Project

General

Profile

Scénario #20777

Seth : revoir/clarifier le fonctionnement des autorisations réseau

Added by Klaas TJEBBES over 2 years ago. Updated about 2 years ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
Category:
-
Start date:
09/11/2017
Due date:
09/29/2017
% Done:

100%

Estimated time:
(Total: 17.00 h)
Spent time:
(Total: 15.25 h)
Story points:
3.0
Remaining (hours):
0.00 hour
Velocity based estimate:

Description

gen_config > Active Directory > Environnement réseau :
  • Adresses IP des serveurs autorisés à se connecter
  • Réseaux autorisés à se connecter aux services Samba
  • Adresses IP autorisées à se connecter au service LDAP
    (voir la liste des ports concernés pour chaque champ à la fin de la description)

À corriger :
Pour ces 3 paramètres on peut mettre, au choix, IP ou réseau, les libellés sont donc incorrects.

Fonctionnement actuel :
Si on ne renseigne que "Adresses IP des serveurs autorisés à se connecter", aucune règle iptables n'est générée, tout est autorisé.
Si on ne renseigne que "Réseaux autorisés à se connecter aux services Samba", une règle iptables est générée (port 464).
Si on renseigne "Adresses IP des serveurs autorisés à se connecter" et "Réseaux autorisés à se connecter aux services Samba", un nombre conséquent de règles iptables est généré

Si on ne renseigne que "Adresses IP autorisées à se connecter au service LDAP", aucune règle iptables n'est générée, tout est autorisé.
Si on renseigne "Adresses IP des serveurs autorisés à se connecter" et "Adresses IP autorisées à se connecter au service LDAP", aucune règle iptables n'est générée, tout est autorisé.
Si on renseigne "Réseaux autorisés à se connecter aux services Samba" et "Adresses IP autorisées à se connecter au service LDAP", une règle iptables est générée (port 464).
Si on renseigne "Adresses IP des serveurs autorisés à se connecter", "Réseaux autorisés à se connecter aux services Samba" et "Adresses IP autorisées à se connecter au service LDAP", un nombre conséquent de règles iptables est généré.

Il apparaît que le fonctionnement actuel ne semble pas intuitif, lorsqu'il renseigne seulement un champ l'utilisateur s'attend à ce que seul ce champ soit autorisé et que tout le reste soit interdit.

Proposition de modification :
La partie "IP/Réseaux autorisés" contient 3 champs ("serveurs autorisés à se connecter", "aux services Samba", "au service LDAP")

  • Aucun champs renseigné => mode "tout est ouvert" (0.0.0.0/0.0.0.0)
  • Dès qu'au moins un champs est renseigné => mode "tout est interdit sauf ce qu'on a renseigné dans gen_config"

Actuellement, si on renseigne les 3 champs, on obtient :
  • "serveurs autorisés à se connecter"
    udp 53
    tcp 53
    udp 88
    tcp 88
    tcp 135
    udp 389
    tcp 389
    tcp 445
    tcp 636
    tcp 3268
    tcp 3269
    udp 5353
    tcp 5353
    udp 5722
    tcp 5722
    tcp 1024:5000
    udp 1024:5000
    tcp 49152:65535
    udp 49152:65535
  • "...aux services Samba"
    udp 53
    tcp 53
    udp 88
    tcp 88
    tcp 135
    udp 389
    tcp 389
    tcp 445
    tcp 464 <==========
    tcp 636
    tcp 3268
    tcp 3269
    udp 5353
    tcp 5353
    udp 5722
    tcp 5722
    tcp 1024:5000
    udp 1024:5000
    tcp 49152:65535
    udp 49152:65535
  • "...au service LDAP"
    udp 389
    tcp 389
    tcp 636

Sur la page suivante on lit que le port 464 est utilisé en "tcp" ET "udp" (on ne gère que le tcp) et que ce port sert à la réplication et au trusts (certes non-fonctionnel aujourd'hui, mais demain...?)
https://technet.microsoft.com/en-us/library/8daead2d-35c1-4b58-b123-d32a26b1f1dd
TCP and UDP 464 | Replication, User and Computer Authentication, Trusts | Kerberos change/set password

Donc on pourrait envisager de fusionner les 2 premiers champs ("serveurs autorisés à se connecter" et "Réseaux autorisés à se connecter aux services Samba").


