|
Taille: 997
Commentaire:
|
Taille: 8704
Commentaire:
|
| Texte supprimé. | Texte ajouté. |
| Ligne 5: | Ligne 5: |
| * Lieu : Amphitéâtre Fonteneau, bâtiment d'Alembert * Début : 19h00 * Fin : |
* Lieu : Espace Condorcet * Début : 19h25 * Fin : 20h49 |
| Ligne 10: | Ligne 10: |
* Daniel Stan * Florian Marconi * Jean-Paul Giraud-Ferrandi * Lucas Serrano * Pierre-Elliott Bécue * Raphaël-David Lasseri * Valentin Samir * Vincent Guiraud |
|
| Ligne 13: | Ligne 23: |
| ### Si présence de nouvelles têtes | On effectue rapidement un tour de table pour se présenter. Pierre-Elliott rappel les divers postes occupable par des membres actifs et que l'investissement sur le plan temporel est à géométrie variable. |
| Ligne 17: | Ligne 29: |
| === Politique sur les comptes compromis === | La garantie de zamok ayant expiré, le C.A. a voté durant l'été par email le renouvellement de la garantie, qui a été appliqué. Vincent recevra la facture. L'extension de garantie court jusqu'au 03/09/2014. |
| Ligne 21: | Ligne 36: |
| Problème réglé, en gros, la DSI nous envoie des mails de la part d'ayants droits mentionnant des ips Crans. La politique a donc été définie en accord avec la DSI : on ne sanctionne pas les adhérents, on transmet les mails que l'on reçoit aux adhérents. Si des demandes d'ayants droits deviennent insistante, les redirigerer vers les instances compétentes. === Politique sur les comptes compromis === Il arrive que des compte crans soit compromis, id est que les identifiants du compte soient compromis. Autre les problèmes concertnant la vie privée du propriétaire du compte, il a été observé que des spambots envoyant des milliers de mail via ces comptes. Vis à vis des spam, Pierre-Elliott propose une solution à partir des "politiques" de postfix. Cela est faisable en pas trop longtemps. Avis à des personnes motivées. Moralement, si un compte est compromis il faudrait complètement le désactiver (via l'ajout d'un attribut LDAP), et pas uniquement bloquer l'envois de mail. Un débat à lieu sur la meilleur manière de communiquer un nouveau mot de passe. Manière de contacter un adhérent dont le compte est compromis (et désactivé): * Physiquement à la Kfet * Mail alternatif (attribut mailExt) * Adresse postale (ne plus mettre de EXT sans adresse) * Téléphone * Au cas par cas (?) Pierre-Elliott modifiera la base LDAP pour l'attribut "compte désactivé", si possible gérable via blacklist, ou un peu comme mail_invalide. |
|
| Ligne 22: | Ligne 65: |
PEB a contacté CaCert pour créer un compte à l'association pour gérer le domaine crans.org. Le système de CaCert repose sur un réseau de confiance : des gens "de confiance" assurent d'autres gens, et ainsi de suite. Il y a un système de points qui permet de donner plus ou moins de possibilités aux gens plus ou moins assurés. Un compte organisation peut nommer des administrateurs (des assureurs) qui pourront ensuite emettres des certificats pour le domaine. Actuellement, le domaine crans.org est enregistré sur le compte personnel de Stéphane Glondu, ce qui oblige de passer systématiquement par lui pour les renouvellement ou les nouveaux certificats. Cela est devenu relativement penible autant pour lui que pour nous. C'est pourquoi Pierre-Eliott à entrepris les démarches pour ouvrir un compte organisation au nom du Crans. |
|
| Ligne 25: | Ligne 79: |
| Les machines virtuelles du Crans sont hébergées sous le virtualiseur Xen. Il y a quelques problèmes lors de la migration de machines virtuelles entre deux virtualisateurs. Pierre-Elliott a installé proxmox sur kdell et sur vo pour tester, et celui-ci a plus ou moins fait preuve de sans faute au niveau de nos exigeances. Proxmox c'est un noyau Linux modifié pour virtualiser des machines sous kvm ou OpenVZ. En sus, il y a une interface web kikoo. Globalement, Proxmox est plus adapté à nos besoins, Pierre-Elliott a testé la migration des machines depuis XEN vers Proxmax, cela fonctionne, et est documenté. Un certain nombre de migrations ont été effetuées. Il faudrait effectuer les suivantes. L'idéal étant que des gens découvrent. |
|
| Ligne 27: | Ligne 95: |
| Daniel a placé une borne wifi par étage au PDJ (au niveau du local technique). Il reste à tirer des cables au niveau des faux plafonds. Un étage sur deux une au milieu, pour les autres deux sur les côtés. Les bâtiments C, A, G et le PDJ restent à cabler. Un des problème est le manque d'accesibilité des locaux, notamment au C. Il faut des gens motivés pour faire tout ça, c'est long et chiant, mais c'est indispensable qu'on finisse cette année, ou du moins avant qu'on parte à Saclay. Dernier détail : le vlan 3 n'est plus propagé dans les locaux de l'ENS, il faudrait faire signe à la DSI pour essayer de comprendre pourquoi, après avoir mené quelques tests. |
|
| Ligne 28: | Ligne 108: |
