Le problème principal de ce qui est demandé c'est que l'auto acceptation veut dire que n'importe qui placant un minion_id avec le nom d'un minion existant pourra récupérer les informations provenant de salt.

Dans les informations salt diffusées il y a un notamment un mot de passe administrateur du domaine (valable jusqu'à la prochaine mise à jour).

D'une manière générale l'auto acceptation des clés n'est pas une bonne idée.

J'ai creusé plusieurs pistes :

- diffusion de la clé via GPO : cela fonctionne avec un module de windows AD, je ne crois pas qu'il existe une version Samba
- auto acceptation via Samba, mais les directives "add * script" ne semble plus fonctionner en mode AD.

Solution retenue (non satisfaisante d'un point de vue de la sécurité)¶

Comme convenu avec le pôle, il n'est pas possible d'activer l'auto acceptation des clés si le mot de passe administrateur est présent dans la configuration de Salt.

Il faut donc désactiver la jonction automatique dans le domaine pour pouvoir activer l'auto acceptation.

Une fois fait il est possible d'activer la fonctionnalité (chose que je ne recommande pas en production).

Un tâche planifiée complète la liste des minion_id concernées par l'auto acceptation chaque nuit.

L'auto acceptation n'est possible que si une clé du même ID a déjà été accepté et est encore valide.