Subtasks

Tâche #20466: Ajouter des validation sur les adresses autorisées à se connecter aux services ADFerméBenjamin Bohard

Tâche #21296: Revoir les variables et leur présentation pour la configuration du réseau des modules Seth.FerméBenjamin Bohard

Tâche #21324: Migrer les variables fusionnées pour la gestion du pare-feuFerméBenjamin Bohard

Tâche #21336: Mettre à jour les tests squashFerméBenjamin Bohard

Tâche #21364: Mettre à jour la documentation pour l’onglet Active DirectoryFerméBenjamin Bohard


Related issues

Related to EOLE AD DC - Proposition Scénario #19317: Evolution du filtrage IPTABLE mise en place sur le SETH en 2.6.1 Fermé

History

#1 Updated by Klaas TJEBBES over 2 years ago

  • Tracker changed from Demande to Proposition Scénario
  • Description updated (diff)

#2 Updated by Joël Cuissinat over 2 years ago

  • Project changed from Distribution EOLE to EOLE AD DC

#3 Updated by Klaas TJEBBES over 2 years ago

  • Description updated (diff)

#4 Updated by Klaas TJEBBES over 2 years ago

  • Description updated (diff)

#5 Updated by Klaas TJEBBES over 2 years ago

  • Description updated (diff)

#6 Updated by Emmanuel IHRY over 2 years ago

#7 Updated by Emmanuel IHRY over 2 years ago

Le proposition rejoint en partie celle que j'avais faite dans le scénario #19317.

Proposition :

- On fusionne les 2 premiers champs ("serveurs autorisés à se connecter" et "Réseaux autorisés à se connecter aux services Samba"). Avec comme libellé "Serveurs AD ou PC autorisés à dialoguer avec ce serveur"
Ces deux champs peuvent contenir des lan ou IP individuels

- La partie "IP/Réseaux autorisés" contient donc 2 champs (Serveurs AD ou PC autorisés à dialoguer avec ce serveur", "au service LDAP")

Aucun champs renseigné => mode tout est ouvert en any à la source *mais à destination des seuls ports AD :*

Donc de any vers l'IP eth0 et uniquement ces ports
udp 53
tcp 53
udp 88
tcp 88
tcp 135
udp 389
tcp 389
tcp 445
tcp 464 
udp 464
tcp 636
tcp 3268
tcp 3269
udp 5353
tcp 5353
udp 5722
tcp 5722
tcp 1024:5000
udp 1024:5000
tcp 49152:65535
udp 49152:65535

Dès qu'au moins un champs est renseigné => mode "tout est interdit à la source sauf ce qu'on a renseigné dans gen_config"

NB :
1) Ne pas oublier l'interaction avec la variable autoriser la connexion pour les protocoles netbios
2) La version 4.6 permet de fixer le port RPC, je ne sais pas si ça peut être utile et dans ce cas il faudra adapter la liste des flux

https://www.samba.org/samba/history/samba-4.6.0.html
The new 'rpc server port' option controls the default port used for
RPC services other than Netlogon.  The Netlogon server honours instead
the 'rpc server port:netlogon' option.  The default value for both
these options is the first available port including or after 1024.

Autre sujet :

Par ailleurs, il faut revoir ce libellé et la logique de cette variable "Adresse IP des contrôleurs de domaine faisant partie du même domaine Active Directory"
Elle sert à la fois à la réplication sysvol (et donc induit des règles iptable) et au resolv.conf. Pour moi elle ne devrait servir qu'à la réplication sysvol et pas alimenter le template resolv.conf.
On pourrait alors changer le libellé en précisant que cela sert à sysvol.

Le resolv.conf ne devrait contenir que
search mondomaine.lan
nameserver 127.0.0.1

J'ai remarqué un dysfonctionnement #20355
Je ferai une demande spécifique sur ce sujet.

#8 Updated by Klaas TJEBBES over 2 years ago

L'adresse IP du ou des DNS externes doit apparaître dans /etc/resolv.conf car le serveur doit pouvoir continuer à résoudre les noms sur Internet si Samba est arrêté et que le serveur est le seul DC ou que les autres DC sont injoignables.

Concernant l'adresse des autres DC dans /etc/resolv.conf, c'est pour éviter les erreurs "dns_tkey_negotiategss: TKEY is unacceptable".
https://dev-eole.ac-dijon.fr/issues/17612#note-6

#9 Updated by Emmanuel IHRY over 2 years ago

  • Tracker changed from Proposition Scénario to Scénario
  • Due date set to 09/29/2017
  • Target version set to sprint 2017 37-39 Equipe PNE-SR
  • Start date set to 09/11/2017
  • Story points set to 3.0

#10 Updated by Emmanuel IHRY over 2 years ago

  • Assigned To set to force bleue

#12 Updated by Joël Cuissinat about 2 years ago

  • Status changed from Nouveau to Terminé (Sprint)

Also available in: Atom PDF