Wiki » Historique » Version 19
Joël Cuissinat, 02/10/2015 15:37
1 | 1 | Joël Cuissinat | h1. Mise en œuvre d'Eole-AD |
---|---|---|---|
2 | 1 | Joël Cuissinat | |
3 | 3 | Joël Cuissinat | {{>toc}} |
4 | 3 | Joël Cuissinat | |
5 | 1 | Joël Cuissinat | h2. Objectif du projet |
6 | 1 | Joël Cuissinat | |
7 | 1 | Joël Cuissinat | Pouvoir intégrer un module Scribe dans un domaine Active Directory. |
8 | 1 | Joël Cuissinat | Le paquet (optionnel) eole-ad disponible pour Scribe-2.3 permet de faciliter la mise en production de la fonctionnalité "Eole-AD". |
9 | 1 | Joël Cuissinat | |
10 | 1 | Joël Cuissinat | h2. Configuation du serveur AD |
11 | 1 | Joël Cuissinat | |
12 | 1 | Joël Cuissinat | h3. Rôles et services |
13 | 1 | Joël Cuissinat | |
14 | 1 | Joël Cuissinat | Installer un serveur Active Directory avec les rôles suivants : |
15 | 1 | Joël Cuissinat | |
16 | 1 | Joël Cuissinat | * serveur DNS |
17 | 1 | Joël Cuissinat | * Services de domaine Active Directory |
18 | 1 | Joël Cuissinat | * Services de certificats Active Directory |
19 | 1 | Joël Cuissinat | |
20 | 2 | Joël Cuissinat | _La commande dcpromo permet de lancer l'assistant adéquat._ |
21 | 1 | Joël Cuissinat | |
22 | 1 | Joël Cuissinat | Pour activer le services de certificats sur un serveur 2003, aller dans "Panneau de configuration"->"Ajout/Suppression de programmes"->"Ajouter/Supprimer des composants Windows" puis cocher : |
23 | 1 | Joël Cuissinat | * "Serveur d'applications"->IIS |
24 | 1 | Joël Cuissinat | * "Services de certificats" |
25 | 1 | Joël Cuissinat | |
26 | 19 | Joël Cuissinat | h3. Conteneur hébergeant les comptes Scribe |
27 | 19 | Joël Cuissinat | |
28 | 19 | Joël Cuissinat | Les comptes Scribe sont répliqués par défaut dans le conteneur Active Directory *CN=Users*. |
29 | 19 | Joël Cuissinat | La variable "ad_container" permet de personnaliser le conteneur hébergeant les comptes Scribe (ex : _OU=Scribe_). |
30 | 19 | Joël Cuissinat | En cas de personnalisation du conteneur, ne pas oublier de créer ce dernier dans Active Directroy avant d'instancier le serveur Scribe. |
31 | 19 | Joël Cuissinat | |
32 | 19 | Joël Cuissinat | |
33 | 18 | Joël Cuissinat | h3. Exemple de configuration du serveur AD : |
34 | 1 | Joël Cuissinat | |
35 | 1 | Joël Cuissinat | * Nom de l'hôte : srv2k3r2 |
36 | 1 | Joël Cuissinat | * Suffixe DNS principal : domaine.lan |
37 | 1 | Joël Cuissinat | * Adresse IP : 192.168.0.73 |
38 | 1 | Joël Cuissinat | |
39 | 1 | Joël Cuissinat | h2. Configuration du module Scribe |
40 | 1 | Joël Cuissinat | |
41 | 1 | Joël Cuissinat | h3. Installation du module |
42 | 1 | Joël Cuissinat | |
43 | 16 | Joël Cuissinat | |maj 29/07/2015| |
44 | 16 | Joël Cuissinat | |
45 | 1 | Joël Cuissinat | * installer la dernière version du module Scribe en version 2.3 |
46 | 14 | Joël Cuissinat | * mettre les paquets à jour en version candidate : Maj-Auto -C |
47 | 14 | Joël Cuissinat | * installer le paquet eole-ad : apt-eole install eole-ad |
48 | 1 | Joël Cuissinat | |
49 | 1 | Joël Cuissinat | h3. Exemple de configuration : |
50 | 1 | Joël Cuissinat | |
51 | 1 | Joël Cuissinat | Dans l'interface de configuration du module, les paramètres spécifiques à eole-AD sont les suivants : |
52 | 1 | Joël Cuissinat | |
53 | 1 | Joël Cuissinat | * onglet Général |
54 | 1 | Joël Cuissinat | ** Nom de domaine privé du reseau local : domaine.lan |
