Questions fréquentes communes aux modules

  1. CAS Authentication failed !
  2. Attention, les adresses suivantes ne sont pas définies comme sujet du certificat...
  3. Une erreur se produit lors de l'instanciation ou d'un reconfigure : "starting firewall : [...] Erreur à la génération des règles eole-firewall !! non appliquées !"
  4. La connexion SSH renvoie Permission denied (publickey)
  5. Gestion des mises à jour
  6. Le mot de passe par défaut ne fonctionne pas
  7. Échec de la connexion sécurisée
  8. Liste d'arguments trop longue
  9. Le démarrage reste figé à l'étape de vérification des disques
  10. Impossible de trouver la base des matériels maintenue par EOLE
  11. Changer le disque dur du serveur
  12. Sources supplémentaires pour apt
  13. Dysfonctionnement des agents suite à un changement d'architecture
  14. Comment débloquer les message en file d'attente ?
  15. Comment changer le jour de mise à jour d'un serveur EOLE ?
  16. Le proxy empêche les mises à jour
  17. Comment lister les services gérés par CreoleService
  18. Questions propres au partitionnement
  19. Questions propres à l'EAD
  20. Questions propres à l'interface de configuration du module

CAS Authentication failed !

Le message CAS Authentication failed ! You were not authenticated. (ou Authentification CAS infructueuse ! Vous n'avez pas été authentifié(e).) peut apparaître si des modifications ont été faites dans l'interface de configuration.

Truc & astuceLes paramètres constituant un certificat ont été modifiés récemment dans l'interface de configuration du module

La modification, dans l'interface de configuration du module, de l'un des paramètres constituant un certificat (nom de établissement, numéro RNE, etc...) suivie d'une reconfiguration du module ne régénère pas les certificats. Un message explicite le signale lors de l'étape de reconfiguration.

Après changement des paramètres il est nécessaire de supprimer le certificat :

# rm -f /etc/ssl/certs/eole.crt

puis lancer la reconfiguration du module :

# reconfigure

Plutôt qu'une suppression, il est possible d'utiliser la commande gen_certif.py avec l'option -f pour forcer la régénération (cependant, il faut que cette commande soit précédée d'une reconfiguration du module pour que les templates de configuration des certificats soient à jour).

# reconfigure

# /usr/share/creole/gen_certif.py -f ou # /usr/share/creole/gen_certif.py -f nom_du_certificat pour la régénération d'un certificat en particulier.

# reconfigure

Truc & astuceVous avez ajouté un nom DNS alternatif

Il faut ajouter le nom alternatif dans le certificats pour que le certificat le prenne en compte. Pour cela dans l'onglet Certificats ssl en mode expert il faut remplir les champs Nom DNS/IP alternatif du serveur.

Le bouton + permet d'ajouter autant d'alternatives que vous voulez. Il faut ensuite Valider le groupe et enregistrer la configuration.

L'opération doit être suivie de la reconfiguration du module, cela va régénérer le certificat /etc/ssl/certs/eole.crt

La modification, dans l'interface de configuration du module, de l'un des paramètres constituant un certificat (nom de établissement, numéro RNE, etc...) suivie d'une reconfiguration du module ne régénère pas les certificats. Un message explicite le signale lors de l'étape de reconfiguration.

Après changement des paramètres il est nécessaire de supprimer le certificat :

# rm -f /etc/ssl/certs/eole.crt

puis lancer la reconfiguration du module :

# reconfigure

Plutôt qu'une suppression, il est possible d'utiliser la commande gen_certif.py avec l'option -f pour forcer la régénération (cependant, il faut que cette commande soit précédée d'une reconfiguration du module pour que les templates de configuration des certificats soient à jour).

# reconfigure

# /usr/share/creole/gen_certif.py -f ou # /usr/share/creole/gen_certif.py -f nom_du_certificat pour la régénération d'un certificat en particulier.

# reconfigure

Attention, les adresses suivantes ne sont pas définies comme sujet du certificat...

Truc & astuceLes paramètres constituant un certificat ont été modifiés récemment dans l'interface de configuration du module

La modification, dans l'interface de configuration du module, de l'un des paramètres constituant un certificat (nom de établissement, numéro RNE, etc...) suivie d'une reconfiguration du module ne régénère pas les certificats. Un message explicite le signale lors de l'étape de reconfiguration.

Après changement des paramètres il est nécessaire de supprimer le certificat :

# rm -f /etc/ssl/certs/eole.crt

puis lancer la reconfiguration du module :

# reconfigure

Plutôt qu'une suppression, il est possible d'utiliser la commande gen_certif.py avec l'option -f pour forcer la régénération (cependant, il faut que cette commande soit précédée d'une reconfiguration du module pour que les templates de configuration des certificats soient à jour).

