2015-10-06 Prosjektmøte

Tid og sted: , 2406

Tilstede : Petter, Espen, Gunnar, Arnstein, Ståle, Martin, Gard

Sak 1 : Referat fra sist

- Ingen kommentarer

Sak 2 : Status

  • Nettverk - accesslister (er de på plass) ? 172.16/22  (RFC 1918), definert, men ikke innhold. Labbetuss er på kat1 nett (åpninger mot ? range er uviss, noen tusen porter 50-5500)
  • Proxymaskin
    I grove trekk gjort. Labbetuss er satt opp med automatisk utsjekk av konfigurasjon fra repo (gerrit). Det er opprettet grupper til styring av tilgang til å endre konfigurasjon samt produksjonssette i gerrit.

    Det som gjenstår er å lage opplegg for hvordan lage konfigurasjonen (script eller lignende)  samt hvordan restarte relevante tjenester på Labbetuss ved endringer > Gunnar : Oppsett av RDS-host og TSD som snakker med labbetuss

  • XinetD : satt opp, utsjekk er satt opp, men restart etc er ikke satt opp
  • TS : oppe, må ha gruppe i AD for tilgang (instrument-ts01), satser på at gruppen heter Instrumentnett-users,
    Flytter dette til : RDS host (RDS-portal01), kan man benytte den som eksisterer.
  • Nettskjema
  • Gerrit repo finnes med gruppe for submit og gruppe for approve (gatekeeper), cfengine-scm.uio.no
  • www-side

Sak 3 : Hva gjør vi nå, hvem og til hvilken dato

  • Planer for proxy  :  labbetuss  , TCP ; 10000 -> 1.2.3.4:3389
    • xinetd.d/- en fil pr connection TCP
    • NFS : montere mot proxy : -> NFS til proxy : SAMBA  videre , spesiell SAMBA config (write/read basert på IP range), men også mulighet pr bruker hvis nødvendig (mix & match)
    • WEB-proxy med squid : lytter innside 3128, webmiljø, squid config, som fikser dette
    • IP ranges gis pr institutt , dokumenter Vortex , link fra Nettskjema
    • Hva med granuleringen pr miljø - 7 gw nok, evt se det an på sikt
    • Skal LITA på sites ha sudo ?
       
  • Accessliste :
    • Accessliste = labbetuss, scan.uio.no, info om at vi portscanner, zabbix ? 
       
  • Brukere : på innsiden er det kun lokale brukere,
     
  • Git repo : Ståle, Martin, Espen,
     
  • Betjening / bestilling - nettskjema, må ha oppgang av ranges for porter
     
  • Kan TS på utsiden være RDS gateway : God ide, kan vi ha begge deler, ja, vi vil ha

Sak 4 : Eierskap / forvaltning :

  • Drift av tjenesten foreslås lagt til UAD, mens forvaltningen og adm legges til UAV/ITF om dette sees som formålstjenlig.
  • Hvem er "politiet" : vi trenger en god policy på hva som er innafor og utafor (epost om å approve -> Martin og Ståle, deretter ITF/TF på sikt), når noe er approved så går epost til it-sikkerhet.
    - epost til ?

Action points til 1 nov-ish (nyt møte):

  • Arnstein er klar med brukermiljø.
  • Web-proxy Martin / Ståle / Espen
  • Labbetuss må få innsidebeinet (Petter et al)
  • Espen/Ståle/Martin kommer opp med hva innsiden skal se på internett på utsiden (vg policy) (ihvertfall updateproxy, lisensprod01, repos)
  • Petter må få accesslister (har blitt sendt)
  • Gard kommer opp med ferdig Nettskjema og disclaimer på www-siden, med policy her strengere for åpninger av webting mot verden
  • Martin ordner epost fra Gerrit
  • Petter undersøker om IDS kan legges inn på utsiden av Labbetuss
  • Tjenester på innsiden som er www.uio.no : via lastbalanserer ? Nettdrift ?
  • Gunnar fikser til Gard papirpakke for UHAD
  • Gunnar sjekker hvordan RDS kan konfigureres

 

Publisert 5. nov. 2015 09:09 - Sist endret 5. nov. 2015 13:06
Del på e-post