chore: Apply the abstraction to ap01
This commit is contained in:
parent
e89ed2d0e7
commit
303f53af0f
14 changed files with 120 additions and 27 deletions
19
hive.nix
19
hive.nix
|
@ -102,11 +102,20 @@ in
|
||||||
})
|
})
|
||||||
args;
|
args;
|
||||||
|
|
||||||
defaults = _: {
|
defaults =
|
||||||
# It's impure, but who cares?
|
{ name, nodePath, ... }:
|
||||||
# Can Flakes even do that? :)
|
{
|
||||||
nixpkgs.buildPlatform = builtins.currentSystem;
|
# Import the default modules
|
||||||
};
|
imports = [
|
||||||
|
# Import the base configuration for each node
|
||||||
|
./${nodePath}/_configuration.nix
|
||||||
|
./modules/generic
|
||||||
|
./modules/${category name}
|
||||||
|
];
|
||||||
|
# It's impure, but who cares?
|
||||||
|
# Can Flakes even do that? :)
|
||||||
|
nixpkgs.buildPlatform = builtins.currentSystem;
|
||||||
|
};
|
||||||
};
|
};
|
||||||
|
|
||||||
nixos = {
|
nixos = {
|
||||||
|
|
|
@ -15,7 +15,6 @@
|
||||||
"${modulesPath}/jitter-rng"
|
"${modulesPath}/jitter-rng"
|
||||||
"${modulesPath}/pki"
|
"${modulesPath}/pki"
|
||||||
"${modulesPath}/ubus"
|
"${modulesPath}/ubus"
|
||||||
../../modules/dgn-access-control.nix
|
|
||||||
# System-level configuration
|
# System-level configuration
|
||||||
./system.nix
|
./system.nix
|
||||||
# Configures our own WLAN.
|
# Configures our own WLAN.
|
6
modules/liminix/default.nix
Normal file
6
modules/liminix/default.nix
Normal file
|
@ -0,0 +1,6 @@
|
||||||
|
{
|
||||||
|
imports = [
|
||||||
|
# List of modules to import
|
||||||
|
./dgn-access-control.nix
|
||||||
|
];
|
||||||
|
}
|
89
modules/liminix/dgn-access-control.nix
Normal file
89
modules/liminix/dgn-access-control.nix
Normal file
|
@ -0,0 +1,89 @@
|
||||||
|
# Copyright :
|
||||||
|
# - Tom Hubrecht <tom.hubrecht@dgnum.eu> 2023
|
||||||
|
#
|
||||||
|
# Ce logiciel est un programme informatique servant à déployer des
|
||||||
|
# configurations de serveurs via NixOS.
|
||||||
|
#
|
||||||
|
# Ce logiciel est régi par la licence CeCILL soumise au droit français et
|
||||||
|
# respectant les principes de diffusion des logiciels libres. Vous pouvez
|
||||||
|
# utiliser, modifier et/ou redistribuer ce programme sous les conditions
|
||||||
|
# de la licence CeCILL telle que diffusée par le CEA, le CNRS et l'INRIA
|
||||||
|
# sur le site "http://www.cecill.info".
|
||||||
|
#
|
||||||
|
# En contrepartie de l'accessibilité au code source et des droits de copie,
|
||||||
|
# de modification et de redistribution accordés par cette licence, il n'est
|
||||||
|
# offert aux utilisateurs qu'une garantie limitée. Pour les mêmes raisons,
|
||||||
|
# seule une responsabilité restreinte pèse sur l'auteur du programme, le
|
||||||
|
# titulaire des droits patrimoniaux et les concédants successifs.
|
||||||
|
#
|
||||||
|
# A cet égard l'attention de l'utilisateur est attirée sur les risques
|
||||||
|
# associés au chargement, à l'utilisation, à la modification et/ou au
|
||||||
|
# développement et à la reproduction du logiciel par l'utilisateur étant
|
||||||
|
# donné sa spécificité de logiciel libre, qui peut le rendre complexe à
|
||||||
|
# manipuler et qui le réserve donc à des développeurs et des professionnels
|
||||||
|
# avertis possédant des connaissances informatiques approfondies. Les
|
||||||
|
# utilisateurs sont donc invités à charger et tester l'adéquation du
|
||||||
|
# logiciel à leurs besoins dans des conditions permettant d'assurer la
|
||||||
|
# sécurité de leurs systèmes et ou de leurs données et, plus généralement,
|
||||||
|
# à l'utiliser et l'exploiter dans les mêmes conditions de sécurité.
|
||||||
|
#
|
||||||
|
# Le fait que vous puissiez accéder à cet en-tête signifie que vous avez
|
||||||
|
# pris connaissance de la licence CeCILL, et que vous en avez accepté les
|
||||||
|
# termes.
|
||||||
|
|
||||||
|
{
|
||||||
|
config,
|
||||||
|
lib,
|
||||||
|
dgn-keys,
|
||||||
|
meta,
|
||||||
|
nodeMeta,
|
||||||
|
...
