Chapril DokuWiki

Outils pour utilisateurs

Outils du site

Vous êtes ici : start » admin » procedures » ajouter-administrateur
admin:procedures:ajouter-administrateur

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
admin:procedures:ajouter-administrateur [2017/06/23 09:01] – [Donner accès au password store] fpoulainadmin:procedures:ajouter-administrateur [2025/01/07 21:47] (Version actuelle) – s/{coon,maine}/{korat,persan}/ pilou
Ligne 1: Ligne 1:
 ====== Ajout d'un administrateur au cluster ====== ====== Ajout d'un administrateur au cluster ======
  
-Il faut pour cela donner accès aux mots de passe et déployer les clés ssh sur le cluster.+Il faut pour cela donner accès aux mots de passe, donner accès au [[sysadm:git_admin_sys|git]], et déployer les clés ssh sur le cluster.
  
 +===== Donner accès au git =====
 +
 +C'est un gitolite qui se configure par un repos git : ''gitolite-admin''. Pour avoir une idée ça ressemble à ça :
 +<code>
 +$ cd gitolite-admin
 +$ tree
 +.
 +├── conf
 +│   └── gitolite.conf
 +└── keydir
 +    ├── admin-doku.pub
 +    ├── benj.pub
 +    ├── edausq.pub
 +    ├── madix.pub
 +    ├── PoluX.pub
 +    ├── QGuLL.pub
 +    └── vincentxavier.pub
 +</code>
 +
 +On commence par copier le pubring ssh du nouvel admin dans le dossier ''keydir''.
 +
 +Ensuite dans ''conf/gitolite.conf'' on complète la définition @admins avec le nom du pubring qui convient.
 +
 +<code conf conf/gitolite.conf>
 +admins = edausq PoluX QGuLL vincentxavier benj madix nouvelAdmin
 +</code>
 +
 +Enfin on commit et on pousse.
 +<code>
 +git add *
 +git commit -m 'ajout nouvelAdmin'
 +git push
 +</code>
 ===== Déploiement des clés ssh sur le cluster ===== ===== Déploiement des clés ssh sur le cluster =====
  
Ligne 11: Ligne 44:
 On installe les nouvelles clés ssh dans ''sexy-chapril/authorized_keys/root''. On installe les nouvelles clés ssh dans ''sexy-chapril/authorized_keys/root''.
  
-Ensuite on édite ''sexy-chapril/debian/changelog'' est on recopie matatis mutandis la dernière entrée en tête du fichier:+Ensuite on édite ''sexy-chapril/debian/changelog'' et on recopie matatis mutandis la dernière entrée en tête du fichier:
 <code conf sexy-chapril/debian/changelog> <code conf sexy-chapril/debian/changelog>
 sexy-chapril (1.2) stable; urgency=medium                                        sexy-chapril (1.2) stable; urgency=medium                                       
Ligne 43: Ligne 76:
 Pour les accès, la config ssh suivante devrait suffire : Pour les accès, la config ssh suivante devrait suffire :
 <code ssh ~/.ssh/config> <code ssh ~/.ssh/config>
-Host coon.chapril.org maine.chapril.org+Host korat.chapril.org persan.chapril.org
   User root   User root
-  ForwardAgent yes 
   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
  
-Host bastion.cluster.chapril.org +Host felicette.chapril.org
-  Hostname fip.chapril.org +
-  User root +
-  ForwardAgent yes +
-  SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL +
- +
-Host icinga2.chapril.org+
   User root   User root
   Port 2242   Port 2242
-  ForwardAgent yes 
   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
  
 Host *.cluster.chapril.org Host *.cluster.chapril.org
   User root   User root
-  ProxyCommand ssh -W %h:22 root@fip.chapril.org -A +  ProxyJump root@fip.chapril.org
-  ForwardAgent yes+
   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
 </code> </code>
Ligne 69: Ligne 93:
 ===== Donner accès au password store ===== ===== Donner accès au password store =====
  
-On utilise [[https://www.passwordstore.org/|password store]]. C'est ''pass'' sous debian et le paquet à installer est ''pass''.+On utilise [[https://www.passwordstore.org/|password store]], [[admin:procedures:configuration_password_store|documenté ici]]. C'est ''pass'' sous debian et le paquet à installer est ''pass''.
  
