Wiki » Historique » Version 9
Joël Cuissinat, 18/03/2015 15:09
1 | 1 | Joël Cuissinat | h1. Mise en œuvre d'Eole-AD |
---|---|---|---|
2 | 1 | Joël Cuissinat | |
3 | 3 | Joël Cuissinat | {{>toc}} |
4 | 3 | Joël Cuissinat | |
5 | 1 | Joël Cuissinat | h2. Objectif du projet |
6 | 1 | Joël Cuissinat | |
7 | 1 | Joël Cuissinat | Pouvoir intégrer un module Scribe dans un domaine Active Directory. |
8 | 1 | Joël Cuissinat | Le paquet (optionnel) eole-ad disponible pour Scribe-2.3 permet de faciliter la mise en production de la fonctionnalité "Eole-AD". |
9 | 1 | Joël Cuissinat | |
10 | 1 | Joël Cuissinat | h2. Configuation du serveur AD |
11 | 1 | Joël Cuissinat | |
12 | 1 | Joël Cuissinat | h3. Rôles et services |
13 | 1 | Joël Cuissinat | |
14 | 1 | Joël Cuissinat | Installer un serveur Active Directory avec les rôles suivants : |
15 | 1 | Joël Cuissinat | |
16 | 1 | Joël Cuissinat | * serveur DNS |
17 | 1 | Joël Cuissinat | * Services de domaine Active Directory |
18 | 1 | Joël Cuissinat | * Services de certificats Active Directory |
19 | 1 | Joël Cuissinat | |
20 | 2 | Joël Cuissinat | _La commande dcpromo permet de lancer l'assistant adéquat._ |
21 | 1 | Joël Cuissinat | |
22 | 1 | Joël Cuissinat | Pour activer le services de certificats sur un serveur 2003, aller dans "Panneau de configuration"->"Ajout/Suppression de programmes"->"Ajouter/Supprimer des composants Windows" puis cocher : |
23 | 1 | Joël Cuissinat | * "Serveur d'applications"->IIS |
24 | 1 | Joël Cuissinat | * "Services de certificats" |
25 | 1 | Joël Cuissinat | |
26 | 1 | Joël Cuissinat | h3. Exemple de configuration : |
27 | 1 | Joël Cuissinat | |
28 | 1 | Joël Cuissinat | * Nom de l'hôte : srv2k3r2 |
29 | 1 | Joël Cuissinat | * Suffixe DNS principal : domaine.lan |
30 | 1 | Joël Cuissinat | * Adresse IP : 192.168.0.73 |
31 | 1 | Joël Cuissinat | |
32 | 1 | Joël Cuissinat | |
33 | 1 | Joël Cuissinat | h2. Configuration du module Scribe |
34 | 1 | Joël Cuissinat | |
35 | 1 | Joël Cuissinat | h3. Installation du module |
36 | 1 | Joël Cuissinat | |
37 | 1 | Joël Cuissinat | * installer la dernière version du module Scribe en version 2.3 |
38 | 1 | Joël Cuissinat | * mettre les paquets à jour en version candidate : Maj-Auto -C |
39 | 1 | Joël Cuissinat | * installer le paquet eole-ad : apt-eole install eole-ad |
40 | 1 | Joël Cuissinat | * installer les paquets de développement scribe-backend et eole-ead-server : FIXME |
41 | 1 | Joël Cuissinat | |
42 | 1 | Joël Cuissinat | h3. Exemple de configuration : |
43 | 1 | Joël Cuissinat | |
44 | 1 | Joël Cuissinat | Dans l'interface de configuration du module, les paramètres spécifiques à eole-AD sont les suivants : |
45 | 1 | Joël Cuissinat | |
46 | 1 | Joël Cuissinat | * onglet Général |
47 | 1 | Joël Cuissinat | ** Nom de domaine privé du reseau local : domaine.lan |
48 | 1 | Joël Cuissinat | ** _ne pas renseigner_ l'Adresse IP du serveur DNS |
49 | 1 | Joël Cuissinat | ** Nom du domaine Samba (ex: mondomaine) : domaine |
50 | 1 | Joël Cuissinat | * onglet Services |
51 | 1 | Joël Cuissinat | ** Activer l'intégration à un domaine Active Directory : oui |
52 | 1 | Joël Cuissinat | * onglet Active directory |
53 | 1 | Joël Cuissinat | ** Nom du serveur Active Directory : srv2k3r2 |
54 | 1 | Joël Cuissinat | ** Nom du domaine Active Directory : domaine.lan |
55 | 1 | Joël Cuissinat | ** Adresse IP du serveur Active Directory : 192.168.0.73 |
56 | 1 | Joël Cuissinat | ** Compte administrateur du domaine AD : Administrateur |
57 | 1 | Joël Cuissinat | |
58 | 1 | Joël Cuissinat | h3. Instanciation |
59 | 1 | Joël Cuissinat | |
