|
Taille: 697
Commentaire:
|
Taille: 5450
Commentaire:
|
| Texte supprimé. | Texte ajouté. |
| Ligne 7: | Ligne 7: |
| * Début : 19h00 | * Début : 19h19 |
| Ligne 11: | Ligne 11: |
| * Ariane Soret * Aymeric Labatut * Daniel Stan * Lucas Serrano * Jordan Delorme * Riwan Kherouf * Raphaël-David Lasseri * Valentin Samir |
|
| Ligne 12: | Ligne 21: |
=== lc_ldap === === DNS === ==== TLSA ==== ==== Blocage via response policy zone ==== |
|
| Ligne 22: | Ligne 24: |
| Lucas à mis en place le nouveau digicode_server et gen_code sur intranet2 et sur asterisk Pour générer un code à partir de l'intranet2 il faut accéder à l'interface admin de django. Sinon on peut toujours en générer sur l'intranet1... === lc_ldap === Valentin à surchargé les attributs de lc_ldap pour permettre une comparaison plus simple (et fonctionelle) entres des objets ldap. L'égalité fontionne de façon sémantique sur les objets et les attributs comme on pourrait s'y attendre. (du coup 'club' in club['objectClass'] fonctionne) Les attributs peuvent être instancé par leur type python correspondant (au lieu de juste des unicodes) Si deux attributs sont égaux, ils ont le même hash (cf set et hashtable) Les attributs python des attributs ldap Attr sont directement accessible comme des attributs de Attr. les machines['historique'].append() fonctionnent comme on pourait s'y attendre et plein d'autre bonne chose ! D'une manière générale, si on a besoin d'accèder à attrs sur les CransLdapObject ou à value sur les Attr c'est qu'il manque sans doute une methode à écrire ou surcharger quelque part. === Enregistrement automatique des adresses MAC === Daniel arrive a faire de l'authentification radius pour le WPA2 sans utiliser le module radius dédié à cela mais en utilisant un script python. Lors de l'authentification d'un client sur une borne, la borne met en relation radius et le client et radius l'authentifie avant de renvoyer le résultat à la borne. Une idée en utilisant un script custom serait de pouvoir ne fournir aux adhérents lors de l'enregistrement d'une nouvelle machine wifi que le nom d'utilisateur de le mot de passe. Puis de remplir d'adresse mac de la machine seulement lors de la première autentification réussi en utilisant celle de la première machine qui s'authentifie. Les gens présent on l'air assez entousiaste pour le wifi. Une option similaire en filaire reste à discution. Il serait également bien que la première fois que la mac est enregistré, comme la machine vient de se connecter, quelle puisse acceder à internet. Pour le dhcp, la mise à jour est déjà instantané. Il manque la mise à jour du pare-feu, au moins celui de komaz. Valentin propose un solution à partir d'une clef ssh n'ayant que le droit de trigger l'appel à generate en s'inspirant de https://wiki.crans.org/CransTechnique/AdminR%C3%A9seau/CommunicationsParSshEntreLesServeurs. Nicolas aurait parler d'une solution rabbitmq qui pourrait à terme remplacer le système maison generate. |
|
| Ligne 24: | Ligne 57: |
| fait | |
| Ligne 25: | Ligne 59: |
| Valentin a ajouter la possibiliter de rempler les attributs sshFingerprint de ses propres machines. Elle sont alors publié dans le dns du crans. === DNS === ==== TLSA ==== Valentin rappel brièvement que TLSA est un enregistrement dns permettant de vérifier la validité d'une clef publique du standard x509 via le dns. Pour pouvoir permettre au adhérents de publier dans le dns de leur machine leur certificat, il faudrait ajouter un nouvel objet ldap enfant des objets machines (n'a pas de sens en LDAP) qui aurrait en attribut : * name nom de domaine pour lequel le certificat est utilisé (multivalué) * port les port sur lequel le certificat est utilisé (multivalué) * proto tcp ou udp (multivalué) * cert quelque chose représentant le certificat (monovalué) * certtype type d'enregistrement 0 = CA pinning, 1 = cert pinning, 2 = self trusted CA, 3 = self trusted cert (monovalué) * reftype: 0 = plain cert, 1 = sha256, 2 = sha512 (monovalué) A voir si on veux utilisé l'objet pour gérer les certificat d'une manière générale… ==== Blocage via response policy zone ==== Valentin avait lors de l'install party précédente mis en place un DNS menteur renvoyant archive.ubuntu vers le mirroir local. Récemment Valentin à étendu le rôle du DNS menteur à la zone crans pour empecher les IP utilisés par Teredo (tunnel v6 propre aux machines sous windows) de contacter le DNS et ainsi de faire de l'IPv6 pirate. Théoriquement la future présence de RA pirates sur le réseau ne serait donc plus fortuite (en tout cas beaucoup moins) |
|
| Ligne 28: | Ligne 87: |
| === Enregistrement automatique des adresses MAC === | Une nouvelle machine est prête pour remplacer ovh : soyouz À priori, valentin à fini se configuration. Il faut juste modifier les enregistement du dns (MX et NS et glue record) pour remplacer ovh. le TLSSTART en smtp ne marche pas, il faudrait juste mettre une paire de clef. |
| Ligne 30: | Ligne 91: |
| === Trigger generate === ### en s'inspirant de https://wiki.crans.org/CransTechnique/AdminR%C3%A9seau/CommunicationsParSshEntreLesServeurs |
On va rendre ovh, il faudrait donc prendre le temps de shred les disques en rescue mode. |
| Ligne 33: | Ligne 93: |
=== question diverse === ==== Migration XEN -> Proxmox ==== Daniel propose de faire une séance migration samedi après-midi (tôt pour ne pas concurrencer la lan A♡) Les volontaires ne lèvent pas tous le doigt en même temps. Daniel annonce donc une «petite» maintenance sur cransIncident et sur les news. |
Sommaire
Réunion du Collège Technique
- Date : 20 février 2014
- Lieu : Salle de conférence du Pavillon des Jardins
- Début : 19h19
- Fin :
Présents
- Ariane Soret
- Aymeric Labatut
- Daniel Stan
- Lucas Serrano
- Jordan Delorme
- Riwan Kherouf
- Raphaël-David Lasseri
- Valentin Samir
Ordre du jour
digicode
Lucas à mis en place le nouveau digicode_server et gen_code sur intranet2 et sur asterisk Pour générer un code à partir de l'intranet2 il faut accéder à l'interface admin de django. Sinon on peut toujours en générer sur l'intranet1...