# reconfigure

# /usr/share/creole/gen_certif.py -f ou # /usr/share/creole/gen_certif.py -f nom_du_certificat pour la régénération d'un certificat en particulier.

# reconfigure

Une erreur se produit lors de l'instanciation ou d'un reconfigure : "starting firewall : [...] Erreur à la génération des règles eole-firewall !! non appliquées !"

Le message suivant apparaît à l'instance ou au reconfigure après changement de valeurs dans l'interface de configuration du module :

* starting firewall : bastion (modèle XXX) Erreur à la génération des règles eole-firewall !!

non appliquées !

Truc & astuceVérifier la configuration des autorisations d'accès à SSH et à l'EAD sur les interfaces réseau

Cette erreur provient certainement du masque des variables d'autorisation d'accès à SSH sur l'une des interfaces réseau.

Pour autoriser une seule IP, par exemple 192.168.1.10, le masque doit être 255.255.255.255 pour autoriser une IP particulière et non 255.255.255.0

Vérifier l'ensemble des autorisations pour l'accès SSH et pour l'accès à l'EAD.

Pour appliquer les changements il faut reconfigurer le module :

# reconfigure

La connexion SSH renvoie Permission denied (publickey)

Si les connexions par mots de passe sont interdites, une tentative de connexion sans clé valide entraînera l'affichage du message suivant : Permission denied (publickey).

Gestion des mises à jour

Pour connaître la date et l'heure des mises à jour du système il est possible de passer par l'EAD ou par un terminal.

Truc & astuceVia l'EAD

Pour l'afficher il faut se rendre dans la section Système / Mise à jour de l'EAD.

Truc & astuceDans un terminal

python -c "from creole import maj; print maj.get_maj_day()"

Pour activer/désactiver la mise à jour hebdomadaire il est possible de passer par l'EAD ou par un terminal.

Truc & astuceVia l'EAD

Pour l'afficher il faut se rendre dans la section Système / Mise à jour de l'EAD.

Truc & astuceDans un terminal

Activation de la mise à jour hebdomadaire :

/usr/share/eole/schedule/manage_schedule post majauto weekly add

ou :

python -c "from creole import maj; maj.enable_maj_auto(); print maj.maj_enabled()"

Désactivation de la mise à jour hebdomadaire :

/usr/share/eole/schedule/manage_schedule post majauto weekly del

ou :

python -c "from creole import maj; maj.disable_maj_auto(); print maj.maj_enabled()"

Le mot de passe par défaut ne fonctionne pas

Suite à une nouvelle installation le mot de passe par défaut ne fonctionne pas.

Truc & astuce

Le mot de passe à saisir comprend les dollars devant et derrière : $eole&123456$

Échec de la connexion sécurisée

Le navigateur affiche :

Échec de la connexion sécurisée

Une erreur est survenue pendant une connexion à IP:Port.

Vous avez reçu un certificat invalide. Veuillez contacter l'administrateur du serveur ou votre correspondant de messagerie et fournissez-lui les informations suivantes :

Votre certificat contient le même numéro de série qu'un autre certificat émis par l'autorité de certification. Veuillez vous procurer un nouveau certificat avec un numéro de série unique.

(Code d'erreur : sec_error_reused_issuer_and_serial)

Truc & astuceLes paramètres constituant un certificat ont été modifiés récemment

La modification, dans l'interface de configuration du module, de l'un des paramètres constituant un certificat (nom de établissement, numéro RNE, etc...) suivie d'une régénération des certificats a eu lieu.

Il faut supprimer le certificat du gestionnaire de certificats du navigateur et recharger la page.

Liste d'arguments trop longue

La commande # rm -rf /var/<rep>/* renvoie Liste d'arguments trop longue.

Truc & astuce

Préférez l'utilisation d'une autre commande :

# find /var/<rep>/* -type f -name "*" -print0 | xargs -0 rm

Le démarrage reste figé à l'étape de vérification des disques

Le serveur est virtualisé avec une solution basée sur l'émulateur qemu.

Truc & astuce

Seul l'affichage est figé, la machine démarre en fait normalement et est certainement accessible par SSH. Cela vient du support de la carte graphique. Il faut forcer la carte graphique à utiliser une autre carte graphique que celle par défaut (cirrus).

Sous Proxmox, indiquez carte VGA standard à la place de par défaut.

Impossible de trouver la base des matériels maintenue par EOLE

La base des matériels maintenue par EOLE a été supprimée, cette base n'était plus pertinente car elle pouvait contenir du matériel inutilisé comme étant compatible avec les modules EOLE.

Changer le disque dur du serveur

Il est possible entre autre de faire une image avec le logiciel Clonezilla.

