Réunion du Collège Technique

Date : 15/03/18
Lieu : Condorcet
Début : 19h30
Fin :
Lien vers l'etherpad associé

Présents

Ordre du jour

Point sur la fibre

Plan de déploiement.

La fibre est en place, des essais sont en cours mais on n'a pas encore la satisfaction totale quant à son utilisation. Potentiellement des erreurs de routage. Une présentation plus approfondie sera faite.

Benjamin propose un plan d'adressage IP : https://pad.crans.org/p/PlanIP

WPA2

tudor souligne qu'avoir un mot de passe identique pour tout le monde pose des soucis et que la solution acceptée devait utiliser le radius. Il faudrait changer ça sinon il faut nuker le SSID.

Tudor: De manière surprenante, je ne trouve pas de doc claire à ce sujet pour unifi-controller, mais des gens en parlent ici:

https://community.ubnt.com/t5/UniFi-Wireless/Unifi-AP-support-mac-based-authentication/td-p/2232766 ou là: https://community.ubnt.com/t5/UniFi-Wireless/What-does-Radius-MAC-authentication-do/td-p/2126890 l'option semble présente dans l'unifi controller en prod au crans. Ok, my bad, ça authentifie tout le monde avec le même mot de passe. La feature recherchée s'appelle parfois PPSK (*private* pre-shared key), et pas mal de gens se plaignent qu'elle n'existe pas (cf https://www.reddit.com/r/Ubiquiti/comments/79yhhd/does_ubiquiti_have_any_plan_to_implement_wpa2ppsk/ par exemple). Feature request officielle: https://community.ubnt.com/t5/UniFi-Feature-Requests/Private-WPA-keys/idi-p/626751 côté hostapd (utilisé en interne par openwrt et unifi-os), la feature existe bel et bien:
- "wpa_psk_radius" dans https://w1.fi/cgit/hostap/plain/hostapd/hostapd.conf Il faut juste modifier le serveur radius pour qu'il renvoie le mdp en clair vers la borne (chose qu'il ne fait pas habituellement).

bcfg2

Actuellement, au Cr@ns est utilisé le paquet bcfg2 (un peu customisé pour nos usages persos) pour gérer les config des serveurs. Cependant, le paquet se fait vieux. Il faudrait peut-être envisager de trouver un autre gestionnaire. Une alternative pas mal peut etre ansible qui est aussi en python et il me semble est uttilisé dans d'autres assos de Federez. Question aux vieux: pourquoi bcfg2 ?

Autostatus

On se propose de se débarasser entièrement d'autostatus pour le remplacer par icinga.

Augmentation du nombre de MACs par prise

Actuellement la limite est de 2 pour les prises des chambres et de 5 pour les clubs, cette limite est parfois atteinte au Club Jeux Vidéo et au club Serv[ENS]

MàJ du wiki

Benjamin propose de créer une vm pour mettre à jour le wiki vers stretch

Condition de mise en prod du webnews

Le webnews "marche" mais n'est pas équivalent en feature par rapport à l'ancien et il n'a pas été testé sauf que vu l'activité des news il ne sera clairement jamais beaucoup tester. Du coup Fardale souhaiterai un cahier des charges à remplir pour le mettre en prod.

Pérennité des services du Crans

Pensons-nous pouvoir garantir le maintien d'un certain nombre de service pour x années ?

On envisage à nouveau la migration vers re2o. pros & cons ?

Renews les clef gpg pour le dépôt custom

Et faire une page wiki sur comment faire

MàJ des Serveurs

En parlant de pérénité des services, il faut parler mails. En parlant de mails, il serait intéressant de planifier une interruption de services pour mettre à jour redisdead et owl. btw il semble y avoir une faille de sécurité dans dovecot jusqu'à la version de stretch-backports : https://www.cvedetails.com/cve/CVE-2017-15132/ https://tracker.debian.org/pkg/dovecot

Divers

Du gateau ! Pour fêter les 20 ans ?

