Feuille de route pour la version no-version Tout dérouler | Tout replier
15% de 13 tâches terminé. 11 tâches ouvertes:
- FS#148 - Replication avec syncrepl si on a un se3 etch Dérouler Replier
-
il a y a un bug de replication avec syncrepl si on a un se3 etch.
Ca ne marche pas est ca plante l'annuaire.
Reponse de plouf :
Bonjour
La réplication syncrepl ne marche que dans les cas suivant :
Serveur maître sous sarge et esclave sous etch
Serveur etch dans les deux cas.
Serveur sous sarge dans les deux cas.
Donc le cas se3 sous Etch et lcs sous sarge ne marche pas.
Je n'ai pas trouvé pourquoi.
Mais LCS va passer en version Etch.
vivement lcs 2 etch
- FS#184 - La fiche pour l'administrateur n'est explicite Dérouler Replier
-
Il faudrait revoir la fiche parameters.txt qui est générée en même temps que l'archive de configuration. Celle-ci n'est pas très explicite pour la version 4.1.
- FS#207 - Test des modules/plugins utilisable par lcslis (slis4.1, lcs2.0) Dérouler Replier
-
Afin de publier la version 4.1 de slis et suite à pluseiurs changement, il faudrait valider les modules/plugins actuellement utilisables sur la plateforme slis4.1, lcs2.0
- FS#275 - Modification des informations réseau de la DMZ par fiche dans sl Dérouler Replier
-
Actuellement il uniquement possible de les définir identiquement pour toutes les fiches.
- FS#300 - Ajouter une règle prédéfini désactiver pour la consultation des Dérouler Replier
-
Ajouter une règle prédéfinie (désactivée par défaut) pour la consultation des mails depuis Internet
- FS#307 - Modification horaires qui ne "tient" pas Dérouler Replier
-
Bonjour,
Sur slis 4.1 (paquet slis-subnet 1:4.1.6) une modification horaire retombe irrémédiablement la nuit ...
- FS#315 - les slis.pac généré contient une exception injustifiée Dérouler Replier
-
les réseaux à destination desquels les requêtes ne passent pas par le proxy ne devraient être que :
- localhost
- le LAN
Or, ces exceptions sont construites par wpad.php en utilisant tous les réseaux contenus dans la sortie de la commande "ip addr show", ce qui inclus l'interface wan.
Conséquence : dans le cas de deux slis sur un même sous-réseau côté wan, on ne peut pas accéder au service web de l'un depuis le lan situé derrière l'autre. En effet, dans ce cas le proxy n'est pas utilisé (slis.pac) et il n'y a pas de règle iptables pour autoriser le trafic du lan vers x.x.x.x:80 .
Solution :
réécrire wpad.php ?
- FS#323 - Rechargement sauvegarde - Config Onduleur non repositionnée Dérouler Replier
-
Réinstallation SLIS depuis : slis-411-i386.iso
Restauration de la sauvegarde.
La configuration de l'onduleur n'est pas repositionnée.
- FS#360 - [doc] Mettre à jour la documentation premier pas avec la gestion Dérouler Replier
-
Il faut rajouter une documentation pour gérer le reverse proxy
- FS#369 - Quand un onduleur est configuré et non présent, le lcslis s'étei Dérouler Replier
-
Dans le cas d'un onduleur configuré et non branché sur la machine, au moment de démarrage de nut, celui execute le script de shutdown de la machine.
Ce comportement n'est pas souhaité. (ex. Changement d'onduleur, etc.).
- FS#370 - cyberécole fait boguer userChangePwd.pl pour le compte admin Dérouler Replier
-
userChangePwd.pl teste si l'attribut sambaSID est vide ou pas. S'il est vide, seul l'attribut userPassword est modifié. S'il n'est pas vide, les attributs sambaLMPassword et sambaNTPassword sont également modifiés.
Or cet attribut n'existe pas pour le compte "admin".
Peut-être que ce bug est ancien, dans la mesure où changer le mot de passe admin est généralement fait à l'installation, avant l'activation de cyberécole (donc avant que l'attribut sambaSID existe).
Feuille de route pour la version 4.2 Tout dérouler | Tout replier
31% de 63 tâches terminé. 44 tâches ouvertes:
- FS#19 - PB redirection web (proxy reverse) vers un site interne Dérouler Replier
-
On utilise la redirection web (proxy reverse) pour joindre le LCS de l'extérieur de l'établissement. Ce principe donne satisfaction tant que l'établissement ne souhaite pas mettre en œuvre un serveur web autre.
