным данным. А далее, это позволяет > использовать эти данным и для: > - авторизованного доступа к шарам, в принципе; > - для доступа к специфичным данным от имени компьютера; > - возможности применения групповых политик на этапе установки операционной > системы. "К осени" это когда? (In reply to Evgeny Sinelnikov from comment #6) > В рамках фич поддерживаемых инсталлятором, предлагаю рассмотреть ещё и вот > такую, которая появится только к осени - "Support for Offline Domain Join > (ODJ)": Для инсталлятора это очень правильная идея, если речь о галочке "ввести сразу в домен" или о каком-то очень кастомном инсталляторе. Но для загрузки с сервера SAMBA доменная админская учётка не требуется. Как админ, я бы предпочёл отдельную учётку с доступом только на чтение к ресурсу, типа altinstall в примере выше, для возможности загрузки с сервера. Плюс дефолтный вариант с доступом только на чтение для гостя. (In reply to Leonid Krivoshein from comment #5) > Спасибо, я искал как раз эту информацию. Однако замечу, что очевидно ошибка > очень специфична для настроек серверной части. Поскольку стендировал не > добавляя специально ни модуля, ни опции vers=1.0, хотя такая возможность > была. Не вполне верно. В данном случае ошибка вызвана настройками *клиента*, т.е. ядерного модулся cifs. А именно, cifs.ko по умолчанию использует протокол SMB версии 3.1.1, для чего нужно договориться с сервером о шифровании. А для этого нужен cmac.ko, которого нет в initramfs (либо либо CONFIG_CRYPTO_CMAC=y). В свою очередь, версия протокола SMB, которую использует "ядреный" клиент (cifs.ko) зависит от версии ядра. Проверил данную ошибку на образе: http://ftp.altlinux.org/pub/people/zerg/p10/ d3b2f924deb4e13a7fcd86341b79c130 alt-kworkstation-10.0-RC3_20220404-install-x86_64.iso Расшарил папку по протоколу smb (Сервер с расшареной папкой развернул на: alt-workstation-10.0-x86_64 обновленный до p10) Для запуска установки/загрузки по smb использовал образ: alt-kworkstation-10.0-RC3_20220404-install-x86_64.iso В результате сетевая установка/загрузка по samba успешно выполняется. В SL-10.0 тоже должно работать. Хотя хорошо бы проверить, конечно. Проверил на образе http://ftp.altlinux.org/pub/distributions/ALTLinux/p10/images/simply/x86_64/slinux-10.0-x86_64.iso На нем сетевая установка/загрузка по samba так же успешно выполняется. Спасибо! Значит уже исправлено в SL-10.0. |