Punt links to non-existent -wg0.conf files.

Treat them as member.yml was treated.

Create a check-inst-vars role.  Better explain members-empty.yml.

Follow the example of the other roles to ensure that the
check-inst-vars.yml playbook is getting the same variable settings.

Tangle common variables into role defaults files.

Site specific settings go in =vars.yml= files in =../public/= or
=../private/=, but common variables should be role defaults, found in
=defaults/main.yml= files relative to their roles, not the site-
specific playbook.

Unfortunately this means creating 4 new, nearly identical files.
Luckily they are tangled from a single source, courtesy of noweb.

Generate Core's wg0.conf, rather than provide an example.

Fiddled whitespace, list syntax.

Fixed Kamailio dependency, Nextcloud settings task syntax.

Configure Gate systemd-resolved to serve the wild Ethernet.

Wordsmithing.  Updated the testing instructions for Debian 12.

Consistently link to the current stable Nextcloud documentation.

Do not apply the pass and client subcommands to former members.

Re-generate WireGuard™ configs in ./inst old as well as client.

Added a write_wireguard subroutine to be called by the old as well as
client subcommands.  Re-compute the list of clients again from the
YAML that was saved to disk, but ignoring the clients of former
members.

Use front_addr rather than "small.example.org".

Replace "become_user: www-data" with sudo in Nextcloud playbooks.

Follow the (debugged?) example of playbooks/nextcloud-new.yml.

Install root@core's public key in /etc/root-pub.pem.

Thus anyone can send encrypted email to root with the --recipient-file
option to gpg.

This might have simplified the hacked passwd command if it did not
have to run as sysadm anyway, for /etc/shadow access.

Use Dick's MAC for WiFi-AP as if his notebook is NATed behind such.

Punt the RequiredForOnline=no on Gate's ISP link.

Include the names of the wild ones in the generated wild.network.

Fix regexp that disables the default NAGIOS host (localhost).

Add dnssec-validation setting per new BIND9 defaults.

Without this, testing failed because it could not resolve names in
secure domains.

Wordsmithing.  Fix typos, links to roles/ instead of roles_t/.

Introduce private/{front,gate}-wg0-empty.conf.

These files, like private/members-empty.yml, are used if
private/{front,gate}-wg0.conf have not be written yet, e.g. by an
./inst client... command.

Punt expiration date on root@core.small.private's OpenPGP key.

Quiet Nextcloud.  Include imagemagick (SVG support), more settings.

Eliminate some complaints in the Administration Overview page.

Modify the VBox DHCP server and statically configure front_addr.

Rather than let the test Front machine use DHCP to get some simulated
cloud-assigned IP address, statically configure it to the front_addr
(outside the DHCP server's pool).

Punt expect(1).  Nextcloud user commands have --password-from-env.

Fixes for Testing as far as Nextcloud 31 installation.

- Ensure ~front~ gets ~front_addr~ by moving it to 192.168.15.3,
  hopefully outside the default DHCP pool.
- Expect ~front~ hostname to be FQDN.
- Don't warn about missing =~/Public/HTML= targets on ~front~.
- Include an alias for ~root~.  This was previously provided by the
  Postfix install.
- Un-truncate the Nextcloud DB password (to match Testing).
- Update Nextcloud installation instructions for version 31, including
  esp. the ~occ maintenance:install~ command and the link to the
  official "Installation from command line" instructions.
- Fix confused syntax in =templates/wild.network=.
- Add forward rules to ~ufw-before-forward~.  ~ufw-user-forward~ is
  reserved for rules generated per user requests.
- Use the Ansible ~ufw~ module to enable the firewall (without
  hanging).
- Fix initialization of ~members~ so that the first member is
  added to an empty hash and not undef.
- Quiet the ~./inst new~ command.
- Removed extra whitespace from many arguments to ~mysystem~ (sorry!).
- Changed name of simulated Internet from ~premises~ (as in the
  introductory diagram) to ~public~ (as in ISP and cloud).
- Statically assign IP addresses to both NICs on ~front~.
- Note need to restart ~gate~ after its first configuration.

