crans
/
documentation
mirror of https://gitlab.crans.org/nounous/documentation.git
19
0
Fork 0
Code Issues Projects Releases Wiki Activity
documentation/compte_rendus/2013_09_23.md

185 lines
9.4 KiB
Markdown
Raw Blame History

This file contains invisible Unicode characters!

This file contains invisible Unicode characters that may be processed differently from what appears below. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to reveal hidden characters.

= Réunion du Collège Technique =
* Date : Lundi 23 septembre 2013
* Lieu : Espace Condorcet
* Début : 19h25
* Fin : 20h49
== Présents ==
* Daniel Stan
* Florian Marconi
* Jean-Paul Giraud-Ferrandi
* Lucas Serrano
* Pierre-Elliott Bécue
* Raphaël-David Lasseri
* Valentin Samir
* Vincent Guiraud
== Ordre du jour ==
=== Présentation ===
On effectue rapidement un tour de table pour se présenter.
Pierre-Elliott rappelle les divers postes que peuvent occuper des membres actifs et que l'investissement temporel est à géométrie variable.
=== Garantie renouvelée ===
La garantie de {{{zamok}}} ayant expiré, le C.A. a voté durant l'été par email le
renouvellement de la garantie, qui a été appliqué.
Vincent recevra la facture.
L'extension de garantie court jusqu'au 03/09/2014.
=== Politique sur les infractions au copyright ===
Problème réglé : en gros, la DSI nous envoie des mails de la part d'ayants droit mentionnant des IPs Crans.
La politique a donc été définie en accord avec la DSI : on ne sanctionne pas les adhérents, on transmet les mails que l'on reçoit aux adhérents.
Si des demandes d'ayants droit deviennent insistantes, les rediriger vers les instances compétentes.
=== Politique sur les comptes compromis ===
Il arrive que des comptes crans soit compromis, ''id est'' que les identifiants du compte leakent.
Outre les problèmes concernant la vie privée du propriétaire du compte, il a été observé que des spambots envoyaient des milliers de mails via ces comptes.
Pour ce qui est des spams, Pierre-Elliott propose une solution à partir des "politiques" de postfix.
Cela est faisable en pas trop longtemps. Avis à des personnes motivées.
Moralement, si un compte est compromis il faudrait complètement le désactiver (via l'ajout d'un attribut LDAP), et pas uniquement bloquer l'envoi de mail.
Un débat a lieu sur la meilleur manière de communiquer un nouveau mot de passe.
Manières de contacter un adhérent dont le compte est compromis (et désactivé):
* Physiquement à la Kfet
* Mail alternatif (attribut mailExt)
* Adresse postale (ne plus mettre de EXT sans adresse)
* Téléphone
* Au cas par cas (?)
Pierre-Elliott modifiera la base LDAP pour l'attribut "compte désactivé", si possible gérable via blacklist, ou un peu comme mail_invalide.
=== Gestion des certificats ===
PEB a contacté !CaCert pour créer un compte à l'association pour gérer le domaine {{{crans.org}}}.
Le système de !CaCert repose sur un réseau de confiance : des gens "de confiance" assurent d'autres gens, et ainsi de suite.
Il y a un système de points qui permet de donner plus ou moins de possibilités aux gens plus ou moins assurés.
Un compte organisation peut nommer des administrateurs (des assureurs) qui pourront ensuite émettre des certificats pour le domaine.
Actuellement, le domaine {{{crans.org}}} est enregistré sur le compte personnel de Stéphane Glondu, ce qui oblige de passer systématiquement par lui pour les renouvellement ou les nouveaux certificats.
Cela est devenu relativement pénible autant pour lui que pour nous. C'est pourquoi Pierre-Elliott a entrepris les démarches pour ouvrir un compte organisation au nom du Crans.
=== Migration vers proxmox ===
Les machines virtuelles du Crans sont hébergées sous le virtualiseur Xen.
Il y a quelques problèmes lors de la migration de machines virtuelles entre deux virtualiseurs.
Pierre-Elliott a installé Proxmox sur {{{kdell}}} et sur {{{vo}}} pour tester, et celui-ci a plus ou moins fait preuve de sans faute par rapport à nos exigences.
Proxmox, c'est un noyau Linux modifié pour virtualiser des machines sous kvm ou OpenVZ. En sus, il y a une interface web kikoo.
Globalement, Proxmox est plus adapté à nos besoins, Pierre-Elliott a testé la migration des machines depuis XEN vers Proxmax, cela fonctionne, et est documenté.
Un certain nombre de migrations ont été effectuées.
Il faudrait effectuer les suivantes. L'idéal étant que des gens découvrent.
=== Déploiement du wifi ===
Daniel a placé une borne wifi par étage au PDJ (au niveau du local technique).
Il reste à tirer des câbles au niveau des faux plafonds.
Un étage sur deux une au milieu, pour les autres deux sur les côtés.
Les bâtiments C, A, G et le PDJ restent à câbler.
Un des problème est le manque d'accessibilité aux locaux, notamment au C.
Il faut des gens motivés pour faire tout ça, c'est long et chiant, mais c'est indispensable qu'on finisse cette année, ou du moins avant qu'on parte à Saclay.
