https://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2021-04-21T12:22:29ZEnsemble Ouvert Libre Évolutifeole-workstation - Tâche #32168: Etudehttps://dev-eole.ac-dijon.fr/issues/32168?journal_id=1545992021-04-21T12:22:29ZEmmanuel GARETTE
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>En cours</i></li></ul> eole-workstation - Tâche #32168: Etudehttps://dev-eole.ac-dijon.fr/issues/32168?journal_id=1546002021-04-21T12:22:39ZEmmanuel GARETTE
<ul><li><strong>Assigné à</strong> mis à <i>Emmanuel GARETTE</i></li></ul> eole-workstation - Tâche #32168: Etudehttps://dev-eole.ac-dijon.fr/issues/32168?journal_id=1546012021-04-21T12:34:38ZEmmanuel GARETTE
<ul></ul><p>Le problème principal de ce qui est demandé c'est que l'auto acceptation veut dire que n'importe qui placant un minion_id avec le nom d'un minion existant pourra récupérer les informations provenant de salt.</p>
<p>Dans les informations salt diffusées il y a un notamment un mot de passe administrateur du domaine (valable jusqu'à la prochaine mise à jour).</p>
<p>D'une manière générale l'auto acceptation des clés n'est pas une bonne idée.</p>
<p>J'ai creusé plusieurs pistes :</p>
<p>- diffusion de la clé via GPO : cela fonctionne avec un module de windows AD, je ne crois pas qu'il existe une version Samba<br />- auto acceptation via Samba, mais les directives "add * script" ne semble plus fonctionner en mode AD.</p>
<a name="Solution-retenue-non-satisfaisante-dun-point-de-vue-de-la-sécurité"></a>
<h1 >Solution retenue (non satisfaisante d'un point de vue de la sécurité)<a href="#Solution-retenue-non-satisfaisante-dun-point-de-vue-de-la-sécurité" class="wiki-anchor">¶</a></h1>
<p>Comme convenu avec le pôle, il n'est pas possible d'activer l'auto acceptation des clés si le mot de passe administrateur est présent dans la configuration de Salt.</p>
<p>Il faut donc désactiver la jonction automatique dans le domaine pour pouvoir activer l'auto acceptation.</p>
<p>Une fois fait il est possible d'activer la fonctionnalité (chose que je ne recommande pas en production).</p>
<p>Un tâche planifiée complète la liste des minion_id concernées par l'auto acceptation chaque nuit.</p>
<p>L'auto acceptation n'est possible que si une clé du même ID a déjà été accepté et est encore valide.</p> eole-workstation - Tâche #32168: Etudehttps://dev-eole.ac-dijon.fr/issues/32168?journal_id=1546022021-04-21T12:34:47ZEmmanuel GARETTE
<ul><li><strong>% réalisé</strong> changé de <i>0</i> à <i>100</i></li></ul> eole-workstation - Tâche #32168: Etudehttps://dev-eole.ac-dijon.fr/issues/32168?journal_id=1546072021-04-21T12:59:30ZEmmanuel GARETTE
<ul><li><strong>Statut</strong> changé de <i>En cours</i> à <i>Résolu</i></li></ul> eole-workstation - Tâche #32168: Etudehttps://dev-eole.ac-dijon.fr/issues/32168?journal_id=1547352021-04-22T13:34:59ZDaniel Dehennin
<ul><li><strong>Statut</strong> changé de <i>Résolu</i> à <i>Fermé</i></li><li><strong>Restant à faire (heures)</strong> mis à <i>0.0</i></li></ul>