Modules de service

Note

Un module de service fournit un service prêt à l’emploi (démon).

✨ darkone.service.adguardhome

AdGuard Home entièrement configuré pour passerelle / routeur local.

Note

Cette configuration lit la conf network dans le fichier config.yaml. Elle utilise le module DNF dnsmasq comme DNS amont et DHCP.

• enable bool Active le service adguardhome local

darkone.service.adguardhome.enable = false;

✨ darkone.service.ai

Intelligence artificielle locale (open-webui + ollama + llms).

• enable bool Activer le service d’IA local

darkone.service.ai.enable = false;

✨ darkone.service.audio

Services audio : alsa, pulse (pas jack pour le moment). Ajoute automatiquement les utilisateurs au groupe audio quand il est activé.

• enable bool Activer le système sonore

darkone.service.audio.enable = false;

✨ darkone.service.dnsmasq

dnsmasq pré-configuré pour la passerelle locale / routeur.

Note

Cette configuration lit la conf network du fichier config.yaml. C’est la fonctionnalité essentielle de la passerelle locale.

• enable bool Activer le service dnsmasq local

darkone.service.dnsmasq.enable = false;

✨ darkone.service.docs

Un module LaSuite Docs entièrement configuré.

• enable bool Activer le service de documentation local
• s3Host str Nom d’hôte du backend S3
• s3Port port Port du backend S3
• s3Bucket str Nom du bucket S3 pour le stockage des documents

darkone.service.docs = {
  enable = false;
  s3Host = "127.0.0.1";
  s3Port = dnfConfig.network.ports.garage;
  s3Bucket = "docs";
};

---

✨ darkone.service.element

Client web Element pour le service matrix local.

• enable bool Activer le service element local

darkone.service.element.enable = false;

✨ darkone.service.fail2ban

Module fail2ban spécifique à DNF.

• enable bool Activer fail2ban avec les spécificités DNF

darkone.service.fail2ban.enable = false;

✨ darkone.service.forgejo

Une forge git forgejo entièrement configurée.

• enable bool Activer le service forgejo local

darkone.service.forgejo.enable = false;

✨ darkone.service.garage

Un service Garage S3 local entièrement configuré.

Fournit un serveur de stockage d’objets compatible S3 interne accessible uniquement sur 127.0.0.1:3900.

Création manuelle des buckets

Les buckets ne sont PAS créés automatiquement par ce module. Chaque service consommateur provisionne son propre bucket et sa clé d’accès via une unité systemd oneshot dédiée ordonnée After= garage-init.service. Les identifiants par consommateur sont stockés dans sops sous les noms garage-<consumer>-key-id et garage-<consumer>-key-secret, importés dans Garage au premier démarrage.

Migration de cluster multi-nœud

Simple nœud, replication_factor = 1. Pour évoluer vers un cluster multi-nœud, augmentez replication_factor, exposez rpc_public_addr sur le maillage, et étendez garage-init pour piloter une disposition multi-nœud.

Initialisation de la disposition du cluster

S’il échoue, attendez que le service garage soit totalement opérationnel, puis redémarrez-le.

• enable bool Activer le service Garage S3 local
• srvPort port Port S3 API exposé sur l’IP interne
• s3Region str Nom de la région S3 (doit correspondre à la config du consommateur)
• capacity str Indice de capacité de stockage du nœud transmis à garage layout assign. Utilisé uniquement au premier démarrage pour l’initialisation de la disposition ; n’agit pas comme un quota strict sur le système de fichiers sous-jacent. Suffixes supportés : B, KB, MB, GB, TB, PB.

darkone.service.garage = {
  enable = false;
  srvPort = srvPort;
  s3Region = s3Region;
  capacity = "500GB";
};

✨ darkone.service.geneweb

GeneWeb — Service de généalogie puissant.

Service en cours de validation

Wrapper DNF autour du module nixpkgs (issu de PR #522751 🡕).

Déclaration de base de données

Pour déclarer un fichier base.gw (répertoire par défaut : /var/lib/geneweb), ajoutez ceci dans votre configuration serveur :

services.geneweb.databases.base = {};

Secrets SOPS

L’option enablePasswords lit les mots de passe friend et wizard depuis les secrets sops geneweb-friend et geneweb-wizard. Si activée, ajoutez les entrées dans usr/secrets/ avant de rebuild, sinon l’activation sops-nix échouera.

