User Tools

Site Tools


projects:itanic-migracja

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision
Previous revision
projects:itanic-migracja [2012/03/08 07:50] – [Tasks] viqprojects:itanic-migracja [2014/04/02 06:57] (current) – external edit 127.0.0.1
Line 8: Line 8:
   - <del>Wstępny rsync plików użytkowników i usług</del>   - <del>Wstępny rsync plików użytkowników i usług</del>
   - <del>Wymiana dysków na nowe</del>   - <del>Wymiana dysków na nowe</del>
 +  - <del>Baza danych</del>
   - Konfiguracja nginx pod:   - Konfiguracja nginx pod:
-    - www, +    - <del>www</del>
     - <del>wiki</del>,      - <del>wiki</del>, 
-    - webchat, +    - <del>webchat</del>
-    - bloga +    - <del>blog</del>, 
-    - //redirect wszystkiego na ssl?//+    - //piwik//**?**, 
 +    - redirect wszystkiego na ssl? //in progress (tomek, viq)//
   - ldap //in progress (antoni, q3k, tomek, viq)//   - ldap //in progress (antoni, q3k, tomek, viq)//
-  - MTA //in progress (q3k)// +  - <del>MTA</del> 
-  - mailman //in progress (q3k) // +  - <del>mailman</del> 
-  - prosody //in progress (tomek, viq) // +  - <del>dovecot</del> 
-  - dokuwiki → ldap +  - <del>prosody</del> 
-  - wordpress → ldap+  - <del>dokuwiki → ldap</del> 
 +  - <del>wordpress → ldap</del>
   - Ustalenie praw zarządzania maszyną i odwzorowanie w ldapie.   - Ustalenie praw zarządzania maszyną i odwzorowanie w ldapie.
-  - Ostateczny rsync plików użytkowników i usług +  - <del>Ostateczny rsync plików użytkowników i usług</del> 
-  - Wystawienie itanica na hackerspace.pl+  - Regeneracja cache dokuwiki 
 +  - <del>Wystawienie itanica na hackerspace.pl</del> 
 + 
 +==== MTA (Exim4) ==== 
 + 
 +Jest, korzysta z PAMa/LDAPa. Do tego troszkę naklepanych regułek pod nasze potrzeby. Powinno banglać. 
 + 
 +==== MySQL ==== 
 +W tej chwili mamy na itanicu kopię bazy hackerspace. Może się nawet replikuje na bieżąco jako slave, ale nie dam głowy. 
 + 
 +==== NginX ==== 
 +Zainstalowany i wydaje się działać, pomimo wpadki z wywaleniem kawałka konfiguracji (blame → tomek). 
 + 
 +=== Strona główna === 
 +Jest 
 + 
 +=== Wiki === 
 +Jest (poza drobnymi korektami ścieżek) - uwierzytelnia się przez LDAP+STARTTLS, wspiera też grupy ldapowe.  
 + 
 +Przemigrowano wszystkich użytkowników, co do których nie było wątpliwości, że nie pokrywają się z shellami pod inną nazwą. 
 + 
 +Grupy są ustawione jak wcześniej (+tomek do admin). 
 + 
 +=== Webchat === 
 +qwebirc, wrzucony. Fajnie byłoby mu włączyć SSL jeszcze, other than that wydaje się działać. 
 + 
 +=== Wordpress === 
 +Chyba chodzi, tylko ścieżki do static i linki trzeba poprawić. Niestety LDAP plugin do wordpressa nie bardzo umie się ograniczać - każdy w ou=People,dc=hackerspace,dc=pl ma konto na wordpressie jakieś domyślne. Admini wydaje się zachowani z wcześniej. 
 + 
 +=== Piwik === 
 +Przerzucony, urle poprawione, czekamy na test przez urserega. 
 + 
 +=== Redirect na SSL === 
 +W obecnej konfiguracji każda domena słucha na ssl, a wszystko z :80 jest przepisywane na :443. Aktualny cert to jakiś self-signed. 
 + 
 + 
 +==== LDAP ==== 
 +Na itanicu zainstalowany jest obecnie OpenLDAP, póki co działa. Dostępny jest na :389 z opcjonalnym StartTLS i na :636 z SSL. 
 + 
 +Totalnie nie działa SASL, ale w tej chwili jeszcze nic go nie potrzebuje. 
 + 
 +W tej chwili mamy: 
 +  * Użytkowników przemigrowanych z hackerspace w ou=People,dc=hackerspace,dc=pl - wyleciały wszystkie usługi i podobne nobody. 
 +  * Grupy w ou=Group,dc=hackerspace,dc=pl - zostały trywialne grupy własne użytkowników i staff. 
 + 
 +Koniecznie i szybko musimy umówić się jaką mamy hierarchię dostępu i jak to tam wrzucić. 
 + 
 +Detale na [[projects:ldap|LDAP]]. 
 + 
 +Ponieważ itanic jest teraz wystawiony, to ldap ma zablokowane anonimowe czytanie spoza localhost, poza tym acl bez zmian.  
 +==== Prosody ==== 
 +Zainstalowany i działający serwer XMPP, uwierzytelniany przez LDAP (łączy się z LDAPem po STARTTLS i ma wymuszone szyfrowanie na linii klient → itanic). 
 + 
 +Obecnie każdy shellujący ma konto //login//@hackerspace.pl (serwer hackerspace.pl:**20003**). Gada na zewnątrz też, gtalk wymaga potwierdzenia znajomości, niektóre inne serwery po prostu przekazują. 
 + 
 +Uwierzytelnienie wymaga przynależności do grupy xmpp-users. W tej chwili, jw., są tam wszyscy z shellem. 
 + 
 +==== ostateczny rsync ==== 
 + 
 +Do zrsyncowania pod sam koniec: 
 +  * /home/ 
 +  * /var/lib/mailman 
 +  * mysql (gdziekolwiek nie byłby trzymany) ← trzeba pamiętać, że wordpress trzyma ustawienia w mysql. 
 +  * /srv/nginx -> /var/www ← to trzeba zrobić z głową, bo zmieniła się struktura katalogów.
  