55 | 1 | Joël Cuissinat | ** _ne pas renseigner_ l'Adresse IP du serveur DNS |
56 | 1 | Joël Cuissinat | ** Nom du domaine Samba (ex: mondomaine) : domaine |
57 | 1 | Joël Cuissinat | * onglet Services |
58 | 1 | Joël Cuissinat | ** Activer l'intégration à un domaine Active Directory : oui |
59 | 1 | Joël Cuissinat | * onglet Active directory |
60 | 1 | Joël Cuissinat | ** Nom du serveur Active Directory : srv2k3r2 |
61 | 17 | Joël Cuissinat | ** Nom du domaine Active Directory : domaine.lan (cliquer sur @[ Def ]@) |
62 | 1 | Joël Cuissinat | ** Adresse IP du serveur Active Directory : 192.168.0.73 |
63 | 1 | Joël Cuissinat | ** Compte administrateur du domaine AD : Administrateur |
64 | 1 | Joël Cuissinat | |
65 | 1 | Joël Cuissinat | h3. Instanciation |
66 | 1 | Joël Cuissinat | |
67 | 1 | Joël Cuissinat | Instancier le module à l'aide de la commande : instance zephir.eol |
68 | 1 | Joël Cuissinat | |
69 | 1 | Joël Cuissinat | Au cours de l'instance, vous seront demandés : |
70 | 4 | Joël Cuissinat | * le mot de passe de l'utilisateur admin (du Scribe) : il sera ré-initialisé par la suite |
71 | 1 | Joël Cuissinat | * le mot de passe de l'administrateur Ad : il est requis pour la jonction au domaine kerberos et la réplication de l'annuaire Scribe vers AD |
72 | 1 | Joël Cuissinat | |
73 | 1 | Joël Cuissinat | A la fin de l'instanciation, la commande diagnose ne doit pas signaler d'erreur, en particulier sur les tests suivants : |
74 | 1 | Joël Cuissinat | |
75 | 1 | Joël Cuissinat | <pre> |
76 | 1 | Joël Cuissinat | *** Serveur de fichiers |
77 | 1 | Joël Cuissinat | . Partage (SMB/TCP) => Ok |
78 | 1 | Joël Cuissinat | . Partage (NMB/UDP) => Ok |
79 | 1 | Joël Cuissinat | . Ticket kerberos => Ok |
80 | 1 | Joël Cuissinat | . Synchronisation LSC => Ok |
81 | 1 | Joël Cuissinat | . DNS 192.168.0.73 => Ok |
82 | 1 | Joël Cuissinat | </pre> |
83 | 1 | Joël Cuissinat | |
84 | 1 | Joël Cuissinat | et : |
85 | 1 | Joël Cuissinat | |
86 | 1 | Joël Cuissinat | <pre> |
87 | 1 | Joël Cuissinat | *** Controle-Vnc |
88 | 1 | Joël Cuissinat | . Controle-Vnc => Ok |
89 | 1 | Joël Cuissinat | . Controle-Vnc (Web) => Ok |
90 | 1 | Joël Cuissinat | </pre> |
91 | 1 | Joël Cuissinat | |
92 | 1 | Joël Cuissinat | h3. Finalisation |
93 | 1 | Joël Cuissinat | |
94 | 1 | Joël Cuissinat | Ré-initialiser le mot de passe de l'utilisateur admin à l'aide de la commande changepasswordeole.pl. |
95 | 1 | Joël Cuissinat | Le mot de passe doit respecter la politique de sécurité du serveur AD (au minimum 8 caractères de long et 3 classes de caractères distinctes). |
96 | 1 | Joël Cuissinat | <pre> |
97 | 1 | Joël Cuissinat | root@scribe:~# changepasswordeole.pl admin "eole21;;" |
98 | 1 | Joël Cuissinat | Password changed |
99 | 1 | Joël Cuissinat | </pre> |
100 | 5 | Joël Cuissinat | |
101 | 6 | Joël Cuissinat | h3. Remarques |
102 | 6 | Joël Cuissinat | |
103 | 6 | Joël Cuissinat | Si on relance une instance ou un reconfigure, on obtient le message suivant : |
104 | 6 | Joël Cuissinat | |
105 | 6 | Joël Cuissinat | <pre> |
106 | 6 | Joël Cuissinat | ATTENTION : plusieurs sambaDomainName détectés ! |
107 | 6 | Joël Cuissinat | Des dysfonctionnements sont possibles sur ce serveur |
108 | 6 | Joël Cuissinat | </pre> |
109 | 6 | Joël Cuissinat | |