| ### Html / texte et multilingue | Valentin a commencé un peu de templating avec Jinja2, il faudrait remplir ces mails dans les diverses langes qu'on pratique. Une fois cela fait, on pourrait songer à un champ LDAP pour demander aux adhérents leur langue préférée. Il faut prolonger ce travail, et le rendre utilisable, si possible avant la prochaine rentrée. Avis aux amateurs. |
| Ligne 31: | Ligne 119: |
| ### lock ? | |
| Ligne 33: | Ligne 120: |
| === Divers intranet === * Création de compte wiki * Génération de procmailrc * Gestion de !MonCompte |
lc_ldap est presque fini, il faut juste s'occuper de ces histoires d'historique, et des factures. On a aussi des erreurs, dues aux locks, probablement, il faut investiguer pour améliorer le système. Globalement, les erreurs sont "LockedByYou", ce qui tend à laisser croire que dans un cas précis, quand on annule une modif, les locks ne sont pas levés. Pour l'historique, il s'agit de travailler avec cn=log, ce qui avait été commencé par adg. Sinon, le système d'historique (quitte à les mettre à côté ou en sous object) actuel + cn=log, mais sans parsage. L'idéal serait quand même de travailler avec cn=log. Une alternative est de créer un objet fils de chaque objet, qui contienne l'historique. Pour les factures, il faut juste écrire le code. === Divers intranet2 === * Création de compte wiki (pour l'instant on ne sait que linker les comptes) * Génération de procmailrc (il s'agit de migrer l'appli de l'intranet, et de faire ce qui est proposé dans le tracker (règles de filtrage)) * Gestion de !MonCompte (idem qu'au dessus) |
| Ligne 38: | Ligne 141: |
| * Digicode / Impression | * Digicode / Impression (ça avait été commencé, il faut juste finir, il s'agit aussi de porter l'appli de l'intranet) |
| Ligne 42: | Ligne 146: |
| Valentin a ajouté des chaînes de radio via http sur l'offre TV, qui semble fonctionner. Il y a un comportement anormal des switches qui fait qu'en cas de poll pour trouver des abonnés, les réponses ne reviennent pas toujours à cochon malgré son statut de routeur multicast. Il y a normalement des chaines de radio sur le satellites mais mumudvb veut pas les diffuser. Il y a une interface web pour la télévision sur http://intranet2.crans.org/tv. |
|
| Ligne 44: | Ligne 157: |
| Daniel a travaillé sur le basculement dynamique en wifi entre les vlans. (accueil & co) Sur le filaire, c'est déjà fait, les switches interrogent radius pour choisir le vlan sur lequel placer les machines. En wifi, c'était un peu plus compliqué. Mais à la suite de divers tests et flashages de bornes, il a trouvé quelque chose qui fonctionne. Il faut donc modifier les confs radius sur eap et pea pour mettre ça en prod après avoir flashé les bornes avec la nouvelle openwrt. On prévoit également de mettre en place le failover pour eap et pea. Bref, ça marche, il faut des apprentis motivés pour apprendre tout ça et implémenter le truc. (soyons consensuels). Raphaël-David a déjà commence, mais il veut des coupaings. |
|
| Ligne 45: | Ligne 171: |
| ### Si on a le temps | Vincent étant absent, on se limitera aux remarques de Daniel. Il faut s'assurer que les clefs GPG des gens sont toujours à jour, et non expirées. |
| Ligne 49: | Ligne 177: |
| ==== Séminaires ==== | |
| Ligne 50: | Ligne 179: |
| Date de début des séminaires ? Le 1er ou le 8 octobre, à confirmer par email, et pensez à faire de la vraie pub, parce que les séminaires, c'est le bien. Valentin voudrait qu'on commence GPG en octobre, ce qui est judicieux. Si cela convient aux intervenants, le premier mois sera donc "intro par Valentin" -> "Unix par lolasd" -> "le shell par #Random" -> "Gépégé". ==== Reconfiguration des switches ==== Tous les switchs ont la nouvelle configuration faite par Daniel vendredi soir. ==== Forum des assoces ==== Daniel propose de tenir le stand, et veut de la compagnie. |
Sommaire
-
Réunion du Collège Technique
- Présents
-
Ordre du jour
- Présentation
- Garantie renouvelée
- Politique sur les infractions au copyright
- Politique sur les comptes compromis
- Gestion des certificats
- Migration vers proxmox
- Déploiement du wifi
- Mails automatiques
- Point lc_ldap
- Divers intranet2
- Multicast : radio et satellite
- VLAN dynamiques en wifi
- Point cranspassword
- Questions diverses
Réunion du Collège Technique
- Date : Lundi 23 septembre 2013
- Lieu : Espace Condorcet
- Début : 19h25
- Fin : 20h49
Présents
- Daniel Stan
- Florian Marconi
- Jean-Paul Giraud-Ferrandi
- Lucas Serrano
- Pierre-Elliott Bécue
- Raphaël-David Lasseri
- Valentin Samir
- Vincent Guiraud
Ordre du jour
Présentation
On effectue rapidement un tour de table pour se présenter. Pierre-Elliott rappel les divers postes occupable par des membres actifs et que l'investissement sur le plan temporel est à géométrie variable.