-Pour se faciliter la vie si c'st votre unique dépot on peut faire un lien symbolique vers le dépot chapril :+Pour se faciliter la vie si c'est votre unique dépot on peut faire un lien symbolique vers le dépot chapril :
   $ ls -l ~/.password-store   $ ls -l ~/.password-store
-  ... /home/bling/.password-store -> /home/bling/April/chapril/password-store+  [.../home/bling/.password-store -> /home/bling/April/chapril/password-store 
 + 
 +Pour lister les actuels accès à pass : 
 +  cd ~/.password-store 
 +  cat .gpg-id 
 +ou bien pour avoir une autre idée (en supposant que le repo est fonctionnel chez vous donc que vous avez toutes les clés dans votre trousseau) : 
 +  gpg --list-key `cat .gpg-id` 
 +  gpg --list-key `cat .gpg-id` | grep pub -A1 | grep @ | sed 's/uid *//' 
 + 
 +Des clés GPG sont présentes dans le dossier //…/password-store/ClésGPG/// 
 + 
 +Supposons qu'on veuille ajouter l'accès à un certain Frédéric Couchet. On recherche sa clé dans notre trousseau : 
 +  $ gpg --list-key couchet 
 +  [...] 
 +  pub   4096R/76264A53 2014-03-18 [expire : 2018-02-23] 
 +  uid                  Frédéric Couchet <frederic@couchet.org> 
 +  uid                  Frédéric Couchet <fcouchet@april.org> 
 +  sub   4096R/93262A7B 2014-03-18 [expire : 2018-02-23] 
 +L'id qui nous intéresse est donc ''76264A53''
 + 
 +Pass requiert des clés de confiance. Il vous faudra a priori signer la clé si ce n'est déjà fait. 
 +<note warning>Une signature de clé ça ne se fait pas à la légère !! Assurez vous de pouvoir contrôler préalablement le fingerprint de la clé, présenté via un canal sûr (idéalement en personne) par l'admin concerné.</note> 
 + 
 +On va réencoder le dépôt pour toutes les clés listées en option de init : 
 +<code> 
 +pass init `cat .gpg-id` 76264A53 
 +Password store initialized for 02F5B40A, 71458CFC, 14ABB3F2, AFD9831F, 76264A53, 904BE741 
 +[master 05c1776] Set GPG id to 02F5B40A, 71458CFC, 14ABB3F2, AFD9831F, 76264A53, 904BE741. 
 + 1 file changed, 1 insertion(+) 
 +VMs/dns: reencrypting to 0D26C546C89CC0AB 19DA3F1993262A7B 324424FACB5DC1E5 81C3137F3FE3C04A C2DAD63D95F17989 EAA3CF7EE6E90179 
 +[...] 
 +</code> 
 + 
 +<note important>Attention si vous vous poutrez sur l'étape précédente il est possible que le dépôt ne soit plus lisible par vous ni par personne après.</note> 
 + 
 +<note tip>En cas de soucis voir plus bas.</note> 
 + 
 +Et on peut vérifier que tout s'est bien passé en prenant dans des fichiers de pass : 
 +  gpg --list-packets --list-only Infra/icinga.chapril.org/icinga2-icinga.gpg 
 + 
 +On peut aussi vérifier qu'on a soi-même accès : 
 +  pass Infra/icinga.chapril.org/icinga2-icinga 
 + 
 +Puis on pousse : 
 +  git push 
 + 
 +Enfin on peut se fader d'un petit email de courtoisie aux admins anciens et nouveaux : 
 +<code> 
 +From: François Poulain <fpoulain@metrodore.fr> 
 +To: Francois Poulain <fpoulain@metrodore.fr>, Edouard Dausque <edouard@dausque.net>, Gibeaux Quentin <quentin.gibeaux@insa-rouen.fr>, Vincent-Xavier Jumel <endymion@thetys-retz.net> 
 +Cc: Benjamin Drieu <bdrieu@april.org>, Frédéric Couchet <fcouchet@april.org> 
