Projet

Général

Profil

Actions

Admin ajout

Mails à l'intéressé

À la création

Salut,

merci de rejoindre la glorieuse équipe d'admins d'Aquilenet ! 

Tu commences dans l'équipe Padawan pour commencer qui donne accès aux serveurs non sensibles.

Pour t'ouvrir les accès j'ai besoin de:
 - le nom de ton utilisateur ldap Aquilenet
 - un mail pour les alertes de supervision (attention ça bombarde !)
 - un nom d'user linux
 - ta clé SSH
 - le hash de ton mot de passe (mkpasswd --method=SHA-512 --stdin)

Merci,
XXX

Une fois créé

Salut, et bienvenue dans la glorieuse équipe des admin d'Aquilenet !

Tes accès sont créés !

J'ai suivi la procédure sur la page https://atelier.aquilenet.fr/projects/aquilenet/wiki/Admin_ajout, elle te permettra de voir ce à quoi tu as été ajouté.

Si tu fais de l'ansible, tu peux trouver un script qui déploie la clé SSH et crée le compte sur toutes les machines (qui a déjà été lancé), ainsi qu'un inventaire des machines auxquelles tu as accès : https://forge.aquilenet.fr/aquiladmin/aquilansible

Le wiki de l'association est ton meilleur ami: https://atelier.aquilenet.fr ; n'hésite pas à le jardiner (mettre à jour, améliorer, etc...).

Une page pour démarrer en tant qu'admin existe : https://atelier.aquilenet.fr/projects/aquilenet/wiki/D%C3%A9marrer_en_tant_qu'administrateurice !

Si tu as des questions, et pour les échanges avec l'équipe, tu es bienvenu sur notre canal IRC #aquilenet-staff@libera.chat et sur la liste admin@aquilenet.fr.

A bientôt,
XXXXX

Création accès

  1. Abonner à la liste admin@ sysop@
  2. Ajouter au groupe LDAP https://atelier.aquilenet.fr/projects/infrastructure/wiki/LDAP#Gestion-de-groupes (sur hera:/root/Ajouter_Un_Admin_Au_LDAP.sh) * Ajouter mail sur athena dans /etc/shinken/contacts.cfg et mettre dans contactgroups.cfg admins, faire un restart de shinken (remplacé par l'abo à la liste sysop)
  3. Donner le mail à Samuel pour qu'il l'ajoute à la liste des mails sur shinken2:bin/mails , une machine qu'un ami à lui a sur un réseau complètement autre, qui a un bout de compte qui vérifie que athena est vivante.
  4. Ajouter au groupe admin sur l'atelier
  5. Ajouter éventuellement (?) au groupe Owners Aquiladmin sur la forge https://forge.aquilenet.fr/org/aquiladmin/teams/owners
  6. Ajouter sa clé ssh ici: https://forge.aquilenet.fr/aquiladmin/aquilansible (plus précisément dans ce fichier: https://forge.aquilenet.fr/aquiladmin/aquilansible/src/branch/master/vars/admins_padawan.yml) et lancer le playbook pour déployer la clé, commiter, pousser
  7. Ajouter dans Zammad avec notifs mails

NB : Il faut avoir accepté l'échange de fingerprints une première fois avec les machines pour que les playbooks ansible fonctionnent, en s'y connectant donc une première fois en ssh directement. On peut utiliser cssh pour accélérer la manoeuvre.

Les actions des admins

  • Ils reçoivent des alertes de la supervision, dans l'idéal il faut corriger ces alertes ou corriger la supervision : chacun de ces mails devrait à priori générer une action.
  • Contribuer à l'aide aux utilisateurs https://aide.aquilenet.fr/
  • Mettre à jour les vms, services, wiki.

Astuces diverses

Côté serveur, pour donner les accès à l'utilisateur "foo", dont la clé SSH est "foobar_id.pub" :

    useradd -m -d /home/foo -s /bin/bash foo
    cat foobar_id.pub >> /home/foo/.ssh/authorized_keys
    addgroup foo sudo
    passwd foo <unmotdepasse>
    echo <unmotdepasse> >> /home/foo/foopass
    chown foo:foo /home/foo/foopass

Et informer foo par e-mail de la localisation de son mot de passe dans le fichier, avant de l'inviter à faire un passwd pour créer le sien.

Ou utiliser le script /root/Create_New_Aquilenet_Admin.sh (copie également présente dans /home/mbb/) qui a l'avantage de générer le bout de config à rajouter dans la forge.
Note : le fichier ~/pass ne sera créé que sur gaia.

Pour aider à démarrer, lui fournir le oneliner suivant pour la config SSH.

MACHINES="echo seraphin dedale mnemosyne gaia athena persephone eos hestia sisyphe argos dionysos neutral janus enyo alcyon zephyr angelie transmission menoites metis tartare talos pan1 pan2" ; \
unset LOGIN ; \
DEFAULTSSHKEY="~/.ssh/id_ed25519" ; \
echo -e "Clefs SSH disponibles :" ; \
find /home/$USER/.ssh -name "*id*" ! -name "*.pub" ; \
echo "" ; \
read -p "Quelle clef SSH utiliser (Default ~/.ssh/id_ed25519) ? : " SSHKEY ; \
if [ -z $SSHKEY ] ; \
then SSHKEY=$DEFAULTSSHKEY ; \
fi ; \
while [ -z $LOGIN ] ; \
do read -p "Quel est votre login SSH infra Aquilenet ? : " LOGIN ; \
done ; \
echo -e Host *.aquilenet.net *.aquilenet.org *.aquilenet.fr *.aquilenet.com\\nPort 55555\\nUser $LOGIN\\nIdentityFile $SSHKEY\\n >~/.ssh/aquilenet.conf ; \
echo -e Host $MACHINES\\nHostName %h.aquilenet.fr\\nPort 55555\\nUser $LOGIN\\nIdentityFile $SSHKEY>>~/.ssh/aquilenet.conf ; \
echo -e "include ~/.ssh/*.conf\\nServerAliveInterval 30\\nTCPKeepAlive yes\\nRequestTTY yes\\n" >>~/.ssh/config

Lui rappeler qu'il DOIT changer le mot de passe par défaut sur TOUTES les machines où un compte lui a été créé.
Pour le faire, le plus simple est d'utiliser clusterssh, sinon le faire à la main, machine par machine avec passwd

Lui conseiller donc vivement d'installer clusterssh (sudo apt install clusterssh -y)
Une fois fait, la commande suivante génère une config pour clusterssh.

unset CLUSTER ; while [ -z $CLUSTER ] ; do read -p "Comment appeler le cluster ? : " CLUSTER ; done ; echo -e $CLUSTER" "$MACHINES\\n >>~/.clusterssh/clusters
echo "Lancer \"cssh "$CLUSTER"\" pour se connecter sur toutes les machines et y changer le mot de passe en une seule fois avec la commande passwd !"
echo "Pour finir lancer la commande \"sudo grep ^$USER /etc/shadow | awk -F":" '{print \$2}'\" sur une machine et mettre à jour le fichier aquilansible/vars/admins_padawan.yml sur la forge."

Devenir Jedi

  1. Déplacer la déclaration de l'utilisateur du fichier vars/admins_padawan.yml vers vars/admins_jedi.ymldans https://forge.aquilenet.fr/aquiladmin/aquilansible, lancer le playbook pour déployer la clé sur les machines sensibles, commiter, pousser.
  2. Ajouter l'utilisateur au Vaultwarden
  3. Éventuellement créer un compte sur le Dolibarr

Mis à jour par loris.hilaire il y a environ une heure · 70 révisions