Tâche #17211
Scénario #17798: Export Keytab: export de la keytab pour un compte système
Ne pas exporter la keytab lors de l'instanciation d'un AD additionnel
Description
Tranquil IT propose de ne pas exporter la keytab vers un AD additionnel
cette table pourrait éventuellement être utilisée si un service (comme 'squid' par exemple) aurait besoin d'un mot de passe pour s'exécuter.
Dans notre cas il ne semble pas qu'il y ait de besoin, et la présence de cette table peut présenter un gros trou de sécurité
Dans la fonction samba_init_additional(), il faudrait supprimer le paragraphe
# export keytab ${AD_ADMIN} [[ -f "${AD_ADMIN_KEYTAB_FILE}" ]] && rm "${AD_ADMIN_KEYTAB_FILE}" samba-tool domain exportkeytab "${AD_ADMIN_KEYTAB_FILE}" if [[ "$?" -ne 0 ]] then echo "Impossible de générer le keytab ${AD_ADMIN}" exit 1 fi
Révisions associées
Ne pas exporter la keytab Administrator lors de l'instanciation d'un AD additionnel ( fixes #17211 @1 )
revue : suppression référence CreoleGet dans les scripts (ajout dans
samba4-vars.conf)
REF #17211 @10m
Historique
#1 Mis à jour par christophe guerinot il y a plus de 7 ans
Je propose l'évolution suivante
ajout de la variable 'ad_additional_dc_export_keytab' dans le dico '25_smb_ad.xml'
(...) <family name='Active Directory' icon='group'> (...) <variable name="ad_additional_dc_export_keytab" type="oui/non" mode="expert" description="Export de la keytab administrator pour un contrôleur de domaine additionnel"> <value>oui</value> </variable> (...)
adaptation dans le script '/usr/lib/eole/samba4.sh'
# function samba_init_additional() { (...) # export keytab ${AD_ADMIN} if [[ "$(CreoleGet ad_additional_dc_export_keytab)" == "oui" ]] || [[ -f "${AD_ADMIN_KEYTAB_FILE}" ]]; then [[ -f "${AD_ADMIN_KEYTAB_FILE}" ]] && rm "${AD_ADMIN_KEYTAB_FILE}" samba-tool domain exportkeytab "${AD_ADMIN_KEYTAB_FILE}" if [[ "$?" -ne 0 ]] then echo "Impossible de générer le keytab ${AD_ADMIN}" exit 1 fi fi (...)
l'idée est que si l'instance est relancée, dans le doute, s'il existe déjà un fichier 'AD_ADMIN_KEYTAB_FILE', l'export de la keytab Administrator est forcée quelque soit le contenu de la variable 'ad_additional_dc_export_keytab'
#2 Mis à jour par christophe guerinot il y a plus de 7 ans
- Statut changé de Nouveau à Résolu
- % réalisé changé de 0 à 100
Appliqué par commit 185899bea3b60c3b9ce7704d4969d451baa62565.
#3 Mis à jour par Benjamin Bohard il y a plus de 7 ans
- Tâche parente changé de #17183 à #17798
Récupération de la demande auparavant attachée à la proposition de scénario https://dev-eole.ac-dijon.fr/issues/17183
#4 Mis à jour par Joël Cuissinat il y a plus de 7 ans
- Assigné à mis à Gilles Grandgérard
- Temps estimé mis à 2.00 h
- Restant à faire (heures) mis à 0.15
#5 Mis à jour par Scrum Master il y a plus de 7 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.15 à 0.0