RE: Rechteprobleme nach Update auf Version 1.5.3 PRO

hi,

Systemcache leeren.

hi,

ganz trivial -> Forum Profil Änderung. Ich ändere den Text und klicke auf Speichern. Ihr solltet um 10:35 ein Forbidden in der Log sehen, von der 130.83.160.152.

hi,

wie meiner Signatur zu entnehmen ist, habe ich i-doit auf einem Webcluster installiert. Dabei ist das zugrunde liegende Dateisystem der Webserver ein NFS Share. Die Datenbank ist ebenfalls ein MySQL Cluster (percona-xtradb-cluster), bestehend aus drei Nodes (master-master). Als Storage Engine muss in diesem Fall innoDB verwendet werden, damit die Replikation reibungslos funktioniert. Damit I-Doit davon nichts mitbekommt, wird als IP Adresse die von einem HA-Proxy Verbund + keepalived (für die globale IP) verwendet.

Damit nun der Benutzer nichts davon mitbekommt, gehen die Webanfragen ebenfalls vorher an einen HA-Proxy (der gleiche, wie für MySQL) und werden dann per Roundrobin an die Webserver hinten dran verteilt. Kurz: ein Standard Webcluster.

Nun ist es mir ein Anliegen, dass bei der zukünftigen Entwicklung darauf geachtet wird, dass solche Setups berücksichtigt werden. Das fängt bei den SQL Tabellen an (kein MyISAM mehr), geht über speziell geforderte SQL Queries (also z.B. CREATE FUNCTION ….), die möglicherweise aus Replikationsgründen deaktiviert wurden  ... und hört bestimmt nicht bei Dateien auf, die lokal angelegt werden und eventuell ein Problem darstellen können.

Ich denke, bei einer so wichtigen Software, muss der jeweilige Admin dafür Sorge tragen, dass die Anwendung möglichst hoch verfügbar ist, was aber nur dann geht, wenn die Software damit zurecht kommt.
Nun mag der eine oder andere einwerfen, dass das ja auch auf einer VM geht, aber wenn die einzelne VM kaputt geht .... ist es blöd, ist aber nur ein Teil im Cluster defekt, kann der andere die Aufgabe übernehmen.

cu denny

hi,

bitte daran denken, dass unter Debian z.B. unterschiedliche php.ini Dateien verwendet werden. Für den Apachen ist dies die:

/etc/php5/apache2/php.ini

Bei anderen Distributionen kann das ähnlich sein. Am Besten in diesem Fall eine test.php anlegen mit phpinfo:

// Zeigt alle Informationen (Standardwert ist INFO_ALL)
phpinfo();
?>

um dann dort zu sehen, welche Datei verwendet wird.

cu denny

hi,

ich weiß nicht. Da das Handbuch nur erklärt, was die Optionen bedeutet, aber nicht erklären wie sie genutzt werden, würde ich das als sehr sinnvolle Stütze annehmen. Es ist ja wie bei einem Windows Server: auch dort gibt es für die wichtigsten Szenarien eine Gruppe (zumindest damals, als ich noch Windows 2000 administrieren durfte ..) Da würde nichts dagegen sprechen.

In die Gleiche Kerbe würde ich auch schlagen, wenn es zum Beispiel eine Rolle "Buchhaltung" geben würde, bei der alles ausgeblendet wird, bis auf eben für die Buchhaltung notwendigen Informationen. Da frage ich mich eh, ob das jeder Benutzer für sich konfigurieren muss, oder ob ich als Admin das global vorkauen kann. Dafür muss ich nochmal die Suche beanspruchen

cu denny

hi,

ich habe jetzt noch ein wenig experimentiert. Nun kann ich den gleichen Effekt wie bei meinen ersten Versuchen nachstellen: beim hinzufügen von weiteren "Objekten von Typ" <typ>, erhalte ich in der Ansicht "Objektsicht" nur den Typ "Switch", statt zusätzlich "Raum", Gebäude", "Router". etc. …

Ich würde daher auf einen Bug tippen.

Nachtrag:

In der Demo tritt wie du bereits gesagt hast, der gleiche Effekt auf: ich bekomme nur einen einzigen Objekttyp angezeigt, egal wie viele ich auswähle.

