Scénario #20777: Seth : revoir/clarifier le fonctionnement des autorisations réseau - EOLE AD DC - Ensemble Ouvert Libre Évolutif

Scénario #20777

Seth : revoir/clarifier le fonctionnement des autorisations réseau

Added by Klaas TJEBBES almost 6 years ago. Updated over 5 years ago.

Status:

Terminé (Sprint)

Priority:

Normal

Assigned To:

force bleue

Category:

Target version:

Distribution EOLE - sprint 2017 37-39 Equipe PNE-SR

Start date:

09/11/2017

Due date:

09/29/2017

% Done:

100%

Estimated time:

(Total: 17.00 h)

Spent time:

(Total: 15.25 h)

Story points:

3.0

Remaining (hours):

0.00 hour

Velocity based estimate:

Description

gen_config > Active Directory > Environnement réseau :

Adresses IP des serveurs autorisés à se connecter
Réseaux autorisés à se connecter aux services Samba
Adresses IP autorisées à se connecter au service LDAP
(voir la liste des ports concernés pour chaque champ à la fin de la description)

À corriger :
Pour ces 3 paramètres on peut mettre, au choix, IP ou réseau, les libellés sont donc incorrects.

Fonctionnement actuel :
Si on ne renseigne que "Adresses IP des serveurs autorisés à se connecter", aucune règle iptables n'est générée, tout est autorisé.
Si on ne renseigne que "Réseaux autorisés à se connecter aux services Samba", une règle iptables est générée (port 464).
Si on renseigne "Adresses IP des serveurs autorisés à se connecter" et "Réseaux autorisés à se connecter aux services Samba", un nombre conséquent de règles iptables est généré

Si on ne renseigne que "Adresses IP autorisées à se connecter au service LDAP", aucune règle iptables n'est générée, tout est autorisé.
Si on renseigne "Adresses IP des serveurs autorisés à se connecter" et "Adresses IP autorisées à se connecter au service LDAP", aucune règle iptables n'est générée, tout est autorisé.
Si on renseigne "Réseaux autorisés à se connecter aux services Samba" et "Adresses IP autorisées à se connecter au service LDAP", une règle iptables est générée (port 464).
Si on renseigne "Adresses IP des serveurs autorisés à se connecter", "Réseaux autorisés à se connecter aux services Samba" et "Adresses IP autorisées à se connecter au service LDAP", un nombre conséquent de règles iptables est généré.

Il apparaît que le fonctionnement actuel ne semble pas intuitif, lorsqu'il renseigne seulement un champ l'utilisateur s'attend à ce que seul ce champ soit autorisé et que tout le reste soit interdit.

Proposition de modification :
La partie "IP/Réseaux autorisés" contient 3 champs ("serveurs autorisés à se connecter", "aux services Samba", "au service LDAP")

Aucun champs renseigné => mode "tout est ouvert" (0.0.0.0/0.0.0.0)
Dès qu'au moins un champs est renseigné => mode "tout est interdit sauf ce qu'on a renseigné dans gen_config"

Actuellement, si on renseigne les 3 champs, on obtient :

"serveurs autorisés à se connecter"
udp 53
tcp 53
udp 88
tcp 88
tcp 135
udp 389
tcp 389
tcp 445
tcp 636
tcp 3268
tcp 3269
udp 5353
tcp 5353
udp 5722
tcp 5722
tcp 1024:5000
udp 1024:5000
tcp 49152:65535
udp 49152:65535

"...aux services Samba"
udp 53
tcp 53
udp 88
tcp 88
tcp 135
udp 389
tcp 389
tcp 445
tcp 464 <==========
tcp 636
tcp 3268
tcp 3269
udp 5353
tcp 5353
udp 5722
tcp 5722
tcp 1024:5000
udp 1024:5000
tcp 49152:65535
udp 49152:65535

"...au service LDAP"
udp 389
tcp 389
tcp 636

Sur la page suivante on lit que le port 464 est utilisé en "tcp" ET "udp" (on ne gère que le tcp) et que ce port sert à la réplication et au trusts (certes non-fonctionnel aujourd'hui, mais demain...?)
https://technet.microsoft.com/en-us/library/8daead2d-35c1-4b58-b123-d32a26b1f1dd
TCP and UDP 464 | Replication, User and Computer Authentication, Trusts | Kerberos change/set password

Donc on pourrait envisager de fusionner les 2 premiers champs ("serveurs autorisés à se connecter" et "Réseaux autorisés à se connecter aux services Samba").

