GitLab

du coup, on enlève le hack dégeux qui récupérait en tcp le certificat pour TLSA

On s'autorise à lister les plugins à activer sur la base des groupes bcfg2
d'un serveur, au lieu de spécifier en dur le nom du serveur.

Il y a en gros trois modes :
 * On n'est pas root, ça monte nos machines avec nos ui et gid
 * On est root est on ne donne pas de ldap_filter, ça monte les machines
   correspondant aux ips des interfaces (probablement machine.crans.org et
   machine.adm.crans.org)
 * On est root et on donne un ldap_filter, ça monte les machines retournée par
   une recharche avec ce filtre.

Utilisé par chgpass.py mais il était caché comme un sagouin dans /usr/local/bin
+ ajout en haut d'un header précisant bien que ce script est exécutable
  par tout le monde en tant que respbats
  et au fait, /etc/ldap/readonly… gruik gruik

Ça m'a l'air plus propro pour utiliser des modules python maintenu mais non dans debian.
Là, j'utilise une version plus recente de pyOpenSSL pour pouvoir faire des opérations
dans lc_ldap sur les CSR. Les source du module sont dans le dossier src de /usr/scripts/

Il ne faut pas encore donner la possibilité aux cableur de l'utilisé.
de un parce que ça n'est pas fini.
De deux, parce qu'il faudra faire quelques tests pour être sûr ques les
cableurs ne peuvent pas faire de choses qu'ils n'ont pas le droit de faire.

l'édition des machines est fini, celle des adhérents à plus de 70% ou 80%.
Il ne restera bientôt que les clubs.

Ce script appel ldappasswd avec os.system en passant les mots de passes ldap et
mot de passe de l'utilisateur sur le ligne de commande, donc visible sur zamok
en faisant juste un ps uaxf. Ça serait bien de changer ça…

[Moderation] On prend aussi le champs "Approved" pour pouvoir annuler les messages sur crans.crans.annonces

On vérifie que le digicode n'envoie pas une chaîne de caractère
non castable en entier.
Causait des plantages à cause du caractère '*'.

J'ai facepalm quand je me suis rendu compte que ça marchait…

 * Pour pouvoir contacter CACert qui émet nos certifs x509

 * get_name_vi sert à récupérer le nom de la machine en v4 ou en v6.

Cela fait popper une page web (proxy transparent) sur laquelle les clients
CROUS sont invités à venir adhérer. Ils peuvent néanmoins continuer à naviguer
en cliquant sur un lien qui rajoute leur IP à une liste d'IP whitelistées
du firewall.
Penser à désactiver le keep-alive du serveur web/proxy (nginx) car sinon, on
constate des trucs marrants. (Normal, le -j DNAT n'a d'effet que lors
de l'établissement de la connexion).

PS: détabification massive du fichier portail_captif.py (pardon aux familles)

Les TLD étaient limités à 3 caractères. Ils passent désormais à 5.