110 | 6 | Joël Cuissinat | La présence des deux entrées "sambaDomainName" ne semble pas entraîner d'effet de bord mais ce serait un sujet à creuser. |
111 | 6 | Joël Cuissinat | |
112 | 5 | Joël Cuissinat | h2. Gestion des postes clients |
113 | 5 | Joël Cuissinat | |
114 | 5 | Joël Cuissinat | h3. Pré-requis |
115 | 5 | Joël Cuissinat | |
116 | 5 | Joël Cuissinat | Sur le serveur Active Directory, ajouter l'utilisateur admin au groupe des Administrateurs du domaine (*Admins du domaine*). |
117 | 5 | Joël Cuissinat | |
118 | 5 | Joël Cuissinat | h3. Préparation du poste |
119 | 5 | Joël Cuissinat | |
120 | 5 | Joël Cuissinat | Les stations peuvent être intégrées au domaine ("domaine") avec le compte admin et/ou le compte Administrateur de l'Active Directory. |
121 | 7 | Joël Cuissinat | En se connectant ensuite avec l'utilisateur admin (U:\ doit pointer vers le Scribe), il devient possible d'installer le client Scribe. |
122 | 7 | Joël Cuissinat | Une fois le client Scribe installé, les utilisateurs du domaine voient leurs montages Scribe et les règles définies dans les modèles ESU sont appliquées. |
123 | 5 | Joël Cuissinat | |
124 | 5 | Joël Cuissinat | h2. Gestion des utilisateurs |
125 | 5 | Joël Cuissinat | |
126 | 8 | Joël Cuissinat | L'importation, la gestion des utilisateurs, des groupes et des mots de passe au travers de l'interface EAD est totalement fonctionnelle. |
127 | 8 | Joël Cuissinat | |
128 | 5 | Joël Cuissinat | h2. Points non résolus |
129 | 5 | Joël Cuissinat | |
130 | 5 | Joël Cuissinat | h3. Modification du mot de passe depuis le client (ctrl-alt-suppr) |
131 | 1 | Joël Cuissinat | |
132 | 9 | Joël Cuissinat | La modification du mot de passe depuis le poste client n'est pas gérée (le mot de passe est modifié uniquement dans Active Directory). |
133 | 9 | Joël Cuissinat | |
134 | 9 | Joël Cuissinat | L'implémentation de la solution "passwordhk" proposée dans le démonstrateur avait été écartée dans un premier temps mais c'est bien ce type de solution qu'il faudrait mettre en place. |
135 | 9 | Joël Cuissinat | |
136 | 9 | Joël Cuissinat | La sécurité de la solution proposée pourrait être améliorée en utilisant le protocole ldaps _(variable Scribe : "Activer LDAP sur le port SSL ( ldap_ssl )")_. |
137 | 9 | Joël Cuissinat | |
138 | 9 | Joël Cuissinat | Le mot de passe de l'administrateur LDAP du Scribe est modifié à chaque reconfigure. Il faudrait soit le fixer, soit ajouter un compte dédié à la gestion des mots de passe (ou, par exemple, ajouter un droit d'écriture sur l'attribut "userPassword" à l'utilisateur spécial "reader"). |
139 | 9 | Joël Cuissinat | |
140 | 9 | Joël Cuissinat | |
141 | 9 | Joël Cuissinat | h3. Modification forcée du mot de passe à la 1ère connexion |
142 | 9 | Joël Cuissinat | |
143 | 9 | Joël Cuissinat | Cette option a été conservée dans les interface mais elle est actuellement neutralisée en mode AD du fait du problème précédent (modification du mot de passe depuis le client non supportée). |
144 | 9 | Joël Cuissinat | |
145 | 10 | Joël Cuissinat | h3. Modification du mot de passe depuis des applications externes |
146 | 10 | Joël Cuissinat | |
147 | 10 | Joël Cuissinat | L'EAD et les clients Windows mis à part, il existe peu de possibilité de modifier son/les mots de passe sur le module Scribe : |
148 | 10 | Joël Cuissinat | * SquirrelMail : plugin dédié non compatible avec la solution Eole-AD, aucune évolution envisageable (logiciel abandonné au profit de RoundCube) |
