Tâche #20003
Scénario #19975: Évolution sur la sécurité des mots de passe et procédure de jonction au domaine
SETC DC : Expliquer le fonctionnement de la synchro du sysvol et jonction au domaine
Description
Lors de la jonction d'un DC additionnel, il est nécessaire de connaître le PWD du primaire :
- est-ce du au process Rsync à mettre en place pour sysvol ?
- rsync est il mono (depuis le primaire vers le secondaire) ou bi directionnel ?
- y aurait il une solution pour joindre le DC uniquement en désignant un compte du domaine AD (à saisir lors de l'instance comme le membre ?). Comme c'est demandé dans le demande #19757
- sinon on laisse tel quel à condition que le mot de passe admin du domaine ne soit plus stocké sur les SETH (voir #19756)
Historique
#1 Mis à jour par Benjamin Bohard il y a environ 7 ans
- Temps estimé mis à 5.00 h
- Restant à faire (heures) mis à 5.0
Le mot de passe est utilisé pour mettre en place les mécanismes de réplication.
Ce qu’il est prévu de faire : se dispenser de la création du fichier intermédiaire stockant le mot de passe, utiliser un compte autre qu’Administrator, supprimer les scripts obsolètes nécessitant un mot de passe.
#2 Mis à jour par Benjamin Bohard il y a environ 7 ans
- % réalisé changé de 0 à 80
- Restant à faire (heures) changé de 5.0 à 1.0
La synchronisation fait appel à ssh utilisable uniquement avec un compte système dans l’état actuel de la configuration.
Il y a deux aspects pour la sécurisation des accès et l’accès lui-même.
Configuration sshd¶
Modifier les groupes autorisés à se connecter au serveur sshd (variable ssh_allow_groups déjà existante dans la configuration, dans l’onglet sshd en mode expert)
Compte accessible¶
Créer un compte système dédié avec des privilèges restreints¶
Nécessite la création du compte sur le DC avec le renseignement d’un mot de passe (étape supplémentaire lors de l’instance ou traitement à part avant la jonction au domaine des autres serveurs.
DC¶
Ajouter un compte dédié (paramétrable ?) et restreindre ses droits (sudo ou shell restreint, droits d’accès)
DC additionnel¶
Renseigner le compte dans la configuration si besoin (paramétrable ?).
Utiliser ce compte pour les scripts JobSynchroSysvol et samba4.sh
Permettre de se connecter avec un compte du domaine¶
activer winbind en backend d’authentification¶
Installation nécessaire de libpam_winbind pour permettre de se connecter avec un compte du domaine.
configuration samba¶
winbind doit remonter un shell valide pour les utilisateurs pour que la connexion soit possible.
Il est possible de déclarer le shell dans la fiche de l’utilisateur dans le cadre de la rfc2307 ou de remonter un shell particulier pour tous les utilisateurs (/bin/false par défaut).
rfc2307¶
L’annuaire est déjà provisionné avec les bonnes options.
Il est nécessaire d’ajouter le champ loginShell au compte.
Il faut ajouter des options à la configuration samba pour tenir compte des informations de l’annuaire
idmap_ldb:use rfc2307 = yes
Tests non concluant pour l’instant : le shell renseigné dans la fiche n’est pas remonté correctement, l’utilisateur conserve le shell /bin/false et se retrouve déconnecter aussitôt.
template shell¶
Modification globale du shell remonté par winbind.
template shell = /bin/sh
Test concluant : ssh et scp fonctionnel.
#3 Mis à jour par Emmanuel IHRY il y a environ 7 ans
- Statut changé de Nouveau à En cours
#4 Mis à jour par Benjamin Bohard il y a environ 7 ans
- Statut changé de En cours à Ne sera pas résolu
- % réalisé changé de 80 à 100
- Restant à faire (heures) changé de 1.0 à 0.0
#5 Mis à jour par Emmanuel IHRY il y a environ 7 ans
proposition de scénario à envisager pour la 2.6.2 : #20095