Dès lors qu'un site différent est activité (aka la redirection pointe non plus sur le LCS mais sur une autre machine), il devient problématique de joindre le LCS.
Moyen de reproduire le problème :
Dégager la redirection de / vers 192.168.78.6
Créer une redirection de / vers l'IP d'un autre serveur web
Pour joindre le LCS, la règle suivante serait donc logique :
/lcs -> 192.168.78.6/lcs
Malheureusement, ce n'est pas si simple. En fait, après tatonnement, le meilleur compromis que j'ai trouvé consisté à faire les redirections suivantes :
/lcs/ -> 192.168.78.6/lcs
/spip/ -> 192.168.78.6/spip
Ceci n'est toujours pas idéal car certaines pages ne fonctionnent pas et par ailleurs, il faut préciser le / terminal en fin d'url (http://nom.acad.fr/lcs/).
- FS#166 - Echec d'envoi de mails parce que le répertoire home n'est pas en Dérouler Replier
-
L'envoi de mail à un groupe (une classe par exemple) ne fonctionne que si tous les membres de la classe se sont connectés au moins une fois au webmail.
Message d'erreur car répertoire Maildir inexistant
- maildir delivery failed: create
- Permission denied
- FS#194 - Ajouter la modification de la taille des transferts depuis l'int Dérouler Replier
-
Il serait intéressant pouvoir spécifier la taille maximale des fichiers transférés depuis l'interface d'administration du slis.
- FS#200 - Repenser l'accès aux interfaces d'administration des slis depuis Dérouler Replier
-
la méthode proxy curl utilisé pour accéder aux interfaces d'administration des slis depuis slim est un peu désuète. Serait-il possible d'envisager d'utiliser les accès aux interfaces d'administration depuis les accès vpn quand il existe où les accès directs par le biais pas exemple d'un reverse proxy sur le slim. Nous pourrions alors utiliser pour se connecter les mots de passe stocker sur le slim avec un simple lien du type https://user@pass:slim.ac-tartenpion/slis/<nom_fiche>/
Qu'en pensez vous ?
- FS#234 - Autoriser l'ajout de source et destination par le bias d'adresse Dérouler Replier
-
Actuellement il est uniquement possible d'ajouter des sources et destinations sous la forme d'adresses IP.
- FS#238 - Gros transfert réseau a un débit saccadé depuis dom0 dans instal Dérouler Replier
-
Le problème a été décrit en détail ici: http://serverfault.com/questions/22219/
Il été envoyé sur les listes Xen-devel@lists.xensource.org et netdev@vger.kernel.org:
http://lists.xensource.com/archives/html/xen-devel/2009-06/msg00461.html
http://marc.info/?l=linux-netdev&m=124505291828104&w=2
Le problème n'est pas bloquant avec le noyau 2.6.26 puisque cela ralentit à peine la connexion alors que cela la bloquait de manière beaucoup plus longue avec le noyau 2.6.18.
- FS#240 - Support de routes académiques fixes ou désactivables via interfa Dérouler Replier
-
Philippe Le Brouster disait dans
FS#229:
Pour la 5.0, je verrais bien une interface permettant, à la manière de slis-firewall, de définir des routes académiques fixe ou (dés)activable inscrite dans la base de données. Cela impliquerait d'inscrire les routes provenant de l'archive de configuration dans la base de données à l'installation. Nous pourrions aussi conserver la notion de slis-routes (configuré par le biais de l'archive de configuration ou en accès root), ce qui permettrait d'avoir un souplesse plus importante.
- FS#241 - Support postgresql 8.3 pour slis-postgresql Dérouler Replier
-
La dépendance sur postgresql 8.1 n'est pas satisfiable dans lenny.
Changer la dépendance ne suffit pas, il faut prévoir de mettre à jour la base de données avec pg_upgradecluster. Et vérifier que la configuration est appliquée pour la nouvelle version de postgresql également.
- FS#242 - Slis-time ininstallable dans lenny Dérouler Replier
-
slis-time dépend de ntp-simple qui n'existe plus dans lenny.
Outre changer la dépendance il faut vérifier que cela s'intègre toujours correctement avec la nouvelle version du serveur NTP.
Se débarasser de la dépendance sur ntpdate est également une bonne idée. Le même résultat peut être obtenu avec "ntpd -q -g -x". En effet ntpdate va disparaître un jour...