Nachtrag2:

der Support hat geantwortet: es muss der "Systemcache" geleert werden, damit die neuen Objekte entsprechend angezeigt werden. Ab der Version 1.5.4 soll dies automatisiert passieren.

</typ>

hi jkondek,

pass auf: den gleichen Effekt habe ich ebenfalls festgestellt, aber ich werde deine Rechte mal 1:1 übernehmen und schauen, was passiert. Ich habe von der Gruppe mal die Rechte komplett wieder entzogen und nach dem Einloggen lande ich auf CMDB -> Anwendungen. Ich hätte eher erwartet … nichts zu sehen. Siehe Anhang.

klick hier und klick da

So, nach dem Setzen deiner Rechte, sehe ich nun Infrastruktur und Switch (yeahh) und unter "Andere" auch Layer2 und, aber einige Sachen scheinen noch nicht zu passen. Da muss man wohl noch etwas zusätzlich auswählen. Doch für den Anfang nicht schlecht.

Dennoch ist das System irgendwie verwirrend, insb. wenn man sich fragt, wofür dann "Personen/Personengruppe -> <objekt>-> Rechteverwaltung" dann ist.

Ich glaube was ich gut finden würde, wären fertige Rollen bzw. Gruppen die bereits passend vorkonfiguriert sind. Man nehme typische Rollen von einem Unternehmen und gieße diese dann in passende Rechte. Z.B. eben Den Netzwerkadmin, Arbeitsplatzadmin, Druckeradmin ... etc. pp. Darauf aufbauend kann man dann eigene Änderungen vornehmen und müsste nicht bei 0 anfangen

cu denny

(ps. nach Änderung von "Ansehen bezieht sich auf Kategorie Alle", auf "Ansehen + Bearbeiten bezieht sich auf Kategorie Alle", war dann auch das Rechteproblem weg. Ob das "Nebenwirkungen" hat, muss ich noch schauen )

</objekt>

Hallo,

also ich habe ja fast alles so hinbekommen, aber was das Rechtesystem angeht … da herrscht bei mir blanke Verwirrung. Die Aufgabenstellung ist eigentlich "trivial": Eine (Netzwerk-)Benutzergruppe erstellen, welche alle Berechtigungen auf z.B. Switches, Layer-2/3 hat, und auch neue Objekte dieser Art erstellen kann. Am Besten wäre es auch, wenn diese Gruppe auch nur das sehen kann, um so die Übersicht zu verbessern.

Bei mir sind z.B. in der Objektsicht keine Einträge. Ich müsste dazu und die Standortsicht gehen. Bin ich dann z.B. auf einem Switch drauf und klicke dann einen Pfad zurück, also "$HOME > CMDB > Switch", so kann ich zwar oben rechts sehen "Normal(16)", aber die Liste ist leer mit " Es sind keine Einträge (mit dem Status "Normal") vorhanden".

Also ich muss sagen, das Rechtesystem gehört überarbeitet und gestaltet es aus meiner Sicht sehr schwer, da sinnvolle Konstrukte zu erstellen. Ich vermute mal, dass daher die meisten komplett drauf verzichten und als Admins (bzw. mit Admin Rechen) unterwegs sind.

Kann mir da mal jemand ein Beispiel nennen, um die Aufgabe zu bewältigen?

Viele Grüße

Denny

hi,

ich würde gern mein Profil hier anpassen, aber ich erhalte immer nur ein "Forbidden". Ich bin mir auch sicher, dass ich das vor einigen Wochen bereits gemeldet habe. Kann da mal jemand von den Admins schauen?

hi,

ich habe heute ein Upgrade von 1.4.10 auf 1.5.3 getätigt und hat soweit ich das in den letzten paar Minuten überblicke, auch soweit funktioniert. Klicke ich allerdings z.B. auf einen Switch und Klicke dann auf "Port", erhalte ich den Fehler:

Nachricht
Database error : Query error: '
CREATE FUNCTION alphas(str CHAR(100)) RETURNS CHAR(100) DETERMINISTIC READS SQL DATA
BEGIN
DECLARE i, len SMALLINT DEFAULT 1;
DECLARE ret CHAR(100) DEFAULT '';
DECLARE c CHAR(1);
SET len = CHAR_LENGTH( str );
REPEAT
BEGIN
SET c = MID( str, i, 1 );
IF c REGEXP '[[:alpha:]]' THEN
SET ret=CONCAT(ret,c);
END IF;
SET i = i + 1;
END;
UNTIL i > len END REPEAT;
RETURN ret;
END':
You do not have the SUPER privilege and binary logging is enabled (you *might* want to use the less safe log_bin_trust_function_creators variable)

