NAV-ref Home

Innkalt:

• Øyvind Nesland, UiA
• Ingeborg Hellemo, UiT
• Nils-Arild Grav, NTNU
• Sigurd Refvik, UiO
• Morten Werner Forsbring, UiO

• Vidar Faltinsen, Sikt
• Knut-Helge Vindheim, Sikt
• Hanne Moa, Sikt
• Johanna England, Sikt
• Simon Oliver Tveit, Sikt
• Aleksander Fløtten, Sikt
• Morten Brekkevold, Sikt
• Simen Abelsen, Sikt

Møtet blir avholdt som videokonferanse vha. Zoom, fra kl. 12:00 til 15:00.

Morten ønsker velkommen på vegne av Sikt.

• NAV 5.15.0
  • Dashboards er nå faktisk delbare mellom brukere
  • Preview av navbar-søkeresultater
  • MAC-adresseinfo for devices
  • VLAN netidents i portlisten
  • En mengde bugfikser
  • Mye rydding/fjerning/oppgradering av gammel frontend-kode
  • Nærmere målet om CSRF-protection på hele NAV-siden
• NAV 5.15.1
  • Bugfikser for diverse regresjoner i 5.15
• NAV 5.16.0
  • Endelig oppgradert jQuery til en nogenlunde moderne versjon
  • Slutt på å lekke API-tokens i loggene
  • Fiks for potensiell XSS i auditlog
  • Auditlogging av API-token-endringer
  • Søk på serienummer er nå mulig i Device History
  • Lagt til test/research-program nav_cisco_auth_session for uthenting av informasjon om Cisco authentication framework-data for switcheporter.
  • Mer JavaScript-ræl kastet til fordel for enklere HTMX-baserte implementasjoner.
  • En mengde bugfikser, også for regresjoner introdusert i 5.15.
• NAV 5.16.1
  • Bugfikser for flere regresjoner
  • Bugfiks for logengine ifm. at rsyslog på Debian byttet til ISO-timestamps fremfor gammeldagse BSD timestamps

Vi jobber ufortrødent videre med #2248. Vi har skrevet om hele auth-rammeverket til NAV til Djangos måte å gjøre ting på, slik at vi mye lettere kan plugge inn tredjeparts biblioteker for alle mulige autentiserings- og autorisasjonsbehov. Dette blir del av NAV 5.17 (byttet i seg selv skal dog være umerkelig).

Vi jobber nå med å implementere django-allauth, som både vil gjøre det mulig å implementere MFA og senere bedre Feide-integrasjon.

• #1936
• Utviklet nav_cisco_auth_sessions for testing, men savner fremdeles feedback fra NTNU om hvilke switcher som kan testes mot (se forrige møtereferat: navref_281025)
  • NTNU: Hva legges i “test”? Forutsatt kun lesing av data, kan f.eks kalv-110-sw benyttes. Men husk at dette da er en svitch som står i produksjon med mye personlige data (autentiserte brukernavn på hvilke porter og IP-adresser i kombinasjon med trafikklogg kan knekke anonymiteten)
  • (men vi kan live-demoe nav_cisco_auth_sessions på møtet)
  • Er CISCO-PAE-MIB i det hele tatt aktuell lenger om vi får alt vi trenger fra CISCO-AUTH-FRAMEWORK-MIB?
  • NTNU: CISCO-PAE-MIB viser bare vlan 0 antageligvis pga multiauth. For multi-auth gir der mer mening å se på pågående autentiserte sesjoner per port. Med CISCO-AUTH-FRAMEWORK-MIB finner man info om klient og VLAN, etc
• Savner også feedback fra CNaaS om hvor vi har testkandidater for Juniper.

• En gammel perle: #2915
• Historikken til saken er oppsummert, men vi forstår fremdeles ikke problemstillingen. Enten må vi fylle på spesifikasjonen så vi skjønner hva det spørres etter, eller så lukker vi saken.

Som nevnt i navref_281025 skulle UiO lage et issue her.

Runde rundt “bordet”. Foreløpig ingen forhåndsinnmeldte saker.

• Ikke noe nytt, men venter fortsatt på innmeldte punkter i arbeidslista:
• Innsamling av live port-status fra Cisco SDA. https://github.com/Uninett/nav/issues/3217 .
• Mulighet for registrering av utstyr(MAC) for MAB-autentisering, ref iotroam-løsning. https://github.com/Uninett/nav/issues/3300
• Tilgangstyring for å begrense PortAdmin-brukere til å bare konfigurere port-description. https://github.com/Uninett/nav/issues/3298
• Dot1x-admin på Cisco-svitsjer utenfor SDA. https://github.com/Uninett/nav/issues/2164
• Support for MFA. https://github.com/Uninett/nav/issues/2248
• Mulighet for invertert søk for Last seen (days ago) under fanen Netbox interfaces i et Room-view. https://github.com/Uninett/nav/issues/3313

• Netmap
  • Gir ikke god nok oversikt som igjen gjør at Sikt sin NOC ikke kan se hvordan nettet hos en kunde henger sammen.
  • Savner mulighet til å vise både lag2 og lag3 samtidig.
  • Viser ikke alltid rette struktur
• En kunde av oss ønsker seg mulighet til å sette opp overvåkning av porter hvor det ikke er kjent nabo bak.
• Mulighet til å filter bgp overvåking, spesielt for serverrom hvor det er utstrakt bruk av bgp mot servere
• Terskel monitorering, mulighet til å filtrere å varsle kun der det er en kjent boks bak. Vi bruker dette til å varsle på optikk verdier og ønsker ikke varsling når servere som også henger på optikk bootes.
• IPAM i NAV, i dag er det ikke mulig å legge inn et scope i IPAM-en til NAV dersom det også eksisterer et prefiks som er funnet fra ruter/FW med nøyaktig samme maske. Dette gjør at vi ikke kan legge inn scopes for kunder som mange små prefiks tildelt fra Forskningsnett.

Vi velger neste møtedato. Medio mai?

Kommer.