Note importante : Les mots de passe Sops doivent être envoyés en texte clair au démon Geneweb. Pour plus de sécurité, il est préférable de définir ces mots de passe dans le fichier de configuration de la base de données (your-base.gwf) plutôt que d’utiliser enablePasswords.

• enable bool Activer le service de généalogie GeneWeb local
• enablePasswords bool Activer les mots de passe sops (non recommandé)

darkone.service.geneweb = {
  enable = false;
  enablePasswords = false;
};

---

✨ darkone.service.harmonia

Harmonia : serveur de cache binaire Nix local (sert /nix/store de cet hôte).

Expose les chemins de stockage construits/réalisés localement via HTTP simple (port 5000), signés avec la clé de cache binaire du déploiement. Activez par hôte à partir de usr/config.yaml (services.harmonia), comme tout autre service DNF.

Comment fonctionnent les services Harmonia avec NCPS

Harmonia est une source de paquets ; ncps est le proxy de mise en cache par zone auquel les clients parlent réellement. Le serveur ncps de chaque zone ajoute automatiquement, comme en amont :

• les instances harmonia de sa propre zone (priorité la plus élevée), puis
• tout harmonia marqué global (généralement sur le HCS),

et jamais harmonia des zones autres (non-global). Les clients n’extraient que via ncps ; la signature harmonia est transmise sans modification, donc chaque hôte fait confiance à la clé publique harmonia du déploiement (usr/secrets/harmonia.pub). Le transport est un HTTP simple sur le LAN / VPN de confiance : l’intégrité provient de la signature NAR, non pas de TLS.

Provisionnement de la clé de signature

just configure-admin-host génère automatiquement la paire de clés du déploiement lorsque usr/secrets/harmonia.pub est manquante : la clé publique est validée et la clé privée est injectée dans le secret sops harmonia-secret-key.

• enable bool Activer un serveur de cache binaire Nix Harmonia local

darkone.service.harmonia.enable = false;

✨ darkone.service.headscale

Un service headscale entièrement configuré pour HCS.

• enable bool Activer le service DNF headscale
• enableGRPC bool Ouvrir le port TCP GRPC

darkone.service.headscale = {
  enable = false;
  enableGRPC = false;
};

✨ darkone.service.home-assistant

Un Home Assistant avec certains plugins (en cours).

• enable bool Activer home-assistant

darkone.service.home-assistant.enable = false;

✨ darkone.service.homepage

Tableau de bord d’accueil dynamiquement configuré pour votre réseau local.

Note

Pour chaque service DNF activé, une entrée est automatiquement ajoutée à la configuration de la page d’accueil.

• enable bool Activer le tableau de bord d’accueil + httpd + hôte
• localServices listOf attrs Services à ajouter dans la section Applications locales
• globalServices listOf attrs Services communs et accessibles publiquement sur l’ensemble du réseau
• remoteServices listOf attrs Services à ajouter dans la section Applications distantes
• bookmarks listOf attrs Remplacer les signets par défaut (liens)
• widgets listOf attrs Remplacer les widgets par défaut

darkone.service.homepage = {
  enable = false;
  localServices = [ ];
  globalServices = [ ];
  remoteServices = [ ];
  bookmarks = [ ];
  widgets = [ ];
};

✨ darkone.service.idm

Service DNF Kanidm (gestionnaire d’identité).

• enable bool Activer l’authentification unique locale avec Kanidm
• oauth2 attrs Modèles de client OAuth2/OIDC fournis par les modules de service. Kanidm provisionne un client par entrée correspondante dans network.services, avec clientId = dnfLib.oauth2ClientName.
  • enable bool Indique s’il faut provisionner des clients OAuth2 pour ce modèle.
  • clientName nullOr str Remplacer le nom du client kanidm. Par défaut : dnfLib.oauth2ClientName.
  • displayName str Nom lisible montré sur l’écran de consentement kanidm.
  • imageFile path Icône de l’application. Téléchargée de nouveau à chaque exécution de kanidm-provision.
  • redirectPaths listOf str Chemins de redirection OAuth2 (un par URL de rappel acceptée).
  • landingPath str Chemin du point d’entrée de connexion automatique sur le service.
  • enableLegacyCrypto bool Autoriser les anciens algorithmes de signature JWT (par ex. RS256).
  • allowInsecureClientDisablePkce bool Désactiver PKCE sur le client (uniquement pour les clients qui ne l’implémentent pas).
  • preferShortUsername nullOr bool Utiliser le nom d’utilisateur court (sans domaine) dans la réclamation preferred_username.
  • extra attrs Attributs supplémentaires fusionnés dans le client provisionné (claimMaps, etc.).

