projects:itanic-migracja
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
projects:itanic-migracja [2012/03/07 20:26] – [Auxiliary tasks] tomek | projects:itanic-migracja [2014/04/02 06:57] (current) – external edit 127.0.0.1 | ||
---|---|---|---|
Line 8: | Line 8: | ||
- < | - < | ||
- < | - < | ||
- | - < | + | - <del>Baza danych</ |
+ | - Konfiguracja nginx pod: | ||
+ | - <del>www</ | ||
+ | - <del>wiki</ | ||
+ | - <del>webchat</ | ||
+ | - < | ||
+ | - // | ||
+ | - redirect wszystkiego na ssl? //in progress (tomek, viq)// | ||
- ldap //in progress (antoni, q3k, tomek, viq)// | - ldap //in progress (antoni, q3k, tomek, viq)// | ||
- | - MTA //in progress (q3k)// | + | - <del>MTA</del> |
- | - mailman //in progress (q3k) // | + | - <del>mailman</del> |
- | - prosody //in progress (tomek, viq) // | + | - < |
- | - dokuwiki → ldap | + | - <del>prosody</del> |
- | - wordpress → ldap | + | - <del>dokuwiki → ldap</ |
+ | - <del>wordpress → ldap</ | ||
- Ustalenie praw zarządzania maszyną i odwzorowanie w ldapie. | - Ustalenie praw zarządzania maszyną i odwzorowanie w ldapie. | ||
- | - Ostateczny rsync plików użytkowników i usług | + | - <del>Ostateczny rsync plików użytkowników i usług</ |
- | - Wystawienie itanica na hackerspace.pl | + | - Regeneracja cache dokuwiki |
+ | - <del>Wystawienie itanica na hackerspace.pl</ | ||
+ | |||
+ | ==== MTA (Exim4) ==== | ||
+ | |||
+ | Jest, korzysta z PAMa/LDAPa. Do tego troszkę naklepanych regułek pod nasze potrzeby. Powinno banglać. | ||
+ | |||
+ | ==== MySQL ==== | ||
+ | W tej chwili mamy na itanicu kopię bazy hackerspace. Może się nawet replikuje na bieżąco jako slave, ale nie dam głowy. | ||
+ | |||
+ | ==== NginX ==== | ||
+ | Zainstalowany i wydaje się działać, pomimo wpadki z wywaleniem kawałka konfiguracji (blame → tomek). | ||
+ | |||
+ | === Strona główna === | ||
+ | Jest | ||
+ | |||
+ | === Wiki === | ||
+ | Jest (poza drobnymi korektami ścieżek) - uwierzytelnia się przez LDAP+STARTTLS, | ||
+ | |||
+ | Przemigrowano wszystkich użytkowników, | ||
+ | |||
+ | Grupy są ustawione jak wcześniej (+tomek do admin). | ||
+ | |||
+ | === Webchat === | ||
+ | qwebirc, wrzucony. Fajnie byłoby mu włączyć SSL jeszcze, other than that wydaje się działać. | ||
+ | |||
+ | === Wordpress === | ||
+ | Chyba chodzi, tylko ścieżki do static i linki trzeba poprawić. Niestety LDAP plugin do wordpressa nie bardzo umie się ograniczać - każdy w ou=People, | ||
+ | |||
+ | === Piwik === | ||
+ | Przerzucony, | ||
+ | |||
+ | === Redirect na SSL === | ||
+ | W obecnej konfiguracji każda domena słucha na ssl, a wszystko z :80 jest przepisywane na :443. Aktualny cert to jakiś self-signed. | ||
+ | |||
+ | |||
+ | ==== LDAP ==== | ||
+ | Na itanicu zainstalowany jest obecnie OpenLDAP, póki co działa. Dostępny jest na :389 z opcjonalnym StartTLS i na :636 z SSL. | ||
+ | |||
+ | Totalnie nie działa SASL, ale w tej chwili jeszcze nic go nie potrzebuje. | ||
+ | |||
+ | W tej chwili mamy: | ||
+ | * Użytkowników przemigrowanych z hackerspace w ou=People, | ||