Dernier détail : le VLAN 3 n'est plus propagé dans les locaux de l'ENS, il faudrait faire signe à la DSI pour essayer de comprendre pourquoi, après avoir mené quelques tests.
=== Mails automatiques ===
Valentin a commencé un peu de templating avec Jinja2, il faudrait remplir ces mails dans les diverses langes qu'on pratique.
Une fois cela fait, on pourrait songer à un champ LDAP pour demander aux adhérents leur langue préférée.
Il faut prolonger ce travail, et le rendre utilisable, si possible avant la prochaine rentrée. Avis aux amateurs.
=== Point lc_ldap ===
{{{lc_ldap}}} est presque fini, il faut juste s'occuper de ces histoires d'historique, et des factures.
On a aussi des erreurs, probablement dues aux locks, il faut investiguer pour améliorer le système.
Globalement, les erreurs sont "!LockedByYou", ce qui tend à laisser croire que dans un cas précis, quand on annule une modif, les locks ne sont pas levés.
Pour l'historique, il s'agit de travailler avec {{{cn=log}}}, ce qui avait été commencé par adg.
Sinon, le système d'historique (quitte à les mettre à côté ou en sous-objet) actuel + {{{cn=log}}}, mais sans parsage.
L'idéal serait quand même de travailler avec {{{cn=log}}}. Une alternative est de créer un objet fils de chaque objet, qui contiendrait l'historique.
Pour les factures, il faut juste écrire le code.
=== Divers intranet2 ===
* Création de compte wiki (pour l'instant on ne sait que linker les comptes)
* Génération de {{{.procmailrc}}} (il s'agit de migrer l'appli de l'intranet1, et de faire ce qui est proposé dans le tracker (règles de filtrage))
* Gestion de !MonCompte (idem qu'au dessus)
* Gestion des factures (cf point {{{lc_ldap}}})
* Digicode / Impression (ça avait été commencé, il faut juste finir, il s'agit aussi de porter l'appli de l'intranet1)
=== Multicast : radio et satellite ===
Valentin a ajouté des chaînes de radio via http sur l'offre TV, qui semble fonctionner.
Il y a un comportement anormal des switches qui fait qu'en cas de poll pour trouver des abonnés,
les réponses ne reviennent pas toujours à cochon malgré son statut de routeur multicast.
Il y a normalement des chaînes de radio sur le satellites mais {{{mumudvb}}} ne veut pas les diffuser.
Il y a une interface web pour la télévision sur http://intranet2.crans.org/tv.
=== VLAN dynamiques en wifi ===
Daniel a travaillé sur le basculement dynamique en wifi entre les VLANs. (accueil & co)
Sur le filaire, c'est déjà fait, les switches interrogent radius pour choisir le VLAN sur lequel placer les machines.
En wifi, c'était un peu plus compliqué. Mais à la suite de divers tests et flashages de bornes, il a trouvé quelque chose qui fonctionne.
Il faut donc modifier les confs radius sur {{{eap}}} et {{{pea}}} pour mettre ça en prod après avoir flashé les bornes avec la nouvelle !OpenWRT.
On prévoit également de mettre en place le failover pour {{{eap}}} et {{{pea}}}.
Bref, ça marche, il faut des apprentis motivés pour apprendre tout ça et implémenter le truc. (soyons consensuels). Raphaël-David a déjà commence, mais il veut des coupaings.
=== Point cranspassword ===
Vincent étant absent, on se limitera aux remarques de Daniel.
Il faut s'assurer que les clefs GPG des gens sont toujours à jour, et non expirées.
* Ouais, j'étais pas là, my bad.
. Pour ce qui est des détails techniques d'un point de vue {{{git}}}, il faut soit se placer sur la branche {{{0.1}}} et ne plus se soucier de rien (le serveur sur {{{vert}}} est en {{{0.1}}}), soit rester sur {{{master}}} mais être prêt à puller les mises à jour quand il y en a. Le serveur sur {{{ovh}}} est sur {{{master}}} (mais en readonly)
. Pour le faire marcher, on peut maintenant utiliser le Makefile (sur {{{master}}}). {{{make install}}} pour installer le client. Ça a pour effet de :
* mettre de la conf dans {{{~/.config/cranspasswords}}}
* installer le script {{{cranspasswords}}} dans {{{~/bin}}}, qu'il faut donc avoir dans son {{{$PATH}}}
. La vérification de confiance et d'expiration des clés est implémentée, et il propose même d'ignorer une clé au moment où on chiffre si elle pose problème.
. J'oublie ptêt des trucs, mais normalement la doc est [[CransTechnique/ScriptsCrans/CransPasswords|là]] -- [[Wiki20-100]] <<DateTime(2013-09-28T01:37:06+0200)>>
=== Questions diverses ===
==== Séminaires ====
Date de début des séminaires ?
Le 1er ou le 8 octobre, à confirmer par email, et pensez à faire de la vraie pub, parce que les séminaires, c'est le bien.
Valentin voudrait qu'on commence GPG en octobre, ce qui est judicieux.
Si cela convient aux intervenants, le premier mois sera donc "intro par Valentin" -> "Unix par lolasd" -> "le shell par #Random" -> "Gépégé".
==== Reconfiguration des switches ====
Tous les switchs ont la nouvelle configuration faite par Daniel vendredi soir.
==== Forum des assoces ====
Daniel propose de tenir le stand, et veut de la compagnie.
Reference in New Issue View Git Blame Copy Permalink