darkone.service.idm = {
  enable = false;
  oauth2.enable = true;
  oauth2.clientName = null;
  oauth2.displayName = null;
  oauth2.imageFile = null;
  oauth2.redirectPaths = [ ];
  oauth2.landingPath = "/";
  oauth2.enableLegacyCrypto = false;
  oauth2.allowInsecureClientDisablePkce = false;
  oauth2.preferShortUsername = null;
  oauth2.extra = { };
};

✨ darkone.service.immich

Service Immich (gestion de photos) entièrement configuré.

• enable bool Activer le service immich local
• enableMachineLearning bool Activer les fonctionnalités d’apprentissage automatique (reconnaissance faciale, détection d’objets)
• enableRedis bool Activer Redis pour la mise en cache (recommandé pour les performances)

darkone.service.immich = {
  enable = false;
  enableMachineLearning = false;
  enableRedis = false;
};

✨ darkone.service.jellyfin

Un serveur jellyfin entièrement configuré.

• enable bool Activer le service jellyfin

darkone.service.jellyfin.enable = false;

✨ darkone.service.jitsi-meet

Un service jitsi-meet entièrement configuré.

• enable bool Activer le service jitsi-meet local

darkone.service.jitsi-meet.enable = false;

✨ darkone.service.loki

Loki + Alloy, statistiques HTTP avec grafana.

Note

Collecte centralisée des journaux d’accès Caddy, consommés par Grafana via une source de données Loki provisionnée et un tableau de bord dédié.

Modèle double aligné avec monitoring.nix :

• enable : déploie le serveur Loki + la source de données Grafana sur le même hôte qui exécute le service monitoring (Grafana).
• isClient : déploie Alloy sur chaque hôte exécutant Caddy. Les journaux Caddy sont attendus en JSON à /var/log/caddy/access-*.log (voir dnf/modules/system/services.nix).

Par défaut, enable suit darkone.service.monitoring.enable et isClient suit services.caddy.enable : la configuration est entièrement automatique une fois que la surveillance et Caddy sont actifs.

Débogage et nettoyage manuel

Symptômes les plus courants après une (dés)activation de Loki ou un changement de format de journal Caddy :

1. « AUCUNE DONNÉE » sur le tableau de bord Caddy malgré les demandes entrantes. Vérifiez la chaîne d’ingestion de bout en bout :

# Sur l'hôte Caddy : Alloy est-il en cours d'exécution ? lit-il les fichiers ?
sudo systemctl status alloy --no-pager
sudo journalctl -u alloy -n 100 --no-pager | grep -iE 'error|permission'
ls -la /var/log/caddy/access-*.log   # must be caddy:caddy

# Sur l'hôte de surveillance : Loki reçoit-il quelque chose ?
# (remplacez <IP> par l'adresse IP interne de l'hôte de surveillance, Loki ne
# se lie pas à 127.0.0.1 — voir http_listen_address = bindAddr)
curl -s http://<IP>:3100/loki/api/v1/labels | jq
curl -sG http://<IP>:3100/loki/api/v1/query \
     --data-urlencode 'query={job="caddy"}' | jq '.data.result | length'

2. alloy.service: mkdir data-alloy/remotecfg: permission denied. Propriété orpheline de /var/lib/alloy héritée d’un ancien DynamicUser. Le service ExecStartPre le corrige normalement, mais s’il est bloqué (par ex. unité en start-limit-hit) :

sudo systemctl stop alloy
sudo chown -R caddy:caddy /var/lib/alloy
sudo systemctl reset-failed alloy
sudo systemctl start alloy