Garantie renouvelée
La garantie de zamok ayant expiré, le C.A. a voté durant l'été par email le renouvellement de la garantie, qui a été appliqué. Vincent recevra la facture. L'extension de garantie court jusqu'au 03/09/2014.
Politique sur les infractions au copyright
Problème réglé, en gros, la DSI nous envoie des mails de la part d'ayants droits mentionnant des ips Crans. La politique a donc été définie en accord avec la DSI : on ne sanctionne pas les adhérents, on transmet les mails que l'on reçoit aux adhérents. Si des demandes d'ayants droits deviennent insistante, les redirigerer vers les instances compétentes.
Politique sur les comptes compromis
Il arrive que des compte crans soit compromis, id est que les identifiants du compte soient compromis. Autre les problèmes concertnant la vie privée du propriétaire du compte, il a été observé que des spambots envoyant des milliers de mail via ces comptes.
Vis à vis des spam, Pierre-Elliott propose une solution à partir des "politiques" de postfix. Cela est faisable en pas trop longtemps. Avis à des personnes motivées.
Moralement, si un compte est compromis il faudrait complètement le désactiver (via l'ajout d'un attribut LDAP), et pas uniquement bloquer l'envois de mail. Un débat à lieu sur la meilleur manière de communiquer un nouveau mot de passe.
Manière de contacter un adhérent dont le compte est compromis (et désactivé):
- Physiquement à la Kfet
- Mail alternatif (attribut mailExt)
- Adresse postale (ne plus mettre de EXT sans adresse)
- Téléphone
- Au cas par cas (?)
Pierre-Elliott modifiera la base LDAP pour l'attribut "compte désactivé", si possible gérable via blacklist, ou un peu comme mail_invalide.
Gestion des certificats
PEB a contacté CaCert pour créer un compte à l'association pour gérer le domaine crans.org. Le système de CaCert repose sur un réseau de confiance : des gens "de confiance" assurent d'autres gens, et ainsi de suite. Il y a un système de points qui permet de donner plus ou moins de possibilités aux gens plus ou moins assurés.
Un compte organisation peut nommer des administrateurs (des assureurs) qui pourront ensuite emettres des certificats pour le domaine.
Actuellement, le domaine crans.org est enregistré sur le compte personnel de Stéphane Glondu, ce qui oblige de passer systématiquement par lui pour les renouvellement ou les nouveaux certificats. Cela est devenu relativement penible autant pour lui que pour nous. C'est pourquoi Pierre-Eliott à entrepris les démarches pour ouvrir un compte organisation au nom du Crans.
Migration vers proxmox
Les machines virtuelles du Crans sont hébergées sous le virtualiseur Xen. Il y a quelques problèmes lors de la migration de machines virtuelles entre deux virtualisateurs.
Pierre-Elliott a installé proxmox sur kdell et sur vo pour tester, et celui-ci a plus ou moins fait preuve de sans faute au niveau de nos exigeances.
Proxmox c'est un noyau Linux modifié pour virtualiser des machines sous kvm ou OpenVZ. En sus, il y a une interface web kikoo.
Globalement, Proxmox est plus adapté à nos besoins, Pierre-Elliott a testé la migration des machines depuis XEN vers Proxmax, cela fonctionne, et est documenté. Un certain nombre de migrations ont été effetuées.
