Projet

Général

Profil

Wiki » Historique » Version 1

Version 1/2 - Suivant » - Version actuelle
Daniel Dehennin, 22/04/2021 16:27


Gestion des postes clients

Gestion des clefs

La gestion des clefs est, par défault, manuelle depuis la console ou l’EAD3 (windows et GNU Linux)

Les différentes méthodes de déploiment manuelles actuellement supportées sont les suivantes :

  • installer le salt-minion sur un poste et l’intégration au domaine se fait automatiquement
  • intégrer le poste client au domaine et le client salt-minion est installé automatiquement par la GPO

Une première implémentation de gestion automatique est mise en place en 2.8.1 (#31930) mais est incompatible avec l’intégration par l’outil joinEole.

Liste de problèmes à résoudre

  • Le postes clients ayant le grain ad/member ont accès au pillar ad contenant le mot de passe de l’utilisateur eole-workstation-manager (source:tmpl/ad.sls@db1ccb7#L22), ainsi, un utilisateur ayant accès à la commande salt-call peut lister l’intégralité des pillars applicablent à la machine
    • Une personne ayant le droit de déployer des machines sans droit d’admin utilise un poste client qu’elle maîtrise (compte locale d’administration)
      1. Installe le client salt-minion
      2. Se connecte à l’EAD pour accepter la clef
      3. Se connecte sur le poste client avec un compte d’admin local et exécute salt-call pillar.items et obtiens le login et mot de passe admin de jonction au domaine
        root@pcubuntumate:~# salt-call pillar.items | grep password -C3
                    addc.dompedago.etb1.lan
                enable:
                    True
                join_password:
                    5BF9jkvLA3giLjuhIO6StmgyYOrs9HAQc07Js4rjlX
                join_username:
                    eole-workstation-manager
        --
                        ----------
                        base_dn:
                            dc=dompedago,dc=etb1,dc=lan
                        password:
                            e5hSEOPtRWDeCdCH684qlB1eP70cfOVTx9xXbHwotI
                        port:
                            389
        
  • Le ciblage de minion par grains peut être problématique d’un point de vue sécurité

Pistes à étudier