3. Grafana refuse de démarrer : Datasource provisioning error: data source not found. Conflit d’UID dans la base de données SQLite après un changement de provision (généralement en passant d’un UID généré automatiquement à uid = "loki"). L’option deleteDatasources gère ceci en théorie ; sinon, purge manuelle :

sudo systemctl stop grafana
sudo sqlite3 /var/lib/grafana/grafana.db \
     "DELETE FROM data_source WHERE name='Loki';"
sudo systemctl reset-failed grafana
sudo systemctl start grafana

4. Fichiers journaux Caddy obsolètes (ancien nommage avec : ou schéma, par ex. access-http:__nextcloud.log). Inoffensifs mais polluent la sortie de la queue d’Alloy. Nettoyez après une migration :

sudo rm /var/log/caddy/access-{http,https}:__*.log
sudo rm /var/log/caddy/access-:*.log     # variants `:80`, `:443`
sudo systemctl reload caddy              # optional

• enable bool Déploie le serveur Loki + la source de données Grafana (colocalisée avec Grafana).
• isClient bool Déploie Alloy pour collecter les journaux d’accès Caddy locaux.
• retentionTime str Durée de rétention des journaux dans Loki (30 jours par défaut).

darkone.service.loki = {
  enable = config.darkone.service.monitoring.enable;
  isClient = config.services.caddy.enable;
  retentionTime = "720h";
};

✨ darkone.service.matrix

Serveur DNF matrix (synapse).

• enable bool Activer le service matrix (synapse)

darkone.service.matrix.enable = false;

✨ darkone.service.mealie

Gestion de recettes Mealie

• enable bool Activer le service mealie

darkone.service.mealie.enable = false;

✨ darkone.service.minio

Un service MinIO S3 local entièrement configuré. (wip)

Fournit un backend de stockage d’objets compatible S3 interne accessible uniquement sur 127.0.0.1:9000. L’interface Web de la console s’exécute sur 127.0.0.1:9001 pour l’administration et le débogage.

Note

Les buckets ne sont PAS créés automatiquement par ce module. Chaque service consommateur est responsable de la création de ses propres buckets via un hook postStart systemd en utilisant l’outil mc (MinIO Client). Les identifiants sont gérés via sops.

• enable bool Activer le service MinIO S3 local

darkone.service.minio.enable = false;

✨ darkone.service.monitoring

Module de supervision avec prometheus, grafana et node exporter.

Astuce

Ce module est préconfiguré avec une configuration qui vous permet de surveiller le système d’exploitation, l’activité réseau, les ressources et les performances. Pour chaque zone :

• Tous les nœuds avec la balise « monitoring-node » contiennent prometheus + node exporter.
• Le nœud avec le service « monitoring » contient grafana.
• Un seul hôte de surveillance par zone est accepté.
• Une balise « monitoring-node:[zone] » est attachée à un hôte de surveillance de la zone conçue.

• enable bool Activer la surveillance avec prometheus, grafana et node exporter
• isNode bool Est un nœud de surveillance
• retentionTime str Durée de rétention des métriques Prometheus
• kioskTarget str Cible (relative, pas de /) pour la redirection automatique vers Grafana à partir de la racine du domaine de surveillance. Remplacée par le module Loki lorsqu’il est actif pour pointer vers un tableau de bord d’accueil multi-sources.

darkone.service.monitoring = {
  enable = false;
  isNode = lib.hasAttrByPath [ "features" "monitoring-node" ] host;
  retentionTime = "30d";
  kioskTarget = "d/dnf-monitoring-home/home?kiosk";
};

✨ darkone.service.ncps

Proxy de cache Nix avec le module NCPS.

Ce module est activé par le cœur. Le serveur et les clients sont automatiquement détectés.

Astuce

Pour vérifier si un hôte contient la passerelle locale dans les substituteurs :

nix --extra-experimental-features nix-command show-config | grep substituters
telnet <your-gateway> 8501

• enable bool Activer le proxy de cache nix pour les packages
• dataPath str Dossier de cache du proxy de cache nix
• extraOptions attrs Options supplémentaires de services.ncps

darkone.service.ncps = {
  enable = false;
  dataPath = "/var/cache/ncps";
  extraOptions = { };
};

✨ darkone.service.nextcloud

Service Nextcloud entièrement configuré.

