NAV referansegruppemøte 10. februar 2026

NAV-ref Home

Tilstede:

• Øyvind Nesland, UiA
• Ingeborg Hellemo, UiT
• Nils-Arild Grav, NTNU
• Sigurd Refvik, UiO
• Morten Werner Forsbring, UiO

• Knut-Helge Vindheim, Sikt (Gikk tidlig)
• Hanne Moa, Sikt
• Johanna England, Sikt
• Simon Oliver Tveit, Sikt
• Aleksander Fløtten, Sikt
• Morten Brekkevold, Sikt
• Simen Abelsen, Sikt

Forfall:

• Vidar Faltinsen, Sikt

Møtet blir avholdt som videokonferanse vha. Zoom, fra kl. 12:00 til 15:00.

Morten ønsker velkommen på vegne av Sikt.

• NAV 5.15.0
  • Dashboards er nå faktisk delbare mellom brukere
  • Preview av navbar-søkeresultater
  • MAC-adresseinfo for devices
  • VLAN netidents i portlisten
  • En mengde bugfikser
  • Mye rydding/fjerning/oppgradering av gammel frontend-kode
  • Nærmere målet om CSRF-protection på hele NAV-siden
• NAV 5.15.1
  • Bugfikser for diverse regresjoner i 5.15
• NAV 5.16.0
  • Endelig oppgradert jQuery til en nogenlunde moderne versjon
  • Slutt på å lekke API-tokens i loggene
  • Fiks for potensiell XSS i auditlog
  • Auditlogging av API-token-endringer
  • Søk på serienummer er nå mulig i Device History
  • Lagt til test/research-program nav_cisco_auth_session for uthenting av informasjon om Cisco authentication framework-data for switcheporter.
  • Mer JavaScript-ræl kastet til fordel for enklere HTMX-baserte implementasjoner.
  • En mengde bugfikser, også for regresjoner introdusert i 5.15.
• NAV 5.16.1
  • Bugfikser for flere regresjoner
  • Bugfiks for logengine ifm. at rsyslog på Debian byttet til ISO-timestamps fremfor gammeldagse BSD timestamps

Vi jobber ufortrødent videre med #2248. Vi har skrevet om hele auth-rammeverket til NAV til Djangos måte å gjøre ting på, slik at vi mye lettere kan plugge inn tredjeparts biblioteker for alle mulige autentiserings- og autorisasjonsbehov. Dette blir del av NAV 5.17 (byttet i seg selv skal dog være umerkelig).

Vi jobber nå med å implementere django-allauth, som både vil gjøre det mulig å implementere MFA og senere bedre Feide-integrasjon.

• #1936
• Utviklet nav_cisco_auth_sessions for testing, men savner fremdeles feedback fra NTNU om hvilke switcher som kan testes mot (se forrige møtereferat: navref_281025)
  • NTNU: Hva legges i “test”? Forutsatt kun lesing av data, kan f.eks kalv-110-sw benyttes. Men husk at dette da er en switch som står i produksjon med mye personlige data (autentiserte brukernavn på hvilke porter og IP-adresser i kombinasjon med trafikklogg kan knekke anonymiteten)
  • (men vi kan live-demoe nav_cisco_auth_sessions på møtet)
  • Er CISCO-PAE-MIB i det hele tatt aktuell lenger om vi får alt vi trenger fra CISCO-AUTH-FRAMEWORK-MIB?
  • NTNU: CISCO-PAE-MIB viser bare vlan 0 antageligvis pga multiauth. For multi-auth gir der mer mening å se på pågående autentiserte sesjoner per port. Med CISCO-AUTH-FRAMEWORK-MIB finner man info om klient og VLAN, etc
• Savner også feedback fra CNaaS om hvor vi har testkandidater for Juniper.

• En gammel perle: #2915
• Historikken til saken er oppsummert, men vi forstår fremdeles ikke problemstillingen. Enten må vi fylle på spesifikasjonen så vi skjønner hva det spørres etter, eller så lukker vi saken.

Som nevnt i navref_281025 skulle UiO lage et issue her.

Runde rundt “bordet”. Foreløpig ingen forhåndsinnmeldte saker.

