Tilstede : Petter, Espen, Gunnar, Arnstein, Ståle, Martin, Gard
Sak 1 : Referat fra sist
- Ingen kommentarer
Sak 2 : Status
- Nettverk - accesslister (er de på plass) ? 172.16/22 (RFC 1918), definert, men ikke innhold. Labbetuss er på kat1 nett (åpninger mot ? range er uviss, noen tusen porter 50-5500)
- Proxymaskin
I grove trekk gjort. Labbetuss er satt opp med automatisk utsjekk av konfigurasjon fra repo (gerrit). Det er opprettet grupper til styring av tilgang til å endre konfigurasjon samt produksjonssette i gerrit.Det som gjenstår er å lage opplegg for hvordan lage konfigurasjonen (script eller lignende) samt hvordan restarte relevante tjenester på Labbetuss ved endringer > Gunnar : Oppsett av RDS-host og TSD som snakker med labbetuss
- XinetD : satt opp, utsjekk er satt opp, men restart etc er ikke satt opp
- TS : oppe, må ha gruppe i AD for tilgang (instrument-ts01), satser på at gruppen heter Instrumentnett-users,
Flytter dette til : RDS host (RDS-portal01), kan man benytte den som eksisterer. - Nettskjema
- Gerrit repo finnes med gruppe for submit og gruppe for approve (gatekeeper), cfengine-scm.uio.no
- www-side
Sak 3 : Hva gjør vi nå, hvem og til hvilken dato
- Planer for proxy : labbetuss , TCP ; 10000 -> 1.2.3.4:3389
- xinetd.d/- en fil pr connection TCP
- NFS : montere mot proxy : -> NFS til proxy : SAMBA videre , spesiell SAMBA config (write/read basert på IP range), men også mulighet pr bruker hvis nødvendig (mix & match)
- WEB-proxy med squid : lytter innside 3128, webmiljø, squid config, som fikser dette
- IP ranges gis pr institutt , dokumenter Vortex , link fra Nettskjema
- Hva med granuleringen pr miljø - 7 gw nok, evt se det an på sikt
- Skal LITA på sites ha sudo ?
- Accessliste :
- Accessliste = labbetuss, scan.uio.no, info om at vi portscanner, zabbix ?
- Accessliste = labbetuss, scan.uio.no, info om at vi portscanner, zabbix ?
- Brukere : på innsiden er det kun lokale brukere,
- Git repo : Ståle, Martin, Espen,
- Betjening / bestilling - nettskjema, må ha oppgang av ranges for porter
- Kan TS på utsiden være RDS gateway : God ide, kan vi ha begge deler, ja, vi vil ha
Sak 4 : Eierskap / forvaltning :
- Drift av tjenesten foreslås lagt til UAD, mens forvaltningen og adm legges til UAV/ITF om dette sees som formålstjenlig.
- Hvem er "politiet" : vi trenger en god policy på hva som er innafor og utafor (epost om å approve -> Martin og Ståle, deretter ITF/TF på sikt), når noe er approved så går epost til it-sikkerhet.
- epost til ?
Action points til 1 nov-ish (nyt møte):
- Arnstein er klar med brukermiljø.
- Web-proxy Martin / Ståle / Espen
- Labbetuss må få innsidebeinet (Petter et al)
- Espen/Ståle/Martin kommer opp med hva innsiden skal se på internett på utsiden (vg policy) (ihvertfall updateproxy, lisensprod01, repos)
- Petter må få accesslister (har blitt sendt)
- Gard kommer opp med ferdig Nettskjema og disclaimer på www-siden, med policy her strengere for åpninger av webting mot verden
- Martin ordner epost fra Gerrit
- Petter undersøker om IDS kan legges inn på utsiden av Labbetuss
- Tjenester på innsiden som er www.uio.no : via lastbalanserer ? Nettdrift ?
- Gunnar fikser til Gard papirpakke for UHAD
- Gunnar sjekker hvordan RDS kan konfigureres