|
||||||
|
}:
|
||||||
|
|
||||||
|
let
|
||||||
|
inherit (lib)
|
||||||
|
mkDefault
|
||||||
|
mkEnableOption
|
||||||
|
mkIf
|
||||||
|
mkOption
|
||||||
|
|
||||||
|
types
|
||||||
|
;
|
||||||
|
|
||||||
|
admins =
|
||||||
|
meta.organization.groups.root
|
||||||
|
++ nodeMeta.admins
|
||||||
|
++ (builtins.concatMap (g: meta.organization.groups.${g}) nodeMeta.adminGroups);
|
||||||
|
|
||||||
|
cfg = config.dgn-access-control;
|
||||||
|
in
|
||||||
|
|
||||||
|
{
|
||||||
|
options.dgn-access-control = {
|
||||||
|
enable = mkEnableOption "DGNum access control." // {
|
||||||
|
default = true;
|
||||||
|
};
|
||||||
|
|
||||||
|
users = mkOption {
|
||||||
|
type = with types; attrsOf (listOf str);
|
||||||
|
default = { };
|
||||||
|
description = ''
|
||||||
|
Attribute set describing which member has access to which user on the node.
|
||||||
|
Members must be declared in `meta/members.nix`.
|
||||||
|
'';
|
||||||
|
example = ''
|
||||||
|
{
|
||||||
|
user1 = [ "member1" "member2" ];
|
||||||
|
}
|
||||||
|
'';
|
||||||
|
};
|
||||||
|
};
|
||||||
|
|
||||||
|
config = mkIf cfg.enable {
|
||||||
|
# Admins have root access to the node
|
||||||
|
dgn-access-control.users.root = mkDefault admins;
|
||||||
|
users = builtins.mapAttrs (_: members: {
|
||||||
|
openssh.authorizedKeys.keys = dgn-keys.getKeys members;
|
||||||
|
}) cfg.users;
|
||||||
|
};
|
||||||
|
}
|
|
@ -45,7 +45,6 @@ let
|
||||||
mkDefault
|
mkDefault
|
||||||
mkEnableOption
|
mkEnableOption
|
||||||
mkIf
|
mkIf
|
||||||
mkMerge
|
|
||||||
mkOption
|
mkOption
|
||||||
optionalAttrs
|
optionalAttrs
|
||||||
|
|
||||||
|
@ -81,25 +80,16 @@ in
|
||||||
};
|
};
|
||||||
};
|
};
|
||||||
|
|
||||||
config = mkIf cfg.enable (mkMerge [
|
config = mkIf cfg.enable {
|
||||||
{
|
# Admins have root access to the node
|
||||||
# Admins have root access to the node
|
dgn-access-control.users.root = mkDefault admins;
|
||||||
dgn-access-control.users.root = mkDefault admins;
|
users.mutableUsers = false;
|
||||||
}
|
users.users = builtins.mapAttrs (
|
||||||
(optionalAttrs (nodeMeta.nixpkgs.system == "nixos") {
|
username: members:
|
||||||
users.mutableUsers = false;
|
{
|
||||||
users.users = builtins.mapAttrs (
|
|
||||||
username: members:
|
|
||||||
{
|
|
||||||
openssh.authorizedKeys.keys = dgn-keys.getKeys members;
|
|
||||||
}
|
|
||||||
// optionalAttrs (username == "root") { inherit (nodeMeta) hashedPassword; }
|
|
||||||
) cfg.users;
|
|
||||||
})
|
|
||||||
(optionalAttrs (nodeMeta.nixpkgs.system == "zyxel-nwa50ax") {
|
|
||||||
users = builtins.mapAttrs (_: members: {
|
|
||||||
openssh.authorizedKeys.keys = dgn-keys.getKeys members;
|
openssh.authorizedKeys.keys = dgn-keys.getKeys members;
|
||||||
}) cfg.users;
|
}
|
||||||
})
|
// optionalAttrs (username == "root") { inherit (nodeMeta) hashedPassword; }
|
||||||
]);
|
) cfg.users;
|
||||||
|
};
|
||||||
}
|
}
|
||||||
|
|
Loading…
Reference in a new issue