Truc & astuce

L'UUID[1] ayant naturellement changé il faut démarrer en utilisant un LiveCD et éditer l'UUID dans /etc/fstab du serveur.

Sources supplémentaires pour apt

Il est possible d'ajouter des sources supplémentaires pour le logiciel apt.

Truc & astuce

Pour que la solution soit pérenne il faut ajouter dans le répertoire /etc/apt/sources.list.d/ la description de la nouvelle source dans un fichier portant l'extension .list

Exemple

Par exemple pour avoir à disposition SCENARIserveur sur un module EOLE il faut ajouter le fichier scenari.list dans le répertoire /etc/apt/sources.list.d/ avec le contenu suivante :

#scenari ppa

deb https://download.scenari.org/deb precise main

Il faut ensuite mettre la liste des paquets disponibles à jour avec la commande apt-get update.

Dysfonctionnement des agents suite à un changement d'architecture

En allant sur la page des statistiques de surveillance d'un serveur (EAD ou Application Zéphir), j'obtiens un message du type rrdtool.error: This RRD was created on another architecture

Ce problème peut survenir en cas de réinstallation des données d'un serveur 32 bits sur un serveur 64 bits (ou inversement).

Truc & astuce

Une solution consiste à supprimer les fichiers de statistiques :

  • Statistiques propres au serveur Zéphir

    Concerne les statistiques de Zéphir lui-même, pour les statistiques des serveurs clients, l'erreur doit être corrigée sur le client (voir cas suivant).

    # service zephir stop

    # rm -rf /var/lib/zephir/data/0/*

    # service zephir start

  • Sur un module EOLE autre que Zéphir

    # service z_stats stop

    # rm -rf /usr/share/zephir/monitor/data/*

    # rm -rf /usr/share/zephir/monitor/stats/*

    # service z_stats start

Truc & astuce

Si perdre les statistiques pose problème, il est possible de convertir les fichiers .rrd avec l'outil rrdtool.

Depuis l'ancien serveur, pour convertir les fichiers RRD vers des fichiers XML avec la commande dump :

# rrdtool dump stats.rrd > stats.xml

Après les avoir transférés sur le nouveau serveur il faut les convertir en RRD avec la commande restore :

# rrdtool restore -f stats.xml stats.rrd

Le serveur peut maintenant lire le fichier. Vous pouvez le tester avec la commande info :

# rrdtool info stats.rrd

Attention, il y a un (ou plusieurs) fichier par agent.

Exemple sur un serveur Zéphir :

root@zephir:~# ls -l /var/lib/zephir/data/0/*/*.rrd-rw-r--r-- 1 root root 11464 août 31 14:51 /var/lib/zephir/data/0/bastion/status.rrd-rw-r--r-- 1 root root 17032 août 31 15:27 /var/lib/zephir/data/0/bilan/status.rrd-rw-r--r-- 1 root root 13576 août 31 15:26 /var/lib/zephir/data/0/debsums/status.rrd-rw-r--r-- 1 root root 1000 août 31 14:51 /var/lib/zephir/data/0/diag/status.rrd-rw-r--r-- 1 root root 13576 août 31 15:26 /var/lib/zephir/data/0/diskspace/status.rrd

[…]

Si vous voulez convertir un répertoire entier en XML, utilisez ce petit script bash :

# for f in *.rrd; do rrdtool dump ${f} > ${f}.xml; done

Source : http://blog.remibergsma.com/2012/04/30/rrdtool-moving-data-between-32bit-and-64bit-architectures/

Comment débloquer les message en file d'attente ?

Un nombre de messages apparaissent comme étant Frozen dans le retour de la commande diagnose.

*** Messagerie

. Courrier SMTP => Ok

. File d'attente => 1 message(s)

. Messages "Frozen" => 1 message(s)

Truc & astuce

Une solution consiste à récupérer les identifiants des messages :

root@scribe:~# exim4 -bp

10h 2.5K 1abJaX-00036S-Bu <> *** frozen ***

touser@ac-test.fr

Il est ensuite possible de récupérer les journaux spécifiques message par message :

root@scribe:~# exim4 -Mvl 1abJaX-00036S-Bu

2016-03-03 04:06:05 Received from <> R=1abJaX-00036L-8j U=Debian-exim P=local S=2525

2016-03-03 04:06:05 SMTP error from remote mail server after RCPT TO:<touser@ac-test.fr>: host socrate.in.ac-dijon.fr [192.168.57.212]: 554 5.7.1 <touser@ac-test.fr>: Recipient address rejected: Access denied

2016-03-03 04:06:05 touser@ac-test.fr R=satellite_route T=remote_smtp: SMTP error from remote mail server after RCPT TO:<touser@ac-test.fr>: host socrate.in.ac-dijon.fr [192.168.57.212]: 554 5.7.1 <touser@ac-test.fr>: Recipient address rejected: Access denied

*** Frozen (delivery error message)

Dans cet exemple, le message d'erreur est Recipient address rejected: Access denied, l'expéditeur n'est pas autorisé à transiter par la passerelle configurée dans l'interface de configuration du module.

