Project

General

Profile

Tâche #19756

Scénario #19975: Évolution sur la sécurité des mots de passe et procédure de jonction au domaine

Le mot de passe admin du domaine ne doit pas être stocké sur les RWDC ou RODC

Added by Emmanuel IHRY over 5 years ago. Updated over 5 years ago.

Status:
Fermé
Priority:
Haut
Assigned To:
Start date:
03/16/2017
Due date:
% Done:

100%

Estimated time:
12.00 h
Spent time:
Remaining (hours):
0.0

Description

root@dc1:~# cat /var/lib/samba/.eole-ad-dc --> contient le mot de passe en clair

Vérifié sur le RWDC je suppose que c'est la mếme chose sur le RODC

Associated revisions

Revision f25dd529 (diff)
Added by Benjamin Bohard over 5 years ago

Ne pas stocker le mot de passe dans un fichier.

La fonction python ne fait que valider le mot de passe.

Ref #19756

Revision 20aba0a2 (diff)
Added by Benjamin Bohard over 5 years ago

Restreindre les caractères autorisés pour les mots de passe.

Ref #19756

Revision ba9892ec (diff)
Added by Benjamin Bohard over 5 years ago

Défaire les changements entrepris pour la conversion de la bibliothèque en python

Ref #19756

History

#1 Updated by Michel BALLY over 5 years ago

confirmation, même fichier présent sur RODC et serveur membre

#2 Updated by Emmanuel IHRY over 5 years ago

  • Parent task set to #19975

#3 Updated by Emmanuel IHRY over 5 years ago

  • Description updated (diff)
  • Assigned To set to Benjamin Bohard

#4 Updated by Benjamin Bohard over 5 years ago

  • Status changed from Nouveau to En cours

#5 Updated by Benjamin Bohard over 5 years ago

  • Estimated time set to 12.00 h
  • Remaining (hours) set to 8.0

Le traitement du mot de passe utilise une commande extérieure qui ne permet pas, proprement, de transmettre le mot de passe sans l’écrire dans un fichier intermédiaire.

L’ensemble du script est réécrit en python pour disposer des facilités de traitement des chaînes de caractères (validation du mot de passe) et ne pas avoir à faire passer les variables d’un langage à l’autre.

Changement nécessaire dans le script posttemplate également.

Gérer le fichier cron pour la réplication avec les mécanismes creole plutôt qu’avec l’écriture dans le script.

#6 Updated by Benjamin Bohard over 5 years ago

  • % Done changed from 0 to 70
  • Remaining (hours) changed from 8.0 to 2.0

#7 Updated by Benjamin Bohard over 5 years ago

  • % Done changed from 70 to 90
  • Remaining (hours) changed from 2.0 to 1.0

Tester sur le contrôleur primaire de domaine, "bug" samba découvert au passage, avec une méthode de résolution locale. À voir pour le report upstream (mail envoyé sur la liste samba-technical dans un premier temps).

#8 Updated by Benjamin Bohard over 5 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 90 to 100
  • Remaining (hours) changed from 1.0 to 0.25

#9 Updated by Emmanuel IHRY over 5 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.25 to 0.0

testé sur infra de Dijon, le fichier /var/lib/samba/.eole-ad-dc n'est plus présent

#10 Updated by Emmanuel IHRY over 5 years ago

  • Status changed from Fermé to Résolu

PB lors de l'instance d'un DC2

/var/lib/samba/.eole-ad-dc n'est pas trouvé sur le DC1

#11 Updated by Emmanuel IHRY over 5 years ago

  • Remaining (hours) changed from 0.0 to 0.25

#12 Updated by Emmanuel IHRY over 5 years ago

Pour la jonction au domaine, on demande le compte Administrator, ou tout autre compte

Initialisation DC Secondaire
Generation de la clef SSH pour les echanges entre DC
Envoi de la clef SSH dc2 vers le DC 192.168.0.5
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
's password:

Number of key(s) added: 1

Now try logging into the machine, with: "ssh ''"
and check to make sure that only the key(s) you wanted were added.

id_rsa.pub 100% 390 0.4KB/s 00:00
Jonction au domaine
Compte pour joindre le serveur au domaine [Administrator] :

Create password for delegation:

Redémarrage service

#13 Updated by Emmanuel IHRY over 5 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 0.25 to 0.0

La procédure d'instance du SETH DC secondaire demande désormais la saisie du compte root pour les besoins d'échange de clé (réplication ) et du compte AD (par défaut Administrator), mais il est possible d'en désigner un autre

voir cependant cette demande de correction mineure #20142

Also available in: Atom PDF