- FS#243 - slis-squidguard ininstallable dans lenny Dérouler Replier
-
La dépendance sur postgresql-client-8.1 n'est pas satisfiable.
Le paquet n'a pas besoin d'une version spécifique du client, une simple dépendance sur postgresql-client devrait être suffisante.
- FS#244 - Mise à jour des modifs sur vzctl pour la version de Lenny Dérouler Replier
-
Le paquet vzctl est modifié pour le support PPP et pour corriger quelques bogues. La version de Lenny n'a toujours pas ce support intégré, il est nécessaire de mettre à jour notre fork temporaire du paquet.
Pour mieux préparer l'avenir, il conviendrait de passer au patch qui va surement être commité en amont pour la partie qui concerne le fonctionnement en environnement non-openvz: http://bugzilla.openvz.org/show_bug.cgi?id=847
Ca nécessite des changements dans le script slis-configure-guest du paquet slis-openvz-host.
- FS#245 - Mise à jour du noyau SLIS avec version de Lenny Dérouler Replier
-
Etant donné que le noyau de la 4.1 est lui même basé sur le noyau de Lenny, on peut peut-être éviter de mettre à jour le noyau lui-même (du moins dans un premier temps, ensuite il faudra le faire ne serait-ce que pour intégrer les dernières mises à jour de sécurité) par contre il faut mettre à jour notre fork de linux-latest-2.6 pour avoir une version supérieure à celle présente dans lenny afin de garantir que l'on installera bien la variante slis du noyau dans tous les cas.
- FS#247 - Test de mise à jour 4.1 -> 4.2 Dérouler Replier
-
Essai de dist-upgrade avec aptitude/apt-get et vérification que tout fonctionne correctement.
Automatiser le maximum des mises à jour via les script de configuration des paquets.
Documenter les éventuelles étapes manuelles.
- FS#248 - Test de LCS sur Lenny Dérouler Replier
-
Actuellement l'install LCS (dépôt LcsXP) sur une machine Lenny fonctionne mais j'ai au moins un problème à l'exécution:
- le menu Administration reste désespérement vide
- le paquet lcs-sysinfo doit remplacer lcs-phpsysinfo sinon cela ne fonctionne pas
- FS#249 - Test mise à jour LCS 2.4/etch vers lenny Dérouler Replier
-
Il faudra tester la mise à jour de la machine virtuelle LCS aussi.
- FS#272 - Support de lenny Dérouler Replier
-
Ceci est une meta-tâche récapitulant les choses à faire pour le support de lenny.
- FS#274 - Notion de SSL pour le proxy-reverse. Dérouler Replier
-
Mise en place du protocole https.
cf. https://trinity.ac-grenoble.fr/wiki/doku.php/carmii/slis/specs/proxy_ssl
- FS#276 - Amélioration de l'interface web pour les règles de filtrage Dérouler Replier
-
Il faudrait se baser sur la notion de cas d'usage. Typiquement, ajouter une url, une site, un domaine, etc.
- FS#277 - Simplification de l'interface admin de LCS Dérouler Replier
-
Beaucoup d'opérations dangeureuses et inutiles dans un fonctionnement académique sont à revoir.
- FS#278 - Changement d'outil pour le VPN de slis Dérouler Replier
-
Deux outils sont possibles :
- ipsec (openswan)
- openvpn
ipsec présenti
- FS#280 - Accès aux zones personnelles gérées par Harp Dérouler Replier
-
Pour cela il faut s'assurer d'une bonne synchronisation des annuaires AD du contrôleur de domaine et ldap de lcs.
L'idée serait d'utiliser de l'automount basé sur ldap pour exporter les zones sur lcs et ensuite intégrer un outil web permettant l'accès cette zone
- FS#281 - Synchronisation/Connecteur entre AD (Harp) et LDAP (Lcs) Dérouler Replier
-
L'idée est donc d'étudier la possibilité de mise en place d'un connecteur ldap<->AD entre le contrôleur de domaine windows (harp) et lcs. Ceci en se basant sur les logiciels existants.
- FS#282 - Mise en place du service SSO CAS Dérouler Replier
-
Ceci permettra de faire du SSO pour :
- les outils/services de slis/lcs/se3 ;
- les ENTs ;
- si possible avec harp aussi.