Secret sops requis

Lorsqu’il est activé, ce module lit le mot de passe administrateur Nextcloud à partir du secret sops nextcloud-admin-password. Ajoutez l’entrée à usr/secrets/ avant de reconstruire, sinon l’activation sops-nix échouera.

• enable bool Activer le service nextcloud local
• adminUser str Nom d’utilisateur administrateur pour Nextcloud

darkone.service.nextcloud = {
  enable = false;
  adminUser = "admin";
};

✨ darkone.service.nfs

Serveur NFS + client pour les partages résidentiels.

Note

Ce module est activé si un serveur nfs est déclaré dans le réseau local. Il crée :

• Un partage (srv-dirs.homes) sur le serveur.
• Des répertoires de montage (/mnt/nfs/homes/[user]) sur les clients.

Le script du gestionnaire de domicile nfs relie les répertoires xdg aux répertoires de montage. Dans le fichier config.yaml (hôtes) :

• Un seul hôte dispose d’un service service.nfs.
• Les clients ont besoin de features = [ "nfs-client" ].

• enable bool Activer le serveur NFS DNF (éviter d’activer manuellement)
• serverDomain str FQDN du serveur NFS

darkone.service.nfs = {
  enable = hasServer && (isServer || isClient);
  serverDomain = "nfs";
};

✨ darkone.service.outline

Un wiki outline complètement configuré.

• enable bool Activer le service outline local

darkone.service.outline.enable = false;

✨ darkone.service.oxicloud

OxiCloud — Cloud souverain rapide (stockage de fichiers, WebDAV, CalDAV et CardDAV).

Service en cours de validation

Wrapper DNF autour du module nixpkgs (issu du PR #516113 🡕). Le paquet oxicloud est déjà livré dans nixpkgs ; seul le module est sourcé depuis le fork (cf. l’entrée nixpkgs-oxicloud de flake.nix).

SSO

Quand un service idm (Kanidm) existe sur le réseau (zone ou global), l’OIDC est câblé automatiquement : un client OAuth2 est enregistré et OxiCloud est pointé vers les endpoints Kanidm. Sans idm, le comportement amont est laissé inchangé (connexion par mot de passe local uniquement).

Stockage

Le stockage de fichiers, WebDAV, CalDAV et CardDAV sont servis sur le même port HTTP, derrière le reverse proxy Caddy. La base de données PostgreSQL est créée localement.

• enable bool Activer le service OxiCloud local

darkone.service.oxicloud.enable = false;

---

✨ darkone.service.postfix

Relais SMTP Postfix.

• enable bool Activer le relais SMTP Postfix

darkone.service.postfix.enable = false;

✨ darkone.service.printing

Imprimantes et scanners.

• enable bool Paquets utiles par défaut
• loadAll bool Imprimantes et scanners complets
• enableScanners bool Activer les scanners
• enableHpPrinters bool Imprimantes HP uniquement
• enableManualInstall bool Installation manuelle des pilotes

darkone.service.printing = {
  enable = false;
  loadAll = false;
  enableScanners = false;
  enableHpPrinters = false;
  enableManualInstall = false;
};

✨ darkone.service.restic

Module de sauvegarde Restic : serveur REST + cibles de sauvegarde par hôte.

Deux rôles, un module

• Serveur : un hôte avec restic dans son config.yaml services exécute le serveur REST (enableServer) et stocke le dépôt de chaque hôte.
• Client : tout hôte avec enable = true déclare des targets de sauvegarde (chemin local ou rest:http://restic.<zone>:<port>).

Deux mots de passe, ne pas confondre

• Phrase de passe du dépôt : restic-password-<zone>, chiffre le contenu du dépôt.
• Identifiant REST : restic/<hostname>/rest-password par hôte, authentifie l’hôte auprès du serveur REST. Généré par just passwd-restic.