Comment changer le jour de mise à jour d'un serveur EOLE ?

Le jour tiré au hasard pour les mises à jour ne me convient pas et je souhaiterais le changer.

1
root@eole:~# manage_schedule -l
2
Tâches planifiées EOLE :
3
 * les tâches hebdomadaires se feront le vendredi à 05:35 (hors sauvegarde)
4
  - après sauvegarde
5
   + Mise à jour du serveur (majauto)
6
root@eole:~#

Truc & astuce

Une solution consiste à supprimer le fichier de configuration /etc/eole/extra/schedule/config.eol.

1
root@eole:~# rm /etc/eole/extra/schedule/config.eol
2
rm : supprimer fichier '/etc/eole/extra/schedule/config.eol' ? y
3
root@eole:~# manage_schedule -l
4
Tâches planifiées EOLE :
5
 * les tâches hebdomadaires se feront le jeudi à 04:12 (hors sauvegarde)
6
  - après sauvegarde
7
   + Mise à jour du serveur (majauto)
8
root@eole:~#

Le proxy empêche les mises à jour

Les modifications apportées au proxy transparent à partir de la version 2.6.1 provoquent le blocage de certaines mises à jour aussi, la déclaration du proxy est nécessaire pour effectuer les mises à jour d'un module EOLE qui serait protégé par un module Amon.

1
root@scribe:~# Maj-Auto
2
Mise à jour le lundi 20 mars 2017 11:47:52
3
*** scribe 2.6.1 ***
4
5
Maj-Auto - (VERSION CANDIDATE) - Augmenter le niveau de mise à jour peut empêcher de revenir au niveau de mise à jour stable.
6
Voulez-vous continuer ? [oui/non]
7
[non] : oui
8
pyeole.pkg - Pas de configuration du miroir Ubuntu avec eole.ac-dijon.fr qui semble inaccessible : Impossible d'obtenir la version pour le dépôt : http://eole.ac-dijon.fr/ubuntu/dists/xenial/main/binary-amd64/Release
9
pyeole.pkg - Pas de configuration du miroir Ubuntu avec ftp.crihan.fr qui semble inaccessible : Impossible d'obtenir la version pour le dépôt : http://ftp.crihan.fr/ubuntu/dists/xenial/main/binary-amd64/Release
10
Maj-Auto - Impossible de configurer les sources APT pour Ubuntu

Truc & astuce

La déclaration du proxy s'effectue dans l'onglet Général de l'interface de configuration du module, passer Utiliser un serveur mandataire (proxy) pour accéder à Internet à oui et paramétrer l'adresse du proxy dans le champ Nom ou adresse IP du serveur proxy.

Truc & astuce

Pour effectuer les mises à jour d'un module qui n'est pas encore instancié, il faut configurer manuellement la variable d'environnement :

# export http_proxy=http://<adresseProxy>:<portProxy>

# Maj-Auto

Comment lister les services gérés par CreoleService

Il peut être utile de lister les services qui sont gérés par CreoleService.

Truc & astuce

Une astuce consiste à utiliser la commande CreoleGet .containers.services|grep \.name=

Exemple

1
root@eolebase:~# CreoleGet .containers.services|grep \.name=
2
service0.name="networking" 
3
service1.name="cron" 
4
service10.name="exim4" 
5
service11.name="eoleflask" 
6
service12.name="nginx" 
7
service13.name="ead3" 
8
service14.name="genconfig" 
9
service15.name="bastion" 
10
service16.name="z_stats" 
11
service2.name="rng-tools" 
12
service3.name="ntp" 
13
service4.name="nut-server" 
14
service5.name="salt-api" 
15
service6.name="salt-master" 
16
service7.name="salt-minion" 
17
service8.name="ead-server" 
18
service9.name="ead-web" 
19
root@eolebase:~# 

Questions propres au partitionnement

Accéder aux partitions du module depuis un Live Linux

Lorsqu'on a recours à un live CD ou USB, il n'est pas possible d'accéder directement aux partitions.