- FS#283 - Backup des données utilisateurs Dérouler Replier
-
Ceci a pour but de mettre en place un service de sauvegarde pour les données sur un réseau local pour slis/lcs/se3
- FS#288 - Amélioration gestion des subnets (acces par sous-reseaux) Dérouler Replier
-
Bonjour,
Une idée qu'il me semblerait intéressante à mettre en place:
prévoir un moyen pour pouvoir intéragir sur les subnets de "manière académique", sans taper directement dans les bases postgres ....
Et donc un moyen de
* modifier le nom d'un subnet
* modifier son état
* modifier ... tout ce qui est modifiable pour un subnet
* créer/supprimer des subnets d'un point de vue académique ?
Un peu comme le Predefined.pl qui existe pour le pare-feu ?
Des subnets non modifiables ? etc... ?
- FS#289 - Amélioration gestion des bases de filtrage web Dérouler Replier
-
Bonjour,
Une idée d'amélioration pour les bases de filtrage:
lorsqu'on a une base personnalisée, et qu'on la remplie, le résultat est assez sibyllin ...
Il me semblerait intéressant de pouvoir:
* donner une description à l'exception rajoutée (car une liste d'IP c'est pas très parlant à terme ...)
* prévoir un générateur d'exception ? (genre on demande "vous voulez interdire quoi?" si la personne colle un nom de domaine, alors c'est le domaine qui est rempli, si c'est une adresse IP complète, on demande confirmation, et on propose aussi le nom de domaine) ?
- FS#291 - Faire une page de manuel pour slis-firewall. Dérouler Replier
-
Faire une page de manuel pour slis-firewall.
Celle-ci aurait pour but d'expliquer son fonctionnement pour les administrateurs académiques (Predefined.pl, etc.)
- FS#296 - Recompiler les bases squidguard uniquement quand cela est nécess Dérouler Replier
-
A chaque reconfiguration du paquet, la compilation des bases squidguard est lancée. Cette tâche prend du temps. Il serait alors utile d'ajouter un test pour vérifier que la compilation est vraiment nécessaire.
- FS#298 - Pouvoir utiliser la variable RELAY_HOST (du SLIS et du LCS) avec Dérouler Replier
-
Bonjour,
Le fait de devoir mettre une IP sur certaines variables de conf. du slis et du lcs est assez gênant dans certains cas. Notamment RELAY_HOST, car à lyon, il y a 2 IPs possibles pour le serveur smtp ...
Donc de pouvoir de nouveau utiliser un nom DNS pour cette variable serait souhaitable (car si le serveur derrière l'IP qu'on a mis tombe, on est mal ...)
- FS#313 - Faciliter le changement des cartes réseaux Dérouler Replier
-
Lorsqu'une carte réseau grille, la suppression et l'ajout d'une nouvelle carte créer une eth3.
Pour remapper les cartes à la main il suffit d'éditer le fichier /etc/udev/rules.d/z25_persistent-net.rules
(supprimer l'ethX fautive, et renommer l'eth3 en ethX)
Tout ça est possible à distance si ce n'est pas l'eth0 qui est tombée en panne, sinon il faut dicter la manip aux personnes sur site (ce qui peut s'avérer problématique).
Le but serait de trouver une solution pour remapper les cartes automatiquement lors de l'absence + ajout d'une carte.
- FS#314 - slis-subnet : le lancement de la tâche cron ne devrait pas produ Dérouler Replier
-
Ceci n'apporte que peut d'information et ajoute une ligne dans les logs du slis toutes les minutes.
- FS#317 - Les disques dur SATA apparaissent comme clef USB Dérouler Replier
-
Lorsque l'on installe un SLIS en choisissant la clef USB comme source du fichier de configuration, il propose l'ensemble des disques SATA comme périphérique USB. Il faudrait avoir seulement les périphériques USB
- FS#319 - Si problème RAID - config mdadm pour envoi d'un mail à SlisAdmin Dérouler Replier
-
Serait-il possible de paramétrer mdadm afin qu'un mail soit transmis à SlisAdmin en cas de défaillance ?
Le Carmi-Internet seul reçoit ce mail à ce jour. En cas de congé, le problème se pose. Par ailleurs, tous les Slis ne sont pas en maintenance au Carmi.
