Sommaire
-
Réunion du Collège Technique
- Présents
-
Ordre du jour
- Présentation
- Garantie renouvelée
- Politique sur les infractions au copyright
- Politique sur les comptes compromis
- Gestion des certificats
- Migration vers proxmox
- Déploiement du wifi
- Mails automatiques
- Point lc_ldap
- Divers intranet2
- Multicast : radio et satellite
- VLAN dynamiques en wifi
- Point cranspassword
- Questions diverses
Réunion du Collège Technique
- Date : Lundi 23 septembre 2013
- Lieu : Espace Condorcet
- Début : 19h25
- Fin : 20h49
Présents
- Daniel Stan
- Florian Marconi
- Jean-Paul Giraud-Ferrandi
- Lucas Serrano
- Pierre-Elliott Bécue
- Raphaël-David Lasseri
- Valentin Samir
- Vincent Guiraud
Ordre du jour
Présentation
On effectue rapidement un tour de table pour se présenter. Pierre-Elliott rappelle les divers postes que peuvent occuper des membres actifs et que l'investissement temporel est à géométrie variable.
Garantie renouvelée
La garantie de zamok ayant expiré, le C.A. a voté durant l'été par email le renouvellement de la garantie, qui a été appliqué.
Vincent recevra la facture.
L'extension de garantie court jusqu'au 03/09/2014.
Politique sur les infractions au copyright
Problème réglé : en gros, la DSI nous envoie des mails de la part d'ayants droit mentionnant des IPs Crans.
La politique a donc été définie en accord avec la DSI : on ne sanctionne pas les adhérents, on transmet les mails que l'on reçoit aux adhérents. Si des demandes d'ayants droit deviennent insistantes, les rediriger vers les instances compétentes.
Politique sur les comptes compromis
Il arrive que des comptes crans soit compromis, id est que les identifiants du compte leakent.
Outre les problèmes concernant la vie privée du propriétaire du compte, il a été observé que des spambots envoyaient des milliers de mails via ces comptes.
Pour ce qui est des spams, Pierre-Elliott propose une solution à partir des "politiques" de postfix. Cela est faisable en pas trop longtemps. Avis à des personnes motivées.
Moralement, si un compte est compromis il faudrait complètement le désactiver (via l'ajout d'un attribut LDAP), et pas uniquement bloquer l'envoi de mail. Un débat a lieu sur la meilleur manière de communiquer un nouveau mot de passe.
Manières de contacter un adhérent dont le compte est compromis (et désactivé):
- Physiquement à la Kfet
- Mail alternatif (attribut mailExt)
- Adresse postale (ne plus mettre de EXT sans adresse)
- Téléphone
- Au cas par cas (?)
Pierre-Elliott modifiera la base LDAP pour l'attribut "compte désactivé", si possible gérable via blacklist, ou un peu comme mail_invalide.
Gestion des certificats
PEB a contacté CaCert pour créer un compte à l'association pour gérer le domaine crans.org.
Le système de CaCert repose sur un réseau de confiance : des gens "de confiance" assurent d'autres gens, et ainsi de suite. Il y a un système de points qui permet de donner plus ou moins de possibilités aux gens plus ou moins assurés.
Un compte organisation peut nommer des administrateurs (des assureurs) qui pourront ensuite émettre des certificats pour le domaine.
Actuellement, le domaine crans.org est enregistré sur le compte personnel de Stéphane Glondu, ce qui oblige de passer systématiquement par lui pour les renouvellement ou les nouveaux certificats. Cela est devenu relativement pénible autant pour lui que pour nous. C'est pourquoi Pierre-Elliott a entrepris les démarches pour ouvrir un compte organisation au nom du Crans.
Migration vers proxmox
Les machines virtuelles du Crans sont hébergées sous le virtualiseur Xen. Il y a quelques problèmes lors de la migration de machines virtuelles entre deux virtualiseurs.
Pierre-Elliott a installé Proxmox sur kdell et sur vo pour tester, et celui-ci a plus ou moins fait preuve de sans faute par rapport à nos exigences.
Proxmox, c'est un noyau Linux modifié pour virtualiser des machines sous kvm ou OpenVZ. En sus, il y a une interface web kikoo.
Globalement, Proxmox est plus adapté à nos besoins, Pierre-Elliott a testé la migration des machines depuis XEN vers Proxmax, cela fonctionne, et est documenté. Un certain nombre de migrations ont été effectuées.
Il faudrait effectuer les suivantes. L'idéal étant que des gens découvrent.
Déploiement du wifi
Daniel a placé une borne wifi par étage au PDJ (au niveau du local technique).
Il reste à tirer des câbles au niveau des faux plafonds. Un étage sur deux une au milieu, pour les autres deux sur les côtés.
Les bâtiments C, A, G et le PDJ restent à câbler. Un des problème est le manque d'accessibilité aux locaux, notamment au C. Il faut des gens motivés pour faire tout ça, c'est long et chiant, mais c'est indispensable qu'on finisse cette année, ou du moins avant qu'on parte à Saclay.
