crans
/
documentation
mirror of https://gitlab.crans.org/nounous/documentation.git
19
0
Fork 0
Code Issues Projects Releases Wiki Activity
documentation/compte_rendus/2013_09_23.md

252 lines
9.3 KiB
Markdown
Raw Blame History

This file contains invisible Unicode characters!

This file contains invisible Unicode characters that may be processed differently from what appears below. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to reveal hidden characters.

# Réunion du Collège Technique
* Date : Lundi 23 septembre 2013
* Lieu : Espace Condorcet
* Début : 19h25
* Fin : 20h49
## Présents
* Daniel Stan
* Florian Marconi
* Jean-Paul Giraud-Ferrandi
* Lucas Serrano
* Pierre-Elliott Bécue
* Raphaël-David Lasseri
* Valentin Samir
* Vincent Guiraud
## Ordre du jour
### Présentation
On effectue rapidement un tour de table pour se présenter.
Pierre-Elliott rappelle les divers postes que peuvent occuper des membres
actifs et que l'investissement temporel est à géométrie variable.
### Garantie renouvelée
La garantie de {{{zamok}}} ayant expiré, le C.A. a voté durant l'été par email
le
renouvellement de la garantie, qui a été appliqué.
Vincent recevra la facture.
L'extension de garantie court jusqu'au 03/09/2014.
### Politique sur les infractions au copyright
Problème réglé : en gros, la DSI nous envoie des mails de la part d'ayants
droit mentionnant des IPs Crans.
La politique a donc été définie en accord avec la DSI : on ne sanctionne pas
les adhérents, on transmet les mails que l'on reçoit aux adhérents.
Si des demandes d'ayants droit deviennent insistantes, les rediriger vers les
instances compétentes.
### Politique sur les comptes compromis
Il arrive que des comptes crans soit compromis, ''id est'' que les identifiants
du compte leakent.
Outre les problèmes concernant la vie privée du propriétaire du compte, il a
été observé que des spambots envoyaient des milliers de mails via ces comptes.
Pour ce qui est des spams, Pierre-Elliott propose une solution à partir
des "politiques" de postfix.
Cela est faisable en pas trop longtemps. Avis à des personnes motivées.
Moralement, si un compte est compromis il faudrait complètement le
désactiver (via l'ajout d'un attribut LDAP), et pas uniquement bloquer l'envoi
de mail.
Un débat a lieu sur la meilleur manière de communiquer un nouveau mot de passe.
Manières de contacter un adhérent dont le compte est compromis (et désactivé):
* Physiquement à la Kfet
* Mail alternatif (attribut mailExt)
* Adresse postale (ne plus mettre de EXT sans adresse)
* Téléphone
* Au cas par cas (?)
Pierre-Elliott modifiera la base LDAP pour l'attribut "compte désactivé", si
possible gérable via blacklist, ou un peu comme mail_invalide.
### Gestion des certificats
PEB a contacté !CaCert pour créer un compte à l'association pour gérer le
domaine {{{crans.org}}}.
Le système de !CaCert repose sur un réseau de confiance : des gens "de
confiance" assurent d'autres gens, et ainsi de suite.
Il y a un système de points qui permet de donner plus ou moins de possibilités
aux gens plus ou moins assurés.
Un compte organisation peut nommer des administrateurs (des assureurs) qui
pourront ensuite émettre des certificats pour le domaine.
Actuellement, le domaine {{{crans.org}}} est enregistré sur le compte personnel
de Stéphane Glondu, ce qui oblige de passer systématiquement par lui pour les
renouvellement ou les nouveaux certificats.
Cela est devenu relativement pénible autant pour lui que pour nous. C'est
pourquoi Pierre-Elliott a entrepris les démarches pour ouvrir un compte
organisation au nom du Crans.
### Migration vers proxmox
Les machines virtuelles du Crans sont hébergées sous le virtualiseur Xen.
Il y a quelques problèmes lors de la migration de machines virtuelles entre
deux virtualiseurs.
Pierre-Elliott a installé Proxmox sur {{{kdell}}} et sur {{{vo}}} pour tester,
et celui-ci a plus ou moins fait preuve de sans faute par rapport à nos
exigences.
Proxmox, c'est un noyau Linux modifié pour virtualiser des machines sous kvm ou
OpenVZ. En sus, il y a une interface web kikoo.
Globalement, Proxmox est plus adapté à nos besoins, Pierre-Elliott a testé la
migration des machines depuis XEN vers Proxmax, cela fonctionne, et est
documenté.
Un certain nombre de migrations ont été effectuées.
Il faudrait effectuer les suivantes. L'idéal étant que des gens découvrent.
### Déploiement du wifi
Daniel a placé une borne wifi par étage au PDJ (au niveau du local technique).
Il reste à tirer des câbles au niveau des faux plafonds.
Un étage sur deux une au milieu, pour les autres deux sur les côtés.
Les bâtiments C, A, G et le PDJ restent à câbler.
Un des problème est le manque d'accessibilité aux locaux, notamment au C.
Il faut des gens motivés pour faire tout ça, c'est long et chiant, mais c'est
indispensable qu'on finisse cette année, ou du moins avant qu'on parte à Saclay.
