paquets

alpine de 3.14 à 3.17 après un plantage dans un vagrant up

README.md

@@ -1,7 +1,6 @@
 # kaz-vagrant
 
-[Kaz](https://kaz.bzh/) est un CHATONS du Morbihan. Nous proposons ici un moyen de le répliquer dans une VM. Il y a des éléments de configuration à définir avant d'initialiser ce simulateur.
-
+[Kaz](https://kaz.bzh/) est un CHATONS du Morbihan. Nous proposons ici un moyen de le répliquer dans une VM.
 Le principe est de faire fonctionner un simulateur de notre CHATONS dans une VirtualBox pour mettre au point nos différents services.
 
 Nous utilisons :
@@ -11,7 +10,7 @@ Nous utilisons :
   * LXC pour faire tourner ces services dans des conteneurs distincts (ie, kaz-prod est un conteneur LXC)
   * Docker pour chaque service de notre serveur
 
-À la fin, nous obtenons une maquette d'un petit internet simulé, avec du DNS, des mails tiers, et notre serveur kaz-prod dans un coin.
+À la fin, nous obtenons une maquette d'un petit internet simulé, avec du DNS, des mails tiers, et nos serveurs hoster-a-kaz1 (principal) et hoster-b-kaz2 (secondaire) dans un coin.
 
 ![topologie](/doc/images/topologie.png)
 
@@ -20,6 +19,11 @@ Nous utilisons :
 
 Vous avez besoin de [vagrant](https://www.vagrantup.com/), [VirtualBox](https://www.virtualbox.org/) et éventuellement git.
 
+Veillez à avoir des versions de vagrant et VB compatibles. Par exemple, une
+version trop récente de VB empêche d'utiliser le vagrant du repo debian.
+
+  * VirtualBox: 7.0.26 (https://www.virtualbox.org/wiki/Download_Old_Builds_7_0)
+  * Vagrant: 2.3.7 (repo debian)
 
 ## Installation
 
@@ -31,12 +35,13 @@ cd kaz-vagrant/
 ```
 * (Optionnel) Ajustez éventuellement la mémoire et les cpus utilisés dans Vagrantfile (par défaut 4GB et 2 vCPUs)
 
+
 * Pour créer tout l'univers Kaz il faut se placer dans le répertoire et lancer la commande :
 ```bash
 vagrant up
 ```
 
-Cette étape peut-être (très) longue. Notamment, la construction de kaz-prod se fait dans un conteneur LXC, dans lequel les overlays docker passent par un filesystem plus lent qu'en natif... Comptez entre 40 minutes et quelques heures, selon la connexion réseau et les performances de la machine.
+Cette étape peut-être (très) longue, notamment la construction des machines Kaz... Comptez entre 40 minutes et quelques heures, selon la connexion réseau et les performances de la machine.
 
 
 
@@ -46,15 +51,18 @@ Les utilisateurs créés sont
   * debian/debian
   * root/root.
 
-Lors du démarrage de la VM, il faut lancer SNSTER :
+Se connecter en root/root
+
+Lors du démarrage de la VM, il faut lancer SNSTER (normalement c'est automatique ?) :
 ```bash
 cd /root/snster-kaz
 snster start
 ```
 
-Normalement, kaz-prod lance automatiquement les dockers (dans son rc.local), mais si ça ne marche pas bien il peut falloir les relancer (que se passe-t-il si on relance container.sh pendant que container.sh n'est pas encore fini ? faut-il l'enlever du rc.local ? Le lancement initial peut rater, probablement si le DNS n'est pas encore fonctionnel lors du lancement, à mettre au point et peut-être enlever du rc.local ?)
+Normalement, hoster-a-kaz1 et hoster-b-kaz2 lancent automatiquement les dockers (dans rc.local), mais si ça ne marche pas bien il peut falloir les relancer (que se passe-t-il si on relance container.sh pendant que container.sh n'est pas encore fini ? faut-il l'enlever du rc.local ? Le lancement initial peut rater, probablement si le DNS n'est pas encore fonctionnel lors du lancement, à mettre au point et peut-être enlever du rc.local ?)
 ```bash
-snster attach kaz-prod -x /kaz/bin/container.sh start
+snster attach hoster-a-kaz1 -x /kaz/bin/container.sh start
+snster attach hoster-b-kaz2 -x /kaz/bin/container.sh start
 ```
 
 Vous pouvez alors (toutes les commandes snster doivent être exécutées dans `/root/snster-kaz`) :
@@ -62,16 +70,16 @@ Vous pouvez alors (toutes les commandes snster doivent être exécutées dans `/
   * Ouvrir Firefox et naviguer vers :
     * `https://www.kaz.sns`, le Kaz interne à la VM
     * `https://listes.kaz.sns`, le sympa interne à la VM
-    * `https://www.kaz.bzh`, le vrai Kaz
+    * `https://pad2.kaz.sns`, le pad sur kaz2
+    * `https://www.kaz.bzh`, le vrai Kaz (.bzh)
   * Ouvrir claws-mail et retrouver les comptes mails configurés :
     * `contact1@kaz.sns` à `contact4@kaz.sns`, hébergés sur le kaz-prod de la VM
     * `email@isp-a.sns`, hébergé dans le conteneur LXC isp-a-infra
-* Travailler sur kaz-prod : `snster attach kaz-prod`
+* Travailler sur hoster-a-kaz1 : `snster attach hoster-a-kaz1`
 * Afficher un plan de réseau : `snster print`
-* Le système de fichiers de kaz-prod est accessible directement dans la VM:
-  * `/kaz-prod/` [VM] correspond à `/` [kaz-prod]
-  * `/kaz` [VM] correspond à `/kaz` [kaz-prod]
-* Il est probablement pratique d'installer son environnement de développement sur la VM, avec ses clés SSH et son éditeur favori.
+* Les systèmes de fichiers de hoster-a-kaz1 / hoster-b-kaz2 sont accessibles directement dans la VM :
+  * `/kaz1/` [VM] correspond à `/` [hoster-a-kaz1]
+  * `/kaz2/` [VM] correspond à `/` [hoster-b-kaz2]
 
 Il y a un aperçu de l'état des services avec l'url https://kaz.sns/status/allServices.html
 
@@ -85,17 +93,23 @@ Vous pouvez également démarrer firefox avec les URL suivantes:
   * https://tableur.kaz.sns
   * https://pad.kaz.sns
   * https://depot.kaz.sns
-  * https://agora.kaz.sns/login (compte contact1@kaz.local créé, mot de passe toto)
-  * https://cloud.kaz.sns/login (compte contact1@kaz.local créé, mot de passe totototototototo1234 )
+  * https://agora.kaz.sns/login (compte contact1@kaz.local créé, mot de passe T1totototo!)
+  * https://cloud.kaz.sns/login (compte contact1@kaz.local créé, mot de passe T1totototo!)
   * https://sondage.kaz.sns
 
-Il vous faudra accepter les éventuelles alertes de sécurité pour certificat absent (web et messagerie)
+Il vous faudra accepter les éventuelles alertes de sécurité pour certificat absent (web et messagerie) (normalement il n'y en a plus ?)
 
 ## Mise au point
 
-Pour réinstaller Kaz sur kaz-prod (avec suppression de /kaz, des volumes dockers et réinstallation complète), depuis la VM :
+Pour réinstaller Kaz sur kaz1 (avec suppression de /kaz, des volumes dockers et réinstallation complète; idem kaz2), depuis la VM :
 ```bash
-snster attach kaz-prod -x "/root/kaz.sh"
+snster attach hoster-a-kaz1 -x "/root/kaz.sh"
+```
+
+Pour reconstruire le conteneur kaz1 complètement, depuis la VM :
+```bash
+snster destroy hoster-a-kaz1
+snster create
 ```
 
 Pour détruire la VM et recommencer, depuis l'hôte :
@@ -104,6 +118,29 @@ vagrant destroy
 vagrant up
 ```
 
