Differences

This shows you the differences between two versions of the page.

--- projects:itanic-migracja [2012/03/09 04:21] – [Storage] 178.36.58.50
+++ projects:itanic-migracja [2012/03/16 08:27] – [Prosody] tomek
@@ Line 8: / Line 8: @@
   - <del>Wstępny rsync plików użytkowników i usług</del>
   - <del>Wymiana dysków na nowe</del>
-  - Baza danych
+  - <del>Baza danych</del>
   - Konfiguracja nginx pod:
-    - www,
+    - <del>www</del>,
     - <del>wiki</del>,
-    - webchat,
+    - <del>webchat</del>,
-    - blog,
+    - <del>blog</del>,
-    - piwik,
+    - //piwik//**?**,
-    - //redirect wszystkiego na ssl?//
+    - redirect wszystkiego na ssl? //in progress (tomek, viq)//
   - ldap //in progress (antoni, q3k, tomek, viq)//
-  - MTA //in progress (q3k)//
+  - <del>MTA</del>
-  - mailman //in progress (q3k) //
+  - <del>mailman</del>
+  - <del>dovecot</del>
   - <del>prosody</del>
-  - dokuwiki → ldap //in progress (tomek)//
+  - <del>dokuwiki → ldap</del>
-  - wordpress → ldap
+  - <del>wordpress → ldap</del>
   - Ustalenie praw zarządzania maszyną i odwzorowanie w ldapie.
-  - Ostateczny rsync plików użytkowników i usług
+  - <del>Ostateczny rsync plików użytkowników i usług</del>
-  - Wystawienie itanica na hackerspace.pl
+  - Regeneracja cache dokuwiki
+  - <del>Wystawienie itanica na hackerspace.pl</del>
+==== MTA (Exim4) ====
+Jest, korzysta z PAMa/LDAPa. Do tego troszkę naklepanych regułek pod nasze potrzeby. Powinno banglać.
+==== MySQL ====
+W tej chwili mamy na itanicu kopię bazy hackerspace. Może się nawet replikuje na bieżąco jako slave, ale nie dam głowy.
 ==== NginX ====
@@ Line 30: / Line 39: @@
 === Strona główna ===
-Jest poza ostatnim postem z wordpressa
+Jest
 === Wiki ===
-Jest (poza drobnymi korektami ścieżek) - wstępne testy pokazują, że potrafi uwierzytelniać się LDAPem, natomiast nie chce nawiązywać bezpiecznego połączenia pomimo ok ze strony serwera LDAP.
+Jest (poza drobnymi korektami ścieżek) - uwierzytelnia się przez LDAP+STARTTLS, wspiera też grupy ldapowe.
+Przemigrowano wszystkich użytkowników, co do których nie było wątpliwości, że nie pokrywają się z shellami pod inną nazwą.
+Grupy są ustawione jak wcześniej (+tomek do admin).
 === Webchat ===
-Statyczne, więc będzie kiedy ustalimy ścieżki/subdomeny
+qwebirc, wrzucony. Fajnie byłoby mu włączyć SSL jeszcze, other than that wydaje się działać.
 === Wordpress ===
-Nieruszony, nie ma bazy danych
+Chyba chodzi, tylko ścieżki do static i linki trzeba poprawić. Niestety LDAP plugin do wordpressa nie bardzo umie się ograniczać - każdy w ou=People,dc=hackerspace,dc=pl ma konto na wordpressie jakieś domyślne. Admini wydaje się zachowani z wcześniej.
 === Piwik ===
-Nieruszony, jw.
+Przerzucony, urle poprawione, czekamy na test przez urserega.
+=== Redirect na SSL ===
+W obecnej konfiguracji każda domena słucha na ssl, a wszystko z :80 jest przepisywane na :443. Aktualny cert to jakiś self-signed.
@@ Line 49: / Line 64: @@
 Na itanicu zainstalowany jest obecnie OpenLDAP, póki co działa. Dostępny jest na :389 z opcjonalnym StartTLS i na :636 z SSL.
-Totalnie nie działa SASL, ponadto PHP nie chce z nim gadać bezpiecznie, za to plaintextem - owszem. Sporo walki było z wystawieniem dobrego certa w dobrym miejscu - być może tam jeszcze czegoś brakuje.
+Totalnie nie działa SASL, ale w tej chwili jeszcze nic go nie potrzebuje.
 W tej chwili mamy:
-  * Użytkowników **przemigrowanych żywcem z hackerspace** w ou=People,dc=hackerspace,dc=pl
+  * Użytkowników przemigrowanych z hackerspace w ou=People,dc=hackerspace,dc=pl - wyleciały wszystkie usługi i podobne nobody.
-  * Grupy **przemigrowane żywcem z hackerspace** w ou=Group,dc=hackerspace,dc=pl
+  * Grupy w ou=Group,dc=hackerspace,dc=pl - zostały trywialne grupy własne użytkowników i staff.
 Koniecznie i szybko musimy umówić się jaką mamy hierarchię dostępu i jak to tam wrzucić.
+Detale na [[projects:ldap|LDAP]].
+Ponieważ itanic jest teraz wystawiony, to ldap ma zablokowane anonimowe czytanie spoza localhost, poza tym acl bez zmian.
 ==== Prosody ====
 Zainstalowany i działający serwer XMPP, uwierzytelniany przez LDAP (łączy się z LDAPem po STARTTLS i ma wymuszone szyfrowanie na linii klient → itanic).
-Obecnie każdy shellujący ma konto //login//@hackerspace.pl (serwer itanic:5222). Póki co pogadać można tylko wewnątrz serwera.
+Obecnie każdy shellujący ma konto //login//@hackerspace.pl (serwer hackerspace.pl:**20003**). Gada na zewnątrz też, gtalk wymaga potwierdzenia znajomości, niektóre inne serwery po prostu przekazują.
+Uwierzytelnienie wymaga przynależności do grupy xmpp-users. W tej chwili, jw., są tam wszyscy z shellem.
+==== ostateczny rsync ====
+Do zrsyncowania pod sam koniec:
+  * /home/
+  * /var/lib/mailman
+  * mysql (gdziekolwiek nie byłby trzymany) ← trzeba pamiętać, że wordpress trzyma ustawienia w mysql.
+  * /srv/nginx -> /var/www ← to trzeba zrobić z głową, bo zmieniła się struktura katalogów.
 ===== Auxiliary tasks =====
@@ Line 68: / Line 96: @@
   - <del>VPN</del>
   - [[http://chirpy.sourceforge.net/|Chirpy]]
-  - Shared roster z LDAP dla prosody
+  - Shared roster z LDAP dla prosody //in progress (tomek)//
   - Asterisk
@@ Line 104: / Line 132: @@
 Added bonus: itanic jest widoczny w spejsie jako i albo itanic albo itanic.hackerspace.pl
+Żeby być w VPN nie trzeba mieć shella - trzeba za to być w grupie LDAPowej vpn-users.
+//Może warto by również wymusić DNS'a? (I mieć jakiegoś serwującego odpowiednie nazy, by na przykład móc się po nazwie połączyć na itanic'a)//
+==== LDAP roster w Prosody ====
+Zacząłem pisać roster w prosody pobierający dane z LDAP. Jest teraz włączony, ale update'y wymagają przelogowania.
+W tej chwili kod jest tu: [[https://github.com/tdubrownik/mod_roster_ldap|mod_roster_ldap]]
 ===== Zakupy =====
 W hackerspace wystawiona jest puszka zbiórki funduszy na serwer. Zapraszamy do wkładu w finansowanie części.