====== NAV referansegruppemøte 12. mai 2026 ======

[[nav-ref|NAV-ref Home]] | [[nav-ref:navref_100226|forrige møte]]


Tilstede:

  * Øyvind Nesland, //UiA//
  * Ingeborg Hellemo, //UiT//
  * Nils-Arild Grav, //NTNU//

  * Knut-Helge Vindheim, //Sikt//
  * Hanne Moa, //Sikt//
  * Johanna England, //Sikt//
  * Simon Oliver Tveit, //Sikt//
  * Aleksander Fløtten, //Sikt//
  * Morten Brekkevold, //Sikt//

Forfall:

  * Sigurd Refvik, //UiO//
  * Morten Werner Forsbring, //UiO//
  * Vidar Faltinsen, //Sikt//

===== Agenda =====

Møtet blir avholdt som videokonferanse vha. Zoom, fra kl. 12:00 til 15:00.

==== 0. Velkommen/Innledning ====

Morten ønsker velkommen på vegne av Sikt.

==== 1. Presentasjoner/Status ====

=== Endringer i teamet ===

Simen har dessverre sagt opp sin stilling i Bouvet og vi har derfor ikke lenger noen dedikert frontend-ressurs i teamet fra mai og utover. Vi jobber med saken.

=== NAV-releases siden forrige møte ===

  * [[https://github.com/Uninett/nav/releases/tag/5.17.0|NAV 5.17.0]]
    * **Endelig** byttet ut NAVs hjemmesnekrede autentiseringssystem med Djangos eget. Forventer at det kan være små issues, men det meste er testet og funnet i orden på VK-plattform.
    * CSRF-protection er nå skrudd på i hele NAVs webgrensesnitt ([[https://github.com/Uninett/nav/issues/3395|#3395]])
    * jQuery oppgradert til versjon 4 ([[https://github.com/Uninett/nav/issues/3730|#3730]])
    * "More than"/"less than" på //Last Seen//-filteret i Room-view ([[https://github.com/Uninett/nav/issues/3313|#3313]])
    * Component-browser "gjeninnført" i Maintenance Tasks (for de som ikke vet hva de skal søke etter) ([[https://github.com/Uninett/nav/issues/3778|#3778]])
    * SNMPv3 context-switching for logiske MIB-instanser, brukt for CAM-innsamling på Cisco ([[https://github.com/Uninett/nav/issues/2811|#2811]])
    * PortAdmins feedback-dialog kommer nå umiddelbart ved klikk på "Save" ([[https://github.com/Uninett/nav/issues/3772|#3772]])
    * DHCP-statistikkgrafer på VLAN- og prefiks-sider når data finnes i Graphite ([[https://github.com/Uninett/nav/issues/2373|#2373]])
    * Andres dashboards man abonnerer på kan settes som default ([[https://github.com/Uninett/nav/issues/3572|#3572]])
  * [[https://github.com/Uninett/nav/releases/tag/5.17.1|NAV 5.17.1]]
    * Hovedsakelig regresjonsfikser fra den store auth-omleggingen
    * ''REMOTE_USER''-støtten er tilbake -- en regresjon på målstreken
    * Fikset bug i Eventengine som i noen tilfeller forsinket boxDown-alarmer med flere timer ([[https://github.com/Uninett/nav/issues/3798|#3798]])
    * Fikset kræsj-bug i Netmap når kartet er for stort til å lagres i memcache.
    * active-ip-collector (bakgrunnsjobb) ~10x raskere takket være bedre bruk av partial indexes på ''arp''
  * [[https://github.com/Uninett/nav/releases/tag/5.18.0|NAV 5.18.0]]
    * **Aliaser for rom og lokasjoner** -- søkbart over hele NAV (navbar, global søk, device history, maintenance, netmap, network explorer, status-widgets, REST API), bulk-importerbart ([[https://github.com/Uninett/nav/issues/3314|#3314]] m.fl.)
    * **MFA og føderasjon via ''django-allauth''**: TOTP, OAuth2, OIDC og SAML, konfigurert i ny TOML-fil ''webfront/authentication.toml'' ([[https://github.com/Uninett/nav/issues/3622|#3622]] m.fl.)
    * Ny rapport over enheter uten kjent uplink -- nyttig i sammenheng med [[https://github.com/Uninett/nav/issues/2915|#2915]]?
    * Auditlog-tabellen kan nå sorteres per kolonne, med lenker til aktører/objekter/mål som fortsatt fins
    * CSRF-cookien markeres ''Secure'' når ''needs_tls'' er satt ([[https://github.com/Uninett/nav/issues/3829|#3829]])
    * Passord lekker ikke lenger i klartekst i Djangos error-mailer ved LDAP-krasj ([[https://github.com/Uninett/nav/issues/3870|#3870]])