149 | 10 | Joël Cuissinat | * Plugin Password dans Posh : plugin dédié non compatible avec la solution Eole-AD |
150 | 10 | Joël Cuissinat | * EOP : fonctionnalité non implémentée sur EOLE 2.3 |
151 | 9 | Joël Cuissinat | |
152 | 9 | Joël Cuissinat | h3. Politique de sécurité des mots de passe |
153 | 9 | Joël Cuissinat | |
154 | 9 | Joël Cuissinat | La politique par défaut des serveurs AD (8 caractères et 3 classes distinctes minimum pour les mots de passe) a été reportée sur le module Scribe. |
155 | 9 | Joël Cuissinat | |
156 | 9 | Joël Cuissinat | Il reste des endroits (création d'utilisateur en ligne de commande, ...) où la validité du mot de passe n'est pas vérifiée. |
157 | 9 | Joël Cuissinat | Si un mot de passe trop faible est fourni, sa synchronisation sur l'annuaire AD échouera. Le message d'erreur actuel est le suivant : |
158 | 9 | Joël Cuissinat | <pre> |
159 | 9 | Joël Cuissinat | Unable to modify unicodePwd for CN=user11,CN=Users,DC=domaine,DC=lan (0000052D: SvcErr: DSID-031A0FC0, problem 5003 (WILL_NOT_PERFORM), data 0 |
160 | 9 | Joël Cuissinat | ) |
161 | 9 | Joël Cuissinat | </pre> |
162 | 9 | Joël Cuissinat | |
163 | 9 | Joël Cuissinat | h3. Suppression des comptes dans Active Directory |
164 | 1 | Joël Cuissinat | |
165 | 15 | Joël Cuissinat | Les comptes supprimées sur le module Scribe ne sont automatiquement supprimés de l'annuaire Active Directory que par une synchronisation lsc manuelle. |
166 | 1 | Joël Cuissinat | |
167 | 15 | Joël Cuissinat | D'où la décision de la lancer la synchronisation manuelle toutes les nuits (#7878). |
168 | 9 | Joël Cuissinat | |
169 | 15 | Joël Cuissinat | NB : le compte utilisateur non encore supprimé de l'annuaire Active Directory est bien désinscrit de tout ses groupes (sauf "Utilisateurs du domaine"), son accès au réseau s'en retrouve très limité. |
170 | 15 | Joël Cuissinat | |
171 | 11 | Joël Cuissinat | |
172 | 12 | Joël Cuissinat | h3. Dysfonctionnements possibles au niveau de la réplication d'annuaire |
173 | 12 | Joël Cuissinat | |
174 | 12 | Joël Cuissinat | Je n'ai pas de certitudes mais j'ai l'impression qu'il arrive que la réplication (service lsc) s'arrête de temps à autre... |
175 | 12 | Joël Cuissinat | Cela est surtout problématique lorsque l'on veut créer un nouvel utilisateur car si celui-ci n'est pas répliqué dans AD dans les 20 secondes, son mot de passe ne sera pas synchronisé dans AD (Le script changepasswordeole.pl échoue avec le message "User <login> not found"). |
176 | 12 | Joël Cuissinat | |
177 | 13 | Joël Cuissinat | _Piste de travail : utiliser une version plus récente du logiciel lsc (version actuelle, packagée par EOLE : 2.0.2 - dernière version :_ "2.1.3":http://lsc-project.org/wiki/download). |
178 | 11 | Joël Cuissinat | |
179 | 11 | Joël Cuissinat | h2. Portage du projet sur une version supérieure d'EOLE |
180 | 11 | Joël Cuissinat | |
181 | 11 | Joël Cuissinat | Le projet a été implémenté uniquement sur la version 2.3 du module Scribe. |
182 | 11 | Joël Cuissinat | |
183 | 11 | Joël Cuissinat | Une partie non négligeable des modifications n'a pas été portée dans les versions supérieures d'EOLE (2.4.1 notamment). |
184 | 11 | Joël Cuissinat | |
185 | 11 | Joël Cuissinat | La configuration de Samba (projet project:eole-fichier) est à revoir totalement. |