Il faudrait effectuer les suivantes. L'idéal étant que des gens découvrent.
Déploiement du wifi
Daniel a placé une borne wifi par étage au PDJ (au niveau du local technique). Il reste à tirer des cables au niveau des faux plafonds. Un étage sur deux une au milieu, pour les autres deux sur les côtés. Les bâtiments C, A,
- G et le PDJ restent à cabler. Un des problème est le manque
d'accesibilité des locaux, notamment au C. Il faut des gens motivés pour faire tout ça, c'est long et chiant, mais c'est indispensable qu'on finisse cette année, ou du moins avant qu'on parte à Saclay.
Dernier détail : le vlan 3 n'est plus propagé dans les locaux de l'ENS, il faudrait faire signe à la DSI pour essayer de comprendre pourquoi, après avoir mené quelques tests.
Mails automatiques
Valentin a commencé un peu de templating avec Jinja2, il faudrait remplir ces mails dans les diverses langes qu'on pratique.
Une fois cela fait, on pourrait songer à un champ LDAP pour demander aux adhérents leur langue préférée.
Il faut prolonger ce travail, et le rendre utilisable, si possible avant la prochaine rentrée. Avis aux amateurs.
Point lc_ldap
lc_ldap est presque fini, il faut juste s'occuper de ces histoires d'historique, et des factures. On a aussi des erreurs, dues aux locks, probablement, il faut investiguer pour améliorer le système. Globalement, les erreurs sont "LockedByYou", ce qui tend à laisser croire que dans un cas précis, quand on annule une modif, les locks ne sont pas levés.
Pour l'historique, il s'agit de travailler avec cn=log, ce qui avait été commencé par adg. Sinon, le système d'historique (quitte à les mettre à côté ou en sous object) actuel + cn=log, mais sans parsage.
L'idéal serait quand même de travailler avec cn=log. Une alternative est de créer un objet fils de chaque objet, qui contienne l'historique.
Pour les factures, il faut juste écrire le code.
Divers intranet2
- Création de compte wiki (pour l'instant on ne sait que linker les comptes)
- Génération de procmailrc (il s'agit de migrer l'appli de l'intranet, et de faire ce qui est proposé dans le tracker (règles de filtrage))
Gestion de MonCompte (idem qu'au dessus)
- Gestion des factures (cf point lc_ldap)
- Digicode / Impression (ça avait été commencé, il faut juste finir, il s'agit aussi de porter l'appli de l'intranet)
Multicast : radio et satellite
Valentin a ajouté des chaînes de radio via http sur l'offre TV, qui semble fonctionner. Il y a un comportement anormal des switches qui fait qu'en cas de poll pour trouver des abonnés, les réponses ne reviennent pas toujours à cochon malgré son statut de routeur multicast.
Il y a normalement des chaines de radio sur le satellites mais mumudvb veut pas les diffuser.
Il y a une interface web pour la télévision sur http://intranet2.crans.org/tv.
VLAN dynamiques en wifi
Daniel a travaillé sur le basculement dynamique en wifi entre les vlans. (accueil & co) Sur le filaire, c'est déjà fait, les switches interrogent radius pour choisir le vlan sur lequel placer les machines. En wifi, c'était un peu plus compliqué. Mais à la suite de divers tests et flashages de bornes, il a trouvé quelque chose qui fonctionne.
Il faut donc modifier les confs radius sur eap et pea pour mettre ça en prod après avoir flashé les bornes avec la nouvelle openwrt.
On prévoit également de mettre en place le failover pour eap et pea.
Bref, ça marche, il faut des apprentis motivés pour apprendre tout ça et implémenter le truc. (soyons consensuels). Raphaël-David a déjà commence, mais il veut des coupaings.
Point cranspassword
Vincent étant absent, on se limitera aux remarques de Daniel. Il faut s'assurer que les clefs GPG des gens sont toujours à jour, et non expirées.
Questions diverses
Séminaires
Date de début des séminaires ? Le 1er ou le 8 octobre, à confirmer par email, et pensez à faire de la vraie pub, parce que les séminaires, c'est le bien.
Valentin voudrait qu'on commence GPG en octobre, ce qui est judicieux.
Si cela convient aux intervenants, le premier mois sera donc "intro par Valentin" -> "Unix par lolasd" -> "le shell par #Random" -> "Gépégé".
Reconfiguration des switches
Tous les switchs ont la nouvelle configuration faite par Daniel vendredi soir.
Forum des assoces
Daniel propose de tenir le stand, et veut de la compagnie.