Project

General

Profile

Tâche #17211

Scénario #17798: Export Keytab: export de la keytab pour un compte système

Ne pas exporter la keytab lors de l'instanciation d'un AD additionnel

Added by christophe guerinot about 7 years ago. Updated almost 7 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Gilles Grandgérard
Target version:
Distribution EOLE - sprint 2016 45-47 - Équipe MENSR
Start date:
09/22/2016
Due date:
% Done:

100%

Estimated time:
2.00 h
Spent time:
1.17 h
Remaining (hours):
0.0

Description

Tranquil IT propose de ne pas exporter la keytab vers un AD additionnel

cette table pourrait éventuellement être utilisée si un service (comme 'squid' par exemple) aurait besoin d'un mot de passe pour s'exécuter.

Dans notre cas il ne semble pas qu'il y ait de besoin, et la présence de cette table peut présenter un gros trou de sécurité

Dans la fonction samba_init_additional(), il faudrait supprimer le paragraphe

    # export keytab ${AD_ADMIN}
    [[ -f "${AD_ADMIN_KEYTAB_FILE}" ]] && rm "${AD_ADMIN_KEYTAB_FILE}" 
    samba-tool domain exportkeytab "${AD_ADMIN_KEYTAB_FILE}" 
    if [[ "$?" -ne 0 ]]
    then
        echo "Impossible de générer le keytab ${AD_ADMIN}" 
        exit 1
    fi

Associated revisions

Revision 185899be (diff)
Added by christophe guerinot almost 7 years ago

Ne pas exporter la keytab Administrator lors de l'instanciation d'un AD additionnel ( fixes #17211 @1 )

Revision e836b888 (diff)
Added by Gilles Grandgérard almost 7 years ago

revue : suppression référence CreoleGet dans les scripts (ajout dans
samba4-vars.conf)

REF #17211 @10m

History

#1 Updated by christophe guerinot almost 7 years ago

Je propose l'évolution suivante

ajout de la variable 'ad_additional_dc_export_keytab' dans le dico '25_smb_ad.xml'

(...)
        <family name='Active Directory' icon='group'>

(...)
            <variable name="ad_additional_dc_export_keytab" type="oui/non" mode="expert" 
                      description="Export de la keytab administrator pour un  contrôleur de domaine additionnel">
                <value>oui</value>
            </variable>
(...)

adaptation dans le script '/usr/lib/eole/samba4.sh'

#
function samba_init_additional()
{
(...)
    # export keytab ${AD_ADMIN}
    if [[ "$(CreoleGet ad_additional_dc_export_keytab)" == "oui" ]] || [[ -f "${AD_ADMIN_KEYTAB_FILE}" ]]; then
        [[ -f "${AD_ADMIN_KEYTAB_FILE}" ]] && rm "${AD_ADMIN_KEYTAB_FILE}" 
        samba-tool domain exportkeytab "${AD_ADMIN_KEYTAB_FILE}" 
        if [[ "$?" -ne 0 ]]
        then
            echo "Impossible de générer le keytab ${AD_ADMIN}" 
            exit 1
        fi
    fi
(...)

l'idée est que si l'instance est relancée, dans le doute, s'il existe déjà un fichier 'AD_ADMIN_KEYTAB_FILE', l'export de la keytab Administrator est forcée quelque soit le contenu de la variable 'ad_additional_dc_export_keytab'

#2 Updated by christophe guerinot almost 7 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100

#3 Updated by Benjamin Bohard almost 7 years ago

  • Parent task changed from #17183 to #17798

Récupération de la demande auparavant attachée à la proposition de scénario https://dev-eole.ac-dijon.fr/issues/17183

#4 Updated by Joël Cuissinat almost 7 years ago

  • Assigned To set to Gilles Grandgérard
  • Estimated time set to 2.00 h
  • Remaining (hours) set to 0.15

#5 Updated by Scrum Master almost 7 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.15 to 0.0

Also available in: Atom PDF