NAV-ref Home | forrige møte

Tilstede:

• Øyvind Nesland, UiA
• Ingeborg Hellemo, UiT
• Nils-Arild Grav, NTNU

• Knut-Helge Vindheim, Sikt
• Hanne Moa, Sikt
• Johanna England, Sikt
• Simon Oliver Tveit, Sikt
• Aleksander Fløtten, Sikt
• Morten Brekkevold, Sikt

Forfall:

• Sigurd Refvik, UiO
• Morten Werner Forsbring, UiO
• Vidar Faltinsen, Sikt

Møtet blir avholdt som videokonferanse vha. Zoom, fra kl. 12:00 til 15:00.

Morten ønsker velkommen på vegne av Sikt.

Simen har dessverre sagt opp sin stilling i Bouvet og vi har derfor ikke lenger noen dedikert frontend-ressurs i teamet fra mai og utover. Vi jobber med saken.

• NAV 5.17.0
  • Endelig byttet ut NAVs hjemmesnekrede autentiseringssystem med Djangos eget. Forventer at det kan være små issues, men det meste er testet og funnet i orden på VK-plattform.
  • CSRF-protection er nå skrudd på i hele NAVs webgrensesnitt (#3395)
  • jQuery oppgradert til versjon 4 (#3730)
  • “More than”/“less than” på Last Seen-filteret i Room-view (#3313)
  • Component-browser “gjeninnført” i Maintenance Tasks (for de som ikke vet hva de skal søke etter) (#3778)
  • SNMPv3 context-switching for logiske MIB-instanser, brukt for CAM-innsamling på Cisco (#2811)
  • PortAdmins feedback-dialog kommer nå umiddelbart ved klikk på “Save” (#3772)
  • DHCP-statistikkgrafer på VLAN- og prefiks-sider når data finnes i Graphite (#2373)
  • Andres dashboards man abonnerer på kan settes som default (#3572)
• NAV 5.17.1
  • Hovedsakelig regresjonsfikser fra den store auth-omleggingen
  • REMOTE_USER-støtten er tilbake – en regresjon på målstreken
  • Fikset bug i Eventengine som i noen tilfeller forsinket boxDown-alarmer med flere timer (#3798)
  • Fikset kræsj-bug i Netmap når kartet er for stort til å lagres i memcache.
  • active-ip-collector (bakgrunnsjobb) ~10x raskere takket være bedre bruk av partial indexes på arp
• NAV 5.18.0
  • Aliaser for rom og lokasjoner – søkbart over hele NAV (navbar, global søk, device history, maintenance, netmap, network explorer, status-widgets, REST API), bulk-importerbart (#3314 m.fl.)
  • MFA og føderasjon via django-allauth: TOTP, OAuth2, OIDC og SAML, konfigurert i ny TOML-fil webfront/authentication.toml (#3622 m.fl.)
  • Ny rapport over enheter uten kjent uplink – nyttig i sammenheng med #2915?
  • Auditlog-tabellen kan nå sorteres per kolonne, med lenker til aktører/objekter/mål som fortsatt fins
  • CSRF-cookien markeres Secure når needs_tls er satt (#3829)
  • Passord lekker ikke lenger i klartekst i Djangos error-mailer ved LDAP-krasj (#3870)

• Kartlegging av hvordan vi vil sette opp Feide-autentisering i NAV for CNaaS-verktøykasser (å forstå hvordan vi gjør tilgangskontroll blir viktig)
• Teknisk gjeld:
  • Django 5.2
  • psycopg3
  • Deprecation av Python < 3.11
• Features:
  • Show dynamically selected VLAN for ports and source of selection (native, 802.1X, MAB) #1936
  • Add option to restrict PortAdmin users to only setting port descriptions #3298
• Reviewe og ta inn UI-forbedringer Simen jobbet med før han slutta.

Runde rundt “bordet”. Foreløpig ingen forhåndsinnmeldte saker.

• Ikke noen nye saker. Vi registrerer at noen av våre punkter nå er løst. Flott! Vi venter fortsatt på øvrige innmeldte punkter i arbeidslista:
• “se-glass”: Innsamling av live port-status fra Cisco SDA. https://github.com/Uninett/nav/issues/3217 .
• Mulighet for registrering av utstyr(MAC) for MAB-autentisering, ref iotroam-løsning. https://github.com/Uninett/nav/issues/3300
• Tilgangstyring for å begrense PortAdmin-brukere til å bare konfigurere port-description. https://github.com/Uninett/nav/issues/3298
• Dot1x-admin på Cisco-svitsjer utenfor SDA. https://github.com/Uninett/nav/issues/2164 . Vi har en løsning for HP/Aruba utviklet av Knut Helge, men den mangler/trenger videreutvikling for Cisco-support. Kanskje noe derfra kan brukes som utgangspunkt?

Vi velger neste møtedato. Medio september / tidlig oktober? Synergi-effekt med nettsamling?

Etter rundt 10-11 minutter med teknisk krøll med Zoom-integrasjonen (eller mangel på sådan) i fysisk møterom i Teknostallen, kom møtet i gang fra nytt rom og vi fikk ønsket deltakerne velkommen.