Meine Datenbank ist ein Percona / Galera InnoDB Cluster, bestehend aus drei Nodes. Daher muss ich vor dem Einspielen der Updates per sed aus MyISAM ein InnoDB machen. Wie auch immer, das Problem ist wohl binlog. Die Frage ist nun, wie ich damit umgehen soll, sodass ich meinen Cluster nicht kaputt mache und I-DOIT damit kein Problem hat.

Hat da jemand einen Vorschlag?

cu denny

Hallo,

ich habe mir mal check_mk soweit konfiguriert, dass ich damit bereits meine Hosts exportieren kann. Jetzt frage ich mich allerdings, ob es auch möglich ist die Kontakte mit dem Modul zu erzeugen/zu exportieren.
Aktuell habe ich ein von Hand konfiguriertes Icinga + check_mk und - abgesehen von den Service Konfigurationen etc. -  zumeist folgende Konstellationen:

'client13.domain.foo|POOLCLIENT|C003|ping|RBGNOTIFY',

<hostname>|<gruppetag>|<raumtag>|<checktyp>| <kontaktgruppe>um mal ein simples Beispiel zu nennen. Vor allem die Kontaktgruppe wäre sehr praktisch und auch notwendig. Eine entsprechende Organisation habe ich im I-DOIT angelegt und beinhaltet auch Personen mit passenden E-Mail Adressen. Wie bekomme ich das also passend exportiert?</kontaktgruppe></checktyp></raumtag></gruppetag></hostname>

hi,

da ich es leid war die entsprechenden Seiten im (Doku) Wiki aktuell zu halten, habe ich einen Kollegen gebeten mir da mal ein wenig zu helfen. Er hat darauf hin ein recht simpel zu bedienendes DokuWiki Plugin(*) erstellt, was auf der API(**) von Dennis Stücken beruht.

Ich bin super happy damit und nutze es bereits fleißig. Es wird in den kommenden Wochen oder Monaten noch verbessert, insb. was die Bequemlichkeit angeht und wir werden schauen, was noch so geht

• https://www.dokuwiki.org/plugin:idoit
  ** https://bitbucket.org/dstuecken/i-doit-api-clients/overview

cu denny

hi,

sorry, Krankheit, Urlaub, Motivation etc. ….

Wenn das Objekt zum Beispiel über OCS-Inventory importiert wird, habe ich als Objektname bzw. als Hostname die Schreibweise genauso, wie sie der Host tatsächlich hat (z.B. IMAP.domain.foo). Aktiviert man nun das Monitoring / Livestatus im Do-IT, wird genau dieser String in dieser Schreibweise erwartet.

Also: als Hostadresse:

IMAP.domain.foo -> livestatus findet kein IMAP.domain.foo

Korrektur der Hostadresse:

imap.domain.foo -> livestatus findet String -> Host Up

Lösung: Großkleinschreibung in/für livestatus ignorieren

IMAP.domain.foo -> livestatus -> Host Up
imap.domain.foo ->  livestatus -> Host Up

sozusagen.

cu denny

Hi,

bei uns gibt es die Konvention: Wenn Hostname = Großgeschrieben, dann wurde dieser automatisch installiert, über Fai. Ist der Hostname Kleingeschrieben, wurde der Host per Hand installiert. Das sorgt nun allerdings dafür, dass I-Doit die Hosts nicht über den Livestatus aufgrund der Schreibweise erkennt. Das finde ich sehr unpraktisch. Die Schreibweise sollte egal sein, solang der DNS Name korrekt aufgelöst wird.

hi,

ich suche schon seit einiger Zeit das Changelog für die Pro Version. Also was sich innerhalb von 1.4.x geändert hat. Gibt es das überhaupt, oder ist es nur im Archiv der jeweiligen neuen Version enthalten. Wenn ja, würde ich es begrüßen wenn das Changelog an prominenter Stelle stehen würde, sodass ich überfliegen kann, ob mich X oder Y betrifft.

cu denny

hi

@LFischer:

da gibt es ganz diverse Möglichkeiten der Umsetzung. Den Status, ob ein Laptop "frei" ist oder nicht könntest du über den CMDB-Status, den Einsatzzweck, die Kontaktzuweisung oder den Standort definieren. Oder natürlich über eine Benutzerdefinierte Kategorie!
Es kommt eigentlich nur darauf an, wie detailliert diese Informationen sein und wie schnell / einfach sie bearbeiten werden sollen.