Dernier détail : le VLAN 3 n'est plus propagé dans les locaux de l'ENS, il
faudrait faire signe à la DSI pour essayer de comprendre pourquoi, après avoir
mené quelques tests.
### Mails automatiques
Valentin a commencé un peu de templating avec Jinja2, il faudrait remplir ces
mails dans les diverses langes qu'on pratique.
Une fois cela fait, on pourrait songer à un champ LDAP pour demander aux
adhérents leur langue préférée.
Il faut prolonger ce travail, et le rendre utilisable, si possible avant la
prochaine rentrée. Avis aux amateurs.
### Point lc_ldap
{{{lc_ldap}}} est presque fini, il faut juste s'occuper de ces histoires
d'historique, et des factures.
On a aussi des erreurs, probablement dues aux locks, il faut investiguer pour
améliorer le système.
Globalement, les erreurs sont "!LockedByYou", ce qui tend à laisser croire que
dans un cas précis, quand on annule une modif, les locks ne sont pas levés.
Pour l'historique, il s'agit de travailler avec {{{cn=log}}}, ce qui avait été
commencé par adg.
Sinon, le système d'historique (quitte à les mettre à côté ou en
sous-objet) actuel + {{{cn=log}}}, mais sans parsage.
L'idéal serait quand même de travailler avec {{{cn=log}}}. Une alternative est
de créer un objet fils de chaque objet, qui contiendrait l'historique.
Pour les factures, il faut juste écrire le code.
### Divers intranet2
* Création de compte wiki (pour l'instant on ne sait que linker les comptes)
* Génération de {{{.procmailrc}}} (il s'agit de migrer l'appli de l'intranet1,
et de faire ce qui est proposé dans le tracker (règles de filtrage))
* Gestion de !MonCompte (idem qu'au dessus)
* Gestion des factures (cf point {{{lc_ldap}}})
* Digicode / Impression (ça avait été commencé, il faut juste finir, il s'agit
aussi de porter l'appli de l'intranet1)
### Multicast : radio et satellite
Valentin a ajouté des chaînes de radio via http sur l'offre TV, qui semble
fonctionner.
Il y a un comportement anormal des switches qui fait qu'en cas de poll pour
trouver des abonnés,
les réponses ne reviennent pas toujours à cochon malgré son statut de routeur
multicast.
Il y a normalement des chaînes de radio sur le satellites mais {{{mumudvb}}} ne
veut pas les diffuser.
Il y a une interface web pour la télévision sur http://intranet2.crans.org/tv.
### VLAN dynamiques en wifi
Daniel a travaillé sur le basculement dynamique en wifi entre les
VLANs. (accueil & co)
Sur le filaire, c'est déjà fait, les switches interrogent radius pour choisir
le VLAN sur lequel placer les machines.
En wifi, c'était un peu plus compliqué. Mais à la suite de divers tests et
flashages de bornes, il a trouvé quelque chose qui fonctionne.
Il faut donc modifier les confs radius sur {{{eap}}} et {{{pea}}} pour mettre
ça en prod après avoir flashé les bornes avec la nouvelle !OpenWRT.
On prévoit également de mettre en place le failover pour {{{eap}}} et {{{pea}}}.
Bref, ça marche, il faut des apprentis motivés pour apprendre tout ça et
implémenter le truc. (soyons consensuels). Raphaël-David a déjà commence, mais
il veut des coupaings.
### Point cranspassword
Vincent étant absent, on se limitera aux remarques de Daniel.
Il faut s'assurer que les clefs GPG des gens sont toujours à jour, et non
expirées.
* Ouais, j'étais pas là, my bad.
. Pour ce qui est des détails techniques d'un point de vue {{{git}}}, il faut
soit se placer sur la branche {{{0.1}}} et ne plus se soucier de rien (le
serveur sur {{{vert}}} est en {{{0.1}}}), soit rester sur {{{master}}} mais
être prêt à puller les mises à jour quand il y en a. Le serveur
sur {{{ovh}}} est sur {{{master}}} (mais en readonly)
. Pour le faire marcher, on peut maintenant utiliser le
Makefile (sur {{{master}}}). {{{make install}}} pour installer le client. Ça a
pour effet de :
* mettre de la conf dans {{{~/.config/cranspasswords}}}
* installer le script {{{cranspasswords}}} dans {{{~/bin}}}, qu'il faut donc
avoir dans son {{{$PATH}}}
. La vérification de confiance et d'expiration des clés est implémentée, et il
propose même d'ignorer une clé au moment où on chiffre si elle pose problème.
. J'oublie ptêt des trucs, mais normalement la doc
est [[CransTechnique/ScriptsCrans/CransPasswords|là]] -- [[Wiki20-100]] <<DateTime(2013-09-28T01:37:06+0200)>>
### Questions diverses
#### Séminaires
Date de début des séminaires ?
Le 1er ou le 8 octobre, à confirmer par email, et pensez à faire de la vraie
pub, parce que les séminaires, c'est le bien.
Valentin voudrait qu'on commence GPG en octobre, ce qui est judicieux.
Si cela convient aux intervenants, le premier mois sera donc "intro par
Valentin" -> "Unix par lolasd" -> "le shell par #Random" -> "Gépégé".
#### Reconfiguration des switches
Tous les switchs ont la nouvelle configuration faite par Daniel vendredi soir.
#### Forum des assoces
Daniel propose de tenir le stand, et veut de la compagnie.
Reference in New Issue View Git Blame Copy Permalink