====== Migracja na itanica ======
Migrujemy wszystkie usługi z obecnego hackerspace.pl na starą/nową maszynę: **itanic**.

Po drodze poprawiamy istniejące rzeczy i dodajemy nowe.

===== Tasks =====
  - <del>Montaż itanica w bramie</del>
  - <del>Wstępny rsync plików użytkowników i usług</del>
  - <del>Wymiana dysków na nowe</del>
  - <del>Baza danych</del>
  - Konfiguracja nginx pod:
    - <del>www</del>, 
    - <del>wiki</del>, 
    - <del>webchat</del>,
    - <del>blog</del>,
    - //piwik//**?**,
    - redirect wszystkiego na ssl? //in progress (tomek, viq)//
  - ldap //in progress (antoni, q3k, tomek, viq)//
  - <del>MTA</del>
  - <del>mailman</del>
  - <del>dovecot</del>
  - <del>prosody</del>
  - <del>dokuwiki → ldap</del>
  - <del>wordpress → ldap</del>
  - Ustalenie praw zarządzania maszyną i odwzorowanie w ldapie.
  - <del>Ostateczny rsync plików użytkowników i usług</del>
  - Regeneracja cache dokuwiki
  - <del>Wystawienie itanica na hackerspace.pl</del>

==== MTA (Exim4) ====

Jest, korzysta z PAMa/LDAPa. Do tego troszkę naklepanych regułek pod nasze potrzeby. Powinno banglać.

==== MySQL ====
W tej chwili mamy na itanicu kopię bazy hackerspace. Może się nawet replikuje na bieżąco jako slave, ale nie dam głowy.

==== NginX ====
Zainstalowany i wydaje się działać, pomimo wpadki z wywaleniem kawałka konfiguracji (blame → tomek).

=== Strona główna ===
Jest

=== Wiki ===
Jest (poza drobnymi korektami ścieżek) - uwierzytelnia się przez LDAP+STARTTLS, wspiera też grupy ldapowe. 

Przemigrowano wszystkich użytkowników, co do których nie było wątpliwości, że nie pokrywają się z shellami pod inną nazwą.

Grupy są ustawione jak wcześniej (+tomek do admin).

=== Webchat ===
qwebirc, wrzucony. Fajnie byłoby mu włączyć SSL jeszcze, other than that wydaje się działać.

=== Wordpress ===
Chyba chodzi, tylko ścieżki do static i linki trzeba poprawić. Niestety LDAP plugin do wordpressa nie bardzo umie się ograniczać - każdy w ou=People,dc=hackerspace,dc=pl ma konto na wordpressie jakieś domyślne. Admini wydaje się zachowani z wcześniej.

=== Piwik ===
Przerzucony, urle poprawione, czekamy na test przez urserega.

=== Redirect na SSL ===
W obecnej konfiguracji każda domena słucha na ssl, a wszystko z :80 jest przepisywane na :443. Aktualny cert to jakiś self-signed.


==== LDAP ====
Na itanicu zainstalowany jest obecnie OpenLDAP, póki co działa. Dostępny jest na :389 z opcjonalnym StartTLS i na :636 z SSL.

Totalnie nie działa SASL, ale w tej chwili jeszcze nic go nie potrzebuje.

W tej chwili mamy:
  * Użytkowników przemigrowanych z hackerspace w ou=People,dc=hackerspace,dc=pl - wyleciały wszystkie usługi i podobne nobody.
  * Grupy w ou=Group,dc=hackerspace,dc=pl - zostały trywialne grupy własne użytkowników i staff.

Koniecznie i szybko musimy umówić się jaką mamy hierarchię dostępu i jak to tam wrzucić.

Detale na [[projects:ldap|LDAP]].

Ponieważ itanic jest teraz wystawiony, to ldap ma zablokowane anonimowe czytanie spoza localhost, poza tym acl bez zmian. 
==== Prosody ====
Zainstalowany i działający serwer XMPP, uwierzytelniany przez LDAP (łączy się z LDAPem po STARTTLS i ma wymuszone szyfrowanie na linii klient → itanic).

Obecnie każdy shellujący ma konto //login//@hackerspace.pl (serwer hackerspace.pl:**20003**). Gada na zewnątrz też, gtalk wymaga potwierdzenia znajomości, niektóre inne serwery po prostu przekazują.

Uwierzytelnienie wymaga przynależności do grupy xmpp-users. W tej chwili, jw., są tam wszyscy z shellem.

==== ostateczny rsync ====

Do zrsyncowania pod sam koniec:
  * /home/
  * /var/lib/mailman
  * mysql (gdziekolwiek nie byłby trzymany) ← trzeba pamiętać, że wordpress trzyma ustawienia w mysql.
  * /srv/nginx -> /var/www ← to trzeba zrobić z głową, bo zmieniła się struktura katalogów.

===== Auxiliary tasks =====
  - checkinator → ldap
  - Replika ldapa na proliant
  - Migracja uwierzytelniania na proliancie na ldap
  - <del>VPN</del>
  - [[http://chirpy.sourceforge.net/|Chirpy]]
  - Shared roster z LDAP dla prosody //in progress (tomek)//
  - Asterisk

==== VPN ====
W tej chwili na itanicu jest ustawiony openvpn z openvpn-auth-pam, czyli wpięty do LDAPa.

Przykładowy konfig:
<code>
client
auth-user-pass
dev tun
proto udp
remote hackerspace.pl 20001
resolv-retry infinite
nobind

user nobody
group nobody

persist-key
persist-tun

# na itanicu w /etc/openvpn/ca.crt
ca itanic.crt 

ns-cert-type server

# wazne
comp-lzo

verb 3
</code>

20001 na hackerspace.pl jest przekierowany na itanic:1194.

Added bonus: itanic jest widoczny w spejsie jako i albo itanic albo itanic.hackerspace.pl

Żeby być w VPN nie trzeba mieć shella - trzeba za to być w grupie LDAPowej vpn-users.

//Może warto by również wymusić DNS'a? (I mieć jakiegoś serwującego odpowiednie nazy, by na przykład móc się po nazwie połączyć na itanic'a)//
==== LDAP roster w Prosody ====
Zacząłem pisać roster w prosody pobierający dane z LDAP. Jest teraz włączony, ale update'y wymagają przelogowania.

W tej chwili kod jest tu: [[https://github.com/tdubrownik/mod_roster_ldap|mod_roster_ldap]]
===== Zakupy =====
W hackerspace wystawiona jest puszka zbiórki funduszy na serwer. Zapraszamy do wkładu w finansowanie części.

==== Storage ====

Mamy obecnie 3 dyski 72.8 - trzeci jest zapasowy, bo był gratisem. To na razie wystarczy.

==== RAM ====
Potrzebujemy więcej RAMu PC2100 w kościach do 2GB. Obecnie zainstalowane jest 4x512MB, maławo.

==== Wydatki so far ====
  - 3x dysk + przesyłka: 160pln

===== Notatki =====

Itanic to IBM eServer xSeries 445. Ma obecnie 2 procesory Itanium2 Madison 1.4GHz, single core.

  * [[http://www.redbooks.ibm.com/abstracts/sg248870.html?Open|Redbook]]