Project

General

Profile

Tâche #32168

Scénario #31930: Gérer les clefs Salt Minion des Computer connu, dans le cas de redéploiement de VM avec un outil style Fog ou MDT

Etude

Added by Emmanuel GARETTE 5 months ago. Updated 5 months ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
03/22/2021
Due date:
% Done:

100%

Estimated time:
0.00 h
Remaining (hours):
0.0

History

#1 Updated by Emmanuel GARETTE 5 months ago

  • Status changed from Nouveau to En cours

#2 Updated by Emmanuel GARETTE 5 months ago

  • Assigned To set to Emmanuel GARETTE

#3 Updated by Emmanuel GARETTE 5 months ago

Le problème principal de ce qui est demandé c'est que l'auto acceptation veut dire que n'importe qui placant un minion_id avec le nom d'un minion existant pourra récupérer les informations provenant de salt.

Dans les informations salt diffusées il y a un notamment un mot de passe administrateur du domaine (valable jusqu'à la prochaine mise à jour).

D'une manière générale l'auto acceptation des clés n'est pas une bonne idée.

J'ai creusé plusieurs pistes :

- diffusion de la clé via GPO : cela fonctionne avec un module de windows AD, je ne crois pas qu'il existe une version Samba
- auto acceptation via Samba, mais les directives "add * script" ne semble plus fonctionner en mode AD.

Solution retenue (non satisfaisante d'un point de vue de la sécurité)

Comme convenu avec le pôle, il n'est pas possible d'activer l'auto acceptation des clés si le mot de passe administrateur est présent dans la configuration de Salt.

Il faut donc désactiver la jonction automatique dans le domaine pour pouvoir activer l'auto acceptation.

Une fois fait il est possible d'activer la fonctionnalité (chose que je ne recommande pas en production).

Un tâche planifiée complète la liste des minion_id concernées par l'auto acceptation chaque nuit.

L'auto acceptation n'est possible que si une clé du même ID a déjà été accepté et est encore valide.

#4 Updated by Emmanuel GARETTE 5 months ago

  • % Done changed from 0 to 100

#5 Updated by Emmanuel GARETTE 5 months ago

  • Status changed from En cours to Résolu

#6 Updated by Daniel Dehennin 5 months ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) set to 0.0

Also available in: Atom PDF