Subtasks

Related issues

History

#1 Updated by Klaas TJEBBES almost 6 years ago

Tracker changed from Demande to Proposition Scénario
Description updated (diff)

#2 Updated by Joël Cuissinat almost 6 years ago

Project changed from Distribution EOLE to EOLE AD DC

#3 Updated by Klaas TJEBBES almost 6 years ago

Description updated (diff)

#4 Updated by Klaas TJEBBES almost 6 years ago

Description updated (diff)

#5 Updated by Klaas TJEBBES almost 6 years ago

Description updated (diff)

#6 Updated by Emmanuel IHRY almost 6 years ago

Related to Proposition Scénario #19317: Evolution du filtrage IPTABLE mise en place sur le SETH en 2.6.1 added

#7 Updated by Emmanuel IHRY almost 6 years ago

Le proposition rejoint en partie celle que j'avais faite dans le scénario #19317.

Proposition :

- On fusionne les 2 premiers champs ("serveurs autorisés à se connecter" et "Réseaux autorisés à se connecter aux services Samba"). Avec comme libellé "Serveurs AD ou PC autorisés à dialoguer avec ce serveur"
Ces deux champs peuvent contenir des lan ou IP individuels

- La partie "IP/Réseaux autorisés" contient donc 2 champs (Serveurs AD ou PC autorisés à dialoguer avec ce serveur", "au service LDAP")

Aucun champs renseigné => mode tout est ouvert en any à la source *mais à destination des seuls ports AD :*

Donc de any vers l'IP eth0 et uniquement ces ports
udp 53
tcp 53
udp 88
tcp 88
tcp 135
udp 389
tcp 389
tcp 445
tcp 464 
udp 464
tcp 636
tcp 3268
tcp 3269
udp 5353
tcp 5353
udp 5722
tcp 5722
tcp 1024:5000
udp 1024:5000
tcp 49152:65535
udp 49152:65535

Dès qu'au moins un champs est renseigné => mode "tout est interdit à la source sauf ce qu'on a renseigné dans gen_config"

NB :
1) Ne pas oublier l'interaction avec la variable autoriser la connexion pour les protocoles netbios
2) La version 4.6 permet de fixer le port RPC, je ne sais pas si ça peut être utile et dans ce cas il faudra adapter la liste des flux

https://www.samba.org/samba/history/samba-4.6.0.html
The new 'rpc server port' option controls the default port used for
RPC services other than Netlogon.  The Netlogon server honours instead
the 'rpc server port:netlogon' option.  The default value for both
these options is the first available port including or after 1024.

Autre sujet :

Par ailleurs, il faut revoir ce libellé et la logique de cette variable "Adresse IP des contrôleurs de domaine faisant partie du même domaine Active Directory"
Elle sert à la fois à la réplication sysvol (et donc induit des règles iptable) et au resolv.conf. Pour moi elle ne devrait servir qu'à la réplication sysvol et pas alimenter le template resolv.conf.
On pourrait alors changer le libellé en précisant que cela sert à sysvol.

Le resolv.conf ne devrait contenir que
search mondomaine.lan
nameserver 127.0.0.1

J'ai remarqué un dysfonctionnement #20355
Je ferai une demande spécifique sur ce sujet.

#8 Updated by Klaas TJEBBES almost 6 years ago

L'adresse IP du ou des DNS externes doit apparaître dans /etc/resolv.conf car le serveur doit pouvoir continuer à résoudre les noms sur Internet si Samba est arrêté et que le serveur est le seul DC ou que les autres DC sont injoignables.

Concernant l'adresse des autres DC dans /etc/resolv.conf, c'est pour éviter les erreurs "dns_tkey_negotiategss: TKEY is unacceptable".
https://dev-eole.ac-dijon.fr/issues/17612#note-6

#9 Updated by Emmanuel IHRY over 5 years ago

Tracker changed from Proposition Scénario to Scénario
Due date set to 09/29/2017
Target version set to sprint 2017 37-39 Equipe PNE-SR
Start date set to 09/11/2017
Story points set to 3.0

#10 Updated by Emmanuel IHRY over 5 years ago

Assigned To set to force bleue

#12 Updated by Joël Cuissinat over 5 years ago

Status changed from Nouveau to Terminé (Sprint)

Also available in: Atom PDF

Project

General

Profile

Distribution EOLE » Modules » EOLE AD DC

Issues

Custom queries