+## Développement de Kaz avec la VM
+
+La VM peut être utilisée pour développer Kaz. Il existe différentes façons, chacun ses goûts, voici une possibilité. Cette méthode permet de développer dans son éditeur classique, sur son PC hôte, et d'avoir un SSH vers le conteneur Kaz.
+
+### SSH vers le conteneur Kaz
+
+Depuis l'hôte, dans le dossier `vagrant`, pour obtenir un shell sur le conteneur Kaz :
+```bash
+`vagrant ssh`     # ssh vers la VM
+`sudo su`         # passage root
+`cd /root/snster-kaz`
+`snster attach hoster-a-kaz1`
+```
+
+### Édition depuis l'hôte
+
+On va faire du sshfs pour voir les dossiers de la VM depuis l'hôte. Par exemple pour monter la racine du conteneur `hoster-a-kaz1` dans le dossier `vm` du dossier courant de l'hôte (rappel, le dossier `/kaz1` sur la VM est un lien symbolique vers le filesystem du conteneur `hoster-a-kaz1`) :
+```bash
+sshfs -p 2222 root@localhost:/kaz1/ vm/
+```
+
+Ainsi, on peut éditer sur son PC et exécuter dans un terminal hors VM.
+
 Accélération de la construction avec un proxy cache local
 ---------------------------------------------------------
 

Vagrantfile

@@ -2,32 +2,14 @@
 # -*- mode: ruby -*-
 # vi: set ft=ruby :
 
-unless Vagrant.has_plugin?("vagrant-disksize")
-  raise  Vagrant::Errors::VagrantError.new, "vagrant-disksize plugin is missing. Please install it using 'vagrant plugin install vagrant-disksize' and rerun 'vagrant up'"
-end
-
 # All Vagrant configuration is done below. The "2" in Vagrant.configure
 # configures the configuration version (we support older styles for
 # backwards compatibility). Please don't change it unless you know what
 # you're doing.
 Vagrant.configure("2") do |config|
 
-  required_plugins = %w( vagrant-vbguest vagrant-disksize )
-  _retry = false
-  required_plugins.each do |plugin|
-    unless Vagrant.has_plugin? plugin
-      system "vagrant plugin install #{plugin}"
-      _retry=true
-    end
-  end
-
-  if (_retry)
-    exec "vagrant " + ARGV.join(' ')
-  end
-
-  config.vm.box = "debian/bullseye64"
+  config.vm.box = "debian/bookworm64"
   config.vm.hostname = 'kaz-vm'
-  config.disksize.size = '32GB'
 
   config.vm.provider "virtualbox" do |vb|
     vb.memory = "4096"
@@ -38,11 +20,6 @@ Vagrant.configure("2") do |config|
   end
 
 
-
-  #permet d'avoir un répertoire partagé entre la VM et le host
-  config.vm.synced_folder "/tmp/", "/tmp_host"
-  config.vm.synced_folder "files/", "/root/kaz-vagrant"
-
  config.vm.provision "shell" do |s|
     s.inline = "/vagrant/files/vm-provision.sh"
     s.env   = {"KAZGUARD" => "true", "HOSTLANG" => ENV['LANG'], "NOKAZ" => ENV['NOKAZ'], "KAZBRANCH" => ENV['KAZBRANCH']}

clean.sh

@@ -1,38 +0,0 @@
-#!/bin/bash
-
-cd "$(dirname $0)"
-
-while : ; do
-    read -p "Remove vagrant generated files (y/n)? " yn
-    case "${yn}" in
-        [yY]*|[Oo]* )
-	    rm -f Vagrantfile	    
-	    break;;
-	""|[Nn]* ) break;;
-        * ) echo "Please answer y/n.";;
-    esac
-done
-
-while : ; do
-    read -p "Remove proxy generated files (y/n)? " yn
-    case "${yn}" in
-        [yY]*|[Oo]* )
-	    rm -f files/kaz/.apt-mirror-config files/kaz/.proxy-config
-	    rm -f files/.apt-mirror-config files/.proxy-config files/.docker-config.json
-	    break;;
-	""|[Nn]* ) break;;
-        * ) echo "Please answer y/n.";;
-    esac
-done
-
-while : ; do
-    read -p "Remove custom generated files (y/n)? " yn
-    case "${yn}" in
-        [yY]*|[Oo]* )
-	    rm -f files/.customDocker.sh
-	    rm -f files/kaz/.customDocker.sh files/local.sh
-	    break;;
-	""|[Nn]* ) break;;
-        * ) echo "Please answer y/n.";;
-    esac
-done

files/snster-kaz/hoster-a/group.yml

@@ -1,8 +1,8 @@
 version: 1
 
 header:
-  name: Target AS
-  comment: AS of the Target organization
+  name: Hoster-A AS
+  comment: AS of the first hoster of Kaz CHATONS
 
 hosts:
   router:
@@ -14,10 +14,10 @@ hosts:
           ipv4: 100.64.0.10/24
           ipv6: 2001:db8:b000::10/48
         eth1:
-          bridge: kaz-lan1
+          bridge: ha-lan1
           ipv4: 100.80.0.1/24
         eth2:
-          bridge: kaz-lan2
+          bridge: ha-lan2
           ipv4: 100.80.1.1/24
     templates:
       - bgprouter:
@@ -29,14 +29,14 @@ hosts:
           ns: 100.100.100.100
           domain: kaz.sns
 
-  prod:
+  kaz1:
     network:
       interfaces:
         eth0:
-          bridge: kaz-lan1
+          bridge: ha-lan1
           ipv4: 100.80.0.2/24
         eth1:
-          bridge: kaz-lan2
+          bridge: ha-lan2
           ipv4: 100.80.1.2/24
       gatewayv4: 100.80.0.1
     templates:

files/snster-kaz/hoster-a/kaz1/createUser.txt

@@ -0,0 +1,25 @@
+#   -- fichier de création des comptes KAZ
+#   --
+#   -- 1 ligne par compte
+#   -- champs séparés par ;. les espaces en début et en fin sont enlevés
+#   -- laisser vide si pas de donnée
+#   -- pas d'espace dans les variables
+#   --
+#   -- ORGA: nom de l'organisation (max 15 car), vide sinon
+#   -- ADMIN_ORGA: O/N indique si le user est admin de l'orga (va le créer comme admin du NC de l'orga et admin de l'équipe agora)
+#   -- NC_ORGA: O/N indique si l'orga a demandé un NC
+#   -- GARRADIN_ORGA: O/N indique si l'orga a demandé un garradin
+#   -- WP_ORGA: O/N indique si l'orga a demandé un wp
+#   -- AGORA_ORGA: O/N indique si l'orga a demandé un mattermost
+#   -- WIKI_ORGA: O/N indique si l'orga a demandé un wiki
+#   -- NC_BASE: O/N indique si le user doit être inscrit dans le NC de base
+#   -- GROUPE_NC_BASE: soit null soit le groupe dans le NC de base
+#   -- EQUIPE_AGORA: soit null soit equipe agora  (max 15 car)
+#   -- QUOTA=(1/10/20/...) en GB
+#   --
+#   NOM ; PRENOM ; EMAIL_SOUHAITE ; EMAIL_SECOURS ; ORGA ; ADMIN_ORGA ; NC_ORGA ; GARRADIN_ORGA ; WP_ORGA ; AGORA_ORGA ; WIKI_ORGA ; NC_BASE ; GROUPE_NC_BASE ; EQUIPE_AGORA ; QUOTA
+
+Hello1;Contact1;contact1@kaz.sns;contact2@kaz.sns; ;N;N;N;N;N;N;N; ; ;1;T1totototo!
+Hello2;Contact2;contact2@kaz.sns;contact2@kaz.sns; ;N;N;N;N;N;N;N; ; ;1;T1totototo!
+Hello3;Contact3;contact3@kaz.sns;contact2@kaz.sns; ;N;N;N;N;N;N;N; ; ;10;T1totototo!
+Hello4;Contact4;contact4@kaz.sns;contact2@kaz.sns; ;N;N;N;N;N;N;N; ; ;10;T1totototo!