1
# mkdir /media/partition
2
# mount /dev/sda2 /media/partition
3
mount: type inconnu de système de fichiers 'LVM2_member'
Truc & astuceInstaller LVM et procéder au montage

Sur des Linux Live ne gérant pas par défaut les volumes logiques il faut installer le paquet LVM :

# apt-get install lvm2

Afficher les groupes de volumes :

1
# vgscan
2
Reading all physical volumes. This may take a while...
3
Found volume group "eolebase-vg" using metadata type lvm2

Changer les attributs d'un groupe de volumes spécifiques

1
# vgchange -a y eolebase-vg
2
4 logical volume(s) in volume group "eolebase-vg" now active

2 méthodes pour lister les volumes logiques

1
# ll /dev/mapper/
2
total 0
3
drwxr-xr-x  2 root root     160 févr.  8 11:53 ./
4
drwxr-xr-x 19 root root    4460 févr.  8 11:53 ../
5
crw-------  1 root root 10, 236 févr.  8 11:53 control
6
lrwxrwxrwx  1 root root       7 févr.  8 11:53 eolebase--vg-home -> ../dm-4
7
lrwxrwxrwx  1 root root       7 févr.  8 11:53 eolebase--vg-root -> ../dm-0
8
lrwxrwxrwx  1 root root       7 févr.  8 11:53 eolebase--vg-swap_1 -> ../dm-1
9
lrwxrwxrwx  1 root root       7 févr.  8 11:53 eolebase--vg-tmp -> ../dm-2
10
lrwxrwxrwx  1 root root       7 févr.  8 11:53 eolebase--vg-var -> ../dm-3

ou

1
# lvdisplay 
2
  --- Logical volume ---
3
  LV Path                /dev/eolebase-vg/swap_1
4
  LV Name                swap_1
5
  VG Name                eolebase-vg
6
  LV UUID                OO47WX-fpNm-5Ydq-9fSF-8rXN-iPYP-T3rCmm
7
  LV Write Access        read/write
8
  LV Creation host, time eolebase, 2017-02-06 21:48:52 +0100
9
  LV Status              available
10
  # open                 2
11
  LV Size                1,09 GiB
12
  Current LE             280
13
  Segments               1
14
  Allocation             inherit
15
  Read ahead sectors     auto
16
  - currently set to     256
17
  Block device           252:1
18
[...]

Montage de la partition :

# mount /dev/mapper/eolebase--vg-root /media/partition

Ajouter de l'espace disque à un volume LVM

Sur le nouveau périphérique physique, créer une partition de type Linux LVM (8E), avec cfdisk par exemple.

La nouvelle partition s'appelle par exemple /dev/sdb1 et peut être ajoutée au volume, par exemple pour agrandir /var.

Attention

Après avoir créé la nouvelle partition /dev/sdb1 il peut être nécessaire de redémarrer le serveur pour la faire prendre en compte par le système.

Démonter la partition

Pour démonter la partition

# umount /var

Créer un volume physique

Créer un volume physique avec la nouvelle partition :

# pvcreate /dev/sdb1

Quel est le groupe de volumes

Rechercher dans quel groupe de volumes (VG Name) se trouve le volume logique /var :

1
root@scribe:/dev/mapper# lvdisplay /dev/scribe-vg/var
2
  --- Logical volume ---
3
  LV Path                /dev/scribe-vg/var
4
  LV Name                var
5
  VG Name                scribe-vg
6
  LV UUID                N4dHMU-htpz-AhEI-x5Ld-EvpM-ZFJX-M3LbHD
7
  LV Write Access        read/write
8
  LV Creation host, time scribe, 2017-01-16 19:17:09 +0100
9
  LV Status              available
10
  # open                 1
11
  LV Size                8,35 GiB
12
  Current LE             2138
13
  Segments               1
14
  Allocation             inherit
15
  Read ahead sectors     auto
16
  - currently set to     256
17
  Block device           252:3
18
   
19
root@scribe:/dev/mapper# 

Ajouter ce volume physique au groupe de volumes contenant le volume logique /var, ici scribe-vg :

# vgextend scribe-vg /dev/sdb1

Agrandir le volume logique

Agrandir le volume logique correspondant à /var avec le nouvel espace libre :

# lvextend -l +100%FREE /dev/scribe-vg/var

# e2fsck -f /dev/scribe-vg/var

# resize2fs /dev/scribe-vg/var

Redimensionner un volume LVM

Exemple

Sur un serveur où une partition est saturée.