+ | * Grupy w ou=Group, | ||
+ | |||
+ | Koniecznie i szybko musimy umówić się jaką mamy hierarchię dostępu i jak to tam wrzucić. | ||
+ | |||
+ | Detale na [[projects: | ||
+ | |||
+ | Ponieważ itanic jest teraz wystawiony, to ldap ma zablokowane anonimowe czytanie spoza localhost, poza tym acl bez zmian. | ||
+ | ==== Prosody ==== | ||
+ | Zainstalowany i działający serwer XMPP, uwierzytelniany przez LDAP (łączy się z LDAPem po STARTTLS i ma wymuszone szyfrowanie na linii klient → itanic). | ||
+ | |||
+ | Obecnie każdy shellujący ma konto // | ||
+ | |||
+ | Uwierzytelnienie wymaga przynależności do grupy xmpp-users. W tej chwili, jw., są tam wszyscy z shellem. | ||
+ | |||
+ | ==== ostateczny rsync ==== | ||
+ | |||
+ | Do zrsyncowania pod sam koniec: | ||
+ | * /home/ | ||
+ | * / | ||
+ | * mysql (gdziekolwiek nie byłby trzymany) ← trzeba pamiętać, że wordpress trzyma ustawienia w mysql. | ||
+ | * /srv/nginx -> /var/www ← to trzeba zrobić z głową, bo zmieniła się struktura katalogów. | ||
===== Auxiliary tasks ===== | ===== Auxiliary tasks ===== | ||
Line 23: | Line 94: | ||
- Replika ldapa na proliant | - Replika ldapa na proliant | ||
- Migracja uwierzytelniania na proliancie na ldap | - Migracja uwierzytelniania na proliancie na ldap | ||
- | - VPN | + | - <del>VPN</ |
- [[http:// | - [[http:// | ||
+ | - Shared roster z LDAP dla prosody //in progress (tomek)// | ||
+ | - Asterisk | ||
+ | |||
+ | ==== VPN ==== | ||
+ | W tej chwili na itanicu jest ustawiony openvpn z openvpn-auth-pam, | ||
+ | |||
+ | Przykładowy konfig: | ||
+ | < | ||
+ | client | ||
+ | auth-user-pass | ||
+ | dev tun | ||
+ | proto udp | ||
+ | remote hackerspace.pl 20001 | ||
+ | resolv-retry infinite | ||
+ | nobind | ||
+ | |||
+ | user nobody | ||
+ | group nobody | ||
+ | |||
+ | persist-key | ||
+ | persist-tun | ||
+ | |||
+ | # na itanicu w / | ||
+ | ca itanic.crt | ||
+ | |||
+ | ns-cert-type server | ||
+ | |||
+ | # wazne | ||
+ | comp-lzo | ||
+ | |||
+ | verb 3 | ||
+ | </ | ||
+ | |||
+ | 20001 na hackerspace.pl jest przekierowany na itanic: | ||
+ | |||
+ | Added bonus: itanic jest widoczny w spejsie jako i albo itanic albo itanic.hackerspace.pl | ||
+ | |||
+ | Żeby być w VPN nie trzeba mieć shella - trzeba za to być w grupie LDAPowej vpn-users. | ||
+ | |||
+ | //Może warto by również wymusić DNS'a? (I mieć jakiegoś serwującego odpowiednie nazy, by na przykład móc się po nazwie połączyć na itanic' | ||
+ | ==== LDAP roster w Prosody ==== | ||
+ | Zacząłem pisać roster w prosody pobierający dane z LDAP. Jest teraz włączony, ale update' | ||
+ | |||
+ | W tej chwili kod jest tu: [[https:// | ||
===== Zakupy ===== | ===== Zakupy ===== | ||
W hackerspace wystawiona jest puszka zbiórki funduszy na serwer. Zapraszamy do wkładu w finansowanie części. | W hackerspace wystawiona jest puszka zbiórki funduszy na serwer. Zapraszamy do wkładu w finansowanie części. |
projects/itanic-migracja.txt · Last modified: 2014/04/02 06:57 by 127.0.0.1