Dernier détail : le VLAN 3 n'est plus propagé dans les locaux de l'ENS, il faudrait faire signe à la DSI pour essayer de comprendre pourquoi, après avoir mené quelques tests.
Mails automatiques
Valentin a commencé un peu de templating avec Jinja2, il faudrait remplir ces mails dans les diverses langes qu'on pratique.
Une fois cela fait, on pourrait songer à un champ LDAP pour demander aux adhérents leur langue préférée.
Il faut prolonger ce travail, et le rendre utilisable, si possible avant la prochaine rentrée. Avis aux amateurs.
Point lc_ldap
lc_ldap est presque fini, il faut juste s'occuper de ces histoires d'historique, et des factures.
On a aussi des erreurs, probablement dues aux locks, il faut investiguer pour améliorer le système. Globalement, les erreurs sont "LockedByYou", ce qui tend à laisser croire que dans un cas précis, quand on annule une modif, les locks ne sont pas levés.
Pour l'historique, il s'agit de travailler avec cn=log, ce qui avait été commencé par adg. Sinon, le système d'historique (quitte à les mettre à côté ou en sous-objet) actuel + cn=log, mais sans parsage.
L'idéal serait quand même de travailler avec cn=log. Une alternative est de créer un objet fils de chaque objet, qui contiendrait l'historique.
Pour les factures, il faut juste écrire le code.
Divers intranet2
- Création de compte wiki (pour l'instant on ne sait que linker les comptes)
Génération de .procmailrc (il s'agit de migrer l'appli de l'intranet1, et de faire ce qui est proposé dans le tracker (règles de filtrage))
Gestion de MonCompte (idem qu'au dessus)
Gestion des factures (cf point lc_ldap)
- Digicode / Impression (ça avait été commencé, il faut juste finir, il s'agit aussi de porter l'appli de l'intranet1)
Multicast : radio et satellite
Valentin a ajouté des chaînes de radio via http sur l'offre TV, qui semble fonctionner.
Il y a un comportement anormal des switches qui fait qu'en cas de poll pour trouver des abonnés, les réponses ne reviennent pas toujours à cochon malgré son statut de routeur multicast.
Il y a normalement des chaînes de radio sur le satellites mais mumudvb ne veut pas les diffuser.
Il y a une interface web pour la télévision sur http://intranet2.crans.org/tv.
VLAN dynamiques en wifi
Daniel a travaillé sur le basculement dynamique en wifi entre les VLANs. (accueil & co)
Sur le filaire, c'est déjà fait, les switches interrogent radius pour choisir le VLAN sur lequel placer les machines. En wifi, c'était un peu plus compliqué. Mais à la suite de divers tests et flashages de bornes, il a trouvé quelque chose qui fonctionne.
Il faut donc modifier les confs radius sur eap et pea pour mettre ça en prod après avoir flashé les bornes avec la nouvelle !OpenWRT.
On prévoit également de mettre en place le failover pour eap et pea.
Bref, ça marche, il faut des apprentis motivés pour apprendre tout ça et implémenter le truc. (soyons consensuels). Raphaël-David a déjà commence, mais il veut des coupaings.
Point cranspassword
Vincent étant absent, on se limitera aux remarques de Daniel. Il faut s'assurer que les clefs GPG des gens sont toujours à jour, et non expirées.
- Ouais, j'étais pas là, my bad.
Pour ce qui est des détails techniques d'un point de vue git, il faut soit se placer sur la branche 0.1 et ne plus se soucier de rien (le serveur sur vert est en 0.1), soit rester sur master mais être prêt à puller les mises à jour quand il y en a. Le serveur sur ovh est sur master (mais en readonly)
Pour le faire marcher, on peut maintenant utiliser le Makefile (sur master). make install pour installer le client. Ça a pour effet de :
mettre de la conf dans ~/.config/cranspasswords
installer le script cranspasswords dans ~/bin, qu'il faut donc avoir dans son $PATH
- La vérification de confiance et d'expiration des clés est implémentée, et il propose même d'ignorer une clé au moment où on chiffre si elle pose problème.
J'oublie ptêt des trucs, mais normalement la doc est là -- Wiki20-100 2013-09-28 01:37:06
Questions diverses
Séminaires
Date de début des séminaires ? Le 1er ou le 8 octobre, à confirmer par email, et pensez à faire de la vraie pub, parce que les séminaires, c'est le bien.
Valentin voudrait qu'on commence GPG en octobre, ce qui est judicieux.
Si cela convient aux intervenants, le premier mois sera donc "intro par Valentin" -> "Unix par lolasd" -> "le shell par #Random" -> "Gépégé".
Reconfiguration des switches
Tous les switchs ont la nouvelle configuration faite par Daniel vendredi soir.
Forum des assoces
Daniel propose de tenir le stand, et veut de la compagnie.