 +Subject: Ajout d'admins dans le pass chapril 
 +Date: Fri, 23 Jun 2017 11:59:37 +0200 
 +X-Mailer: Claws Mail 3.11.1 (GTK+ 2.24.25; x86_64-pc-linux-gnu) 
 + 
 +Coucou, 
 + 
 +J'ai ajouté des admins dans le pass chapril. Il va falloir que vous 
 +vous organisiez pour signer leurs clés si ce n'est déjà fait. 
 + 
 +Pour rappel sur l'usage du pass : 
 +https://admin.chapril.org/doku.php?id=admin:procedures:configuration_password_store 
 + 
 +L'état actuel du dépôt : 
 + 
 +$ gpg --list-key `cat .gpg-id` 
 +pub   1024D/71458CFC 2010-03-25 
 +uid                  François Poulain <fpoulain@metrodore.fr> 
 +uid                  François Poulain <fpoulain@amie.coop> 
 +uid                  François Poulain <fpoulain@april.org> 
 +sub   4096g/E6E90179 2010-03-25 
 + 
 +pub   1024D/904BE741 2000-02-07 
 +uid                  Benjamin Drieu <tresorier@april.org> 
 +uid                  Benjamin Drieu <bdrieu@april.org> 
 +uid                  Benjamin Drieu <benjamin@drieu.org> 
 +uid                  Benjamin Drieu <benj@grassouille.org> 
 +sub   1024g/C89CC0AB 2000-02-07 
 + 
 +pub   4096R/14ABB3F2 2013-08-25 [expire : 2019-08-24] 
 +uid                  Vincent-Xavier Jumel (Clef 4096) <endymion@thetys-retz.net> 
 +uid                  Vincent-Xavier Jumel <vxjumel@april.org> 
 +uid                  Vincent-Xavier Jumel <vxjumel@parinux.org> 
 +uid                  Vincent-Xavier Jumel <vincentxavier@jumel.net> 
 +sub   4096R/CB5DC1E5 2013-08-25 [expire : 2019-08-24] 
 + 
 +pub   4096R/76264A53 2014-03-18 [expire : 2018-02-23] 
 +uid                  Frédéric Couchet <frederic@couchet.org> 
 +uid                  Frédéric Couchet <fcouchet@april.org> 
 +sub   4096R/93262A7B 2014-03-18 [expire : 2018-02-23] 
 + 
 +pub   4096R/AFD9831F 2016-06-16 [expire : 2031-06-13] 
 +uid                  Quentin Gibeaux (QGuLL) <quentin@gibeaux.eu> 
 +sub   4096R/3FE3C04A 2016-06-16 [expire : 2031-06-13] 
 + 
 +pub   4096R/02F5B40A 2016-08-08 [expire : 2018-08-08] 
 +uid                  Edouard Dausque <secure@edouard.dausque.net> 
 +sub   4096R/95F17989 2016-08-08 [expire : 2018-08-08] 
 +</code> 
 + 
 +==== Soucis avec pass, git ou gpg ==== 
 + 
 +=== Aucune assurance que la clef appartienne vraiment à l'utilisateur nommé === 
 + 
 +L'erreur se  manifeste ainsi : 
 +<code> 
 +gpg: DEADBEEF : aucune assurance que la clef appartienne vraiment à l'utilisateur nommé. 
 + 
 +sub  rsa4096/DEADBEEF 2042-42-42 douglas@adams.42 
 +Empreinte clef princip. : DEAD BEEF 
 + Empreinte de sous-clef : DEAD BEEF 
 + 
 +La clef n'appartient PAS forcément à la personne nommée 
 +dans l'identité. Si vous savez *vraiment* ce que vous 
 +faites, vous pouvez répondre oui à la prochaine question. 
 + 
 + 
 +Faut-il quand même utiliser cette clef ? (o/N) o 
 +</code> 
 + 
 +Solution: donner un niveau de confiance fort à la clé. 
 +  gpg --edit-key DEADBEEF 
 +  tsign 
 +  --> suivez selon les pointillés
admin/procedures/ajouter-administrateur.1498208502.txt.gz · Dernière modification : 2017/06/23 09:01 de fpoulain