Exemple (machine config) :

darkone.service.restic = {
  enable = true;
  targets = [
    { name = "main"; root = "rest:http://restic.ag.poncon.fr:8888";
      zone = "ag"; categories = [ "system" "nfs" ]; }
  ];
};

Structure du dépôt par cible :

<root>/<hostname>/system     <- catégorie « system » (/ moins les exclusions)
<root>/<hostname>/srv/nfs    <- catégorie « nfs »    (/srv/nfs/<...>)
<root>/<hostname>/srv/medias <- catégorie « medias » (/srv/medias/<...>)

• enable bool Activer le client de sauvegarde restic
• enableDryRun bool Mode simulation
• enableWaitRemoteFs bool Exécuter les sauvegardes seulement après remote-fs.target
• enableServer bool Activer le serveur REST restic
• enableServerPrivateRepos bool Appliquer l’isolation du dépôt par hôte (restic —private-repos). N’activer qu’une fois que chaque client déploie avec son identifiant REST par hôte.
• serverDataDir str Racine de stockage locale du serveur REST (dépôts de tous les hôtes)
• targets listOf ( submodule { options = { name = lib.mkOption { type = str; default = "main"; description = "Target id, used in backup/unit names (<category>-<name>)"; }; root = lib.mkOption { type = str; default = "/mnt/backup/restic"; example = "rest:http://restic.${zone.domain}:${toString srvPort}"; description = "Repository root: local path or REST URL"; }; zone = lib.mkOption { type = str; default = zone.name; description = "Zone selecting the repo passphrase (restic-password-<zone>)"; }; categories = lib.mkOption { type = listOf ( enum [ "system" "nfs" "medias" ] ); default = [ "system" ]; description = "What to back up to this target"; }; }; } ) Destinations de sauvegarde pour cet hôte (chemin local ou URL REST)
  • name str Identifiant de cible, utilisé dans les noms des sauvegardes/unités (<catégorie>-<nom>)
  • root str Racine du dépôt : chemin local ou URL REST
  • zone str Zone sélectionnant la phrase de passe du dépôt (restic-password-<zone>)
  • categories listOf ( enum [ "system" "nfs" "medias" ] ) Quoi sauvegarder vers cette cible
• nfsPaths listOf str Répertoires NFS (/srv/nfs/<xxx>) inclus dans la catégorie « nfs »
• mediasPaths listOf str Répertoires médias (/srv/medias/<xxx>) inclus dans la catégorie « medias »

darkone.service.restic = {
  enable = false;
  enableDryRun = false;
  enableWaitRemoteFs = false;
  enableServer = false;
  enableServerPrivateRepos = false;
  serverDataDir = "/mnt/backup/restic";
  targets = [ ];
  targets.name = "main";
  targets.root = "rest:http://restic.${zone.domain}:${toString srvPort}";
  targets.zone = zone.name;
  targets.categories = [ ];
  nfsPaths = [ ];
  mediasPaths = [ ];
};

---

✨ darkone.service.searx

Un moteur de recherche durci et entièrement configuré.

• enable bool Activer le proxy de recherche local

darkone.service.searx.enable = false;

---

✨ darkone.service.tailscale

Service client Tailscale pour HCS.

Note

Un client Tailscale pour connecter un hôte externe à HCS. Ne pas l’utiliser pour connecter une passerelle pour un sous-réseau tailnet.

• enable bool Activer le client Tailscale pour connecter HCS
• isGateway bool Ce nœud Tailscale est une passerelle de sous-réseau
• isExitNode bool Configurer ce client comme nœud de sortie

darkone.service.tailscale = {
  enable = false;
  isGateway = false;
  isExitNode = false;
};

---

✨ darkone.service.turn

Serveur Coturn (matrix).

Ajouter des entrées DNS pour optimiser :

Type,Name,Priority,Pds,Port,Target
SRV,_stun._udp,0,0,3478,turn.mydomain.tld
SRV,_stun._tcp,0,0,3478,turn.mydomain.tld
SRV,_turn._udp,0,0,3478,turn.mydomain.tld
SRV,_turn._tcp,0,0,3478,turn.mydomain.tld
SRV,_turns._tcp,0,0,5349,turn.mydomain.tld

• enable bool Activer le service turn local (visio)

darkone.service.turn.enable = false;

---

✨ darkone.service.vaultwarden

Un serveur vaultwarden entièrement configuré (wip).

• enable bool Activer le service Vaultwarden local
• enableSmtp bool Activer SMTP pour envoyer des emails (recommandé)

darkone.service.vaultwarden = {
  enable = false;
  enableSmtp = true;
};

---