files/snster-kaz/hoster-a/kaz1/kaz-config/container-mail.list

@@ -1,3 +1,4 @@
 # e-mail server composer
+ldap
 postfix
 sympa

files/snster-kaz/hoster-a/kaz1/kaz-config/container-proxy.list

@@ -0,0 +1,2 @@
+#proxy
+traefik

files/snster-kaz/hoster-a/kaz1/kaz-config/container-withMail.list

@@ -4,6 +4,9 @@ dokuwiki
 garradin
 gitea
 jirafeau
-#mattermost
+mattermost
 roundcube
 #keycloak
+mobilizon
+vaultwarden
+ldap

files/snster-kaz/hoster-a/kaz1/kaz-config/container-withoutMail.list

@@ -3,8 +3,7 @@ jirafeau
 ethercalc
 collabora
 ethercalc
-#etherpad
-ldap
+etherpad
 quotas
 web
 #vigilo

files/snster-kaz/hoster-a/kaz1/kaz-config/dockers.env

@@ -19,7 +19,8 @@ domain_sympa=listes.kaz.sns
 ########################################
 # choix d'un serveur partiel
 # site=site-2
-site=
+site=kaz1
+acme_server="https://ca.mica.sns/acme/acme/directory"
 
 ########################################
 # Pour garradin qui met en "dure" dans
@@ -59,6 +60,15 @@ sympaHost=listes
 vigiloHost=vigilo
 webmailHost=webmail
 wordpressHost=wp
+ldapUIHost=mdp
+mobilizonHost=mobilizon
+vaultwardenHost=koffre
+traefikHost=dashboard
+
+########################################
+# ports internes
+
+matterPort=8065
 
 ########################################
 # noms des containers
@@ -77,6 +87,7 @@ mattermostServName=mattermostServ
 nextcloudServName=nextcloudServ
 officeServName=officeServ
 proxyServName=proxyServ
+traefikServName=traefikServ
 quotasServName=quotasServ
 roundcubeServName=roundcubeServ
 smtpServName=mailServ
@@ -84,6 +95,8 @@ sympaServName=sympaServ
 vigiloServName=vigiloServ
 webServName=webServ
 wordpressServName=wpServ
+mobilizonServName=mobilizonServ
+vaultwardenServName=vaultwardenServ
 
 cachetDBName=cachetDB
 ethercalcDBName=ethercalcDB
@@ -97,6 +110,8 @@ roundcubeDBName=roundcubeDB
 sympaDBName=sympaDB
 vigiloDBName=vigiloDB
 wordpressDBName=wpDB
+mobilizonDBName=mobilizonDB
+vaultwardenDBName=vaultwardenDB
 
 ldapUIName=ldapUI
 

files/snster-kaz/hoster-a/kaz1/kaz.sh

@@ -0,0 +1,56 @@
+#!/bin/bash
+if [ -z "${SNSTERGUARD}" ] ; then
+    exit 1
+fi
+
+DIR=$(cd "$(dirname $0)"; pwd)
+cd "${DIR}"
+set -e
+export OUTPUT_DIR="/root/install"
+
+
+mkdir -p "${OUTPUT_DIR}/log/"
+export DebugLog="${OUTPUT_DIR}/log/log-kaz-$(date +%y-%m-%d-%T)-"
+(
+    echo "########## ********** Start kaz.sh $(date +%D-%T)"
+
+    docker-clean -a
+    rm -rf /kaz
+
+    if [ -z "${KAZBRANCH}" ] ; then
+	     KAZBRANCH="master"
+    fi
+    echo -e "\n    #### git checkout ${KAZBRANCH}\n"
+
+    # copie des sources
+    cd /
+    git clone https://git.kaz.bzh/KAZ/KazV2.git kaz
+    (cd /kaz ; git checkout "${KAZBRANCH}" )
+
+    cp "${DIR}/kaz-config/dockers.env" /kaz/config/dockers.env
+    for type in mail orga proxy withMail withoutMail ; do
+	     [ -f "${DIR}/kaz-config/container-${type}.list" ] &&
+       cp  "${DIR}/kaz-config/container-${type}.list" /kaz/config/
+    done
+
+    echo -e "\n    #### secretGen\n"
+    /kaz/bin/secretGen.sh
+
+    # echo "0 2   * * *  root /kaz/bin/getX509Certificates.sh" >> /etc/cron.d/kaz-certs
+    #ln -sf /etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/certs/mail.pem
+    #ln -sf /etc/ssl/private/ssl-cert-snakeoil.key /etc/ssl/private/mail.key
+
+    echo -e "\n    #### install\n"
+	  /kaz/bin/install.sh
+
+    # On crée quelques comptes
+    mkdir -p /kaz/tmp
+    cp /root/createUser.txt /kaz/tmp/
+    /kaz/bin/createUser.sh -e || true
+
+    # clear apt cache
+    DEBIAN_FRONTEND=noninteractive apt-get autoremove -y
+    DEBIAN_FRONTEND=noninteractive apt-get clean
+
+    echo "########## ********** End kaz.sh $(date +%D-%T)"
+)  > >(tee ${DebugLog}stdout.log) 2> >(tee ${DebugLog}stderr.log >&2)

files/snster-kaz/hoster-a/kaz1/kaz.sns.zone

@@ -0,0 +1,44 @@
+$TTL	86400
+$ORIGIN kaz.sns.
+@  1D  IN  SOA ns.kaz.sns. hostmaster.kaz.sns. (
+			      2002022401 ; serial
+			      3H ; refresh
+			      15 ; retry
+			      1w ; expire
+			      3h ; nxdomain ttl
+			     )
+       IN  NS     ns.kaz.sns.
+       IN  MX  10 smtp.kaz.sns.
+			 IN	A	100.80.0.2
+ns    IN  A      100.80.0.2
+kaz1   IN A 100.80.0.2
+kaz2	IN	A	100.81.0.2
+smtp  IN CNAME 	kaz1
+imap  IN CNAME 	kaz1
+www   IN CNAME 	kaz1
+mail	IN	CNAME	kaz1
+cloud	IN	CNAME	kaz1
+tableur	IN	CNAME	kaz1
+dashboard	IN	CNAME	kaz1
+dashboard2	IN	CNAME	kaz2
+sondage IN CNAME kaz1
+webmail	IN	CNAME	kaz1
+roundcube	IN	CNAME	kaz1
+garradin	IN	CNAME	kaz1
+wiki	IN	CNAME	kaz1
+git	IN	CNAME	kaz1
+office	IN	CNAME	kaz1
+depot	IN	CNAME	kaz1
+ldap	IN	CNAME	kaz1
+mobilizon	IN	CNAME	kaz1
+mdp 	IN	CNAME 	kaz1
+koffre	IN	CNAME	kaz1
+pad		IN	CNAME	kaz1
+agora   IN  CNAME   kaz1
+listes	IN	MX	10	listes
+pad2	IN	CNAME	kaz2
+listes	IN	A	100.80.1.2
+firewall   IN A 100.80.0.1
+firewall	IN	AAAA	2001:db8:80::0:1
+router		IN	A	100.80.0.1
+router		IN	AAAA	2001:db8:80::0:1