CatégoriePagePublique

-  ⇤ ← Version 1 à la date du 2018-03-13 21:32:50 → 
  Taille: 532
  Éditeur: WikiCharlie
  Commentaire:
+   ← Version 15 à la date du 2018-03-15 18:43:53 → ⇥
  Taille: 3971
  Éditeur: Benjamin
  Commentaire:
-Texte supprimé.
+Texte ajouté.
 Ligne 7:
- * Date : 
 * Lieu : Pavillon des Jardins
 * Début : 19h00
 * Fin :
+ * Date : 15/03/18
 * Lieu : Condorcet
 * Début : 19h30
 * Fin :
 Ligne 15:
-Ligne 17:
+Ligne 18:
-=== Nouvelle fibre ===
+=== Point sur la fibre ===
Plan de déploiement.
-Ligne 19:
+Ligne 21:
-Qu'est-ce que c'est ti qu'on veut en faire ?
+La fibre est en place, des essais sont en cours mais on n'a pas encore la satisfaction totale quant à son utilisation. Potentiellement des erreurs de routage. Une présentation plus approfondie sera faite.

Benjamin propose un plan d'adressage IP : https://pad.crans.org/p/PlanIP

=== WPA2 ===
tudor souligne qu'avoir un mot de passe identique pour tout le monde pose des soucis et que la solution acceptée devait utiliser le radius.
Il faudrait changer ça sinon il faut nuker le SSID.

Tudor: De manière surprenante, je ne trouve pas de doc claire à ce sujet pour unifi-controller, mais des gens en parlent ici:
    https://community.ubnt.com/t5/UniFi-Wireless/Unifi-AP-support-mac-based-authentication/td-p/2232766
    ou là: https://community.ubnt.com/t5/UniFi-Wireless/What-does-Radius-MAC-authentication-do/td-p/2126890
    l'option semble présente dans l'unifi controller en prod au crans.
    Ok, my bad, ça authentifie tout le monde avec le même mot de passe. La feature recherchée s'appelle parfois PPSK  (*private* pre-shared key), et pas mal de gens se plaignent qu'elle n'existe pas (cf https://www.reddit.com/r/Ubiquiti/comments/79yhhd/does_ubiquiti_have_any_plan_to_implement_wpa2ppsk/ par exemple).
    Feature request officielle: https://community.ubnt.com/t5/UniFi-Feature-Requests/Private-WPA-keys/idi-p/626751
    côté hostapd (utilisé en interne par openwrt et unifi-os), la feature existe bel et bien:
        "wpa_psk_radius" dans https://w1.fi/cgit/hostap/plain/hostapd/hostapd.conf
        Il faut juste modifier le serveur radius pour qu'il renvoie le mdp en clair vers la borne (chose qu'il ne fait pas habituellement).

=== bcfg2 ===
Actuellement, au Cr@ns est utilisé le paquet bcfg2 (un peu customisé pour nos usages persos) pour gérer les config des serveurs. Cependant, le paquet se fait vieux. Il faudrait peut-être envisager de trouver un autre gestionnaire.
Une alternative pas mal peut etre ansible qui est aussi en python et il me semble est uttilisé dans d'autres assos de Federez.
Question aux vieux: pourquoi bcfg2 ?

=== Autostatus ===

On se propose de se débarasser entièrement d'autostatus pour le remplacer par icinga.

=== Augmentation du nombre de MACs par prise ===
Actuellement la limite est de 2 pour les prises des chambres et de 5 pour les clubs, cette limite est parfois atteinte au Club Jeux Vidéo et au club Serv[ENS]

=== MàJ du wiki ===
Benjamin propose de créer une vm pour mettre à jour le wiki vers stretch

=== Condition de mise en prod du webnews ===
Le webnews "marche" mais n'est pas équivalent en feature par rapport à l'ancien et il n'a pas été testé sauf que vu l'activité des news il ne sera clairement jamais beaucoup tester. Du coup Fardale souhaiterai un cahier des charges à remplir pour le mettre en prod.
-Ligne 22:
+Ligne 58:
+Pensons-nous pouvoir garantir le maintien d'un certain nombre de service pour x années ?
-Ligne 23:
+Ligne 60:
-Penses-nous pouvoir garantir le maintien d'un certain nombre de service pour x années ?
+On envisage à nouveau la migration vers re2o. pros & cons ?

=== Renews les clef gpg pour le dépôt custom ===
Et faire une page wiki sur comment faire

=== MàJ des Serveurs ===
En parlant de pérénité des services, il faut parler mails. En parlant de mails, il serait intéressant de planifier une interruption de services pour mettre à jour redisdead et owl. btw il semble y avoir une faille de sécurité dans dovecot jusqu'à la version de stretch-backports : https://www.cvedetails.com/cve/CVE-2017-15132/
https://tracker.debian.org/pkg/dovecot
-Ligne 26:
+Ligne 70:
+=== Divers ===
 * Du gateau ! Pour fêter les 20 ans ?