Projet

Général

Profil

Scénario #20777

Mis à jour par Klaas TJEBBES il y a presque 7 ans

_gen_config > Active Directory > Environnement réseau :_
* Adresses IP des serveurs autorisés à se connecter (aux services Samba et LDAP (389 & 636))
* Réseaux autorisés à se connecter aux services Samba (aux services Samba uniquement)
* Adresses IP autorisées à se connecter au service LDAP (389 & 636)

*À corriger :*
Pour ces 3 paramètres on peut mettre, au choix, IP ou réseau, les libellés sont donc incorrects.

*Fonctionnement actuel :*
Si on ne renseigne que "Adresses IP des serveurs autorisés à se connecter", aucune règle iptables n'est générée, tout est autorisé.
Si on ne renseigne que "Réseaux autorisés à se connecter aux services Samba", une règle iptables est générée (port 464).
Si on renseigne "Adresses IP des serveurs autorisés à se connecter" et "Réseaux autorisés à se connecter aux services Samba", un nombre conséquent de règles iptables est généré

Si on ne renseigne que "Adresses IP autorisées à se connecter au service LDAP", aucune règle iptables n'est générée, tout est autorisé.
Si on renseigne "Adresses IP des serveurs autorisés à se connecter" et "Adresses IP autorisées à se connecter au service LDAP", aucune règle iptables n'est générée, tout est autorisé.
Si on renseigne "Réseaux autorisés à se connecter aux services Samba" et "Adresses IP autorisées à se connecter au service LDAP", une règle iptables est générée (port 464).
Si on renseigne "Adresses IP des serveurs autorisés à se connecter", "Réseaux autorisés à se connecter aux services Samba" et "Adresses IP autorisées à se connecter au service LDAP", un nombre conséquent de règles iptables est généré.

+Il apparaît que le fonctionnement actuel ne semble pas intuitif, lorsqu'il renseigne seulement un champ l'utilisateur s'attend à ce que seul ce champ soit autorisé et que tout le reste soit interdit.+

*Proposition de modification* :
La partie "IP/Réseaux autorisés" contient 3 champs ("serveurs autorisés à se connecter", "aux services Samba", "au service LDAP")

* Aucun champs renseigné => mode "tout est ouvert" (0.0.0.0/0.0.0.0)
* Dès qu'au moins un champs est renseigné => mode "tout est interdit sauf ce qu'on a renseigné dans gen_config"

_________________________________


*Actuellement, Actuellement, si on renseigne les 3 champs, on obtient* obtient :
* "serveurs autorisés à se connecter"
udp 53
tcp 53
udp 88
tcp 88
tcp 135
udp 389
tcp 389
tcp 445
tcp 636
tcp 3268
tcp 3269
udp 5353
tcp 5353
udp 5722
tcp 5722
tcp 1024:5000
udp 1024:5000
tcp 49152:65535
udp 49152:65535

* "...aux services Samba"
udp 53
tcp 53
udp 88
tcp 88
tcp 135
udp 389
tcp 389
tcp 445
tcp 464 <==========
tcp 636
tcp 3268
tcp 3269
udp 5353
tcp 5353
udp 5722
tcp 5722
tcp 1024:5000
udp 1024:5000
tcp 49152:65535
udp 49152:65535

* "...au service LDAP"
udp 389
tcp 389
tcp 636

Sur la page suivante on lit que le port 464 est utilisé en "tcp" ET "udp" (on ne gère que le tcp) et que ce port sert à la réplication et au trusts (certes non-fonctionnel aujourd'hui, mais demain...?)

https://technet.microsoft.com/en-us/library/8daead2d-35c1-4b58-b123-d32a26b1f1dd
*_TCP and UDP 464 | Replication, User and Computer Authentication, Trusts | Kerberos change/set password_*

Donc on pourrait envisager de fusionner les 2 premiers champs ("serveurs autorisés à se connecter" et "Réseaux autorisés à se connecter aux services Samba").

Retour