files/snster-kaz/hoster-a/kaz1/provision.sh

@@ -0,0 +1,142 @@
+#!/bin/bash
+# Target DMZ
+set -e
+if [ -z $SNSTERGUARD ] ; then exit 1; fi
+DIR=`dirname $0`
+cd `dirname $0`
+
+DEB_VERSION=`cat /etc/debian_version | cut -d'.' -f1`
+if [ $DEB_VERSION -eq "11" ] # DEB 11 aka Bullseye
+then
+	# disable systemd-resolved which conflicts with nsd
+	echo "DNSStubListener=no" >> /etc/systemd/resolved.conf
+	systemctl stop systemd-resolved
+fi
+
+DEBIAN_FRONTEND=noninteractive apt-get update
+DEBIAN_FRONTEND=noninteractive apt-get remove -y apache2
+DEBIAN_FRONTEND=noninteractive apt-get autoremove -y
+
+
+# Go KAZ !
+# KAZ specific things
+#installation de docker, docker-compose et on y fourre le user debian dans le groupe idoine
+
+DEBIAN_FRONTEND=noninteractive apt-get install -y apache2-utils python3-ldap python3-email-validator python3-passlib python3-jinja2 dos2unix jq ldapvi argon2 docker.io docker-clean git apg curl sudo unzip rsync btrfs-progs ldap-utils unaccent # fuse-overlayfs
+usermod -G docker debian
+
+# docker-compose
+curl -SL https://github.com/docker/compose/releases/download/v2.17.3/docker-compose-linux-x86_64 -o /usr/local/bin/docker-compose
+sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
+chmod +x /usr/bin/docker-compose
+
+# activation dans alias dans /root/.bashrc
+sed -i \
+-e 's/^\# alias/alias/g' \
+-e 's/^\# export/export/g' \
+-e 's/^\# eval/eval/g' \
+/root/.bashrc
+
+if ! grep -q "for file in /dockers" /root/.bashrc 2>/dev/null; then
+cat >> /root/.bashrc <<EOF
+# enable bash completion in interactive shells
+if ! shopt -oq posix; then
+if [ -f /usr/share/bash-completion/bash_completion ]; then
+. /usr/share/bash-completion/bash_completion
+elif [ -f /etc/bash_completion ]; then
+. /etc/bash_completion
+fi
+fi
+for file in /kaz/bin/.*-completion.bash ; do
+source "\${file}"
+done
+EOF
+fi
+
+
+# On met le GUARD pour la mise au point
+echo "export SNSTERGUARD='true'" >> /root/.bashrc
+
+
+# On place les certifs
+cp -ar tls/root_ca.crt /usr/local/share/ca-certificates/
+/usr/sbin/update-ca-certificates --fresh
+
+mkdir -p /etc/letsencrypt/live/kaz.sns
+cp tls/wildcard.crt /etc/letsencrypt/live/kaz.sns/fullchain.pem
+cp tls/wildcard.key /etc/letsencrypt/live/kaz.sns/privkey.pem
+cp tls/wildcard.crt /etc/ssl/certs/mail.pem
+cp tls/wildcard.key /etc/ssl/private/mail.key
+cp tls/wildcard.crt /etc/ssl/certs/listes.pem
+cp tls/wildcard.key /etc/ssl/private/listes.key
+
+# On sauve le proxy APT
+proxy=$(/sbin/ip route | awk '/default/ { print $3 }' | head -1)
+sed -i -e "s/^proxy.*$/proxy=$proxy/" /usr/local/sbin/detect_proxy.sh
+#echo "export http_proxy=\"http://$proxy:3142\"" > /etc/profile.d/proxy.sh
+#echo "export https_proxy=\"http://$proxy:3142\"" >> /etc/profile.d/proxy.sh
+
+# Proxy pour les environnements durant les dockerbuilds
+mkdir /root/.docker
+echo "{
+ \"proxies\":
+ {
+   \"default\":
+   {
+     \"httpProxy\": \"http://$proxy:3142\",
+     \"httpsProxy\": \"http://$proxy:3142\",
+		 \"noProxy\": \"app,*.sns,127.0.0.1,localhost,127.0.0.0/8,100.64.0.0/10,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,agora\"
+   }
+ }
+}" > /root/.docker/config.json
+
+# Proxy pour les docker pull -> commenté car pas de cache avec dockerhub
+# echo "http_proxy=\"http://$proxy:3142\"
+# https_proxy=\"http://$proxy:3142\"
+# no_proxy=\"*.sns,127.0.0.0/8,100.64.0.0/10,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16\"
+# " >> /etc/default/docker
+
+# On active btrfs+registry miroir pour docker
+cat >> /etc/docker/daemon.json <<EOF
+{ "storage-driver": "btrfs",
+"registry-mirrors": ["http://$proxy:5000"] }
+EOF
+service docker restart
+
+# clear apt cache
+DEBIAN_FRONTEND=noninteractive apt-get autoremove -y
+DEBIAN_FRONTEND=noninteractive apt-get clean
+
+# On installe Kaz
+ifconfig lo:0 100.80.0.2
+ifconfig lo:1 100.80.1.2
+echo "100.80.0.2 smtp imap www mail cloud cloud.kaz.sns tableur tableur.kaz.sns webmail webmail.kaz.sns garradin garradin.kaz.sns wiki wiki.kaz.sns git git.kaz.sns office office.kaz.sns depot depot.kaz.sns ldap ldap.kaz.sns mdp mdp.kaz.sns koffre koffre.kaz.sns pad pad.kaz.sns agora agora.kaz.sns dashboard dashboard.kaz.sns" >> /etc/hosts
+echo "100.80.1.2 listes listes.kaz.sns" >> /etc/hosts
+cp "${DIR}/kaz.sh" /root/kaz.sh
+cp "${DIR}/createUser.txt" /root/
+cp -ar "${DIR}/kaz-config" /root/
+chmod +x /root/kaz.sh
+bash "/root/kaz.sh"
+sed -i -e "s/100.80.0.2.*//g" /etc/hosts
+sed -i -e "s/100.80.1.2.*//g" /etc/hosts
+
+
+# On démarre au boot
+echo -e '#!/bin/sh\n/kaz/bin/container.sh start' >> /etc/rc.local
+chmod +x /etc/rc.local
+
+
+# notes fuse-overlayfs :
+#mknod -m 666 /dev/fuse c 10 229
+#echo -e '#!/bin/sh\nmknod -m 666 /dev/fuse c 10 229' >> /etc/rc.local
+#chmod +x /etc/rc.local
+
+# lxc.cgroup2.devices.allow = b 7:* rwm
+# lxc.cgroup2.devices.allow = c 10:237 rwm
+#
+# mknod -m 666 /dev/loop0 b 7 0
+# mknod -m 666 /dev/loop-control c 10 237
+# truncate -s 30G /root/varlibdocker.img
+# mkfs.btrfs /root/varlibdocker.img
+# losetup -f /root/varlibdocker.img
+# mount /dev/loop0 /var/lib/docker

files/snster-kaz/hoster-b/group.yml

@@ -0,0 +1,40 @@
+version: 1
+
+header:
+  name: Hoster-B AS
+  comment: AS of the second hoster of Kaz CHATONS
+
+hosts:
+  router:
+    master: alpine
+    network:
+      interfaces:
+        eth0:
+          bridge: transit-a
+          ipv4: 100.64.0.11/24
+          ipv6: 2001:db8:b000::11/48
+        eth1:
+          bridge: hb-lan1
+          ipv4: 100.81.0.1/24
+    templates:
+      - bgprouter:
+          asn: 11
+          asdev: eth1
+          neighbors4: 100.64.0.1 as 30
+          neighbors6: 2001:db8:b000::1 as 30
+      - resolv:
+          ns: 100.100.100.100
+          domain: kaz.sns
+
+  kaz2:
+    network:
+      interfaces:
+        eth0:
+          bridge: hb-lan1
+          ipv4: 100.81.0.2/24
+      gatewayv4: 100.81.0.1
+    templates:
+      - updatecaroots:
+      - resolv:
+          domain: kaz.sns
+          ns: 100.100.100.100

files/snster-kaz/hoster-b/kaz2/kaz-config/container-mail.list

@@ -0,0 +1,4 @@
+# e-mail server composer
+#ldap
+#postfix
+#sympa

files/snster-kaz/hoster-b/kaz2/kaz-config/container-orga.list

@@ -0,0 +1 @@
+# orga composer

files/snster-kaz/hoster-b/kaz2/kaz-config/container-proxy.list

@@ -0,0 +1,2 @@
+#proxy
+traefik

files/snster-kaz/hoster-b/kaz2/kaz-config/container-withMail.list

@@ -0,0 +1,12 @@
+#cloud
+#dokuwiki
+#framadate
+#garradin
+#gitea
+#jirafeau
+#mattermost
+#roundcube
+#keycloak
+#mobilizon
+#vaultwarden
+#ldap

files/snster-kaz/hoster-b/kaz2/kaz-config/container-withoutMail.list

@@ -0,0 +1,8 @@
+#cachet
+#jirafeau
+#ethercalc
+#collabora
+etherpad
+#quotas
+#web
+#vigilo