60 | 1 | Joël Cuissinat | Instancier le module à l'aide de la commande : instance zephir.eol |
61 | 1 | Joël Cuissinat | |
62 | 1 | Joël Cuissinat | Au cours de l'instance, vous seront demandés : |
63 | 4 | Joël Cuissinat | * le mot de passe de l'utilisateur admin (du Scribe) : il sera ré-initialisé par la suite |
64 | 1 | Joël Cuissinat | * le mot de passe de l'administrateur Ad : il est requis pour la jonction au domaine kerberos et la réplication de l'annuaire Scribe vers AD |
65 | 1 | Joël Cuissinat | |
66 | 1 | Joël Cuissinat | A la fin de l'instanciation, la commande diagnose ne doit pas signaler d'erreur, en particulier sur les tests suivants : |
67 | 1 | Joël Cuissinat | |
68 | 1 | Joël Cuissinat | <pre> |
69 | 1 | Joël Cuissinat | *** Serveur de fichiers |
70 | 1 | Joël Cuissinat | . Partage (SMB/TCP) => Ok |
71 | 1 | Joël Cuissinat | . Partage (NMB/UDP) => Ok |
72 | 1 | Joël Cuissinat | . Ticket kerberos => Ok |
73 | 1 | Joël Cuissinat | . Synchronisation LSC => Ok |
74 | 1 | Joël Cuissinat | . DNS 192.168.0.73 => Ok |
75 | 1 | Joël Cuissinat | </pre> |
76 | 1 | Joël Cuissinat | |
77 | 1 | Joël Cuissinat | et : |
78 | 1 | Joël Cuissinat | |
79 | 1 | Joël Cuissinat | <pre> |
80 | 1 | Joël Cuissinat | *** Controle-Vnc |
81 | 1 | Joël Cuissinat | . Controle-Vnc => Ok |
82 | 1 | Joël Cuissinat | . Controle-Vnc (Web) => Ok |
83 | 1 | Joël Cuissinat | </pre> |
84 | 1 | Joël Cuissinat | |
85 | 1 | Joël Cuissinat | h3. Finalisation |
86 | 1 | Joël Cuissinat | |
87 | 1 | Joël Cuissinat | Ré-initialiser le mot de passe de l'utilisateur admin à l'aide de la commande changepasswordeole.pl. |
88 | 1 | Joël Cuissinat | Le mot de passe doit respecter la politique de sécurité du serveur AD (au minimum 8 caractères de long et 3 classes de caractères distinctes). |
89 | 1 | Joël Cuissinat | <pre> |
90 | 1 | Joël Cuissinat | root@scribe:~# changepasswordeole.pl admin "eole21;;" |
91 | 1 | Joël Cuissinat | Password changed |
92 | 1 | Joël Cuissinat | </pre> |
93 | 5 | Joël Cuissinat | |
94 | 6 | Joël Cuissinat | h3. Remarques |
95 | 6 | Joël Cuissinat | |
96 | 6 | Joël Cuissinat | Si on relance une instance ou un reconfigure, on obtient le message suivant : |
97 | 6 | Joël Cuissinat | |
98 | 6 | Joël Cuissinat | <pre> |
99 | 6 | Joël Cuissinat | ATTENTION : plusieurs sambaDomainName détectés ! |
100 | 6 | Joël Cuissinat | Des dysfonctionnements sont possibles sur ce serveur |
101 | 6 | Joël Cuissinat | </pre> |
102 | 6 | Joël Cuissinat | |
103 | 6 | Joël Cuissinat | La présence des deux entrées "sambaDomainName" ne semble pas entraîner d'effet de bord mais ce serait un sujet à creuser. |
104 | 6 | Joël Cuissinat | |
105 | 5 | Joël Cuissinat | h2. Gestion des postes clients |
106 | 5 | Joël Cuissinat | |
107 | 5 | Joël Cuissinat | h3. Pré-requis |
108 | 5 | Joël Cuissinat | |
109 | 5 | Joël Cuissinat | Sur le serveur Active Directory, ajouter l'utilisateur admin au groupe des Administrateurs du domaine (*Admins du domaine*). |
110 | 5 | Joël Cuissinat | |
111 | 5 | Joël Cuissinat | h3. Préparation du poste |
112 | 5 | Joël Cuissinat | |
113 | 5 | Joël Cuissinat | Les stations peuvent être intégrées au domaine ("domaine") avec le compte admin et/ou le compte Administrateur de l'Active Directory. |
114 | 7 | Joël Cuissinat | En se connectant ensuite avec l'utilisateur admin (U:\ doit pointer vers le Scribe), il devient possible d'installer le client Scribe. |
115 | 7 | Joël Cuissinat | Une fois le client Scribe installé, les utilisateurs du domaine voient leurs montages Scribe et les règles définies dans les modèles ESU sont appliquées. |
116 | 5 | Joël Cuissinat | |
