Scénario #20777: Seth : revoir/clarifier le fonctionnement des autorisations réseau - EOLE AD DC - Ensemble Ouvert Libre Évolutif

Scénario #20777

Seth : revoir/clarifier le fonctionnement des autorisations réseau

Ajouté par Klaas TJEBBES il y a presque 7 ans. Mis à jour il y a plus de 6 ans.

Statut:

Terminé (Sprint)

Priorité:

Normal

Assigné à:

force bleue

Catégorie:

Version cible:

Distribution EOLE - sprint 2017 37-39 Equipe PNE-SR

Début:

11/09/2017

Echéance:

29/09/2017

% réalisé:

100%

Temps estimé:

(Total: 17.00 h)

Temps passé:

(Total: 15.25 h)

Points de scénarios:

3.0

Restant à faire (heures):

0.00 heure

Estimation basée sur la vélocité:

Description

gen_config > Active Directory > Environnement réseau :

Adresses IP des serveurs autorisés à se connecter
Réseaux autorisés à se connecter aux services Samba
Adresses IP autorisées à se connecter au service LDAP
(voir la liste des ports concernés pour chaque champ à la fin de la description)

À corriger :
Pour ces 3 paramètres on peut mettre, au choix, IP ou réseau, les libellés sont donc incorrects.

Fonctionnement actuel :
Si on ne renseigne que "Adresses IP des serveurs autorisés à se connecter", aucune règle iptables n'est générée, tout est autorisé.
Si on ne renseigne que "Réseaux autorisés à se connecter aux services Samba", une règle iptables est générée (port 464).
Si on renseigne "Adresses IP des serveurs autorisés à se connecter" et "Réseaux autorisés à se connecter aux services Samba", un nombre conséquent de règles iptables est généré

Si on ne renseigne que "Adresses IP autorisées à se connecter au service LDAP", aucune règle iptables n'est générée, tout est autorisé.
Si on renseigne "Adresses IP des serveurs autorisés à se connecter" et "Adresses IP autorisées à se connecter au service LDAP", aucune règle iptables n'est générée, tout est autorisé.
Si on renseigne "Réseaux autorisés à se connecter aux services Samba" et "Adresses IP autorisées à se connecter au service LDAP", une règle iptables est générée (port 464).
Si on renseigne "Adresses IP des serveurs autorisés à se connecter", "Réseaux autorisés à se connecter aux services Samba" et "Adresses IP autorisées à se connecter au service LDAP", un nombre conséquent de règles iptables est généré.

Il apparaît que le fonctionnement actuel ne semble pas intuitif, lorsqu'il renseigne seulement un champ l'utilisateur s'attend à ce que seul ce champ soit autorisé et que tout le reste soit interdit.

Proposition de modification :
La partie "IP/Réseaux autorisés" contient 3 champs ("serveurs autorisés à se connecter", "aux services Samba", "au service LDAP")

Aucun champs renseigné => mode "tout est ouvert" (0.0.0.0/0.0.0.0)
Dès qu'au moins un champs est renseigné => mode "tout est interdit sauf ce qu'on a renseigné dans gen_config"

Actuellement, si on renseigne les 3 champs, on obtient :

"serveurs autorisés à se connecter"
udp 53
tcp 53
udp 88
tcp 88
tcp 135
udp 389
tcp 389
tcp 445
tcp 636
tcp 3268
tcp 3269
udp 5353
tcp 5353
udp 5722
tcp 5722
tcp 1024:5000
udp 1024:5000
tcp 49152:65535
udp 49152:65535

"...aux services Samba"
udp 53
tcp 53
udp 88
tcp 88
tcp 135
udp 389
tcp 389
tcp 445
tcp 464 <==========
tcp 636
tcp 3268
tcp 3269
udp 5353
tcp 5353
udp 5722
tcp 5722
tcp 1024:5000
udp 1024:5000
tcp 49152:65535
udp 49152:65535

"...au service LDAP"
udp 389
tcp 389
tcp 636

Sur la page suivante on lit que le port 464 est utilisé en "tcp" ET "udp" (on ne gère que le tcp) et que ce port sert à la réplication et au trusts (certes non-fonctionnel aujourd'hui, mais demain...?)
https://technet.microsoft.com/en-us/library/8daead2d-35c1-4b58-b123-d32a26b1f1dd
TCP and UDP 464 | Replication, User and Computer Authentication, Trusts | Kerberos change/set password

Donc on pourrait envisager de fusionner les 2 premiers champs ("serveurs autorisés à se connecter" et "Réseaux autorisés à se connecter aux services Samba").