=== Argus-nyheter siden forrige møte ===

=== Hva vi jobber med nå (mot NAV 5.19) ===

  * Kartlegging av hvordan vi vil sette opp Feide-autentisering i NAV for CNaaS-verktøykasser (å forstå hvordan vi gjør tilgangskontroll blir viktig)
  * Teknisk gjeld:
    * Django 5.2
    * psycopg3
    * Deprecation av Python < 3.11
  * Features:
    * [[https://github.com/Uninett/nav/issues/1936|Show dynamically selected VLAN for ports and source of selection (native, 802.1X, MAB) #1936]]
    * [[https://github.com/Uninett/nav/issues/3298|Add option to restrict PortAdmin users to only setting port descriptions #3298]]
  * Reviewe og ta inn UI-forbedringer Simen jobbet med før han slutta.

==== 2. Fokus for videre utvikling/tilbakemelding ====

==== 3. Nye ønsker og innspill fra gruppen ====

Runde rundt "bordet". Foreløpig ingen forhåndsinnmeldte saker.

=== NTNU ===

  * Ikke noen nye saker. Vi registrerer at noen av våre punkter nå er løst. Flott! Vi venter fortsatt på øvrige innmeldte punkter i arbeidslista:
  * "se-glass": Innsamling av live port-status fra Cisco SDA.   https://github.com/Uninett/nav/issues/3217 .
  * Mulighet for registrering av utstyr(MAC) for MAB-autentisering, ref iotroam-løsning. https://github.com/Uninett/nav/issues/3300
  * Tilgangstyring for å begrense PortAdmin-brukere til å bare konfigurere port-description. https://github.com/Uninett/nav/issues/3298
  * Dot1x-admin på Cisco-svitsjer utenfor SDA.  https://github.com/Uninett/nav/issues/2164 .  Vi har en løsning for HP/Aruba utviklet av Knut Helge, men den mangler/trenger videreutvikling for Cisco-support. Kanskje noe derfra kan brukes som utgangspunkt?


==== 4. Neste møte ====

Vi velger neste møtedato. Medio september / tidlig oktober? Synergi-effekt med nettsamling?



===== Referat =====

==== 0. Velkommen/Innledning ====

Etter rundt 10-11 minutter med teknisk krøll med Zoom-integrasjonen (eller mangel på sådan) i  fysisk møterom i Teknostallen, kom møtet i gang fra nytt rom og vi fikk ønsket deltakerne velkommen.

==== 1. Presentasjoner/Status ====

Endringer i NAV siden forrige møte, slik de ble beskrevet i agenda, ble gjennomgått.  Både room/location alias og MFA ble (forsøkt) demonstrert. MFA-demonstrasjonen feilet (på tross av at den har virket før), og vi oppdaget at sletting av alias ikke fungerte som forventet, så det tar utviklerteamet med seg tilbake til issue-listen.

  * <del>:!: **AKSJON:** Utviklerteamet oppretter issue på manglende mulighet til sletting av alias.</del>
    * [[https://github.com/Uninett/nav/pull/4002|Fix alias removal not being saved in SeedDB #4002]]
  * <del>:!: **AKSJON:** Utviklerteamet dobbeltsjekker at enabling av MFA fungerer (i demoen havnet man i en innloggings-loop).</del>
    * [[https://github.com/Uninett/nav/issues/4003|[BUG] LDAP reauthentication invalidates session, preventing TOTP activation #4003]]

Det ble ellers nevnt at Argus 2.8 endelig har fått på plass en "task-kø", slik at varslinger ikke håndteres av webserveren, men av en bakgrunnsjobb. Sikt planlegger fremdeles å få på plass Argus som en tilleggstjeneste på verktøykasseplattformen i løpet av 2026.

==== 2. Fokus for videre utvikling/tilbakemelding ====

  * Simon skal se på [[https://github.com/Uninett/nav/issues/3298|Add option to restrict PortAdmin users to only setting port descriptions #3298]] og fikk stilt NTNU noen initielle spørsmål om hvordan man skal skille på switcher som skal være begrenset og hvilke som ikke skal være det. Oppfølgingsspørsmål tas direkte med Nils-Arild underveis.

