Chapril DokuWiki

Outils pour utilisateurs

Outils du site

Vous êtes ici : start » admin » procedures » ajouter-administrateur
admin:procedures:ajouter-administrateur

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
admin:procedures:ajouter-administrateur [2017/06/23 10:26] – [Donner accès au git] fpoulainadmin:procedures:ajouter-administrateur [2025/01/07 21:47] (Version actuelle) – s/{coon,maine}/{korat,persan}/ pilou
Ligne 1: Ligne 1:
 ====== Ajout d'un administrateur au cluster ====== ====== Ajout d'un administrateur au cluster ======
  
-Il faut pour cela donner accès aux mots de passe, donner accès au git, et déployer les clés ssh sur le cluster.+Il faut pour cela donner accès aux mots de passe, donner accès au [[sysadm:git_admin_sys|git]], et déployer les clés ssh sur le cluster.
  
 ===== Donner accès au git ===== ===== Donner accès au git =====
Ligne 44: Ligne 44:
 On installe les nouvelles clés ssh dans ''sexy-chapril/authorized_keys/root''. On installe les nouvelles clés ssh dans ''sexy-chapril/authorized_keys/root''.
  
-Ensuite on édite ''sexy-chapril/debian/changelog'' est on recopie matatis mutandis la dernière entrée en tête du fichier:+Ensuite on édite ''sexy-chapril/debian/changelog'' et on recopie matatis mutandis la dernière entrée en tête du fichier:
 <code conf sexy-chapril/debian/changelog> <code conf sexy-chapril/debian/changelog>
 sexy-chapril (1.2) stable; urgency=medium                                        sexy-chapril (1.2) stable; urgency=medium                                       
Ligne 76: Ligne 76:
 Pour les accès, la config ssh suivante devrait suffire : Pour les accès, la config ssh suivante devrait suffire :
 <code ssh ~/.ssh/config> <code ssh ~/.ssh/config>
-Host coon.chapril.org maine.chapril.org+Host korat.chapril.org persan.chapril.org
   User root   User root
-  ForwardAgent yes 
   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
  
-Host bastion.cluster.chapril.org +Host felicette.chapril.org
-  Hostname fip.chapril.org +
-  User root +
-  ForwardAgent yes +
-  SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL +
- +
-Host icinga2.chapril.org+
   User root   User root
   Port 2242   Port 2242
-  ForwardAgent yes 
   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
  
 Host *.cluster.chapril.org Host *.cluster.chapril.org
   User root   User root
-  ProxyCommand ssh -W %h:22 root@fip.chapril.org -A +  ProxyJump root@fip.chapril.org
-  ForwardAgent yes+
   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL   SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
 </code> </code>
Ligne 114: Ligne 105:
   gpg --list-key `cat .gpg-id`   gpg --list-key `cat .gpg-id`
   gpg --list-key `cat .gpg-id` | grep pub -A1 | grep @ | sed 's/uid *//'   gpg --list-key `cat .gpg-id` | grep pub -A1 | grep @ | sed 's/uid *//'
 +
 +Des clés GPG sont présentes dans le dossier //…/password-store/ClésGPG///
  
 Supposons qu'on veuille ajouter l'accès à un certain Frédéric Couchet. On recherche sa clé dans notre trousseau : Supposons qu'on veuille ajouter l'accès à un certain Frédéric Couchet. On recherche sa clé dans notre trousseau :
Ligne 125: Ligne 118:
  
 Pass requiert des clés de confiance. Il vous faudra a priori signer la clé si ce n'est déjà fait. Pass requiert des clés de confiance. Il vous faudra a priori signer la clé si ce n'est déjà fait.
-<note warning>Une signature de clé ça ne se fait pas à la légère !! Assurez vous de pouvoir contrôler préalablement le fingerprint de la clé, présenté en personne par l'admin concerné.</note>+<note warning>Une signature de clé ça ne se fait pas à la légère !! Assurez vous de pouvoir contrôler préalablement le fingerprint de la clé, présenté via un canal sûr (idéalement en personnepar l'admin concerné.</note>
  
 On va réencoder le dépôt pour toutes les clés listées en option de init : On va réencoder le dépôt pour toutes les clés listées en option de init :
Ligne 138: Ligne 131:
  
 <note important>Attention si vous vous poutrez sur l'étape précédente il est possible que le dépôt ne soit plus lisible par vous ni par personne après.</note> <note important>Attention si vous vous poutrez sur l'étape précédente il est possible que le dépôt ne soit plus lisible par vous ni par personne après.</note>
 +
 +<note tip>En cas de soucis voir plus bas.</note>
  
 Et on peut vérifier que tout s'est bien passé en prenant dans des fichiers de pass : Et on peut vérifier que tout s'est bien passé en prenant dans des fichiers de pass :
-  gpg --list-packets --list-only Services/icinga.gpg+  gpg --list-packets --list-only Infra/icinga.chapril.org/icinga2-icinga.gpg 
 + 
 +On peut aussi vérifier qu'on a soi-même accès : 
 +  pass Infra/icinga.chapril.org/icinga2-icinga
  
 Puis on pousse : Puis on pousse :
Ligne 198: Ligne 196:
 sub   4096R/95F17989 2016-08-08 [expire : 2018-08-08] sub   4096R/95F17989 2016-08-08 [expire : 2018-08-08]
 </code> </code>
 +
 +==== Soucis avec pass, git ou gpg ====
 +
 +=== Aucune assurance que la clef appartienne vraiment à l'utilisateur nommé ===
 +
 +L'erreur se  manifeste ainsi :
 +<code>
 +gpg: DEADBEEF : aucune assurance que la clef appartienne vraiment à l'utilisateur nommé.
 +
 +sub  rsa4096/DEADBEEF 2042-42-42 douglas@adams.42
 +Empreinte clef princip. : DEAD BEEF
 + Empreinte de sous-clef : DEAD BEEF
 +
 +La clef n'appartient PAS forcément à la personne nommée
 +dans l'identité. Si vous savez *vraiment* ce que vous
 +faites, vous pouvez répondre oui à la prochaine question.
 +
 +
 +Faut-il quand même utiliser cette clef ? (o/N) o
 +</code>
 +
 +Solution: donner un niveau de confiance fort à la clé.
 +  gpg --edit-key DEADBEEF
 +  tsign
 +  --> suivez selon les pointillés
admin/procedures/ajouter-administrateur.1498213566.txt.gz · Dernière modification : 2017/06/23 10:26 de fpoulain