Migrujemy wszystkie usługi z obecnego hackerspace.pl na starą/nową maszynę: itanic.
Po drodze poprawiamy istniejące rzeczy i dodajemy nowe.
Jest, korzysta z PAMa/LDAPa. Do tego troszkę naklepanych regułek pod nasze potrzeby. Powinno banglać.
W tej chwili mamy na itanicu kopię bazy hackerspace. Może się nawet replikuje na bieżąco jako slave, ale nie dam głowy.
Zainstalowany i wydaje się działać, pomimo wpadki z wywaleniem kawałka konfiguracji (blame → tomek).
Jest
Jest (poza drobnymi korektami ścieżek) - uwierzytelnia się przez LDAP+STARTTLS, wspiera też grupy ldapowe.
Przemigrowano wszystkich użytkowników, co do których nie było wątpliwości, że nie pokrywają się z shellami pod inną nazwą.
Grupy są ustawione jak wcześniej (+tomek do admin).
qwebirc, wrzucony. Fajnie byłoby mu włączyć SSL jeszcze, other than that wydaje się działać.
Chyba chodzi, tylko ścieżki do static i linki trzeba poprawić. Niestety LDAP plugin do wordpressa nie bardzo umie się ograniczać - każdy w ou=People,dc=hackerspace,dc=pl ma konto na wordpressie jakieś domyślne. Admini wydaje się zachowani z wcześniej.
Przerzucony, urle poprawione, czekamy na test przez urserega.
W obecnej konfiguracji każda domena słucha na ssl, a wszystko z :80 jest przepisywane na :443. Aktualny cert to jakiś self-signed.
Na itanicu zainstalowany jest obecnie OpenLDAP, póki co działa. Dostępny jest na :389 z opcjonalnym StartTLS i na :636 z SSL.
Totalnie nie działa SASL, ale w tej chwili jeszcze nic go nie potrzebuje.
W tej chwili mamy:
Koniecznie i szybko musimy umówić się jaką mamy hierarchię dostępu i jak to tam wrzucić.
Detale na LDAP.
Ponieważ itanic jest teraz wystawiony, to ldap ma zablokowane anonimowe czytanie spoza localhost, poza tym acl bez zmian.
Zainstalowany i działający serwer XMPP, uwierzytelniany przez LDAP (łączy się z LDAPem po STARTTLS i ma wymuszone szyfrowanie na linii klient → itanic).
Obecnie każdy shellujący ma konto login@hackerspace.pl (serwer hackerspace.pl:20003). Gada na zewnątrz też, gtalk wymaga potwierdzenia znajomości, niektóre inne serwery po prostu przekazują.
Uwierzytelnienie wymaga przynależności do grupy xmpp-users. W tej chwili, jw., są tam wszyscy z shellem.
Do zrsyncowania pod sam koniec:
W tej chwili na itanicu jest ustawiony openvpn z openvpn-auth-pam, czyli wpięty do LDAPa.
Przykładowy konfig:
client auth-user-pass dev tun proto udp remote hackerspace.pl 20001 resolv-retry infinite nobind user nobody group nobody persist-key persist-tun # na itanicu w /etc/openvpn/ca.crt ca itanic.crt ns-cert-type server # wazne comp-lzo verb 3
20001 na hackerspace.pl jest przekierowany na itanic:1194.
Added bonus: itanic jest widoczny w spejsie jako i albo itanic albo itanic.hackerspace.pl
Żeby być w VPN nie trzeba mieć shella - trzeba za to być w grupie LDAPowej vpn-users.
Może warto by również wymusić DNS'a? (I mieć jakiegoś serwującego odpowiednie nazy, by na przykład móc się po nazwie połączyć na itanic'a)
Zacząłem pisać roster w prosody pobierający dane z LDAP. Jest teraz włączony, ale update'y wymagają przelogowania.
W tej chwili kod jest tu: mod_roster_ldap
W hackerspace wystawiona jest puszka zbiórki funduszy na serwer. Zapraszamy do wkładu w finansowanie części.
Mamy obecnie 3 dyski 72.8 - trzeci jest zapasowy, bo był gratisem. To na razie wystarczy.
Potrzebujemy więcej RAMu PC2100 w kościach do 2GB. Obecnie zainstalowane jest 4x512MB, maławo.
Itanic to IBM eServer xSeries 445. Ma obecnie 2 procesory Itanium2 Madison 1.4GHz, single core.