Pour la petite histoire : dans le cas constaté (slis carmi-echi réinstallé J-2 sur une nouvelle machine, md1 est tombé. Le smartctl ne donne aucune erreur sur les 2 disques. Le kernel.log parle d'une exception froozen. Google lui parle d'un gars qui avait la même erreur et qui a tourné en rond un bon moment avant d'identifier qu'il fallait changer le câble SATA.
- FS#330 - Vérifier que le driver newhidups n'a pas de memory leak dans len Dérouler Replier
-
Le driver newhipups a des fuites de mémoire et génère une saturation mémoire du dom0. Cela provoque des dysfonctionnement de l'hyperviseur de xen ( notamment pb réseau.).
- FS#332 - Libellé en anglais "Reload list of network interfaces" Dérouler Replier
-
Pendant l'installation, il est possible de vérifier quelles interfaces réseau sont branchées (ou non).
La ligne pour recharger l'état des branchements réseaux est libellée en anglais:
"Reload list of network interfaces"
Le libellé équivalent en français devrait être, par exemple:
"Recharger la liste des interfaces réseaux".
- FS#337 - Identifier facilement l'image iso d'installation utilisé sur un Dérouler Replier
-
Par exemple on pourrait ajouté un fichier sur le système de fichier indiquant la version de l'iso utilisée.
- FS#340 - Refaire l'interface d'administration de slis-squidguard Dérouler Replier
-
Il semble nécessaire de refaire l'interface d'administration de cet outil afin de faciliter son usage.
- FS#345 - il est possible de saisir un masque de sous-réseau erroné Dérouler Replier
-
Le validateur de champs laisse passer des masques erronés de type 255.255.255.135 (masque "troué") qui ne sont pas traductibles en "/xx".
Or cela plante slis subnet avec une erreur :
"Can't call method "network" on an undefined value at /usr/share/perl5/Slis/Common/Subnets.pm line 125."
Apparemment, cette portion de code appelle la lib NetAddr::IP pour extraire l'adresse du sous-réseau. Comme le masque est non standard, ça échoue.
- FS#349 - Refonte de la CSS et du menu Dérouler Replier
-
La CSS du slis est un empilement de bricolage variés. Je propose de remettre à plat les objets utilisés dans la CSS (les classes CSS) et de la rendre plus cohérente.
L'utilisation d'un thème d'îcone global (plb a commencé avec nuovo) me semble nécessaire.
Enfin, le menu est absolument affreux à utiliser. Je propose de faire un menu bien plus simple avec un seul niveau du type de celui de LCS/SE3, mais en plus léger (le code utilisé pour LCS/SE3 produit des pages très très lourdes avec des layers). J'ai déjà fait un petit prototype de test.
- FS#354 - Problème de sécurité à la déconnexion Dérouler Replier
-
A la deconnexion de l'administrateur du SLIS, si on se reconnecte derrière avec un compte sans droit sans avoir fermé le navigateur, on se retrouve avec les droits de l'administrateur.
- FS#362 - Génération des predefined du reverse proxy à partir d'un fichier Dérouler Replier
-
Les règles predefined du reverse proxy doivent pouvoir êter définies à partir d'un fichier de configuration à l'instar des règles predefined du par feu.
Une réutilisation des API su pare feu est sans doute envisageable.
- FS#375 - Génération du certificat SSL utilisé par hadmin & reverse-proxy Dérouler Replier
-
Le certificat SSL actuel est valide uniquement pour le domaine slis.$DOMAIN. Avec l'arrivée du reverse-proxy, il faudrait que celui-ci soit valident pour l'ensemble des domaines *.$DOMAIN.
Pour faciliter la transition entre les deux certificats, nous pouvons créer un bout d'interface dans hadmin dont le but serait de pouvoir regénérer clé et/ou certificat.
- FS#376 - Signature du certificat SSL par une autorité Dérouler Replier
-
Il faudrait pouvoir donner la possibilité de :
- signer un certificat SSL par une autorité compétente
- récupérer clé+certificat pour l'archiver (par exemple dans le coffre de l'établissement)
- restaurer un clé+certificat.
La restauration/sauvegarde doit être faite par slis-backup mais aussi de manière indépendante.
- FS#377 - Permettre l'exécution de scripts provenant de l'archive de confi Dérouler Replier
-
Afin de simplifier la configuration académique des slis, il faudrait permettre l'éxecution de scripts présent sur dans l'archive de configuration à l'installation d'un slis.
Cela permettrait notamment d'installer des paquets spécifiques à une acédémie au premier reboot qui ne sont pas sur l'iso.
Version texte