files/snster-kaz/hoster-b/kaz2/kaz-config/dockers.env

@@ -0,0 +1,135 @@
+# Les variables d'environnements utilisées
+# par les dockers via le lien :
+# .env -> ../../config/dockers.env
+
+#######################################
+# prod / dev / local
+mode=local
+
+########################################
+# choix du domaine
+# prod=kaz.bzh / dev=dev.kaz.bzh / local=kaz.local
+domain=kaz.sns
+
+########################################
+# choix du domaine des mails sympa
+# prod=kaz.bzh / dev=kaz2.ovh / local=kaz.local
+domain_sympa=listes.kaz.sns
+
+########################################
+# choix d'un serveur partiel
+# site=site-2
+site=kaz2
+acme_server="https://ca.mica.sns/acme/acme/directory"
+
+########################################
+# Pour garradin qui met en "dure" dans
+# sa config l'URL pour l'atteindre
+
+# prod=https (gandi) / dev=https (letsencrypt) / local=http
+httpProto=https
+
+# prod=89.234.186.111 / dev=192.168.57.1 / local=127.0.0.1
+MAIN_IP=100.81.0.2
+
+# prod=89.234.186.151 / dev=192.168.57.2 / local=127.0.0.2
+SYMPA_IP=100.81.1.2
+
+########################################
+# noms des services
+
+# ou www (mais bof)
+webHost=
+
+cachetHost=cachet
+calcHost=tableur
+cloudHost=cloud
+dateHost=sondage
+dokuwikiHost=wiki
+fileHost=depot
+garHost=garradin
+gitHost=git
+gravHost=grav
+ldapHost=ldap
+matterHost=agora
+officeHost=office
+padHost=pad2
+quotasHost=quotas
+smtpHost=smtp
+sympaHost=listes
+vigiloHost=vigilo
+webmailHost=webmail
+wordpressHost=wp
+ldapUIHost=mdp
+mobilizonHost=mobilizon
+vaultwardenHost=koffre
+traefikHost=dashboard2
+
+########################################
+# ports internes
+
+matterPort=8000
+
+########################################
+# noms des containers
+
+cachetServName=cachetServ
+dokuwikiServName=dokuwikiServ
+ethercalcServName=ethercalcServ
+etherpadServName=etherpadServ
+framadateServName=framadateServ
+garradinServName=garradinServ
+gitServName=gitServ
+gravServName=gravServ
+jirafeauServName=jirafeauServ
+ldapServName=ldapServ
+mattermostServName=mattermostServ
+nextcloudServName=nextcloudServ
+officeServName=officeServ
+proxyServName=proxyServ
+traefikServName=traefikServ
+quotasServName=quotasServ
+roundcubeServName=roundcubeServ
+smtpServName=mailServ
+sympaServName=sympaServ
+vigiloServName=vigiloServ
+webServName=webServ
+wordpressServName=wpServ
+mobilizonServName=mobilizonServ
+vaultwardenServName=vaultwardenServ
+
+cachetDBName=cachetDB
+ethercalcDBName=ethercalcDB
+etherpadDBName=etherpadDB
+framadateDBName=framadateDB
+gitDBName=gitDB
+mattermostDBName=mattermostDB
+nextcloudDBName=nextcloudDB
+quotasDBName=quotasDB
+roundcubeDBName=roundcubeDB
+sympaDBName=sympaDB
+vigiloDBName=vigiloDB
+wordpressDBName=wpDB
+mobilizonDBName=mobilizonDB
+vaultwardenDBName=vaultwardenDB
+
+ldapUIName=ldapUI
+
+########################################
+# politique de redémarrage
+# prod=always / test=unless-stopped / local=no
+restartPolicy=no
+
+########################################
+# devrait être dans env-jirafeauServ
+# mais seuls les variables de ".env" sont
+# utilisables pour le montage des volumes
+
+jirafeauDir=/var/jirafeauData/lkuDM16R5Sp4QHr/
+
+ldap_root=dc=kaz,dc=sns
+
+########################################
+# services activés par container.sh
+# variables d'environneements utilisées
+# pour le tmpl du mandataire (proxy)

files/snster-kaz/hoster-b/kaz2/kaz.sh

@@ -24,7 +24,7 @@ export DebugLog="${OUTPUT_DIR}/log/log-kaz-$(date +%y-%m-%d-%T)-"
 
     # copie des sources
     cd /
-    git clone https://git.kaz.bzh/KAZ/kaz.git
+    git clone https://git.kaz.bzh/KAZ/KazV2.git kaz
     (cd /kaz ; git checkout "${KAZBRANCH}" )
 
     cp "${DIR}/kaz-config/dockers.env" /kaz/config/dockers.env
@@ -33,19 +33,15 @@ export DebugLog="${OUTPUT_DIR}/log/log-kaz-$(date +%y-%m-%d-%T)-"
        cp  "${DIR}/kaz-config/container-${type}.list" /kaz/config/
     done
 
+    # copie certif de la CA locale pour traefik (nécessaire pour ACME/Smallstep)
+    cp /usr/local/share/ca-certificates/root_ca.crt /kaz/dockers/traefik/conf/
+
     echo -e "\n    #### secretGen\n"
     /kaz/bin/secretGen.sh
 
     echo -e "\n    #### install\n"
 	  /kaz/bin/install.sh
 
-    # On crée quelques mails
-    SETUP_MAIL="docker exec mailServ setup"
-    ${SETUP_MAIL} email add contact1@kaz.sns toto
-    ${SETUP_MAIL} email add contact2@kaz.sns toto
-    ${SETUP_MAIL} email add contact3@kaz.sns toto
-    ${SETUP_MAIL} email add contact4@kaz.sns toto
-
     # clear apt cache
     DEBIAN_FRONTEND=noninteractive apt-get autoremove -y
     DEBIAN_FRONTEND=noninteractive apt-get clean

files/snster-kaz/hoster-b/kaz2/provision.sh

@@ -5,9 +5,13 @@ if [ -z $SNSTERGUARD ] ; then exit 1; fi
 DIR=`dirname $0`
 cd `dirname $0`
 
-# disable systemd-resolved which conflicts with nsd
-echo "DNSStubListener=no" >> /etc/systemd/resolved.conf
-systemctl stop systemd-resolved
+DEB_VERSION=`cat /etc/debian_version | cut -d'.' -f1`
+if [ $DEB_VERSION -eq "11" ] # DEB 11 aka Bullseye
+then
+	# disable systemd-resolved which conflicts with nsd
+	echo "DNSStubListener=no" >> /etc/systemd/resolved.conf
+	systemctl stop systemd-resolved
+fi
 
 DEBIAN_FRONTEND=noninteractive apt-get update
 DEBIAN_FRONTEND=noninteractive apt-get remove -y apache2
@@ -18,8 +22,14 @@ DEBIAN_FRONTEND=noninteractive apt-get autoremove -y
 # KAZ specific things
 #installation de docker, docker-compose et on y fourre le user debian dans le groupe idoine
 
-DEBIAN_FRONTEND=noninteractive apt-get install -y docker.io docker-compose docker-clean git apg curl sudo unzip rsync btrfs-progs ldap-utils unaccent # fuse-overlayfs
+DEBIAN_FRONTEND=noninteractive apt-get install -y dos2unix jq ldapvi argon2 docker.io docker-clean git apg curl sudo unzip rsync btrfs-progs ldap-utils unaccent # fuse-overlayfs
 usermod -G docker debian
+
+# docker-compose
+curl -SL https://github.com/docker/compose/releases/download/v2.17.3/docker-compose-linux-x86_64 -o /usr/local/bin/docker-compose
+sudo ln -s /usr/local/bin/docker-compose /usr/bin/docker-compose
+chmod +x /usr/bin/docker-compose
+
 # activation dans alias dans /root/.bashrc
 sed -i \
 -e 's/^\# alias/alias/g' \
@@ -49,11 +59,12 @@ echo "export SNSTERGUARD='true'" >> /root/.bashrc
 
 
 # On place les certifs
-if  [ -d letsencrypt ]; then
-  cp -ar letsencrypt /etc/
-  cp /etc/letsencrypt/local/rootCA.pem /usr/local/share/ca-certificates/rootCA.crt
-  /usr/sbin/update-ca-certificates --fresh
-fi
+cp -ar tls/root_ca.crt /usr/local/share/ca-certificates/
+/usr/sbin/update-ca-certificates --fresh
+
+mkdir -p /etc/letsencrypt/live/kaz.sns
+cp tls/wildcard.crt /etc/letsencrypt/live/kaz.sns/fullchain.pem
+cp tls/wildcard.key /etc/letsencrypt/live/kaz.sns/privkey.pem
 
