Projet

Général

Profil

Admin ajout » Historique » Version 60

sacha, 01/05/2024 17:26

1 12
# Admin ajout
2
3 58 sacha
## Mails à l'intéressé
4 12
5 58 sacha
### À la création
6
7
```
8
Salut,
9
10
merci de rejoindre la glorieuse équipe d'admins d'Aquilenet ! 
11
12
Tu commences dans l'équipe Padawan pour commencer qui donne accès aux serveurs non sensibles.
13
14
Pour t'ouvrir les accès j'ai besoin de:
15
 - le nom de ton utilisateur ldap Aquilenet
16
 - un mail pour les alertes de supervision (attention ça bombarde !)
17
 - un nom d'user linux
18
 - ta clé SSH
19
 - le hash de ton mot de passe (mkpasswd --method=SHA-512 --stdin)
20
21
Merci,
22
XXX
23
```
24
### Une fois créé
25
26
```
27
Salut et bienvenue dans la glorieuse équipe des admin d'Aquilenet.
28
29
Tes accès sont créés !
30
J'ai suivi la procédure sur la page https://atelier.aquilenet.fr/projects/aquilenet/wiki/Admin_ajout
31
Si tu fais de l'ansible tu peux trouver un script qui déploie la clé ssh et crée le compte sur toutes les machines, ainsi qu'un inventaire des machines auxquelles tu as accès: https://forge.aquilenet.fr/aquiladmin/aquilansible
32
Le wiki de l'association est ton meilleur ami: https://atelier.aquilenet.fr n'hésites pas à le jardiner (mettre à jour, améliorer, etc...)
33 60 sacha
Si tu as des questions et pour les échanges avec l'équipe tu es bienvenu sur notre irc #aquilenet-staff@libera.chat et sur la liste admin@aquilenet.fr
34 58 sacha
35
A bientôt,
36
XXX
37
```
38
39
## Création accès
40
41
42
1. Abonner à la liste admin@ sysop@
43 12
1. Ajouter au groupe LDAP https://atelier.aquilenet.fr/projects/infrastructure/wiki/LDAP#Gestion-de-groupes (sur hera:/root/Ajouter_Un_Admin_Au_LDAP.sh)
44 56 sacha
~~* Ajouter mail sur athena dans /etc/shinken/contacts.cfg et mettre dans contactgroups.cfg admins, faire un restart de shinken~~ 
45 57 sacha
(remplacé par l'abo à la liste sysop)
46
1. Donner le mail à Samuel pour qu'il l'ajoute à la liste des mails sur shinken2:bin/mails , une machine qu'un ami à lui a sur un réseau complètement autre, qui a un bout de compte qui vérifie que athena est vivante. 
47
1. Ajouter au groupe admin sur l'atelier
48
1. Ajouter éventuellement (?) au groupe Owners Aquiladmin sur la forge https://forge.aquilenet.fr/org/aquiladmin/teams/owners
49
1. Ajouter sa clé ssh ici: https://forge.aquilenet.fr/aquiladmin/aquilansible (plus précisément dans ce fichier: https://forge.aquilenet.fr/aquiladmin/aquilansible/src/branch/master/vars/admins_padawan.yml) et lancer le playbook pour déployer la clé
50 12
51
52 58 sacha
## Les actions Des admins
53
54
* Ils reçoivent des alertes de la supervision, dans l'idéal il faut corriger ces alertes ou corriger la supervision : chacun de ces mails devrait à priori générer une action.
55
*  Contribuer à l'aide aux utilisateurs
56
*  Mettre à jour les vms, services, wiki.
57
58
## Astuces diverses
59
60 12
Côté serveur, pour donner les accès à l'utilisateur "foo", dont la clé SSH est "foobar\_id.pub" :
61
62
```bash
63
    useradd -m -d /home/foo -s /bin/bash foo
64 54 louis.leveque
    cat foobar_id.pub >> /home/foo/.ssh/authorized_keys
65 12
    addgroup foo sudo
66
    passwd foo <unmotdepasse>
67
    echo <unmotdepasse> >> /home/foo/foopass
68 51 mathias.bert-barbedienne
    chown foo:foo /home/foo/foopass
69
```
70
  
71
Et informer foo par e-mail de la localisation de son mot de passe dans le fichier, avant de l'inviter à faire un passwd pour créer le sien.
72 12
73
Ou utiliser le script `/root/Create_New_Aquilenet_Admin.sh` (copie également présente dans /home/mbb/) qui a l'avantage de générer le bout de config à rajouter dans la forge.
74 53 louis.leveque
Note : le fichier ~/pass ne sera créé que sur gaia.
75
76 51 mathias.bert-barbedienne
77
Pour aider à démarrer, lui fournir le oneliner suivant pour la config SSH.
78
79
```bash
80
MACHINES="echo seraphin dedale mnemosyne gaia athena persephone eos hestia sisyphe argos dionysos neutral janus enyo alcyon zephyr angelie transmission menoites tartare talos pan1 pan2" ; \
81
unset LOGIN ; \
82
DEFAULTSSHKEY="~/.ssh/id_ed25519" ; \
83
echo -e "Clefs SSH disponibles :" ; \
84
find /home/$USER/.ssh -name "*id*" ! -name "*.pub" ; \
85
echo "" ; \
86
read -p "Quelle clef SSH utiliser (Default ~/.ssh/id_ed25519) ? : " SSHKEY ; \
87
if [ -z $SSHKEY ] ; \
88 12
then SSHKEY=$DEFAULTSSHKEY ; \
89
fi ; \
90 53 louis.leveque
while [ -z $LOGIN ] ; \
91
do read -p "Quel est votre login SSH infra Aquilenet ? : " LOGIN ; \
92 12
done ; \
93 51 mathias.bert-barbedienne
echo -e Host *.aquilenet.net *.aquilenet.org *.aquilenet.fr *.aquilenet.com\\nPort 55555\\nUser $LOGIN\\nIdentityFile $SSHKEY\\n >~/.ssh/aquilenet.conf ; \
94
echo -e Host $MACHINES\\nHostName %h.aquilenet.fr\\nPort 55555\\nUser $LOGIN\\nIdentityFile $SSHKEY>>~/.ssh/aquilenet.conf ; \
95 12
echo -e "include ~/.ssh/*.conf\\nServerAliveInterval 30\\nTCPKeepAlive yes\\nRequestTTY yes\\n" >>~/.ssh/config
96
```
97
98
Rappeler lui qu'il DOIT changer le mot de passe par défaut sur TOUTES les machines où un compte lui a été créé.
99 53 louis.leveque
Pour le faire, le plus simple est d'utiliser clusterssh, sinon le faire à la main, machine par machine avec `passwd`
100
101
Lui conseiller donc vivement d'installer clusterssh (`sudo apt install clusterssh -y`)
102
Une fois fait, la commande suivante génère une config pour clusterssh.
103
104 12
```bash
105
unset CLUSTER ; while [ -z $CLUSTER ] ; do read -p "Comment appeler le cluster ? : " CLUSTER ; done ; echo -e $CLUSTER" "$MACHINES\\n >>~/.clusterssh/clusters
106
echo "Lancer \"cssh "$CLUSTER"\" pour se connecter sur toutes les machines et y changer le mot de passe en une seule fois avec la commande passwd !"
107 15 sacha
echo "Pour finir lancer la commande \"sudo grep ^$USER /etc/shadow | awk -F":" '{print \$2}'\" sur une machine et mettre à jour le fichier aquilansible/vars/admins_padawan.yml sur la forge."
108 12
```