lc_ldap
Valentin à surchargé les attributs de lc_ldap pour permettre une comparaison plus simple (et fonctionelle) entres des objets ldap. L'égalité fontionne de façon sémantique sur les objets et les attributs comme on pourrait s'y attendre. (du coup 'club' in club['objectClass'] fonctionne) Les attributs peuvent être instancé par leur type python correspondant (au lieu de juste des unicodes) Si deux attributs sont égaux, ils ont le même hash (cf set et hashtable) Les attributs python des attributs ldap Attr sont directement accessible comme des attributs de Attr. les machines['historique'].append() fonctionnent comme on pourait s'y attendre et plein d'autre bonne chose !
D'une manière générale, si on a besoin d'accèder à attrs sur les CransLdapObject ou à value sur les Attr c'est qu'il manque sans doute une methode à écrire ou surcharger quelque part.
Enregistrement automatique des adresses MAC
Daniel arrive a faire de l'authentification radius pour le WPA2 sans utiliser le module radius dédié à cela mais en utilisant un script python. Lors de l'authentification d'un client sur une borne, la borne met en relation radius et le client et radius l'authentifie avant de renvoyer le résultat à la borne.
Une idée en utilisant un script custom serait de pouvoir ne fournir aux adhérents lors de l'enregistrement d'une nouvelle machine wifi que le nom d'utilisateur de le mot de passe. Puis de remplir d'adresse mac de la machine seulement lors de la première autentification réussi en utilisant celle de la première machine qui s'authentifie.
Les gens présent on l'air assez entousiaste pour le wifi. Une option similaire en filaire reste à discution.
Il serait également bien que la première fois que la mac est enregistré, comme la machine vient de se connecter, quelle puisse acceder à internet. Pour le dhcp, la mise à jour est déjà instantané. Il manque la mise à jour du pare-feu, au moins celui de komaz.
Valentin propose un solution à partir d'une clef ssh n'ayant que le droit de trigger l'appel à generate en s'inspirant de https://wiki.crans.org/CransTechnique/AdminR%C3%A9seau/CommunicationsParSshEntreLesServeurs. Nicolas aurait parler d'une solution rabbitmq qui pourrait à terme remplacer le système maison generate.
intranet2
Création de compte wiki
fait
Gestion des clef ssh
Valentin a ajouter la possibiliter de rempler les attributs sshFingerprint de ses propres machines. Elle sont alors publié dans le dns du crans.
DNS
TLSA
Valentin rappel brièvement que TLSA est un enregistrement dns permettant de vérifier la validité d'une clef publique du standard x509 via le dns. Pour pouvoir permettre au adhérents de publier dans le dns de leur machine leur certificat, il faudrait ajouter un nouvel objet ldap enfant des objets machines (n'a pas de sens en LDAP) qui aurrait en attribut :
- name nom de domaine pour lequel le certificat est utilisé (multivalué)
- port les port sur lequel le certificat est utilisé (multivalué)
- proto tcp ou udp (multivalué)
- cert quelque chose représentant le certificat (monovalué)
- certtype type d'enregistrement 0 = CA pinning, 1 = cert pinning, 2 = self trusted CA, 3 = self trusted cert (monovalué)
- reftype: 0 = plain cert, 1 = sha256, 2 = sha512 (monovalué) A voir si on veux utilisé l'objet pour gérer les certificat d'une manière générale…
Blocage via response policy zone
Valentin avait lors de l'install party précédente mis en place un DNS menteur renvoyant archive.ubuntu vers le mirroir local. Récemment Valentin à étendu le rôle du DNS menteur à la zone crans pour empecher les IP utilisés par Teredo (tunnel v6 propre aux machines sous windows) de contacter le DNS et ainsi de faire de l'IPv6 pirate. Théoriquement la future présence de RA pirates sur le réseau ne serait donc plus fortuite (en tout cas beaucoup moins)
Remplacement de ovh
Une nouvelle machine est prête pour remplacer ovh : soyouz À priori, valentin à fini se configuration. Il faut juste modifier les enregistement du dns (MX et NS et glue record) pour remplacer ovh. le TLSSTART en smtp ne marche pas, il faudrait juste mettre une paire de clef.
On va rendre ovh, il faudrait donc prendre le temps de shred les disques en rescue mode.
question diverse
Migration XEN -> Proxmox
Daniel propose de faire une séance migration samedi après-midi (tôt pour ne pas concurrencer la lan A♡) Les volontaires ne lèvent pas tous le doigt en même temps. Daniel annonce donc une «petite» maintenance sur cransIncident et sur les news.