Update Testing chapter.

- Added test-*-prep scripts to automate VM preparation.
- Debugged the new network (systemd-networkd) configurations.

Document-smithing: minor edits for consistency or completeness.

- Fix ~:tangle-mode~ of private files to include ~g=,o=~.
- Get ~:mkdirp yes~ and ~:noweb no-export~ where needed, and not where
  they are not needed.
- Tangle and link to =webupdate= and =gate-wg0.conf=.
- Punt nonsense entries in =core-dhcpd.conf=.
- Punt capitalization of example submodule directory =Institute/=.
- Wordsmithing.

Replace Netplan with SystemD's NetworkD. Punt ISC's DHCPd from Gate.

Still using ISC's DHCP server on Core, for now.

Update README.html.

Punt NTP and use Chrony.

Wordsmithing.  Updated installation instructions, Nextcloud config.

Accommodate changes in Debian 12: /etc/aliases, Netplan.

~webmaster~ and ~root~ was (recently?) included in the installed
=/etc/aliases=.

~gateway4~ was no longer accepted (without comment/warning?).

Make Monkey's a user (not system) account.

For restore purposes it is nice to have a handy list of owners of
files in =/home/=, so we try to keep =/home/= wholly user owned.
Monkey owns significant portions of =/home/=, =/Shared/=, =/WWW/=,
etc.

Rearrange ~:mkdirp yes~; pursue a needless ~---~ consistency.

"Document separators" at the start of the first document separate
nothing.

Front, Core /and/ Gate need to forward packets.

Punted OpenVPN and deleted too much.

Configure a new Core without starting services.

Tasks that actually start services are tagged with ~actualizer~.  Thus
~ansible-playbook~ can be given the ~--skip-tags actualizer~ command
line option to configure a new Core without actually setting the
static IP address, domain name, etc. nor starting any services.

The intention is to work through any problems configuring core
services on new hardware running, probably, a new OS version /without/
disturbing actual Core services.

This required splitting many Enable/Start tasks in two: the latter
tagged as the "actualizer".

Update README.html.

Include wild_net_cidr in client configs for the public VPN only.

Using the tunnel to get to the server would be a mistake.

Also fixed the examples to follow suit, or just to get the IoT
appliance's PrivateKey field "correct", looking like the WireGuard™
for Android GUI dialog.

Moved simplified forwarding rules to the ufw-user-forward chain.

Punted unused RELATED,ESTABLISHED rules, which were shadowed by
generic rules in chains ufw{,6}-before-{{in,out}put,forward}(!).

Add wild_net_cidr to Core's AllowedIPs in the client configurations.

Fixed the "Install UFW." task's incomplete "become" key.  Added
missing EndPoints.  Hid an example PrivateKey.

org.css: color-scheme light dark

Update README.html.

Move misplaced exit in Wireguard™ config generation.  And fixes.

- Misspelled "NetworkManager".
- Loosened the permissions on the VPN =.conf= files.

Update README.html.

Fix a couple links.

Punt the global configuration of systemd-resolved on campus.

The WireGuard™ tunnels are getting it done using resolvectl.

Remove OpenVPN.  Add pubkeys to the institute "client" command args.

Replaced "revoked" with "clients" in private/members.yml.

Use a PostUp command to install peer private keys from the local
/etc/wireguard/private-key file, thus keeping it out of the WireGuard™
and Ansible configurations.  Moved e.g Secret/gate-wg0.conf to
private/.  Provide the example private keys in a table (as they appear
nowhere else!).  Treat gate-wg0.conf and front-wg0.conf like
members.yml: do not tangle them and thus wipe out a test state(?).

Punt links to non-existent private/members.yml.

Configure WireGuard™ subnets on Gate and Front.

And a peer, Core, on Front's wg0.

This is a little awkward while OpenVPN is "in the way".

Rename front_private_addr.  Fix overlong lines, and ./inst client

argument parsing error handling.

Fix links in The All Role, several file links, net interface name.

Update README.html.

Use private/gate-dhcpd.conf for the "wild" subnet.

