164 lines
4.6 KiB
Markdown
164 lines
4.6 KiB
Markdown
# Accès aux machines physiques de l'infrastructure
|
|
|
|
Seules les personnes membre de la Commission infrastructure peuvent être
|
|
autorisées à accéder aux machines physiques.
|
|
|
|
## Via SSH
|
|
|
|
### Configuration SSH serveur
|
|
|
|
Pour une personne administrant l'infrastructure, l'accès aux machines physiques
|
|
de se fait sur le compte sudoer `admin666` via le compte `cominfra`, authentifié
|
|
par clé SSH.
|
|
|
|
Pour qu'une nouvelle personne puisse accéder à la machine, il faut ajouter
|
|
sa clé publique (ssh) dans les fichiers de configurations de la machine physique :
|
|
- `/home/cominfra/.ssh/authorized_keys`
|
|
- `/home/admin666/.ssh/authorized_keys`
|
|
|
|
### Configuration SSH client
|
|
|
|
Une personne souhaitant se connecter à une machine physique doit configurer son
|
|
client SSH, généralement dans le fichier `~/.ssh/config`.
|
|
|
|
La configuration met en jeu un proxy, sécurité supplémentaire pour l'accès au
|
|
compte d'administration :
|
|
```
|
|
host <machine_physique>-proxy.libre-en-communs.org
|
|
Hostname <machine_physique>.libre-en-communs.org
|
|
User cominfra
|
|
Port <port>
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
|
|
host <machine_physique>.libre-en-communs.org
|
|
User admin666
|
|
Port <port>
|
|
ProxyJump <machine_physique>-proxy.libre-en-communs.org
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
```
|
|
|
|
En 2024, voici ce que cela donne pour toutes les machines physiques actuelles :
|
|
```
|
|
host mother-proxy.libre-en-communs.org
|
|
Hostname mother.libre-en-communs.org
|
|
User cominfra
|
|
Port 222
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
|
|
host mother.libre-en-communs.org
|
|
User admin666
|
|
Port 222
|
|
ProxyJump mother-proxy.libre-en-communs.org
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
|
|
host aunt-proxy.libre-en-communs.org
|
|
Hostname aunt.libre-en-communs.org
|
|
User cominfra
|
|
Port 223
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
|
|
host aunt.libre-en-communs.org
|
|
User admin666
|
|
Port 223
|
|
ProxyJump aunt-proxy.libre-en-communs.org
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
|
|
host anthea-proxy.libre-en-communs.org
|
|
Hostname anthea.libre-en-communs.org
|
|
User cominfra
|
|
Port 222
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
|
|
host anthea.libre-en-communs.org
|
|
User admin666
|
|
Port 222
|
|
ProxyJump anthea-proxy.libre-en-communs.org
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
|
|
host aelita-proxy.libre-en-communs.org
|
|
Hostname aelita.libre-en-communs.org
|
|
User cominfra
|
|
Port 223
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
|
|
host aelita.libre-en-communs.org
|
|
User admin666
|
|
Port 223
|
|
ProxyJump aelita-proxy.libre-en-communs.org
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
|
|
host gardefou-proxy.libre-en-communs.org
|
|
Hostname gardefou.libre-en-communs.org
|
|
User cominfra
|
|
Port 222
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
|
|
host gardefou.libre-en-communs.org
|
|
User admin666
|
|
Port 222
|
|
ProxyJump gardefou-proxy.libre-en-communs.org
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
|
|
host sauvkipeu-proxy.libre-en-communs.org
|
|
Hostname sauvkipeu.libre-en-communs.org
|
|
User cominfra
|
|
Port 222
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
|
|
host sauvkipeu.libre-en-communs.org
|
|
User admin666
|
|
Port 222
|
|
ProxyJump sauvkipeu-proxy.libre-en-communs.org
|
|
SendEnv GIT_AUTHOR_NAME GIT_AUTHOR_EMAIL
|
|
```
|
|
|
|
### Procédure de connexion avec config dans ~/.ssh/config
|
|
|
|
Pour accéder au serveur `<machine_physique>`, il faut exécuter :
|
|
```
|
|
ssh <machine_physique>.libre-en-communs.org
|
|
```
|
|
|
|
### Procédure de connexion sans config
|
|
|
|
Pour accéder au serveur `<machine_physique>`, on peut aussi exécuter :
|
|
```
|
|
ssh -i 'CLE_PRIV' -J cominfra@<machine_physique>.libre-en-communs.org:<port> admin666@localhost -p 222
|
|
```
|
|
|
|
### Accès aux machines virtuelles
|
|
|
|
Si besoin, une personne administration l'infrastructure peut accéder aux
|
|
machines virtuelles qui s'exécutent sur une machine physique, et ce depuis le
|
|
compte `admin666` de n'importe quelle machine physique. Il suffira d'utiliser
|
|
la commande `ssh <nom de machine>`.
|
|
|
|
Par exemple, pour accéder à la machine `dns.libre-en-communs.org` :
|
|
```
|
|
ssh dns.libre-en-communs.org
|
|
```
|
|
|
|
## Via console série (RS232)
|
|
|
|
Les machines physiques d'un même site sont interconnectées par des liens RS232
|
|
permettant l'utilisation d'une console série.
|
|
|
|
### État des interconnexions RS232
|
|
|
|
#### Site `leparc`
|
|
|
|
- `mother` et `aunt` sont interconnectées (bidirectionnel)
|
|
|
|
#### Site `fontainebleau`
|
|
|
|
- `gardefou` peut accéder à `anthea` (unidirectionnel)
|
|
- `anthea` et `aelita` ne sont pas interconnectées
|
|
|
|
### Procédure de connexion
|
|
|
|
Pour se connecter à la machine disponible via la console série,
|
|
utiliser (en root) :
|
|
```
|
|
minicom -D /dev/ttyUSB0
|
|
```
|