Projet

Général

Profil

Tâche #19756

Scénario #19975: Évolution sur la sécurité des mots de passe et procédure de jonction au domaine

Le mot de passe admin du domaine ne doit pas être stocké sur les RWDC ou RODC

Ajouté par Emmanuel IHRY il y a environ 7 ans. Mis à jour il y a environ 7 ans.

Statut:
Fermé
Priorité:
Haut
Assigné à:
Benjamin Bohard
Version cible:
Distribution EOLE - sprint 2017 13-15 Equipe PNE-SR
Début:
16/03/2017
Echéance:
% réalisé:

100%

Temps estimé:
12.00 h
Temps passé:
15.00 h
Restant à faire (heures):
0.0

Description

root@dc1:~# cat /var/lib/samba/.eole-ad-dc --> contient le mot de passe en clair

Vérifié sur le RWDC je suppose que c'est la mếme chose sur le RODC

Révisions associées

Révision f25dd529 (diff)
Ajouté par Benjamin Bohard il y a environ 7 ans

Ne pas stocker le mot de passe dans un fichier.

La fonction python ne fait que valider le mot de passe.

Ref #19756

Révision 20aba0a2 (diff)
Ajouté par Benjamin Bohard il y a environ 7 ans

Restreindre les caractères autorisés pour les mots de passe.

Ref #19756

Révision ba9892ec (diff)
Ajouté par Benjamin Bohard il y a environ 7 ans

Défaire les changements entrepris pour la conversion de la bibliothèque en python

Ref #19756

Historique

#1 Mis à jour par Michel BALLY il y a environ 7 ans

confirmation, même fichier présent sur RODC et serveur membre

#2 Mis à jour par Emmanuel IHRY il y a environ 7 ans

  • Tâche parente mis à #19975

#3 Mis à jour par Emmanuel IHRY il y a environ 7 ans

  • Description mis à jour (diff)
  • Assigné à mis à Benjamin Bohard

#4 Mis à jour par Benjamin Bohard il y a environ 7 ans

  • Statut changé de Nouveau à En cours

#5 Mis à jour par Benjamin Bohard il y a environ 7 ans

  • Temps estimé mis à 12.00 h
  • Restant à faire (heures) mis à 8.0

Le traitement du mot de passe utilise une commande extérieure qui ne permet pas, proprement, de transmettre le mot de passe sans l’écrire dans un fichier intermédiaire.

L’ensemble du script est réécrit en python pour disposer des facilités de traitement des chaînes de caractères (validation du mot de passe) et ne pas avoir à faire passer les variables d’un langage à l’autre.

Changement nécessaire dans le script posttemplate également.

Gérer le fichier cron pour la réplication avec les mécanismes creole plutôt qu’avec l’écriture dans le script.

#6 Mis à jour par Benjamin Bohard il y a environ 7 ans

  • % réalisé changé de 0 à 70
  • Restant à faire (heures) changé de 8.0 à 2.0

#7 Mis à jour par Benjamin Bohard il y a environ 7 ans

  • % réalisé changé de 70 à 90
  • Restant à faire (heures) changé de 2.0 à 1.0

Tester sur le contrôleur primaire de domaine, "bug" samba découvert au passage, avec une méthode de résolution locale. À voir pour le report upstream (mail envoyé sur la liste samba-technical dans un premier temps).

#8 Mis à jour par Benjamin Bohard il y a environ 7 ans

  • Statut changé de En cours à Résolu
  • % réalisé changé de 90 à 100
  • Restant à faire (heures) changé de 1.0 à 0.25

#9 Mis à jour par Emmanuel IHRY il y a environ 7 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.25 à 0.0

testé sur infra de Dijon, le fichier /var/lib/samba/.eole-ad-dc n'est plus présent

#10 Mis à jour par Emmanuel IHRY il y a environ 7 ans

  • Statut changé de Fermé à Résolu

PB lors de l'instance d'un DC2

/var/lib/samba/.eole-ad-dc n'est pas trouvé sur le DC1

#11 Mis à jour par Emmanuel IHRY il y a environ 7 ans

  • Restant à faire (heures) changé de 0.0 à 0.25

#12 Mis à jour par Emmanuel IHRY il y a environ 7 ans

Pour la jonction au domaine, on demande le compte Administrator, ou tout autre compte

Initialisation DC Secondaire
Generation de la clef SSH pour les echanges entre DC
Envoi de la clef SSH dc2 vers le DC 192.168.0.5
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
's password:

Number of key(s) added: 1

Now try logging into the machine, with: "ssh ''"
and check to make sure that only the key(s) you wanted were added.

id_rsa.pub 100% 390 0.4KB/s 00:00
Jonction au domaine
Compte pour joindre le serveur au domaine [Administrator] :

Create password for delegation:

Redémarrage service

#13 Mis à jour par Emmanuel IHRY il y a environ 7 ans

  • Statut changé de Résolu à Fermé
  • Restant à faire (heures) changé de 0.25 à 0.0

La procédure d'instance du SETH DC secondaire demande désormais la saisie du compte root pour les besoins d'échange de clé (réplication ) et du compte AD (par défaut Administrator), mais il est possible d'en désigner un autre

voir cependant cette demande de correction mineure #20142

Formats disponibles : Atom PDF