 # On sauve le proxy APT
 proxy=$(/sbin/ip route | awk '/default/ { print $3 }' | head -1)
@@ -70,7 +81,7 @@ echo "{
    {
      \"httpProxy\": \"http://$proxy:3142\",
      \"httpsProxy\": \"http://$proxy:3142\",
-     \"noProxy\": \"*.sns,127.0.0.0/8,100.64.0.0/10,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16\"
+     \"noProxy\": \"*.sns,127.0.0.1,localhost,127.0.0.0/8,100.64.0.0/10,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,agora\"
    }
  }
 }" > /root/.docker/config.json
@@ -93,16 +104,14 @@ DEBIAN_FRONTEND=noninteractive apt-get autoremove -y
 DEBIAN_FRONTEND=noninteractive apt-get clean
 
 # On installe Kaz
-ifconfig lo:0 100.80.0.2
-ifconfig lo:1 100.80.1.2
-echo "100.80.0.2 smtp imap www mail cloud cloud.kaz.sns tableur tableur.kaz.sns webmail webmail.kaz.sns garradin garradin.kaz.sns wiki wiki.kaz.sns git git.kaz.sns office office.kaz.sns depot depot.kaz.sns ldap ldap.kaz.sns" >> /etc/hosts
-echo "100.80.1.2 listes listes.kaz.sns" >> /etc/hosts
+docker network create postfixNet # temp fix
+ifconfig lo:0 100.81.0.2
+echo "100.81.0.2 smtp imap www mail cloud cloud.kaz.sns tableur tableur.kaz.sns webmail webmail.kaz.sns garradin garradin.kaz.sns wiki wiki.kaz.sns git git.kaz.sns office office.kaz.sns depot depot.kaz.sns ldap ldap.kaz.sns mdp mdp.kaz.sns koffre koffre.kaz.sns pad pad.kaz.sns agora agora.kaz.sns dashboard dashboard.kaz.sns" >> /etc/hosts
 cp "${DIR}/kaz.sh" /root/kaz.sh
 cp -ar "${DIR}/kaz-config" /root/
 chmod +x /root/kaz.sh
 bash "/root/kaz.sh"
-sed -i -e "s/100.80.0.2.*//g" /etc/hosts
-sed -i -e "s/100.80.1.2.*//g" /etc/hosts
+sed -i -e "s/100.81.0.2.*//g" /etc/hosts
 
 
 # On démarre au boot

files/snster-kaz/isp-a/home/provision.sh

@@ -15,17 +15,16 @@ DEBIAN_FRONTEND=noninteractive apt-get install -y claws-mail
 
 # On configure les comptes mail
 if [ -f /clawsmail/addclawsuser.sh ]; then
-    su debian /clawsmail/addclawsuser.sh contact1 kaz.sns contact1@kaz.sns toto 1
-    su debian /clawsmail/addclawsuser.sh contact2 kaz.sns contact2@kaz.sns toto 2
-    su debian /clawsmail/addclawsuser.sh contact3 kaz.sns contact3@kaz.sns toto 3
-    su debian /clawsmail/addclawsuser.sh contact4 kaz.sns contact4@kaz.sns toto 4
+    su debian /clawsmail/addclawsuser.sh contact1 kaz.sns contact1@kaz.sns tototototo 1
+    su debian /clawsmail/addclawsuser.sh contact2 kaz.sns contact2@kaz.sns tototototo 2
+    su debian /clawsmail/addclawsuser.sh contact3 kaz.sns contact3@kaz.sns tototototo 3
+    su debian /clawsmail/addclawsuser.sh contact4 kaz.sns contact4@kaz.sns tototototo 4
     su debian /clawsmail/addclawsuser.sh email isp-a.sns email email 5
 fi
 
 # On place les certifs
-if  [ -d letsencrypt ]; then
-  cp -ar letsencrypt /etc/
-  cp /etc/letsencrypt/local/rootCA.pem /usr/local/share/ca-certificates/root.crt
+if  [ -f tls/root_ca.crt ]; then
+  cp -ar tls/root_ca.crt /usr/local/share/ca-certificates/root.crt
   /usr/sbin/update-ca-certificates --fresh
 fi
 

files/snster-kaz/isp-a/infra/provision.sh

@@ -7,13 +7,17 @@ cd `dirname $0`
 
 # Email's mail account email@isp-a.sns
 useradd -m -s "/bin/bash" -p `mkpasswd --method=sha-512 email` email || true
-addgroup email mail
+adduser email mail
 #mkdir /home/hacker/mail
 #touch /home/hacker/mail/Drafts /home/hacker/mail/Queue /home/hacker/mail/Sent /home/hacker/mail/Trash
 
-# disable systemd-resolved which conflicts with nsd
-echo "DNSStubListener=no" >> /etc/systemd/resolved.conf
-systemctl stop systemd-resolved
+DEB_VERSION=`cat /etc/debian_version | cut -d'.' -f1`
+if [ $DEB_VERSION -eq "11" ] # DEB 11 aka Bullseye
+then
+	# disable systemd-resolved which conflicts with nsd
+	echo "DNSStubListener=no" >> /etc/systemd/resolved.conf
+	systemctl stop systemd-resolved
+fi
 
 # manage isp-a.sns zone
 apt-get update

files/snster-kaz/kaz/prod/kaz-config/container-proxy.list

@@ -1 +0,0 @@
-proxy

files/snster-kaz/kaz/prod/kaz.sns.zone

@@ -1,33 +0,0 @@
-$TTL	86400
-$ORIGIN kaz.sns.
-@  1D  IN  SOA ns.kaz.sns. hostmaster.kaz.sns. (
-			      2002022401 ; serial
-			      3H ; refresh
-			      15 ; retry
-			      1w ; expire
-			      3h ; nxdomain ttl
-			     )
-       IN  NS     ns.kaz.sns.
-       IN  MX  10 smtp.kaz.sns.
-			 IN	A	100.80.0.2
-ns    IN  A      100.80.0.2
-dmz   IN A 100.80.0.2
-smtp  IN CNAME 	dmz
-imap  IN CNAME 	dmz
-www   IN CNAME 	dmz
-mail	IN	CNAME	dmz
-cloud	IN	CNAME	dmz
-tableur	IN	CNAME	dmz
-webmail	IN	CNAME	dmz
-garradin	IN	CNAME	dmz
-wiki	IN	CNAME	dmz
-git	IN	CNAME	dmz
-office	IN	CNAME	dmz
-depot	IN	CNAME	dmz
-ldap	IN	CNAME	dmz
-listes	IN	MX	10	listes
-listes	IN	A	100.80.1.2
-firewall   IN A 100.80.0.1
-firewall	IN	AAAA	2001:db8:80::0:1
-router		IN	A	100.80.0.1
-router		IN	AAAA	2001:db8:80::0:1

files/snster-kaz/main.yml

@@ -7,14 +7,14 @@ header:
 config:
   prefix: kaz
   nat-bridge: lxcbr0
-  default-master: bullseye
+  default-master: bookworm
 
 masters:
-  bullseye:
+  bookworm:
     backend: lxc
     template: debian
     parameters:
-      release: bullseye
+      release: bookworm
       arch: amd64
     family: debian
 
@@ -23,9 +23,8 @@ masters:
     template: download
     parameters:
       dist: alpine
-      release: 3.14
+      release: 3.21
       arch: amd64
-      no-validate: true
     family: alpine
 
 disabled-groups:

files/snster-kaz/mica/group.yml

@@ -11,8 +11,8 @@ hosts:
       interfaces:
         eth0:
           bridge: transit-a
-          ipv4: 100.64.1.140/24
-          ipv6: 2001:db8:b001::140/48
+          ipv4: 100.64.0.140/24
+          ipv6: 2001:db8:b000::140/48
         eth1:
           bridge: mica-lan
           ipv4: 100.82.0.1/16

files/snster-kaz/mica/infra/provision.sh

@@ -5,22 +5,36 @@ if [ -z $SNSTERGUARD ] ; then exit 1; fi
 DIR=`dirname $0`
 cd `dirname $0`
 