 ===== Auxiliary tasks ===== ===== Auxiliary tasks =====
Line 28: Line 94:
   - Replika ldapa na proliant   - Replika ldapa na proliant
   - Migracja uwierzytelniania na proliancie na ldap   - Migracja uwierzytelniania na proliancie na ldap
-  - VPN //in progress (antoni, kamcio2603)//+  - <del>VPN</del>
   - [[http://chirpy.sourceforge.net/|Chirpy]]   - [[http://chirpy.sourceforge.net/|Chirpy]]
 +  - Shared roster z LDAP dla prosody //in progress (tomek)//
 +  - Asterisk
  
 ==== VPN ==== ==== VPN ====
Line 40: Line 108:
 dev tun dev tun
 proto udp proto udp
-remote itanic 1194+remote hackerspace.pl 20001
 resolv-retry infinite resolv-retry infinite
 nobind nobind
Line 50: Line 118:
 persist-tun persist-tun
  
-# na itanicu w /etc/openvpn/ca.crt, zmieni sie na podpisany wkrotce+# na itanicu w /etc/openvpn/ca.crt
 ca itanic.crt  ca itanic.crt 
  
Line 61: Line 129:
 </code> </code>
  
-Obecnie 1194 itanica **nie** jest wystawiony publicznie.+20001 na hackerspace.pl jest przekierowany na itanic:1194
 + 
 +Added bonus: itanic jest widoczny w spejsie jako i albo itanic albo itanic.hackerspace.pl 
 + 
 +Żeby być w VPN nie trzeba mieć shella - trzeba za to być w grupie LDAPowej vpn-users. 
 + 
 +//Może warto by również wymusić DNS'a? (I mieć jakiegoś serwującego odpowiednie nazy, by na przykład móc się po nazwie połączyć na itanic'a)// 
 +==== LDAP roster w Prosody ==== 
 +Zacząłem pisać roster w prosody pobierający dane z LDAP. Jest teraz włączony, ale update'y wymagają przelogowania. 
 + 
 +W tej chwili kod jest tu: [[https://github.com/tdubrownik/mod_roster_ldap|mod_roster_ldap]]
 ===== Zakupy ===== ===== Zakupy =====
 W hackerspace wystawiona jest puszka zbiórki funduszy na serwer. Zapraszamy do wkładu w finansowanie części. W hackerspace wystawiona jest puszka zbiórki funduszy na serwer. Zapraszamy do wkładu w finansowanie części.
projects/itanic-migracja.1331193011.txt.gz · Last modified: 2014/04/02 06:57 (external edit)

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki