Tilstede:
Forfall:
Møtet blir avholdt som videokonferanse vha. Zoom, fra kl. 09:00 til 12:00.
Morten ønsker velkommen på vegne av Sikt.
Runde rundt “bordet”. UiT har meldt inn ett innspill i forkant:
Ønske om ny funksjonalitet: Søk på serienummer i søkefeltet
Vi velger neste møtedato, ca. 5. mars.
Morten ønsket velkommen på vegne av Sikt.
Status for utvikling den siste tiden ble presentert.
SNNMPv3 seilte opp som høyeste prioritet etter at CNaaS-tjenesten har blitt solgt inn til kunder som har strenge sikkerhetskrav til kommunikasjon på nett (i.e. mangel på SNMPv3 er en “dealbreaker”).
SNMPv3 management profiles ble kort demonstrert, og det ble understreket at støtten fremdeles ikke gjelder SNMP traps.
Dette ble kort vist fram for en Juniper produksjonsswitch i Sikt. UiA har testet NAV 5.8 den siste uken og har litt problemer med å få dette til å virke for Cisco-switcher.
HiVolda ba om en redegjørelse for hva både de ferdige og de uferdige JWT-endringene innebærer.
JWT (JSON Web Tokens) er kort forklart gjennomsiktige tokens brukt til autentisering mot API-er. I motsetning til NAVs nåværende ugjennomsiktige tokens (en random hex-streng som NAV må ta vare på som et slags “passord”), fungerer JWT-tokens som lesbare krav om API-tilganger, men som må være signert av en nøkkel som API-et stoler på. Det fins en rekke standardiserte “krav” i et JWT-token som sier noe om gyldighetstiden for tokenet, og for hvilken tjeneste det er utstedt for, og bør et API ta hensyn til.
De endringene som tidligere er gjennomført er at NAV kan konfigureres til å slippe inn klienter i API-et dersom de presenterer gyldige JWT-tokens (hvor gyldighetstiden ikke er gått ut), signert av en kilde som man har konfigurert NAV til å stole på.
Det som jobbes med, men som ikke er ute i en NAV-release enda er muligheten til at NAV kan utstede og signere sine egne JWT-tokens, slik at vi på lengre sikt kan fjerne den gamle token-løsningen helt, uten å gjøre NAV avhengig av en tredjepart for token-utstedelse.
Vi har forbedret dokumentasjonen og integrasjonen rundt “ekstern” integrasjon av Feide, dvs. autentisering/autorisasjon vha. moduler i webserveren (Apache), fremfor at NAV forestår selve innloggingsbiten. De to aktuelle modulene som dokumenteres med howto-guides er mod_auth_openidc
og mod_mellon
.
Det understrekes dog at ved slike “eksterne” løsninger blir NAVs egen innloggingsmekanisme koblet ut. UiT kommenterer at dette er en “showstopper” for å ta dette i bruk, da det innebærer at man ikke har en “bakvei” inn i NAV dersom koblingen til Feide skulle falle ut.
Sikt understreker at vi på lenger sikt vil jobbe for at NAVs brukermodell integreres bedre med Djangos brukermodell, slik at vi kan være i stand til å ta i bruk alle godt utprøvde og populære tredjeparts-bibliotekene for å integrere forskjellige former for autentisering i en Django-applikasjon, inkludert SAML. På denne måten kan NAV fortsatt tilby lokal login.
Det er gjennomført en penetrasjonstest av NAV av sikkerhetsfolk i Sikt, blant annet med bakgrunn i sikkerhetskrav fra nye CNaaS-kunder.
Penetrasjonstesten har påvist en del problemer som bør rettes opp, men rapporten forelå først i går ettermiddag, så den vil måtte gjennomgås og prioriterte oppgaver settes opp først på nyåret, da resten av 2023 består for en stor del av reiseaktivitet og ferieavvikling i teamet.
Vi vil fortsette å jobbe med å tilpasse NAV til å fungere godt med f.eks. nyere versjoner av Python. Vi trenger å komme oss opp på Python 3.11 og senere 3.12, og vil droppe støtten for 3.7 så snart vi får oppgradert verktøykassene fra Debian 10 (Buster) til Debian 11 (Bullseye) og senere Debian 12 (Bookworm).
Dessuten er det en gjentagende problem at NAV henger ganske langt bak i tid når det gjelder måten tredjeparts JavaScript-biblioteker blir håndtert i webgrensesnittet, der NAV bundler en rekke gamle versjoner av JS-biblioteker med potensielle sårbarheter i seg. Her jobbes i kulissene for å få modernisert NAVs modell.
Vi har enda ikke begynt med Cable test from NAV #1508, men utviklerne fikk etterspurt hvor funksjonaliteten antas å høre hjemme i NAV, og det ble raskt konsensus om at PortAdmin bør være riktig sted.
Formodentlig vil neste sprint fokusere først og fremst på retting av potensielle funn fra penetrasjonstesten, men også på å ferdigstille de features som allerede er under utvikling. Vi ser derfor ikke noe stort behov for feedback til utviklingen på nåværende tidspunkt.
Runde rundt bordet. Vi starter med UiT, som har kommet med ett skriftlig innspill i forkant av møtet.
ipdevinfo
.ipdevinfo
faktisk er lagt opp.ipdevinfo
.Det oppsto spontant en diskusjon blant alle om innsynsrettigheter i NAV. Dette har vært diskutert flere ganger før uten at det har fått noen helt konkrete følger: Authorization based on users organizational affiliation (#1046)
HiVolda forsøkte å legge til noen NAV-brukere og ga de medlemskap i en organisasjonsenhet, og trodde med dette at de kunne begrense vedkommendes innsyn til å bare gjelde utstyr knyttet til denne organisasjonen. Dette er ikke tilfelle.
Generelt kan organisasjonenheter i NAV knyttes til følgende dataelementer:
I tillegg er organisasjoner hierarkiske i NAV, noe som kan forstås som at brukere f.eks. har implisitt medlemskap i alle underorganisasjoner.
Hvordan kan man begrense brukeres innsyn basert på dette? Forslag:
ipdevinfo
kan vise bare bokser som er registrert på en organisasjon som brukeren er medlem av.machinetracker
kan bare vise IP-adresser på VLAN som tilhører en organisasjon brukeren er medlem av.Ubesvarte spørsmål:
Neste møtedato ble satt til 5. mars, klokken 9-12, hovedsakelig som videomøte.