#acl +All:read <> = Réunion du Collège Technique = * Date : 20 février 2014 * Lieu : Salle de conférence du Pavillon des Jardins * Début : 19h19 * Fin : == Présents == * Ariane Soret * Aymeric Labatut * Daniel Stan * Lucas Serrano * Jordan Delorme * Riwan Kherouf * Raphaël-David Lasseri * Valentin Samir == Ordre du jour == === digicode === Lucas à mis en place le nouveau digicode_server et gen_code sur intranet2 et sur asterisk Pour générer un code à partir de l'intranet2 il faut accéder à l'interface admin de django. Sinon on peut toujours en générer sur l'intranet1... === lc_ldap === Valentin à surchargé les attributs de lc_ldap pour permettre une comparaison plus simple (et fonctionelle) entres des objets ldap. L'égalité fontionne de façon sémantique sur les objets et les attributs comme on pourrait s'y attendre. (du coup 'club' in club['objectClass'] fonctionne) Les attributs peuvent être instancé par leur type python correspondant (au lieu de juste des unicodes) Si deux attributs sont égaux, ils ont le même hash (cf set et hashtable) Les attributs python des attributs ldap Attr sont directement accessible comme des attributs de Attr. les machines['historique'].append() fonctionnent comme on pourait s'y attendre et plein d'autre bonne chose ! D'une manière générale, si on a besoin d'accèder à attrs sur les CransLdapObject ou à value sur les Attr c'est qu'il manque sans doute une methode à écrire ou surcharger quelque part. === Enregistrement automatique des adresses MAC === Daniel arrive a faire de l'authentification radius pour le WPA2 sans utiliser le module radius dédié à cela mais en utilisant un script python. Lors de l'authentification d'un client sur une borne, la borne met en relation radius et le client et radius l'authentifie avant de renvoyer le résultat à la borne. Une idée en utilisant un script custom serait de pouvoir ne fournir aux adhérents lors de l'enregistrement d'une nouvelle machine wifi que le nom d'utilisateur de le mot de passe. Puis de remplir d'adresse mac de la machine seulement lors de la première autentification réussi en utilisant celle de la première machine qui s'authentifie. Les gens présent on l'air assez entousiaste pour le wifi. Une option similaire en filaire reste à discution. Il serait également bien que la première fois que la mac est enregistré, comme la machine vient de se connecter, quelle puisse acceder à internet. Pour le dhcp, la mise à jour est déjà instantané. Il manque la mise à jour du pare-feu, au moins celui de komaz. Valentin propose un solution à partir d'une clef ssh n'ayant que le droit de trigger l'appel à generate en s'inspirant de https://wiki.crans.org/CransTechnique/AdminR%C3%A9seau/CommunicationsParSshEntreLesServeurs. Nicolas aurait parler d'une solution rabbitmq qui pourrait à terme remplacer le système maison generate. === intranet2 === ==== Création de compte wiki ==== fait ==== Gestion des clef ssh ==== Valentin a ajouter la possibiliter de rempler les attributs sshFingerprint de ses propres machines. Elle sont alors publié dans le dns du crans. === DNS === ==== TLSA ==== Valentin rappel brièvement que TLSA est un enregistrement dns permettant de vérifier la validité d'une clef publique du standard x509 via le dns. Pour pouvoir permettre au adhérents de publier dans le dns de leur machine leur certificat, il faudrait ajouter un nouvel objet ldap enfant des objets machines (n'a pas de sens en LDAP) qui aurrait en attribut : * name nom de domaine pour lequel le certificat est utilisé (multivalué) * port les port sur lequel le certificat est utilisé (multivalué) * proto tcp ou udp (multivalué) * cert quelque chose représentant le certificat (monovalué) * certtype type d'enregistrement 0 = CA pinning, 1 = cert pinning, 2 = self trusted CA, 3 = self trusted cert (monovalué) * reftype: 0 = plain cert, 1 = sha256, 2 = sha512 (monovalué) A voir si on veux utilisé l'objet pour gérer les certificat d'une manière générale… ==== Blocage via response policy zone ==== Valentin avait lors de l'install party précédente mis en place un DNS menteur renvoyant archive.ubuntu vers le mirroir local. Récemment Valentin à étendu le rôle du DNS menteur à la zone crans pour empecher les IP utilisés par Teredo (tunnel v6 propre aux machines sous windows) de contacter le DNS et ainsi de faire de l'IPv6 pirate. Théoriquement la future présence de RA pirates sur le réseau ne serait donc plus fortuite (en tout cas beaucoup moins) === Remplacement de ovh === Une nouvelle machine est prête pour remplacer ovh : soyouz À priori, valentin à fini se configuration. Il faut juste modifier les enregistement du dns (MX et NS et glue record) pour remplacer ovh. le TLSSTART en smtp ne marche pas, il faudrait juste mettre une paire de clef. On va rendre ovh, il faudrait donc prendre le temps de shred les disques en rescue mode. === question diverse === ==== Migration XEN -> Proxmox ==== Daniel propose de faire une séance migration samedi après-midi (tôt pour ne pas concurrencer la lan A♡) Les volontaires ne lèvent pas tous le doigt en même temps. Daniel annonce donc une «petite» maintenance sur cransIncident et sur les news. ---- * CatégoriePagePublique