crans
/
documentation
mirror of https://gitlab.crans.org/nounous/documentation.git
19
0
Fork 0
Code Issues Projects Releases Wiki Activity
documentation/compte_rendus/2014_02_06.md

136 lines
4.9 KiB
Markdown
Raw Blame History

This file contains invisible Unicode characters!

This file contains invisible Unicode characters that may be processed differently from what appears below. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to reveal hidden characters.

This file contains ambiguous Unicode characters that may be confused with others in your current locale. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to highlight these characters.

# Réunion du Collège Technique
* Date : Jeudi 6 février 2014
* Lieu : Salle de conférence du Pavillon des Jardins
* Début : 19h00
* Fin : 20h30
## Présents
## Ordre du jour
### Interfaçage de cranspassword avec ldap
On a rajouté un attribut gpgMail (en plus du gpgFingerprint) dans la base ldap.
Il est fonctionnel dans le nouveau binding, mais pas encore dispo dans
gest_crans.
Daniel a écrit un script qui génère la configuration de cranspassword serveur à
partir de la base ldap (en se servant des attributs droits, gpgFingerPrint et
gpgMail).
Pour le moment, la base a été peuplée (pour l'attribut gpgMail) pour tous les
gens qui avaient donné une fingerprint.
Il sera bientôt mis en production.
Question : modifie-t-on la configuration de manière automatique (via un cron)
ou requiert-on une intervention humaine pour confirmer les modifications de
droits ? On décide de garder un système de confirmation avant d'appliquer les
modifications (à la bcfg2) pour rendre la chose failproof.
Todo : écrire une application sur l'intranet2 (dans mon compte) pour enregistrer
les fingerprint/mail.
### apt-key
Le crans possède un dépôt custom pour les paquets qu'il crée pour lui même (par
exemple bcfg2).
Ces paquets sont alors signés par une nounou (avec sa clef gpg). Aussi, faut-il
installer ces clefs sur les serveurs dans la configuration d'apt pour pouvoir
installer les paquets sans warning.
Les clefs sont dans bcfg2.
Rappel: il y a un
script {{{/usr/scripts/gestion/tools/apt-keys-crans.py}}} pour mettre à
jour les clefs sur bcfg2.
Pour le moment il est exécuté manuellement. Valentin propose de le croner et de
retirer les fichier générer du dépôt git de bcfg2.
Pas d'objection cinglante.
### Génération du dns
Valentin a réécrit le script bind.py de génération du DNS. C'est moins
monolithique, plus POO et ça utilise lc_ldap.
Changement notable : Les machines ont leur IPv6 d'annoncée par défaut par leur
nom de domaine.
* {{{nom.v4}}} retourne seulement l'IPv4.
* {{{nom.v6}}} seulement l'IPv6.
Il y a une case à cocher dans l'intranet2 dans l'application machines pour
désactiver ou réactiver ce comportement.
Deux trois problèmes:
* {{{freebox}}} et {{{ovh}}} ont des IPv6 erronées dans la base
ldap (IPv6 locales) -> plus joignables une fois annoncée dans le DNS
* {{{zbee}}} -> pour des raisons de NFS qui essayait de se monter en IPv6 à
travers le pare-feu
* munin -> les acl des nodes n'autorisaient pas l'IPv6 (connexion refused) ce
qui empêchait le fallback IPv4
### IPv6
Daniel a reregardé Huricann-Electrics : le plan était d'adhérer à Gitoyen pour
pouvoir lui demander un numéro d'AS (Autonomous System) et des IPv6.
Niveau coût il faudrait payer l'adhésion à Gitoyen (entre 100 et 200€) plus des
frais
administratifs (entre 200 et 300€).
Pierre-Elliott fait remarquer qu'on adhère à FedeRez pour un prix plus élevé.
Niveau administratif, il faut étudier la question (demander au CA).
Valentin fait remarquer que quand bien même, avoir ses propres IPs serait bien
sympathique, il faut s'assurer de pouvoir les utiliser le jour où l'ENS passe
en IPv6. Aujourd'hui pour annoncer ses propres IPs via H-E, le tunnel de sortie
se trouve à Londres au lieu de Paris. Ce qui fait passer le RTT de 1ms à 8ms.
### CaCert et clubs
L'idée est de générer des certificats SSL !CaCert pour les machines de clubs
qui en font la demande.
Sur le principe ok. Seul problème : si la machine est détruite, le certificat
existe toujours alors que le domaine peut être utilisé par quelqu'un d'autre.
Soit on révoque directement les certificats quand la machine disparaît, via
une API (qui n'a pas l'air dispo pour l'instant
sur [[CransTechnique/CaCert|CaCert]]).
Soit on empêche les opérations sur les machines qui ont toujours un certificat
valide.
API à étudier : http://wiki.cacert.org/Software/IntegrationInterface
http://wiki.cacert.org/SubRoot
Il serait bien d'avoir une interface sur l'intranet2 (étendre l'interface de
machine)
pour permettre de faire des demandes de certificats (et si l'API de !CaCert ne
marche pas,
une interface pour y répondre manuellement).
### Digicode
Lucas a rajouté une option sur l'app digicode pour créer des codes. Ça a l'air
de marcher.
Reste plus qu'à migrer le tout.
### Édition .forward
Raphaël-David a fait un script pour éditer des {{{.forward}}}. Reste à régler
le problème de droits d'exécution du script (qui sexécute en root pour
l'instant).
Il pourrait être envisagé de donner le droit au groupe respbats dexécuter le
script en temps que n'importe qui du groupe user et de le lancer en temps que
l'user dont on veut éditer le .forward (cf ce qui est actuellement fait pour
l'intranet1).
### ft
Il est installé au 0B physiquement et logiciellement. Ça marche.
Il ne reste qu'à finir les migrations depuis Xen.
### Wifi
La DSI abandonne le ssid ENS Cachan. On arrête donc définitivement de le
diffuser.
Reference in New Issue View Git Blame Copy Permalink