Da sich der Status vermutlich eher "häufiger" ändert, müsste das Ändern sehr zügig von der Hand gehen, sonst haben die Leute keine Lust das im i-doit zu machen. Die Sache mit der Kategorie ist natürlich interessant. Was hältst du von:

Neue Kategorie -> "Leih- Status" -> Objekt Typ -> Client -> Multi Value -> "Nein" -> Textfeld Bezeichnung -> "Verliehen"

Als Textinhalt könnte dann ein "Ja" oder "Nein" stehen, der sich dann über JSON/API parsen lässt. Eine Checkbox wäre mir zwar lieber (allein schon wegen Großkleinschreibung / Tippfehler …),aber das wäre meine erste Idee.

@LFischer:

Die Abfrage auf diese Objekte kannst du entweder von i-doit selbst regeln lassen (via Rechtesystem und einem öffentlichen Benutzer der nur bestimmte Objekte ansehen darf) oder auf einer losgelösten Webseite, welche die CMDB Daten über die JSON-RPC API abgreift.

Hmm, ok, also würde ich da einen Benutzer erzeugen, der Zugriff auf die Kategorie "Leih- Status" von genau diesen Objekten hat. Richtig?

cu denny

hi,

wir haben einige Geräte wie Laptops etc. die an Studenten verliehen werden. Bisher hält eine SQL DB die Daten vor, um welches Gerät es sich handelt, und wo bzw. in wessen Besitz es sich aktuell befindet. Diese Geräte  würde ich nun gern im I-DOIT verwalten. Damit aber Studenten auf einer Webseite sehen können, welche Geräte frei sind etc., müsste man

a) die Unterscheidung im I-DOIT haben, frei / nicht frei
b) Ausschließlich Zugriff auf genau diese Objekte sicherstellen, damit im Fall eines Hacks des externen Webservers andere Daten weder eingesehen noch verändert werden können.

Ist das möglich?

cu denny

hi,

Die App funktioniert aktuell bei mir noch nicht auf IOS7.x (stürzt sofort ab), aber der Entwickler hat eine neue bereitgestellt, die nur noch von Apple freigegeben werden muss.

Super wäre, wenn die Webseite die Funktionalität selbst bieten würde, sodass man nicht vom Gerät abhängt. Dann würden die QR Codes tatsächlich einen wirklichen Mehrwert bieten

hi,

was ich als furchtbar nervig empfinde sind zwei Dinge:

1. Wenn ich eine verschachtelte Struktur habe, muss ich nach jedem getätigtem "Speichern" meine Ordnerstruktur wieder aufklappen. Da wäre es schön, wenn sich I-Doit einfach merken würde, welche Ordner gerade aufgeklappt sind, und welche nicht. es wäre auch O.K, nach einem Logout wieder alles geschlossen zu haben, aber für den Zeitrum der Sitzung ….

2. Habe ich Aktionen durchzuführen, bei denen Objekte auf mehrere Seiten aufgeteilt sind, springt nach einem "Speichern" die Seite wieder auf "1" um, sodass ich mir dann auch noch merken muss, auf welche Seite ich gerade war. Auch hier wäre es nett, wenn sich die Software merkt, dass ich gerade auf "Seite 5" war und nach dem Speichern auch genau dort wieder lande. Als Workaround öffne ich Links daher nur in neuen Tabs ... nicht schön, aber O.K.

Viele Grüße

Denny

hi,

das Löschen auf SQL Ebene sehe ich ohnehin als "letzten" Ausweg Allerdings ist das Nervige die Klickorgie:

-> Clients -> Client auswählen -> Hostdresse -> Archivieren

Besonders nervig ist dann, dass man wieder auf Seite 1, von "n" landet und spätestens bei Client26 zzgl. noch einen Klick hat, um wieder auf die passende Seite zu kommen.