• Ikke noe nytt, men venter fortsatt på innmeldte punkter i arbeidslista:
• Innsamling av live port-status fra Cisco SDA. https://github.com/Uninett/nav/issues/3217 .
• Mulighet for registrering av utstyr(MAC) for MAB-autentisering, ref iotroam-løsning. https://github.com/Uninett/nav/issues/3300
• Tilgangstyring for å begrense PortAdmin-brukere til å bare konfigurere port-description. https://github.com/Uninett/nav/issues/3298
• Dot1x-admin på Cisco-svitsjer utenfor SDA. https://github.com/Uninett/nav/issues/2164
• Support for MFA. https://github.com/Uninett/nav/issues/2248
• Mulighet for invertert søk for Last seen (days ago) under fanen Netbox interfaces i et Room-view. https://github.com/Uninett/nav/issues/3313

• Netmap
  • Gir ikke god nok oversikt som igjen gjør at Sikt sin NOC ikke kan se hvordan nettet hos en kunde henger sammen.
  • Savner mulighet til å vise både lag2 og lag3 samtidig.
  • Viser ikke alltid rette struktur
• En kunde av oss ønsker seg mulighet til å sette opp overvåkning av porter hvor det ikke er kjent nabo bak.
• Mulighet til å filter bgp overvåking, spesielt for serverrom hvor det er utstrakt bruk av bgp mot servere
• Terskel monitorering, mulighet til å filtrere å varsle kun der det er en kjent boks bak. Vi bruker dette til å varsle på optikk verdier og ønsker ikke varsling når servere som også henger på optikk bootes.
• IPAM i NAV, i dag er det ikke mulig å legge inn et scope i IPAM-en til NAV dersom det også eksisterer et prefiks som er funnet fra ruter/FW med nøyaktig samme maske. Dette gjør at vi ikke kan legge inn scopes for kunder som mange små prefiks tildelt fra Forskningsnett.

Vi velger neste møtedato. Medio mai?

NAV-releases og nyheter fra agendaen ble gjennomgått og demonstrert.

Underveis ble det kommentert at det nye søkegrensesnittetet i Maintenance-grensesnittet er veldig mye mer effektivt enn den gamle komponentvelgeren, men man blir litt ubehjelpelig om når man ikke husker navn på ting man skal søke etter. Kan vi kanskje utvikle en ny komponentvelger i tillegg til søket, slik at man kan lete opp lokasjoner og rom når man ikke husker navnet på dem?

* AKSJON: Morten lager et issue om dette, ut i fra sin forståelse, og så kan Simen og dev-teamet drodle litt over noe forslag til forbedret grensesnitt.

Overgangen til Djangos standard autentiseringsflyt er ferdig og klar for release i NAV 5.17, og arbeidet med django-allauth er i gang - men var dessverre ikke klart til demonstrasjon på møtet.

Live-demo av nav_cisco_auth_sessions ble vist mot NTNU-utstyr. Diskusjonen fra forrige møte ble videreført.

Nils-Arild savner SGT (Security Group Tags) i dataene som hentes fra CISCO-AUTH-FRAMEWORK-MIB. Det er kanskje også slik at dette henger tettere sammen med Fetch switch port VN (VRF) and Security Group Tag (SGT) from Cisco SDA #3217 enn først antatt: SGT og VN kan kanskje hentes med SNMP direkte fra switch, uten å gå via et kontroller-API.

• AKSJON: Morten deler rådata fra auth-framework-data fra NTNU-switcher med Nils-Arild, slik at han kan vurdere om det dekker NTNUs behov, eller om det må graves mer.
• AKSJON: Morten maser på Knut-Helge om test-switcher og/eller Juniper-MIBs for dot1x-informasjon, slik at vi kan begynne å se på Juniper-støtte.

Problemstillingen i #2915 ble diskutert videre. Det kan se ut som at NAVs funksjon for å vise uplinks for servere i Machine Tracker er dekkende nok, men at dataene bare er mangelfulle for enkelte servere. Dev-teamet har ikke tilgang til UiTs NAV-installasjon for debugging av topologidata, men UiA har noen tilfeller av det samme.

• AKSJON: UiA (Øyvind) finner en SRV som mangler uplink i NAV (sammen med fasit som viser hvordan den faktisk er koblet opp) og melder tilbake, slik at teamet kan debugge problemet.

Ingen oppdatering på dette punktet. UiO skulle lage et issue etter forrige møte, Werner skal følge opp.

Intet nytt å melde utover det som allerede står på arbeidslisten (se agenda).

Innmeldt ønskeliste ble gjennomgått, men Knut-Helge måtte gå tidlig, og det er vanskelig å ha noen fornuftig diskusjon om punktene når representanten mangler.

Opplever en bug med at “save” i PortAdmin er treg – dialogboksen for bekreftelse dukker opp først etter en lang stund, i stedet for umiddelbart. Dette er ikke observert av dev+team.

* AKSJON: Simen forsøker å reprodusere problemet og registrerer issue om det er reproduserbart.

Werner hadde ingenting nytt å melde; alt som er innmeldt er på gang.

Ideen om et Netbox-synkroniseringsmøte for sektoren ble tatt opp igjen. UiO og UiT er blant de interesserte.

* AKSJON: Morten diskuterer med CNaaS-teamet ønsket om å ta med UiO og UiT på en gjennomgang av det vi gjør mtp. på Netbox-NAV-syncing i CNaaS.

Neste møte ble avtalt til tirsdag 12. mai 2026 kl. 12:00-15:00.