-# disable systemd-resolved which conflicts with nsd
-echo "DNSStubListener=no" >> /etc/systemd/resolved.conf
-systemctl stop systemd-resolved
+DEB_VERSION=`cat /etc/debian_version | cut -d'.' -f1`
+if [ $DEB_VERSION -eq "11" ] # DEB 11 aka Bullseye
+then
+	# disable systemd-resolved which conflicts with nsd
+	echo "DNSStubListener=no" >> /etc/systemd/resolved.conf
+	systemctl stop systemd-resolved
+fi
 
 # manage mica.sns zone
 apt-get update
 DEBIAN_FRONTEND=noninteractive apt-get install -y unbound
 cp dns.conf /etc/unbound/unbound.conf.d/
 
+# On place les certifs
+if  [ -f tls/root_ca.crt ]; then
+  cp -ar tls/root_ca.crt /usr/local/share/ca-certificates/
+  /usr/sbin/update-ca-certificates --fresh
+fi
 
 # Install smallstep CA / ACME server
 cd /tmp
-wget https://github.com/smallstep/cli/releases/download/v0.17.2/step-cli_0.17.2_amd64.deb
-dpkg -i step-cli_0.17.2_amd64.deb
-wget https://github.com/smallstep/certificates/releases/download/v0.17.2/step-ca_0.17.2_amd64.deb
-dpkg -i step-ca_0.17.2_amd64.deb
+wget "https://dl.smallstep.com/gh-release/cli/gh-release-header/v0.24.4/step-cli_0.24.4_amd64.deb"
+dpkg -i step-cli_0.24.4_amd64.deb
+wget "https://dl.smallstep.com/gh-release/certificates/gh-release-header/v0.24.2/step-ca_0.24.2_amd64.deb"
+dpkg -i step-ca_0.24.2_amd64.deb
+
+echo "password" > /root/ca-passwordfile
+step ca init --deployment-type=standalone --name="Kaz CA" --dns="ca.mica.sns" --acme --address=":443" --provisioner="contact@kaz.sns" --password-file="/root/ca-passwordfile" --root="${DIR}/tls/root_ca.crt" --key "${DIR}/tls/root_ca.key"
+echo -e '#!/bin/sh\nstep-ca --password-file /root/ca-passwordfile' >> /etc/rc.local
+chmod +x /etc/rc.local
 
 # step ca init
 # step ca root root.crt

files/snster-kaz/tld-sns/ns/provision.sh

@@ -6,9 +6,13 @@ if [ -z $SNSTERGUARD ] ; then exit 1; fi
 DIR=`dirname $0`
 cd `dirname $0`
 
-# disable systemd-resolved which conflicts with nsd
-echo "DNSStubListener=no" >> /etc/systemd/resolved.conf
-systemctl stop systemd-resolved
+DEB_VERSION=`cat /etc/debian_version | cut -d'.' -f1`
+if [ $DEB_VERSION -eq "11" ] # DEB 11 aka Bullseye
+then
+	# disable systemd-resolved which conflicts with nsd
+	echo "DNSStubListener=no" >> /etc/systemd/resolved.conf
+	systemctl stop systemd-resolved
+fi
 
 apt-get update
 DEBIAN_FRONTEND=noninteractive apt-get install -y nsd

files/snster-kaz/transit-a/group.yml

@@ -20,8 +20,8 @@ hosts:
       - bgprouter:
           asn: 30
           asdev: eth1
-          neighbors4: 100.64.0.10 as 10;100.64.0.30 as 7;100.64.0.40 as 8; 100.64.0.20 as 6; 100.64.0.50 as 13; 100.64.0.110 as 20; 100.64.1.140 as 12
-          neighbors6: 2001:db8:b000::10 as 10; 2001:db8:b000::30 as 7;2001:db8:b000::40 as 8; 2001:db8:b000::20 as 6; 2001:db8:b000::50 as 13; 2001:db8:b000::110 as 20; 2001:db8:b001::140 as 12
+          neighbors4: 100.64.0.10 as 10;100.64.0.11 as 11;100.64.0.30 as 7;100.64.0.40 as 8; 100.64.0.20 as 6; 100.64.0.50 as 13; 100.64.0.110 as 20; 100.64.0.140 as 12
+          neighbors6: 2001:db8:b000::10 as 10; 2001:db8:b000::11 as 11; 2001:db8:b000::30 as 7;2001:db8:b000::40 as 8; 2001:db8:b000::20 as 6; 2001:db8:b000::50 as 13; 2001:db8:b000::110 as 20; 2001:db8:b000::140 as 12
       - resolv:
           ns: 100.100.100.100
           domain: transit-a.sns

files/snster-kaz/transit-a/router/provision.sh

@@ -20,8 +20,8 @@ touch /etc/network/keepdhcp
 
 # Force lxc bridged interface metric (else, it grows to 200+interface_index, which can be large with successive  stop/start)
 # This metric must be lower than the one exported by BGP for the default route (static part below)
-mkdir /etc/udhcpc
-echo "IF_METRIC=200" > /etc/udhcpc/udhcpc.conf
+mkdir -p /etc/udhcpc
+echo "IF_METRIC=200" >> /etc/udhcpc/udhcpc.conf
 
 
 # customize bird config (BGP)
@@ -38,3 +38,5 @@ protocol static {
 # Add dnsmasq for external dns
 apk add dnsmasq
 rc-update add dnsmasq
+# dnsmasq listen on eth1
+echo "interface=eth1" >> /etc/dnsmasq.conf

files/sshd.conf

@@ -0,0 +1,2 @@
+PasswordAuthentication yes
+PermitRootLogin yes

files/vm-provision.sh

@@ -45,9 +45,18 @@ http_port 3142" >> /etc/squid/squid.conf
     # MAJ et Install
     DEBIAN_FRONTEND=noninteractive apt-get -y upgrade
     DEBIAN_FRONTEND=noninteractive apt-get -y dist-upgrade
-    DEBIAN_FRONTEND=noninteractive apt-get install -y apg curl git sudo unzip rsync firefox-esr tcpdump net-tools mousepad wireshark swapspace whois python3-lxc lxc python3-pygraphviz python3-pil python3-yaml imagemagick btrfs-progs docker-registry # could be with --no-install-recommends
+    DEBIAN_FRONTEND=noninteractive apt-get install -y linux-headers-`dpkg --print-architecture` virtualbox-guest-additions-iso dkms apg curl git sudo unzip rsync firefox-esr tcpdump net-tools mousepad wireshark swapspace whois python3-lxc lxc python3-pygraphviz python3-pil python3-yaml imagemagick btrfs-progs docker-registry # could be with --no-install-recommends
     DEBIAN_FRONTEND=noninteractive apt-get install -y xfce4 lightdm xfce4-terminal xserver-xorg gitk # needs to install recommends
 
+    # vbox guest utils
+    #VERSION=`curl https://download.virtualbox.org/virtualbox/LATEST-STABLE.TXT`
+    #curl https://download.virtualbox.org/virtualbox/$VERSION/VBoxGuestAdditions_$VERSION.iso -o /tmp/vbox.iso
+    #mount -o loop /tmp/vbox.iso /mnt
+    mount -o loop /usr/share/virtualbox/VBoxGuestAdditions.iso /mnt
+    /mnt/VBoxLinuxAdditions.run || true # vboxsf module will fail to load before reboot, expected behavior
+    /sbin/rcvboxadd quicksetup all || true
+    umount /mnt
+
     ssh-keygen -t rsa -b 4096 -N '' <<<$'\ny'
     rsync /root/.ssh/id_rsa.pub /root/.ssh/authorized_keys
 
@@ -78,11 +87,8 @@ http_port 3142" >> /etc/squid/squid.conf
     #faut virer exim, inutile
     DEBIAN_FRONTEND=noninteractive apt-get remove --purge -y exim4-base exim4-config exim4-daemon-light
 