1
root@scribe:~# df -h
2
Sys. de fichiers            Taille Utilisé Dispo Uti% Monté sur
3
udev                          1,5G       0  1,5G   0% /dev
4
tmpfs                         301M     52M  250M  18% /run
5
/dev/mapper/scribe--vg-root   9,1G    2,6G  6,0G  30% /
6
tmpfs                         1,5G     28K  1,5G   1% /dev/shm
7
tmpfs                         5,0M       0  5,0M   0% /run/lock
8
tmpfs                         1,5G       0  1,5G   0% /sys/fs/cgroup
9
/dev/sda1                     687M    107M  531M  17% /boot
10
/dev/mapper/scribe--vg-tmp    1,8G    3,4M  1,7G   1% /tmp
11
/dev/mapper/scribe--vg-var    8,1G      8G  0,1G  99% /var
12
/dev/mapper/scribe--vg-home    18G    149M   18G   1% /home
13
tmpfs                         301M       0  301M   0% /run/user/0
14
root@scribe:~#

La partition /var est occupée à 99% alors que la partition /home, est occupée à 1%.

Réduire la partition /home de 1Go permet d'ajouter d'ajouter 1Go à /var.

Pour démonter le périphérique :

root@scribe:~# umount /home

Si le périphérique est occupé, la commande lsof renvoie les programmes utilisant la partition :

# lsof | grep home

Il faut alors arrêter les services concernés puis démonter la partition.

Vérifier le support

Pour vérifier le support, lancer la commande :

# fsck -f /dev/mapper/scribe--vg-home

Diminuer la taille de la première partition

Réduire le système de fichiers :

# resize2fs -p /dev/scribe-vg/home 1G

Réduire la partition logique :

# lvresize -L-1G /dev/scribe-vg/home

Vérifier l'intégrité du système du système de fichiers :

# e2fsck -f /dev/scribe-vg/home

Vérifier l'espace libéré

Pour vérifier que l'espace a bien été libéré il faut utiliser la commande vgdisplay :

# vgdisplay

1
root@scribe:~# vgdisplay 
2
  --- Volume group ---
3
  VG Name               scribe-vg
4
  System ID             
5
  Format                lvm2
6
  Metadata Areas        1
7
  Metadata Sequence No  6
8
  VG Access             read/write
9
  VG Status             resizable
10
  MAX LV                0
11
  Cur LV                5
12
  Open LV               5
13
  Max PV                0
14
  Cur PV                1
15
  Act PV                1
16
  VG Size               39,30 GiB
17
  PE Size               4,00 MiB
18
  Total PE              10060
19
  Alloc PE / Size       10060 / 39,30 GiB
20
  Free  PE / Size       0 / 0   
21
  VG UUID               hcuPgd-tSEe-xu20-Q3XP-hrwU-5qfU-41Fkf3
22
   
23
root@scribe:~#
Remarque

La ligne Free PE / Size affiche l'espace libre.

Agrandir la taille de la deuxième partition

Les agrandissements peuvent se faire à chaud, ce qui est recommandé si la partition contient les commandes.

Vérifier l'intégrité du système du système de fichiers :

# e2fsck -f /dev/scribe-vg/var

Agrandir la partition logique :

# lvresize -L+1G /dev/scribe-vg/var

Étendre le système de fichiers (sans option le système de fichiers prend toute la place possible) :

# resize2fs /dev/scribe-vg/var

Remonter le périphérique

Procéder au montage du périphérique avec la commande mount :

# mount /var/home

Attention

Pensez à redémarrer les services qui ont précédemment été arrêtés.

Partition saturée

Une partition saturée apparaît en rouge dans l'EAD, la cause peut être :

  • le manque de place disponible ;

  • le manque d'inodes disponibles.

La cause de la saturation apparaît dans la page Occupation des disques, soit les inodes soit l'utilisation sont à un pourcentage élevé. La résolution du problème est différente selon le cas.

Partition / saturée

Si la partition racine est saturée sans raison apparente et que le taux d'inodes est correct, le montage d'un répertoire avant copie a peut être échoué. La conséquence est que la copie c'est faite sur la partition racine et non sur le montage. Cela peut être le cas, par exemple, de la sauvegarde.

Truc & astuce

Il faut donc vérifier le contenu et la place occupée par les répertoires (points de montage) /mnt, /mnt/sauvegardes et /media :

Si le répertoire /mnt/sauvegardes n'est pas monté il doit être vide :

root@scribe:/mnt/sauvegardes# ls -la

total 8drwxr-xr-x 2 root root 4096 mai 25 11:29 ./drwxr-xr-x 26 root root 4096 sept. 9 21:07 ../

root@scribe:/mnt/sauvegardes#

Normalement le répertoire /media ne contient que des sous-dossiers pour le montage des partitions et ou des périphériques.

Pour vérifier l'espace occupé par ces différents répertoires :

root@scribe:/# du -h --max-depth=1 /media /mnt/

4,0K /media4,0K /mnt/

Truc & astuce

Dans certains cas particuliers, la taille allouée à la partition / peut être trop juste. Il est possible de revoir la taille des partitions avec l'outil de gestion des volumes logiques (LVM[2]).

