Tâche #19756
Scénario #19975: Évolution sur la sécurité des mots de passe et procédure de jonction au domaine
Le mot de passe admin du domaine ne doit pas être stocké sur les RWDC ou RODC
Description
root@dc1:~# cat /var/lib/samba/.eole-ad-dc --> contient le mot de passe en clair
Vérifié sur le RWDC je suppose que c'est la mếme chose sur le RODC
Associated revisions
Ne pas stocker le mot de passe dans un fichier.
La fonction python ne fait que valider le mot de passe.
Ref #19756
Restreindre les caractères autorisés pour les mots de passe.
Ref #19756
Défaire les changements entrepris pour la conversion de la bibliothèque en python
Ref #19756
History
#1 Updated by Michel BALLY over 6 years ago
confirmation, même fichier présent sur RODC et serveur membre
#2 Updated by Emmanuel IHRY over 6 years ago
- Parent task set to #19975
#3 Updated by Emmanuel IHRY over 6 years ago
- Description updated (diff)
- Assigned To set to Benjamin Bohard
#4 Updated by Benjamin Bohard over 6 years ago
- Status changed from Nouveau to En cours
#5 Updated by Benjamin Bohard over 6 years ago
- Estimated time set to 12.00 h
- Remaining (hours) set to 8.0
Le traitement du mot de passe utilise une commande extérieure qui ne permet pas, proprement, de transmettre le mot de passe sans l’écrire dans un fichier intermédiaire.
L’ensemble du script est réécrit en python pour disposer des facilités de traitement des chaînes de caractères (validation du mot de passe) et ne pas avoir à faire passer les variables d’un langage à l’autre.
Changement nécessaire dans le script posttemplate également.
Gérer le fichier cron pour la réplication avec les mécanismes creole plutôt qu’avec l’écriture dans le script.
#6 Updated by Benjamin Bohard over 6 years ago
- % Done changed from 0 to 70
- Remaining (hours) changed from 8.0 to 2.0
#7 Updated by Benjamin Bohard over 6 years ago
- % Done changed from 70 to 90
- Remaining (hours) changed from 2.0 to 1.0
Tester sur le contrôleur primaire de domaine, "bug" samba découvert au passage, avec une méthode de résolution locale. À voir pour le report upstream (mail envoyé sur la liste samba-technical dans un premier temps).
#8 Updated by Benjamin Bohard over 6 years ago
- Status changed from En cours to Résolu
- % Done changed from 90 to 100
- Remaining (hours) changed from 1.0 to 0.25
#9 Updated by Emmanuel IHRY over 6 years ago
- Status changed from Résolu to Fermé
- Remaining (hours) changed from 0.25 to 0.0
testé sur infra de Dijon, le fichier /var/lib/samba/.eole-ad-dc n'est plus présent
#10 Updated by Emmanuel IHRY over 6 years ago
- Status changed from Fermé to Résolu
PB lors de l'instance d'un DC2
/var/lib/samba/.eole-ad-dc n'est pas trouvé sur le DC1#11 Updated by Emmanuel IHRY over 6 years ago
- Remaining (hours) changed from 0.0 to 0.25
#12 Updated by Emmanuel IHRY over 6 years ago
Pour la jonction au domaine, on demande le compte Administrator, ou tout autre compte
Initialisation DC Secondaire
Generation de la clef SSH pour les echanges entre DC
Envoi de la clef SSH dc2 vers le DC 192.168.0.5
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.0.5's password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'root@192.168.0.5'"
and check to make sure that only the key(s) you wanted were added.
id_rsa.pub 100% 390 0.4KB/s 00:00
Jonction au domaine
Compte pour joindre le serveur au domaine [Administrator] :
Create password for delegation:
Redémarrage service
#13 Updated by Emmanuel IHRY over 6 years ago
- Status changed from Résolu to Fermé
- Remaining (hours) changed from 0.25 to 0.0
La procédure d'instance du SETH DC secondaire demande désormais la saisie du compte root pour les besoins d'échange de clé (réplication ) et du compte AD (par défaut Administrator), mais il est possible d'en désigner un autre
voir cependant cette demande de correction mineure #20142