-    #login ssh avec mot de passe
-    sed -i "s/PasswordAuthentication no/PasswordAuthentication yes/" /etc/ssh/sshd_config
-    if ! grep -q "PasswordAuthentication yes" /etc/ssh/sshd_config 2>/dev/null; then
-	     echo "PasswordAuthentication yes" >> /etc/ssh/sshd_config
-    fi
+    # config sshd
+    cp "${VAGRANT_SRC_DIR}/sshd.conf" /etc/ssh/sshd_config.d/kaz.conf
 
     # autorisation du routing et augmentation inotify
     if ! grep -q "net.ipv4.ip_forward" /etc/sysctl.conf 2>/dev/null; then
@@ -134,26 +140,22 @@ SystemMaxFileSize=2M
 EOF
     fi
 
-    # CA et certifs avec mkcert
+    # CA et certifs avec smallstep
 
-    echo -e "\n    #### mkcert\n"
-    DEBIAN_FRONTEND=noninteractive apt-get install -y libnss3-tools
+    echo -e "\n    #### smallstep\n"
+    cd /tmp
+    wget "https://dl.smallstep.com/gh-release/cli/gh-release-header/v0.24.4/step-cli_0.24.4_amd64.deb"
+    dpkg -i step-cli_0.24.4_amd64.deb
+    echo "password" > /root/ca-passwordfile
+    step ca init --deployment-type=standalone --name="Kaz CA" --dns="ca.mica.sns" --acme --address=":443" --provisioner="contact@kaz.sns" --password-file="/root/ca-passwordfile"
 
-    mkdir -p /root/mkcert
-    cd /root/mkcert
-    if [ ! -f mkcert ]; then
-	     wget https://github.com/FiloSottile/mkcert/releases/download/v1.4.3/mkcert-v1.4.3-linux-amd64 -O mkcert
-	     chmod +x mkcert
-	     mkdir -p /etc/letsencrypt/local/
-       export CAROOT=/etc/letsencrypt/local/
-       /root/mkcert/mkcert -install      # CA dans /etc/letsencrypt/local/
-       cd "${CAROOT}"
-       /root/mkcert/mkcert "*.kaz.sns" # cert et clé dans /etc/letsencrypt/local/
+    mkdir -p /root/tls
+    cp /root/.step/certs/root_ca.crt /root/tls/root_ca.crt
+    chmod 644 /root/tls/root_ca.crt
+    cp /root/.step/secrets/root_ca_key /root/tls/root_ca.key
+    step crypto change-pass /root/tls/root_ca.key --no-password --insecure --password-file="/root/ca-passwordfile" --force
 
-     	 mkdir -p /etc/letsencrypt/live/kaz.sns/
-       ln -s ../../local/_wildcard.kaz.sns.pem /etc/letsencrypt/live/kaz.sns/fullchain.pem
-       ln -s ../../local/_wildcard.kaz.sns-key.pem /etc/letsencrypt/live/kaz.sns/privkey.pem
-    fi
+    step certificate create "*.kaz.sns" /root/tls/wildcard.crt /root/tls/wildcard.key --profile leaf --ca /root/.step/certs/intermediate_ca.crt --ca-key /root/.step/secrets/intermediate_ca_key --ca-password-file /root/ca-passwordfile --bundle --force --no-password --insecure --not-after 20000h
 
     # Cache docker registry
     echo "proxy:
@@ -171,8 +173,8 @@ auth:
     cd
     git clone https://framagit.org/flesueur/snster.git
     cd snster
-    # git checkout tags/v1.1.0
-    git checkout fe59ef1f
+    git checkout tags/v1.2.0
+    # git checkout 34b7c57cb7480cb4b3a84d14a1a46b60d0eb5967
     ./install.sh
 
     # BTRFS avec hotfix sale de SNSTER
@@ -182,30 +184,35 @@ auth:
     mkfs.btrfs -f /root/btrfs.img
     echo "/root/btrfs.img	/var/lib/lxc	btrfs	loop	0	0" >> /etc/fstab
     mount /var/lib/lxc
-    sed -i -e "s/template=self.template/template=self.template, bdevtype='btrfs'/" /usr/local/lib/python3.9/dist-packages/backends/LxcBackend.py
+    sed -i -e "s/template=self.template/template=self.template, bdevtype='btrfs'/" /usr/local/lib/python3.11/dist-packages/backends/LxcBackend.py
 
     # SNSTER KAZ
     cp -ar ${VAGRANT_SRC_DIR}/snster-kaz /root
 
     # crypto keys
-    cp -ar /etc/letsencrypt /root/snster-kaz/kaz/prod/
-    cp -ar /etc/letsencrypt /root/snster-kaz/isp-a/home/
+    cp -ar /root/tls /root/snster-kaz/hoster-a/kaz1/
+    cp -ar /root/tls /root/snster-kaz/hoster-b/kaz2/
+    cp -ar /root/tls /root/snster-kaz/isp-a/home/
+    cp -ar /root/tls /root/snster-kaz/mica/infra/
+
 
     # On lie le filesystem de kaz-prod dans le /kaz de la VM pour le dév
-    ln -s /var/lib/lxc/kaz-kaz-prod/rootfs/ /kaz-prod
-    ln -s /kaz-prod/kaz /kaz
+    ln -s /var/lib/lxc/kaz-hoster-a-kaz1/rootfs/ /kaz1
+    ln -s /var/lib/lxc/kaz-hoster-b-kaz2/rootfs/ /kaz2
 
     # On met le KAZGUARD pour la mise au point
     echo "export KAZGUARD='true'" >> /root/.bashrc
 
-    # Build SNSTER KAZ !
-    snster -c /root/snster-kaz create
+    # quelques détails
     cp "${VAGRANT_SRC_DIR}/vm-upgrade.sh" /root/
     chmod +x /root/vm-upgrade.sh
 
     echo -e '#!/bin/sh\nsnster -c /root/snster-kaz start' >> /etc/rc.local
     chmod +x /etc/rc.local
 
+    # Build SNSTER KAZ !
+    snster -c /root/snster-kaz create
+
     echo "########## ********** End Vagrant $(date +%D-%T)"
 )  > >(tee ${DebugLog}stdout.log) 2> >(tee ${DebugLog}stderr.log >&2)
 

files/vm-upgrade.sh

@@ -15,23 +15,29 @@ git pull
 sed -i -e "s/template=self.template/template=self.template, bdevtype='btrfs'/" /usr/local/lib/python3.9/dist-packages/backends/LxcBackend.py
 
 # On récupère le dernier kaz-vagrant
+if [ -z "${KAZBRANCH}" ] ; then
+   KAZBRANCH="master"
+fi
 cd /tmp
-git clone https://git.kaz.bzh/KAZ/kaz-vagrant.git || (cd kaz-vagrant && git pull)
+git clone https://git.kaz.bzh/KAZ/kaz-vagrant.git || (cd kaz-vagrant && git fetch && git switch "${KAZBRANCH}" && git pull)
 cd /tmp/kaz-vagrant
-git switch develop-snster
+git switch "${KAZBRANCH}"
 
 # On écrase les anciens fichiers
 cp -ar /tmp/kaz-vagrant/files/snster-kaz /root/
 # crypto keys
-cp -ar /etc/letsencrypt /root/snster-kaz/kaz/prod/
-cp -ar /etc/letsencrypt /root/snster-kaz/isp-a/home/
+cp -ar /root/tls /root/snster-kaz/hoster-a/kaz1/
+cp -ar /root/tls /root/snster-kaz/hoster-b/kaz2/
+cp -ar /root/tls /root/snster-kaz/isp-a/home/
+cp -ar /root/tls /root/snster-kaz/mica/infra/
 
 # On détruit et reconstruit tout sauf kaz-prod
 SNSTER="snster -c /root/snster-kaz"
 $SNSTER destroy isp-a-home
 $SNSTER destroy isp-a-infra
 $SNSTER destroy isp-a-router
-$SNSTER destroy kaz-router
+$SNSTER destroy hoster-a-router
+$SNSTER destroy hoster-b-router
 $SNSTER destroy mica-router
 $SNSTER destroy mica-infra
 $SNSTER destroy opendns-router