Endringer i NAV siden forrige møte, slik de ble beskrevet i agenda, ble gjennomgått. Både room/location alias og MFA ble (forsøkt) demonstrert. MFA-demonstrasjonen feilet (på tross av at den har virket før), og vi oppdaget at sletting av alias ikke fungerte som forventet, så det tar utviklerteamet med seg tilbake til issue-listen.

• AKSJON: Utviklerteamet oppretter issue på manglende mulighet til sletting av alias.
  • Fix alias removal not being saved in SeedDB #4002
• AKSJON: Utviklerteamet dobbeltsjekker at enabling av MFA fungerer (i demoen havnet man i en innloggings-loop).
  • [BUG] LDAP reauthentication invalidates session, preventing TOTP activation #4003

Det ble ellers nevnt at Argus 2.8 endelig har fått på plass en “task-kø”, slik at varslinger ikke håndteres av webserveren, men av en bakgrunnsjobb. Sikt planlegger fremdeles å få på plass Argus som en tilleggstjeneste på verktøykasseplattformen i løpet av 2026.

• Simon skal se på Add option to restrict PortAdmin users to only setting port descriptions #3298 og fikk stilt NTNU noen initielle spørsmål om hvordan man skal skille på switcher som skal være begrenset og hvilke som ikke skal være det. Oppfølgingsspørsmål tas direkte med Nils-Arild underveis.

NTNU har ingenting nytt å melde, men ser positivt på all framgang i sine ønskesaker. UiT ser at vi nærmer oss ACI-oppgaven på arbeidslisten og ser fram til det - men har ellers tilgode å oppgradere til NAV 5.18 for å teste nye features.

Ingen andre hadde noe spesielt nytt å melde, men det avstedkom en del diskusjon på tvers i gruppen om maskinsporing, og topologi, hvor flere har problemer. Spesifikt dreide diskusjonen seg om gjengangeren [BUG] CAM data not collected for devices of type SRV and OTHER #2915.

Utviklerteamet har en aktiv dialog med UiA med debugging av manglende topologiinformasjon. Så langt tyder det på at UiAs problem er følgende:

• AV-teamet forsøker å søke opp utstyr X og Y i NAV, basert på MAC-adresser, for å finne dem i NAVs topologi, men får ingen treff.
• X og Y henger bak en Crestron-kontroller C. Denne kontrolleren er registrert som en device i kategorien OTHER i NAV og overvåkes kun på IP, ikke SNMP.
• Fordi NAV anser C sin uplink-port P som en topologi-port, logges ikke CAM-data fra denne.
• Fordi NAV ikke kan hente forwarding-informasjon fra C med SNMP, kan ikke NAV si noe om naboskap bak denne.
• Dersom f.eks. X legges inn i NAV, vil ikke NAV kunne velge mellom X og C som faktiske naboer på P (med mindre C og P begge støtter LLDP)

Flere opplever topologi-problemer av litt samme type. CNaaS opplever også en del problemer som de har til gode å rapportere/analysere/diskutere med utviklerteamet.

Føljetongen i #2915 er litt vanskelig å følge, siden historikken er såpass gammel, diskusjonen genererer noen idéer som utviklerne får lyst til å prøve ut, blant annet:

• Kan NAV gi tydeligere tilgang til lagrede naboskapskandidater når man ikke får treff på uplink-data, slik at man iaf. kan debugge topologien lettere?
  • Naboskapskandidat-rapporten er litt skjult bak et ikon på “port details”-siden, i feltet som viser naboskap.
  • Ingenting vises i IP Device-siden under “Uplink” om ikke topologi er funnet, men her fins ingen snarvei til å se hvilke kandidater NAV har vurdert.
• Kan man lage en config-option der admin kan be NAV samle camlogger for en port på tross av at den er en topologi-port?
• Historiske problemer med løsning på #2915 skyldtes blant annet at løsningene gikk til verks med å samle alle sporingsdata for porter høye opp i hierarkiet i en broadcast-domene, og om man camlogger portene på en distribusjonsswitch får man potensielt *svært mange* resultater som forsøpler NAV-databasen og gjør alt tregt.
  • Kan camloggeren kanskje bruke allerede “fastsatt” topologi som input til å klassifisere porter midlertidig som aksessporter for camlopggingsforsøk, dersom de har “tegn” på å være aksessport? I.e. det henger utstyr på den som ikke støtter SNMP, og det henger ikke noe mer i hierarkiet bak den?

Det ble diskutert muligheten for å holde et etterlengtet fysisk nav-refmøte ifm. at mange likevel kommer til Trondheim for å delta på Kunnskapssektorens nettverks- og cybersikkerhetsdager 2026 21.-23. september.

Det er noen utfordringer med at dette er mandag-onsdag, og er todelt, med nettsamling i 1,5 dager og sikkerhetssamling i 1,5 dager. Noen vil være med på begge deler, noen bare på én del.

Vi reserverte foreløpig torsdag 24. september, men forsøker avklare om vi kan snike inn nav-ref like før eller under programmet slik at de som ikke skal på sikkerhetssamlingen slipper å henge igjen i Trondheim bare for nav-ref. Endringer kan fremdeles komme, med andre ord.