Sous-tâches

Demandes liées

Historique

#1 Mis à jour par Klaas TJEBBES il y a presque 7 ans

Tracker changé de Demande à Proposition Scénario
Description mis à jour (diff)

#2 Mis à jour par Joël Cuissinat il y a presque 7 ans

Projet changé de Distribution EOLE à EOLE AD DC

#3 Mis à jour par Klaas TJEBBES il y a presque 7 ans

Description mis à jour (diff)

#4 Mis à jour par Klaas TJEBBES il y a presque 7 ans

Description mis à jour (diff)

#5 Mis à jour par Klaas TJEBBES il y a presque 7 ans

Description mis à jour (diff)

#6 Mis à jour par Emmanuel IHRY il y a presque 7 ans

Lié à Proposition Scénario #19317: Evolution du filtrage IPTABLE mise en place sur le SETH en 2.6.1 ajouté

#7 Mis à jour par Emmanuel IHRY il y a presque 7 ans

Le proposition rejoint en partie celle que j'avais faite dans le scénario #19317.

Proposition :

- On fusionne les 2 premiers champs ("serveurs autorisés à se connecter" et "Réseaux autorisés à se connecter aux services Samba"). Avec comme libellé "Serveurs AD ou PC autorisés à dialoguer avec ce serveur"
Ces deux champs peuvent contenir des lan ou IP individuels

- La partie "IP/Réseaux autorisés" contient donc 2 champs (Serveurs AD ou PC autorisés à dialoguer avec ce serveur", "au service LDAP")

Aucun champs renseigné => mode tout est ouvert en any à la source *mais à destination des seuls ports AD :*

Donc de any vers l'IP eth0 et uniquement ces ports
udp 53
tcp 53
udp 88
tcp 88
tcp 135
udp 389
tcp 389
tcp 445
tcp 464 
udp 464
tcp 636
tcp 3268
tcp 3269
udp 5353
tcp 5353
udp 5722
tcp 5722
tcp 1024:5000
udp 1024:5000
tcp 49152:65535
udp 49152:65535

Dès qu'au moins un champs est renseigné => mode "tout est interdit à la source sauf ce qu'on a renseigné dans gen_config"

NB :
1) Ne pas oublier l'interaction avec la variable autoriser la connexion pour les protocoles netbios
2) La version 4.6 permet de fixer le port RPC, je ne sais pas si ça peut être utile et dans ce cas il faudra adapter la liste des flux

https://www.samba.org/samba/history/samba-4.6.0.html
The new 'rpc server port' option controls the default port used for
RPC services other than Netlogon.  The Netlogon server honours instead
the 'rpc server port:netlogon' option.  The default value for both
these options is the first available port including or after 1024.

Autre sujet :

Par ailleurs, il faut revoir ce libellé et la logique de cette variable "Adresse IP des contrôleurs de domaine faisant partie du même domaine Active Directory"
Elle sert à la fois à la réplication sysvol (et donc induit des règles iptable) et au resolv.conf. Pour moi elle ne devrait servir qu'à la réplication sysvol et pas alimenter le template resolv.conf.
On pourrait alors changer le libellé en précisant que cela sert à sysvol.

Le resolv.conf ne devrait contenir que
search mondomaine.lan
nameserver 127.0.0.1

J'ai remarqué un dysfonctionnement #20355
Je ferai une demande spécifique sur ce sujet.

#8 Mis à jour par Klaas TJEBBES il y a presque 7 ans

L'adresse IP du ou des DNS externes doit apparaître dans /etc/resolv.conf car le serveur doit pouvoir continuer à résoudre les noms sur Internet si Samba est arrêté et que le serveur est le seul DC ou que les autres DC sont injoignables.

Concernant l'adresse des autres DC dans /etc/resolv.conf, c'est pour éviter les erreurs "dns_tkey_negotiategss: TKEY is unacceptable".
https://dev-eole.ac-dijon.fr/issues/17612#note-6

#9 Mis à jour par Emmanuel IHRY il y a plus de 6 ans

Tracker changé de Proposition Scénario à Scénario
Echéance mis à 29/09/2017
Version cible mis à sprint 2017 37-39 Equipe PNE-SR
Début mis à 11/09/2017
Points de scénarios mis à 3.0

#10 Mis à jour par Emmanuel IHRY il y a plus de 6 ans

Assigné à mis à force bleue

#12 Mis à jour par Joël Cuissinat il y a plus de 6 ans

Statut changé de Nouveau à Terminé (Sprint)

Formats disponibles : Atom PDF

Projet

Général

Profil

Distribution EOLE » Modules » EOLE AD DC

Demandes

Rapports personnalisés