117 | 5 | Joël Cuissinat | h2. Gestion des utilisateurs |
118 | 5 | Joël Cuissinat | |
119 | 8 | Joël Cuissinat | L'importation, la gestion des utilisateurs, des groupes et des mots de passe au travers de l'interface EAD est totalement fonctionnelle. |
120 | 8 | Joël Cuissinat | |
121 | 5 | Joël Cuissinat | h2. Points non résolus |
122 | 5 | Joël Cuissinat | |
123 | 5 | Joël Cuissinat | h3. Modification du mot de passe depuis le client (ctrl-alt-suppr) |
124 | 1 | Joël Cuissinat | |
125 | 9 | Joël Cuissinat | La modification du mot de passe depuis le poste client n'est pas gérée (le mot de passe est modifié uniquement dans Active Directory). |
126 | 9 | Joël Cuissinat | |
127 | 9 | Joël Cuissinat | L'implémentation de la solution "passwordhk" proposée dans le démonstrateur avait été écartée dans un premier temps mais c'est bien ce type de solution qu'il faudrait mettre en place. |
128 | 9 | Joël Cuissinat | |
129 | 9 | Joël Cuissinat | La sécurité de la solution proposée pourrait être améliorée en utilisant le protocole ldaps _(variable Scribe : "Activer LDAP sur le port SSL ( ldap_ssl )")_. |
130 | 9 | Joël Cuissinat | |
131 | 9 | Joël Cuissinat | Le mot de passe de l'administrateur LDAP du Scribe est modifié à chaque reconfigure. Il faudrait soit le fixer, soit ajouter un compte dédié à la gestion des mots de passe (ou, par exemple, ajouter un droit d'écriture sur l'attribut "userPassword" à l'utilisateur spécial "reader"). |
132 | 9 | Joël Cuissinat | |
133 | 9 | Joël Cuissinat | |
134 | 9 | Joël Cuissinat | h3. Modification forcée du mot de passe à la 1ère connexion |
135 | 9 | Joël Cuissinat | |
136 | 9 | Joël Cuissinat | Cette option a été conservée dans les interface mais elle est actuellement neutralisée en mode AD du fait du problème précédent (modification du mot de passe depuis le client non supportée). |
137 | 9 | Joël Cuissinat | |
138 | 9 | Joël Cuissinat | |
139 | 9 | Joël Cuissinat | h3. Politique de sécurité des mots de passe |
140 | 9 | Joël Cuissinat | |
141 | 9 | Joël Cuissinat | La politique par défaut des serveurs AD (8 caractères et 3 classes distinctes minimum pour les mots de passe) a été reportée sur le module Scribe. |
142 | 9 | Joël Cuissinat | |
143 | 9 | Joël Cuissinat | Il reste des endroits (création d'utilisateur en ligne de commande, ...) où la validité du mot de passe n'est pas vérifiée. |
144 | 9 | Joël Cuissinat | Si un mot de passe trop faible est fourni, sa synchronisation sur l'annuaire AD échouera. Le message d'erreur actuel est le suivant : |
145 | 9 | Joël Cuissinat | <pre> |
146 | 9 | Joël Cuissinat | Unable to modify unicodePwd for CN=user11,CN=Users,DC=domaine,DC=lan (0000052D: SvcErr: DSID-031A0FC0, problem 5003 (WILL_NOT_PERFORM), data 0 |
147 | 9 | Joël Cuissinat | ) |
148 | 9 | Joël Cuissinat | </pre> |
149 | 9 | Joël Cuissinat | |
150 | 9 | Joël Cuissinat | |
151 | 9 | Joël Cuissinat | h3. Suppression des comptes dans Active Directory |
152 | 9 | Joël Cuissinat | |
153 | 9 | Joël Cuissinat | Les comptes supprimées sur le module Scribe ne sont pas automatiquement supprimés de l'annuaire Active Directory même après une synchronisation lsc manuelle. |
154 | 9 | Joël Cuissinat | |
155 | 9 | Joël Cuissinat | Cependant, le compte utilisateur subsistant dans l'annuaire Active Directory est bien désinscrit de tout ses groupes (sauf "Utilisateurs du domaine"), son accès au réseau s'en retrouve très limité. |
156 | 9 | Joël Cuissinat | |
157 | 9 | Joël Cuissinat | _Un développement serait à prévoir pour que la suppression d'un utilisateur dans Scribe soit également effective dans AD._ |