==== 3. Nye ønsker og innspill fra gruppen ====

NTNU har ingenting nytt å melde, men ser positivt på all framgang i sine ønskesaker.  UiT ser at vi nærmer oss ACI-oppgaven på arbeidslisten og ser fram til det - men har ellers tilgode å oppgradere til NAV 5.18 for å teste nye features.

Ingen andre hadde noe spesielt nytt å melde, men det avstedkom en del diskusjon på tvers i gruppen om maskinsporing, og topologi, hvor flere har problemer.  Spesifikt dreide diskusjonen seg om gjengangeren [[https://github.com/Uninett/nav/issues/2915|[BUG] CAM data not collected for devices of type SRV and OTHER #2915]].

Utviklerteamet har en aktiv dialog med UiA med debugging av manglende topologiinformasjon. Så langt tyder det på at UiAs problem er følgende:
  * AV-teamet forsøker å søke opp utstyr ''X'' og ''Y'' i NAV, basert på MAC-adresser, for å finne dem i NAVs topologi, men får ingen treff.
  * ''X'' og ''Y'' henger bak en Crestron-kontroller ''C''. Denne kontrolleren er registrert som en device i kategorien ''OTHER'' i NAV og overvåkes kun på IP, ikke SNMP.
  * Fordi NAV anser ''C'' sin uplink-port ''P'' som en topologi-port, logges ikke CAM-data fra denne.
  * Fordi NAV ikke kan hente forwarding-informasjon fra ''C'' med SNMP, kan ikke NAV si noe om naboskap bak denne.
  * Dersom f.eks. ''X'' legges inn i NAV, vil ikke NAV kunne velge mellom ''X'' og ''C'' som faktiske naboer på ''P'' (med mindre ''C'' og ''P'' begge støtter LLDP)

Flere opplever topologi-problemer av litt samme type.  CNaaS opplever også en del problemer som de har til gode å rapportere/analysere/diskutere med utviklerteamet.

Føljetongen i #2915 er litt vanskelig å følge, siden historikken er såpass gammel, diskusjonen genererer noen idéer som utviklerne får lyst til å prøve ut, blant annet:

  * Kan NAV gi tydeligere tilgang til lagrede naboskapskandidater når man ikke får treff på uplink-data, slik at man iaf. kan debugge topologien lettere?
    * Naboskapskandidat-rapporten er litt skjult bak et ikon på "port details"-siden, i feltet som viser naboskap.
    * Ingenting vises i IP Device-siden under "Uplink" om ikke topologi er funnet, men her fins ingen snarvei til å se hvilke kandidater NAV har //vurdert//.
  * Kan man lage en config-option der admin kan be NAV samle camlogger for en port på tross av at den er en topologi-port?
  * Historiske problemer med løsning på #2915 skyldtes blant annet at løsningene gikk til verks med å samle alle sporingsdata for porter høye opp i hierarkiet i en broadcast-domene, og om man camlogger portene på en distribusjonsswitch får man potensielt *svært mange* resultater som forsøpler NAV-databasen og gjør alt tregt.
    * Kan camloggeren kanskje bruke allerede "fastsatt" topologi som input til å klassifisere porter midlertidig som aksessporter for camlopggingsforsøk, dersom de har "tegn" på å være aksessport? I.e. det henger utstyr på den som ikke støtter SNMP, og det henger ikke noe mer i hierarkiet bak den?

==== 4. Neste møte ====

Det ble diskutert muligheten for å holde et etterlengtet fysisk nav-refmøte ifm. at mange likevel kommer til Trondheim for å delta på [[https://sikt.no/arrangement/kunnskapssektorens-nettverks-og-cybersikkerhetsdager-2026|Kunnskapssektorens nettverks- og cybersikkerhetsdager 2026]] 21.-23. september.

Det er noen utfordringer med at dette er mandag-onsdag, og er todelt, med nettsamling i 1,5 dager og sikkerhetssamling i 1,5 dager. Noen vil være med på begge deler, noen bare på én del.

Vi reserverte foreløpig torsdag 24. september, men forsøker avklare om vi kan snike inn //nav-ref// like før eller under programmet slik at de som ikke skal på sikkerhetssamlingen slipper å henge igjen i Trondheim bare for nav-ref.  Endringer kan fremdeles komme, med andre ord.