Partition /var saturée

Cette partition contient entre autres les journaux systèmes du serveur.

Truc & astuce

La commande suivante affiche l'espace occupé par chaque répertoire et les classe par taille, le plus grand nombre en dernier (sans tenir compte de l'unité) :

# du -smh /var/* | sort -n

Truc & astuce

Un service mal configuré génère une quantité importante de journaux. Si le problème n'est pas résolu la partition va de-nouveau saturer.

Truc & astuce

Dans certains cas particuliers, la taille allouée à la partition /var peut être trop juste. Il est possible de revoir la taille des partitions avec l'outil de gestion des volumes logiques (LVM[2]).

Partition /var saturée en inode

Un nombre important de fichiers peut être du à un service mal configuré mais peut aussi être du à un fonctionnement normal. Il faut identifier le répertoire dans lequel il y a le plus de fichier.

Truc & astuce

La commande suivante affiche le nombre de fichiers par répertoire et les classe par taille, le plus grand nombre en dernier :

# for i in $(find /var -type d); do f=$(ls -A $i | wc -l); echo "$f : $i"; done | sort -n

Selon les circonstances il faudra soit supprimer des fichiers soit agrandir la partition.

Attention

La suppression de fichier ne doit pas être effectué sans connaissances solides du système d'exploitation.

Questions propres à l'EAD

Problème d'accès à l'EAD avec un nom de domaine incorrect

Pour avoir accès à l'EAD il faut impérativement que le nom de domaine soit présent dans le certificat SSL.

Il est notamment impossible de se connecter à l'EAD avec une simple adresse IP.

Il existe plusieurs méthodes pour connaître les noms de domaine présents dans le certificat SSL, par exemple il est possible d'utiliser un navigateur Internet.

ExempleExemple avec Firefox
  • Cliquer sur le cadenas à côté de l'URL

  • Cliquer sur la flèche dirigée vers la droite pour afficher les détails de la connexion

  • Cliquer sur le bouton Plus d'informations, le nom de domaine principal du certificat apparaît alors dans la partie Identité du site web et Site web

  • Il est possible que des noms alternatifs soient renseignés dans le certificat. Pour les retrouver, cliquer sur le bouton Afficher le certificat, puis sur l'onglet Détails et sélectionner la ligne Nom alternatif du sujet de certificat, les noms alternatifs sont affichés dans la boîte Valeur du champ.

Attention

Attention, même si la bonne adresse IP apparaît dans le certificat, elle ne sera pas prise en compte.

Truc & astuce

Si le nom de domaine n’apparaît pas et que le certificat est de type autosigné, il faut le rajouter dans l'onglet Certificats ssl de l'interface de configuration du module en mode expert.

Truc & astuce

La modification, dans l'interface de configuration du module, de l'un des paramètres constituant un certificat (nom d’établissement, numéro RNE, etc...) suivie d'une reconfiguration du module ne régénère pas les certificats. Un message explicite le signale lors de l'étape de reconfiguration.

Après changement des paramètres il est nécessaire de supprimer le certificat :

# rm -f /etc/ssl/certs/eole.crt

puis lancer la reconfiguration du module :

# reconfigure

Plutôt qu'une suppression, il est possible d'utiliser la commande gen_certif.py avec l'option -f pour forcer la régénération (cependant, il faut que cette commande soit précédée d'une reconfiguration du module pour que les templates de configuration des certificats soient à jour).

# reconfigure

# /usr/share/creole/gen_certif.py -f ou # /usr/share/creole/gen_certif.py -f nom_du_certificat pour la régénération d'un certificat en particulier.

# reconfigure

Résoudre des dysfonctionnements liés à l'EAD

Si le service ead-server ne démarre plus ou si des actions EAD ne se chargent plus et que la consultation des fichiers journaux /var/log/rsyslog/local/ead-server/ead-server.info.log et /var/log/rsyslog/local/ead-web/ead-web.info.log n'apportent pas d'informations pertinentes, le service peut être exécuté manuellement à l'aide des commandes suivantes :

1
service ead-server stop
2
cd /tmp
3
export PYTHONPATH=/usr/share
4
twistd -noy /usr/share/ead2/backend/eadserver.tac

La combinaison de touches ctrl+c permet d'arrêter le programme.

Si c'est le service ead-web qui est en erreur, le service peut être exécuté manuellement à l'aide des commandes suivantes :

1
service ead-web stop
2
cd /tmp
3
export PYTHONPATH=/usr/share
4
twistd -noy /usr/share/ead2/frontend/frontend.tac

La combinaison de touches ctrl+c permet d'arrêter le programme.

