Ceci est une ancienne révision du document !
Table des matières
Ajout d'un administrateur au cluster
Il faut pour cela donner accès aux mots de passe et déployer les clés ssh sur le cluster.
Déploiement des clés ssh sur le cluster
Mise à jour du paquet
Dans le dépot adminsys pour les paquets, on a le paquet sexy-chapril qui installe diverses choses dont les clés root des adminsys sur le cluster.
On installe les nouvelles clés ssh dans sexy-chapril/authorized_keys/root
.
Ensuite on édite sexy-chapril/debian/changelog
est on recopie matatis mutandis la dernière entrée en tête du fichier:
- sexy-chapril/debian/changelog
sexy-chapril (1.2) stable; urgency=medium . * Ajout clés Mad et Benj -- François Poulain <fpoulain@metrodore.fr> Sun, 23 Jun 2017 22:20:04 +0200
On veillera à bien incrémenter la version et surtout à mettre un couple nom/email qui permette la signature gpg. Sinon debuild va échouer.
Ensuite on build le paquet :
$ cd sexy-chapril/ $ debuild
Pour des détails sur le build : Paquets Chapril.
Ensuite on uploade le paquet avec
$ dupload --to chapril ../sexy-chapril_1.2_amd64.changes
Pour les détails sur l'upload : Paquets Chapril
Enfin on pense à commiter sur le git. :)
Déploiement du paquet
../_scripts/do-update-upgrade.sh
Accès ssh
Pour les accès, la config ssh suivante devrait suffire :
- ~/.ssh/config
Host coon.chapril.org maine.chapril.org User root ForwardAgent yes SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL Host bastion.cluster.chapril.org Hostname fip.chapril.org User root ForwardAgent yes SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL Host icinga2.chapril.org User root Port 2242 ForwardAgent yes SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL Host *.cluster.chapril.org User root ProxyCommand ssh -W %h:22 root@fip.chapril.org -A ForwardAgent yes SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
Donner accès au password store
On utilise password store. C'est pass
sous debian et le paquet à installer est pass
.
Pour se faciliter la vie si c'est votre unique dépot on peut faire un lien symbolique vers le dépot chapril :
$ ls -l ~/.password-store [...] /home/bling/.password-store -> /home/bling/April/chapril/password-store
Pour lister les actuels accès à pass :
cd ~/.password-store cat .gpg-id
ou bien pour avoir une autre idée (en supposant que le repo est fonctionnel chez vous donc que vous avez toutes les clés dans votre trousseau) :
gpg --list-key `cat .gpg-id`
Supposons qu'on veuille ajouter l'accès à un certain Frédéric Couchet. On recherche sa clé dans notre trousseau :
$ gpg --list-key couchet [...] pub 4096R/76264A53 2014-03-18 [expire : 2018-02-23] uid Frédéric Couchet <frederic@couchet.org> uid Frédéric Couchet <fcouchet@april.org> sub 4096R/93262A7B 2014-03-18 [expire : 2018-02-23]
L'id qui nous intéresse est donc 76264A53
.
Pass requiert des clés de confiance. Il vous faudra a priori signer la clé si ce n'est déjà fait.
On va réencoder le dépôt pour toutes les clés listées en option de init :
pass init `cat .gpg-id` 76264A53 Password store initialized for 02F5B40A, 71458CFC, 14ABB3F2, AFD9831F, 76264A53, 904BE741 [master 05c1776] Set GPG id to 02F5B40A, 71458CFC, 14ABB3F2, AFD9831F, 76264A53, 904BE741. 1 file changed, 1 insertion(+) VMs/dns: reencrypting to 0D26C546C89CC0AB 19DA3F1993262A7B 324424FACB5DC1E5 81C3137F3FE3C04A C2DAD63D95F17989 EAA3CF7EE6E90179 [...]
Et on peut vérifier que tout s'est bien passé en prenant dans des fichiers de pass :
gpg --list-packets --list-only Services/icinga.gpg