Tâche #19756
Scénario #19975: Évolution sur la sécurité des mots de passe et procédure de jonction au domaine
Le mot de passe admin du domaine ne doit pas être stocké sur les RWDC ou RODC
Description
root@dc1:~# cat /var/lib/samba/.eole-ad-dc --> contient le mot de passe en clair
Vérifié sur le RWDC je suppose que c'est la mếme chose sur le RODC
Révisions associées
Ne pas stocker le mot de passe dans un fichier.
La fonction python ne fait que valider le mot de passe.
Ref #19756
Restreindre les caractères autorisés pour les mots de passe.
Ref #19756
Défaire les changements entrepris pour la conversion de la bibliothèque en python
Ref #19756
Historique
#1 Mis à jour par Michel BALLY il y a environ 7 ans
confirmation, même fichier présent sur RODC et serveur membre
#2 Mis à jour par Emmanuel IHRY il y a environ 7 ans
- Tâche parente mis à #19975
#3 Mis à jour par Emmanuel IHRY il y a environ 7 ans
- Description mis à jour (diff)
- Assigné à mis à Benjamin Bohard
#4 Mis à jour par Benjamin Bohard il y a environ 7 ans
- Statut changé de Nouveau à En cours
#5 Mis à jour par Benjamin Bohard il y a environ 7 ans
- Temps estimé mis à 12.00 h
- Restant à faire (heures) mis à 8.0
Le traitement du mot de passe utilise une commande extérieure qui ne permet pas, proprement, de transmettre le mot de passe sans l’écrire dans un fichier intermédiaire.
L’ensemble du script est réécrit en python pour disposer des facilités de traitement des chaînes de caractères (validation du mot de passe) et ne pas avoir à faire passer les variables d’un langage à l’autre.
Changement nécessaire dans le script posttemplate également.
Gérer le fichier cron pour la réplication avec les mécanismes creole plutôt qu’avec l’écriture dans le script.
#6 Mis à jour par Benjamin Bohard il y a environ 7 ans
- % réalisé changé de 0 à 70
- Restant à faire (heures) changé de 8.0 à 2.0
#7 Mis à jour par Benjamin Bohard il y a environ 7 ans
- % réalisé changé de 70 à 90
- Restant à faire (heures) changé de 2.0 à 1.0
Tester sur le contrôleur primaire de domaine, "bug" samba découvert au passage, avec une méthode de résolution locale. À voir pour le report upstream (mail envoyé sur la liste samba-technical dans un premier temps).
#8 Mis à jour par Benjamin Bohard il y a environ 7 ans
- Statut changé de En cours à Résolu
- % réalisé changé de 90 à 100
- Restant à faire (heures) changé de 1.0 à 0.25
#9 Mis à jour par Emmanuel IHRY il y a environ 7 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.25 à 0.0
testé sur infra de Dijon, le fichier /var/lib/samba/.eole-ad-dc n'est plus présent
#10 Mis à jour par Emmanuel IHRY il y a environ 7 ans
- Statut changé de Fermé à Résolu
PB lors de l'instance d'un DC2
/var/lib/samba/.eole-ad-dc n'est pas trouvé sur le DC1
#11 Mis à jour par Emmanuel IHRY il y a environ 7 ans
- Restant à faire (heures) changé de 0.0 à 0.25
#12 Mis à jour par Emmanuel IHRY il y a environ 7 ans
Pour la jonction au domaine, on demande le compte Administrator, ou tout autre compte
Initialisation DC Secondaire
Generation de la clef SSH pour les echanges entre DC
Envoi de la clef SSH dc2 vers le DC 192.168.0.5
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to install the new keys
root@192.168.0.5's password:
Number of key(s) added: 1
Now try logging into the machine, with: "ssh 'root@192.168.0.5'"
and check to make sure that only the key(s) you wanted were added.
id_rsa.pub 100% 390 0.4KB/s 00:00
Jonction au domaine
Compte pour joindre le serveur au domaine [Administrator] :
Create password for delegation:
Redémarrage service
#13 Mis à jour par Emmanuel IHRY il y a environ 7 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 0.25 à 0.0
La procédure d'instance du SETH DC secondaire demande désormais la saisie du compte root pour les besoins d'échange de clé (réplication ) et du compte AD (par défaut Administrator), mais il est possible d'en désigner un autre
voir cependant cette demande de correction mineure #20142