Replaced the awkward "gate wifi" name with "wild" while replacing the
assumption that there is one Wi-Fi AP on the subnet.

Wordsmithing.  Fix lingering reference to Zoneminder.

Prune old Nextcloud database dumps, and fix "safely disconnect".

Use mountpoint to check that the backup is un-mounted regardless, and
suggest it can be safely disconnected only when there were no errors.

Wordsmith.  Warn about rebooting after installing systemd-resolved.

Enable HTTPS on Core, mainly for Nextcloud's satisfaction.

Firefox will warn about the institute certificate, even if said
certificate is installed as a trusted CA.

Use OpenVPN's tls-crypt option, rather than tls-auth.

Update README.html.

Increase Nextcloud PHP memory_limit to 768M.

Nextcloud 28 admin board complained that 512M was too little.

Replace "ipaddr" with "ansible.utils.ipaddr"(?).

Update README.html.

Use the systemd Ansible module to reload daemon configs.

Add a Systemd dependency for the isc-dhcp-server.service.

This old daemon is still started by the SysV init compatibility layer?
It would occasionally start and find no IP address for the wifi
interface.

Fix whitespace, typo, left-over mention of "private-view" names.

Update README.html.

Set opcache.interned_strings_buffer to 12, 50% larger.

Always use the Apache2 cgid module.

Core (Nextcloud) and Front presumably benefit.  Lost the why of
supporting cgi as well.  Perhaps cgi was recommended with a default
MPM?

Assume Debian 12 (PHP 8.2) is in use on the Nextcloud server.

Update README.html.

Don't fiddle extra host keys added later by monkey@core's ssh.

And remove group read access to =~monkey/.ssh/known_hosts= on Core,
else the client will remove it later (producing a spurious diff, and a
re-config loop).

Configure PHP 8.2 (instead of 7.4).

Is it worth extra code to configure two PHP versions, old and new?

Update README.html.

Simplify BIND options for Debian 12.  Listen on localhost.

Punt disabling SecureDNS; run with the defaults.  One or both of the
dnssec- options is no longer supported by BIND.

Update README.html.

Add campus Set Domain Name.  Punt Hard-wire Important IP Addresses.

Update README.html.

Punt task "Disable Apache2 server name." (for Debian 12).

Debian 12 does not configure Apache with a ServerName (as Debian 11 did?).

Wordsmithing.  Punt redundant mention of make-cadir.

Update README.html, after fixing core/files/ src block to mkdirp.

Replace ":noweb yes" with ":noweb no-export".

There were no noweb references in the exported HTML!

Moderate fetchmail dependencies to avoid hard fails.

Update discussion of Apache configuration.

Apache seems to be following the symbolic links in /home/www-users/
without Option FollowSymLinks, which was removed a while ago(?).

Also removed apache-userdir-directory.  User directories are not
really treated differently.  All are strict AllowOverride None.

Update README.html.

Move the Enable Systemd Resolved task(s) to the "all" role.

Update README.html.

Wordsmithing.  Updated installation instructions for Debian 12.

Update pre-provisioning to install all desired Debian (12) packages.

Punt unnecessary default route for Test Core.

Add instructions for installing the host key on Front.

Fix the VBoxManage commands that set up the networks.

In Debian 12:  Expect new PHP version.  Use Apache CGId module.

Punt netplan.io on Front.  Use drop-in with ifupdown (installed).

Punt VBoxManage unattended install, and startvm headless.

Start new machines on the default NAT and prepare them there, then
move them to the simulated campus.

Set MAC addresses on gate's network interfaces, else they're random.

Set corresponding example variable values.  Simplify test instructions.

Add the core_ethernet variable, naming Core's Ethernet interface.

This should be derivable from ansible_facts, somehow.

Added the "all" role, for all hosts.

This eliminates duplicate code from all (other) roles, installing the
institute certificate authority.  Originally intended to ensure the
institute CA was installed before OpenVPN needed it.  OpenVPN actually
just needed the /usr/local/share/ca-certificates/ file (not
update-ca-certificates execution).

Renumber (already sorted) footnotes.  Update README.html.

Update README.html.