La mire de connexion de l'EAD3 n'affiche pas les informations de contexte, il est impossible de se connecter

La mire de connexion s'affiche mais le domaine, le nom du module et de la machine ne s'affiche pas. Il est de plus impossible de se connecter.

Truc & astuceVérifier le certificat et l'acceptation du certificat.

Pour fonctionner la connexion à l'EAD3 a besoin d'un certificat valide et reconnue par la navigateur. Le cache du navigateur peut faire que la mire peut s'afficher alors que le certificat n'est plus reconnu.

Questions propres à l'interface de configuration du module

Accéder à l'interface de configuration du module depuis un navigateur web

Je n'arrive pas à accéder à l'interface de configuration du module depuis mon navigateur web.

Truc & astuce

Pour pouvoir accéder à l'interface de configuration du module depuis un navigateur web il faut que les deux pré-requis suivants soient respectés :

  1. activer l'écoute de l'interface sur l'extérieur en passant la variable En écoute depuis l'extérieur à oui dans l'onglet Eoleflask.

  2. autoriser votre adresse IP pour administrer le serveur dans l'onglet de l'interface réseau concernée.

Après instance ou reconfigure, l'interface de configuration du module est accessible depuis un navigateur web en HTTPS à l'adresse suivante :

https://<adresse_serveur>:7000/genconfig/

Revenir au dernier état fonctionnel du serveur

Un mauvais paramétrage du serveur ne permet plus d'aller au bout de la reconfiguration du module.

Truc & astuce

Un fichier config.eole.bak est généré dans le répertoire /etc/eole/ à la fin de l'instanciation et à la fin de la reconfiguration du serveur. Celui permet d'avoir une trace de la dernière configuration fonctionnelle du serveur.

À chaque reconfiguration du serveur un fichier config.eole.bak.1 est généré, celui-ci est une copie de la configuration fonctionnelle de l'état d'avant.

S'il existe une différence entre config.eol et config.eole.bak c'est que la configuration du serveur a été modifiée mais qu'elle n'est pas appliquée.

Comment modifier la valeur d'une variable verrouillée

Il est vivement recommandé de ne pas éditer manuellement le fichier config.eol pour éviter les erreurs de frappe ou de type de données.

Truc & astuce

Exporter puis importer le fichier de configuration courant permet de passer outre le verrouillage des variables.

Attention

Cette astuce demande une bonne maîtrise des implications que peut avoir le changement d'une valeur verrouillée. Et une valeur n'est jamais verrouillée sans raison.

Par exemple, le changement de l'identifiant de l'établissement ne se répercute pas sur l'annuaire dont le schéma n'est construit qu'une fois au moment de l'instance du serveur.

Exemple

Pour modifier la valeur verrouillée Identifiant de l'établissement :

  • ouvrir l'interface de configuration du module ;

  • importer le fichier de configuration courant : FichierImporter une Configuration/etc/eole/config.eol ;

  • modifier la valeur de l'identifiant de l'établissement ;

  • enregistrer la configuration : FichierEnregistrer la configuration ;

  • procéder à une reconfiguration du serveur à l'aide de la commande reconfigure.

Erreurs de timeout ou erreur 504 avec Nginx

L'utilisation de la nouvelle interface de configuration du module sur une petite configuration peut poser problème.

Cela se traduit par des erreurs de timeout[3] avec Nginx ou une erreur 504 (méthode not allowed) dans l'interface de configuration du module et [ERROR] WORKER TIMEOUT (pid:XXXX) dans les logs de Gunicorn[4].

Truc & astuce

La valeur de timeout peut être changée à la ligne timeout = '120' dans le fichier de configuration de eoleflask : /etc/eole/flask/eoleflask.conf. Celui-ci n'est pas templatisé et n'est donc pas écrasé en cas de reconfiguration du serveur.

Le changement de valeur doit être suivi d'une relance du service eoleflask :

# CreoleService eoleflask restart

Interface de configuration en mode console

Impossible de trouver le mode console de l'interface de configuration du module.

Truc & astuce

Le mode console a été supprimé par contre il est possible :

  • d'accéder à distance à l'interface de configuration du module via un navigateur web ;
  • d'utiliser la commande CreoleSet pour configurer une variable en ligne de commande.

Consultation des mots de passe dans l’interface de configuration

Sur les versions d'EOLE supérieures à 2.6.0, les valeurs des variables de type password sont masquées lorsque le champ n’est pas en mode édition, donc inaccessibles lorsque le champ est verrouillé.

Truc & astuce

La consultation d’un mot de passe non éditable (stocké dans une variable verrouillée par exemple) est possible en passant en mode Debug. Le mot de passe pouvant malgré tout apparaître tronqué, sa valeur intégrale est accessible dans l’info-bulle qui s’affiche lors du survol du champ.