Projet

Général

Profil

Admin ajout » Historique » Révision 53

Révision 52 (mathias.bert-barbedienne, 05/02/2023 18:51) → Révision 53/70 (louis.leveque, 25/02/2023 19:45)

# Admin ajout 

 * Abonner à la liste admin@   

 * Ajouter au groupe LDAP https://atelier.aquilenet.fr/projects/infrastructure/wiki/LDAP#Gestion-de-groupes (sur hera:/root/Ajouter_Un_Admin_Au_LDAP.sh) 

 * Ajouter mail sur athena dans /etc/shinken/contacts.cfg et mettre dans contactgroups.cfg admins, faire un restart de shinken   
 * Donner le mail à Samuel pour qu'il l'ajoute à la liste des mails sur shinken2:bin/mails , une machine qu'un ami à lui a sur un réseau complètement autre, qui a un bout de compte qui vérifie que athena est vivante.  
 * Ajouter au groupe admin sur l'atelier 
 * Ajouter éventuellement (?) au groupe Owners Aquiladmin sur la forge https://forge.aquilenet.fr/org/aquiladmin/teams/owners 
 * Ajouter sa clé ssh ici: https://forge.aquilenet.fr/aquiladmin/aquilansible (plus précisément dans ce fichier: https://forge.aquilenet.fr/aquiladmin/aquilansible/src/branch/master/vars/admins_padawan.yml) 

 Côté serveur, pour donner les accès à l'utilisateur "foo", dont la clé SSH est "foobar\_id.pub" : 

     useradd -m -d /home/foo -s /bin/bash foo 
     cat foobar_id.pub >> /home/foo/.ssh/authorized_keys 
     addgroup foo sudo 
     passwd foo <unmotdepasse> 
     echo <unmotdepasse> >> /home/foo/foopass 
     chown foo:foo /home/foo/foopass 

  
 Et informer foo par e-mail de la localisation de son mot de passe dans le fichier, avant de l'inviter à faire un passwd pour créer le sien. 

 Ou utiliser le script `/root/Create_New_Aquilenet_Admin.sh` (copie également présente dans /home/mbb/) qui a l'avantage de générer le bout de config à rajouter dans la forge. 
 Note : le fichier ~/pass ne sera créé que sur gaia. 


 Pour aider à démarrer, lui fournir le oneliner suivant pour la config SSH. 

 ```bash 
 MACHINES="echo `MACHINES="echo seraphin dedale mnemosyne gaia athena persephone eos hestia sisyphe argos dionysos neutral janus enyo alcyon zephyr angelie transmission menoites tartare talos pan1 pan2" ; \ 
 unset LOGIN ; \ 
 DEFAULTSSHKEY="~/.ssh/id_ed25519" ; \ 
 echo -e "Clefs SSH disponibles :" ; \ 
 find /home/$USER/.ssh -name "*id*" ! -name "*.pub" ; \ 
 echo "" ; \ 
 read -p "Quelle clef SSH utiliser (Default ~/.ssh/id_ed25519) ? : " SSHKEY ; \ 
 if [ -z $SSHKEY ] ; \ 
 then SSHKEY=$DEFAULTSSHKEY ; \ 
 fi ; \ 
 while [ -z $LOGIN ] ; \ 
 do read -p "Quel est votre login SSH infra Aquilenet ? : " LOGIN ; \ 
 done ; \ 
 echo -e Host *.aquilenet.net *.aquilenet.org *.aquilenet.fr *.aquilenet.com\\nPort 55555\\nUser $LOGIN\\nIdentityFile $SSHKEY\\n >~/.ssh/aquilenet.conf ; \ 
 echo -e Host $MACHINES\\nHostName %h.aquilenet.fr\\nPort 55555\\nUser $LOGIN\\nIdentityFile $SSHKEY>>~/.ssh/aquilenet.conf ; \ 
 echo -e "include ~/.ssh/*.conf\\nServerAliveInterval 30\\nTCPKeepAlive yes\\nRequestTTY yes\\n" >>~/.ssh/config 
 ``` >>~/.ssh/config` 

 Rappeler lui qu'il DOIT changer le mot de passe par défaut sur TOUTES les machines où un compte lui a été créé. 
 Pour le faire, le plus simple est d'utiliser clusterssh, sinon le faire à la main, machine par machine avec `passwd` 

 Lui conseiller donc vivement d'installer clusterssh (`sudo apt install clusterssh -y`) 
 Une fois fait, la commande suivante génère une config pour clusterssh. 

 ```bash 
 unset `unset CLUSTER ; while [ -z $CLUSTER ] ; do read -p "Comment appeler le cluster ? : " CLUSTER ; done ; echo -e $CLUSTER" "$MACHINES\\n >>~/.clusterssh/clusters >>~/.clusterssh/clusters` 
 echo `echo "Lancer \"cssh "$CLUSTER"\" pour se connecter sur toutes les machines et y changer le mot de passe en une seule fois avec la commande passwd !" !"` 
 echo `echo "Pour finir lancer la commande \"sudo grep ^$USER /etc/shadow | awk -F":" '{print \$2}'\" sur une machine et mettre à jour le fichier aquilansible/vars/admins_padawan.yml sur la forge." 
 ``` forge."` 

 # Les actions 

  Ils reçoivent des alertes de la supervision, dans l'idéal il faut corriger ces alertes ou corriger la supervision :) 
  Chacun de ces mails doit à priori générer une action.