Aquilenet

# Admin ajout

## Mails à l'intéressé

### À la création

```

Salut,

merci de rejoindre la glorieuse équipe d'admins d'Aquilenet ! 

Tu commences dans l'équipe Padawan pour commencer qui donne accès aux serveurs non sensibles.

Pour t'ouvrir les accès j'ai besoin de:

 - le nom de ton utilisateur ldap Aquilenet

 - un mail pour les alertes de supervision (attention ça bombarde !)

 - un nom d'user linux

 - ta clé SSH

 - le hash de ton mot de passe (mkpasswd --method=SHA-512 --stdin)

Merci,

XXX

```

### Une fois créé

```

Salut et bienvenue dans la glorieuse équipe des admin d'Aquilenet.

Tes accès sont créés !

J'ai suivi la procédure sur la page https://atelier.aquilenet.fr/projects/aquilenet/wiki/Admin_ajout

Si tu fais de l'ansible tu peux trouver un script qui déploie la clé ssh et crée le compte sur toutes les machines (qui a déjà été lancé), ainsi qu'un inventaire des machines auxquelles tu as accès: https://forge.aquilenet.fr/aquiladmin/aquilansible

Le wiki de l'association est ton meilleur ami: https://atelier.aquilenet.fr n'hésites pas à le jardiner (mettre à jour, améliorer, etc...). Une page pour démarrer en tant qu'admin existe : https://atelier.aquilenet.fr/projects/aquilenet/wiki/D%C3%A9marrer_en_tant_qu'administrateurice

Si tu as des questions et pour les échanges avec l'équipe tu es bienvenu sur notre irc #aquilenet-staff@libera.chat et sur la liste admin@aquilenet.fr

A bientôt,

XXX

```

## Création accès

1. Abonner à la liste admin@ sysop@

1. Ajouter au groupe LDAP https://atelier.aquilenet.fr/projects/infrastructure/wiki/LDAP#Gestion-de-groupes (sur hera:/root/Ajouter_Un_Admin_Au_LDAP.sh)

~~* Ajouter mail sur athena dans /etc/shinken/contacts.cfg et mettre dans contactgroups.cfg admins, faire un restart de shinken~~ 

(remplacé par l'abo à la liste sysop)

1. Donner le mail à Samuel pour qu'il l'ajoute à la liste des mails sur shinken2:bin/mails , une machine qu'un ami à lui a sur un réseau complètement autre, qui a un bout de compte qui vérifie que athena est vivante. 

1. Ajouter au groupe admin sur l'atelier

1. Ajouter éventuellement (?) au groupe Owners Aquiladmin sur la forge https://forge.aquilenet.fr/org/aquiladmin/teams/owners

1. Ajouter sa clé ssh ici: https://forge.aquilenet.fr/aquiladmin/aquilansible (plus précisément dans ce fichier: https://forge.aquilenet.fr/aquiladmin/aquilansible/src/branch/master/vars/admins_padawan.yml) et lancer le playbook pour déployer la clé, commiter, pousser

1. Ajouter dans Zammad avec notifs mails

## Les actions des admins

* Ils reçoivent des alertes de la supervision, dans l'idéal il faut corriger ces alertes ou corriger la supervision : chacun de ces mails devrait à priori générer une action.

*  Contribuer à l'aide aux utilisateurs https://aide.aquilenet.fr/

*  Mettre à jour les vms, services, wiki.

## Astuces diverses

Côté serveur, pour donner les accès à l'utilisateur "foo", dont la clé SSH est "foobar\_id.pub" :

```bash

    useradd -m -d /home/foo -s /bin/bash foo

    cat foobar_id.pub >> /home/foo/.ssh/authorized_keys

    addgroup foo sudo

    passwd foo <unmotdepasse>

    echo <unmotdepasse> >> /home/foo/foopass

    chown foo:foo /home/foo/foopass

```

Et informer foo par e-mail de la localisation de son mot de passe dans le fichier, avant de l'inviter à faire un passwd pour créer le sien.

Ou utiliser le script `/root/Create_New_Aquilenet_Admin.sh` (copie également présente dans /home/mbb/) qui a l'avantage de générer le bout de config à rajouter dans la forge.

Note : le fichier ~/pass ne sera créé que sur gaia.

Pour aider à démarrer, lui fournir le oneliner suivant pour la config SSH.

```bash

MACHINES="echo seraphin dedale mnemosyne gaia athena persephone eos hestia sisyphe argos dionysos neutral janus enyo alcyon zephyr angelie transmission menoites metis tartare talos pan1 pan2" ; \

unset LOGIN ; \

DEFAULTSSHKEY="~/.ssh/id_ed25519" ; \

echo -e "Clefs SSH disponibles :" ; \

find /home/$USER/.ssh -name "*id*" ! -name "*.pub" ; \

echo "" ; \

read -p "Quelle clef SSH utiliser (Default ~/.ssh/id_ed25519) ? : " SSHKEY ; \

if [ -z $SSHKEY ] ; \

then SSHKEY=$DEFAULTSSHKEY ; \

fi ; \

while [ -z $LOGIN ] ; \

do read -p "Quel est votre login SSH infra Aquilenet ? : " LOGIN ; \

done ; \

echo -e Host *.aquilenet.net *.aquilenet.org *.aquilenet.fr *.aquilenet.com\\nPort 55555\\nUser $LOGIN\\nIdentityFile $SSHKEY\\n >~/.ssh/aquilenet.conf ; \

echo -e Host $MACHINES\\nHostName %h.aquilenet.fr\\nPort 55555\\nUser $LOGIN\\nIdentityFile $SSHKEY>>~/.ssh/aquilenet.conf ; \

echo -e "include ~/.ssh/*.conf\\nServerAliveInterval 30\\nTCPKeepAlive yes\\nRequestTTY yes\\n" >>~/.ssh/config

```

Rappeler lui qu'il DOIT changer le mot de passe par défaut sur TOUTES les machines où un compte lui a été créé.

Pour le faire, le plus simple est d'utiliser clusterssh, sinon le faire à la main, machine par machine avec `passwd`

Lui conseiller donc vivement d'installer clusterssh (`sudo apt install clusterssh -y`)

Une fois fait, la commande suivante génère une config pour clusterssh.

```bash

unset CLUSTER ; while [ -z $CLUSTER ] ; do read -p "Comment appeler le cluster ? : " CLUSTER ; done ; echo -e $CLUSTER" "$MACHINES\\n >>~/.clusterssh/clusters

echo "Lancer \"cssh "$CLUSTER"\" pour se connecter sur toutes les machines et y changer le mot de passe en une seule fois avec la commande passwd !"

echo "Pour finir lancer la commande \"sudo grep ^$USER /etc/shadow | awk -F":" '{print \$2}'\" sur une machine et mettre à jour le fichier aquilansible/vars/admins_padawan.yml sur la forge."

```

## Devenir Jedi

1. Déplacer la déclaration de l'utilisateur du fichier `vars/admins_padawan.yml` vers `vars/admins_jedi.yml`dans https://forge.aquilenet.fr/aquiladmin/aquilansible, lancer le playbook pour déployer la clé sur les machines sensibles, commiter, pousser.

2. Ajouter l'utilisateur au [[services:Vaultwarden(bitwarden)|Vaultwarden]]

3. Éventuellement créer un compte sur le Dolibarr