Outils pour utilisateurs

Outils du site


admin:procedures:ajouter-administrateur

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
Prochaine révisionLes deux révisions suivantes
admin:procedures:ajouter-administrateur [2017/06/23 10:04] – [Donner accès au password store] fpoulainadmin:procedures:ajouter-administrateur [2020/11/28 15:59] – [Accès ssh] cpm
Ligne 1: Ligne 1:
 ====== Ajout d'un administrateur au cluster ====== ====== Ajout d'un administrateur au cluster ======
  
-Il faut pour cela donner accès aux mots de passe et déployer les clés ssh sur le cluster.+Il faut pour cela donner accès aux mots de passe, donner accès au [[sysadm:git_admin_sys|git]], et déployer les clés ssh sur le cluster.
  
 +===== Donner accès au git =====
 +
 +C'est un gitolite qui se configure par un repos git : ''gitolite-admin''. Pour avoir une idée ça ressemble à ça :
 +<code>
 +$ cd gitolite-admin
 +$ tree
 +.
 +├── conf
 +│   └── gitolite.conf
 +└── keydir
 +    ├── admin-doku.pub
 +    ├── benj.pub
 +    ├── edausq.pub
 +    ├── madix.pub
 +    ├── PoluX.pub
 +    ├── QGuLL.pub
 +    └── vincentxavier.pub
 +</code>
 +
 +On commence par copier le pubring ssh du nouvel admin dans le dossier ''keydir''.
 +
 +Ensuite dans ''conf/gitolite.conf'' on complète la définition @admins avec le nom du pubring qui convient.
 +
 +<code conf conf/gitolite.conf>
 +admins = edausq PoluX QGuLL vincentxavier benj madix nouvelAdmin
 +</code>
 +
 +Enfin on commit et on pousse.
 +<code>
 +git add *
 +git commit -m 'ajout nouvelAdmin'
 +git push
 +</code>
 ===== Déploiement des clés ssh sur le cluster ===== ===== Déploiement des clés ssh sur le cluster =====
  
Ligne 11: Ligne 44:
 On installe les nouvelles clés ssh dans ''sexy-chapril/authorized_keys/root''. On installe les nouvelles clés ssh dans ''sexy-chapril/authorized_keys/root''.
  
-Ensuite on édite ''sexy-chapril/debian/changelog'' est on recopie matatis mutandis la dernière entrée en tête du fichier:+Ensuite on édite ''sexy-chapril/debian/changelog'' et on recopie matatis mutandis la dernière entrée en tête du fichier:
 <code conf sexy-chapril/debian/changelog> <code conf sexy-chapril/debian/changelog>
 sexy-chapril (1.2) stable; urgency=medium                                        sexy-chapril (1.2) stable; urgency=medium                                       
Ligne 48: Ligne 81:
   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
  
-Host bastion.cluster.chapril.org +Host felicette.chapril.org
-  Hostname fip.chapril.org +
-  User root +
-  ForwardAgent yes +
-  SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL +
- +
-Host icinga2.chapril.org+
   User root   User root
   Port 2242   Port 2242
Ligne 81: Ligne 108:
   gpg --list-key `cat .gpg-id`   gpg --list-key `cat .gpg-id`
   gpg --list-key `cat .gpg-id` | grep pub -A1 | grep @ | sed 's/uid *//'   gpg --list-key `cat .gpg-id` | grep pub -A1 | grep @ | sed 's/uid *//'
 +
 +Des clés GPG sont présentes dans le dossier //…/password-store/ClésGPG///
  
 Supposons qu'on veuille ajouter l'accès à un certain Frédéric Couchet. On recherche sa clé dans notre trousseau : Supposons qu'on veuille ajouter l'accès à un certain Frédéric Couchet. On recherche sa clé dans notre trousseau :
Ligne 92: Ligne 121:
  
 Pass requiert des clés de confiance. Il vous faudra a priori signer la clé si ce n'est déjà fait. Pass requiert des clés de confiance. Il vous faudra a priori signer la clé si ce n'est déjà fait.
-<note warning>Une signature de clé ça ne se fait pas à la légère !! Assurez vous de pouvoir contrôler préalablement le fingerprint de la clé, présenté en personne par l'admin concerné.</note>+<note warning>Une signature de clé ça ne se fait pas à la légère !! Assurez vous de pouvoir contrôler préalablement le fingerprint de la clé, présenté via un canal sûr (idéalement en personnepar l'admin concerné.</note>
  
 On va réencoder le dépôt pour toutes les clés listées en option de init : On va réencoder le dépôt pour toutes les clés listées en option de init :
Ligne 108: Ligne 137:
 Et on peut vérifier que tout s'est bien passé en prenant dans des fichiers de pass : Et on peut vérifier que tout s'est bien passé en prenant dans des fichiers de pass :
   gpg --list-packets --list-only Services/icinga.gpg   gpg --list-packets --list-only Services/icinga.gpg
 +
 +On peut aussi vérifier qu'on a soi-même accès :
 +  pass Services/icinga
  
 Puis on pousse : Puis on pousse :
admin/procedures/ajouter-administrateur.txt · Dernière modification : 2022/09/01 21:58 de pilou