Projet

Général

Profil

Tâche #17211

Scénario #17798: Export Keytab: export de la keytab pour un compte système

Ne pas exporter la keytab lors de l'instanciation d'un AD additionnel

Ajouté par christophe guerinot il y a plus de 7 ans. Mis à jour il y a plus de 7 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Gilles Grandgérard
Version cible:
Distribution EOLE - sprint 2016 45-47 - Équipe MENSR
Début:
22/09/2016
Echéance:
% réalisé:

100%

Temps estimé:
2.00 h
Temps passé:
1.17 h
Restant à faire (heures):
0.0

Description

Tranquil IT propose de ne pas exporter la keytab vers un AD additionnel

cette table pourrait éventuellement être utilisée si un service (comme 'squid' par exemple) aurait besoin d'un mot de passe pour s'exécuter.

Dans notre cas il ne semble pas qu'il y ait de besoin, et la présence de cette table peut présenter un gros trou de sécurité

Dans la fonction samba_init_additional(), il faudrait supprimer le paragraphe

    # export keytab ${AD_ADMIN}
    [[ -f "${AD_ADMIN_KEYTAB_FILE}" ]] && rm "${AD_ADMIN_KEYTAB_FILE}" 
    samba-tool domain exportkeytab "${AD_ADMIN_KEYTAB_FILE}" 
    if [[ "$?" -ne 0 ]]
    then
        echo "Impossible de générer le keytab ${AD_ADMIN}" 
        exit 1
    fi

Révisions associées

Révision 185899be (diff)
Ajouté par christophe guerinot il y a plus de 7 ans

Ne pas exporter la keytab Administrator lors de l'instanciation d'un AD additionnel ( fixes #17211 @1 )

Révision e836b888 (diff)
Ajouté par Gilles Grandgérard il y a plus de 7 ans

revue : suppression référence CreoleGet dans les scripts (ajout dans
samba4-vars.conf)

REF #17211 @10m

Historique

#1 Mis à jour par christophe guerinot il y a plus de 7 ans

Je propose l'évolution suivante

ajout de la variable 'ad_additional_dc_export_keytab' dans le dico '25_smb_ad.xml'

(...)
        <family name='Active Directory' icon='group'>

(...)
            <variable name="ad_additional_dc_export_keytab" type="oui/non" mode="expert" 
                      description="Export de la keytab administrator pour un  contrôleur de domaine additionnel">
                <value>oui</value>
            </variable>
(...)

adaptation dans le script '/usr/lib/eole/samba4.sh'

#
function samba_init_additional()
{
(...)
    # export keytab ${AD_ADMIN}
    if [[ "$(CreoleGet ad_additional_dc_export_keytab)" == "oui" ]] || [[ -f "${AD_ADMIN_KEYTAB_FILE}" ]]; then
        [[ -f "${AD_ADMIN_KEYTAB_FILE}" ]] && rm "${AD_ADMIN_KEYTAB_FILE}" 
        samba-tool domain exportkeytab "${AD_ADMIN_KEYTAB_FILE}" 
        if [[ "$?" -ne 0 ]]
        then
            echo "Impossible de générer le keytab ${AD_ADMIN}" 
            exit 1
        fi
    fi
(...)

l'idée est que si l'instance est relancée, dans le doute, s'il existe déjà un fichier 'AD_ADMIN_KEYTAB_FILE', l'export de la keytab Administrator est forcée quelque soit le contenu de la variable 'ad_additional_dc_export_keytab'

#2 Mis à jour par christophe guerinot il y a plus de 7 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 0 à 100

#3 Mis à jour par Benjamin Bohard il y a plus de 7 ans

  • Tâche parente changé de #17183 à #17798

Récupération de la demande auparavant attachée à la proposition de scénario https://dev-eole.ac-dijon.fr/issues/17183

#4 Mis à jour par Joël Cuissinat il y a plus de 7 ans

  • Assigné à mis à Gilles Grandgérard
  • Temps estimé mis à 2.00 h
  • Restant à faire (heures) mis à 0.15

#5 Mis à jour par Scrum Master il y a plus de 7 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.15 à 0.0

Formats disponibles : Atom PDF