Wiki » Historique » Version 1
Version 1/2
-
Suivant » -
Version actuelle
Daniel Dehennin, 22/04/2021 16:27
Gestion des postes clients¶
Gestion des clefs¶
La gestion des clefs est, par défault, manuelle depuis la console ou l’EAD3 (windows et GNU Linux)
Les différentes méthodes de déploiment manuelles actuellement supportées sont les suivantes :
- installer le
salt-minion
sur un poste et l’intégration au domaine se fait automatiquement - intégrer le poste client au domaine et le client
salt-minion
est installé automatiquement par la GPO
Une première implémentation de gestion automatique est mise en place en 2.8.1 (#31930) mais est incompatible avec l’intégration par l’outil joinEole
.
Liste de problèmes à résoudre¶
- Le postes clients ayant le grain
ad/member
ont accès au pillarad
contenant le mot de passe de l’utilisateureole-workstation-manager
(source:tmpl/ad.sls@db1ccb7#L22), ainsi, un utilisateur ayant accès à la commandesalt-call
peut lister l’intégralité des pillars applicablent à la machine- Une personne ayant le droit de déployer des machines sans droit d’admin utilise un poste client qu’elle maîtrise (compte locale d’administration)
- Installe le client
salt-minion
- Se connecte à l’EAD pour accepter la clef
- Se connecte sur le poste client avec un compte d’admin local et exécute
salt-call pillar.items
et obtiens le login et mot de passe admin de jonction au domaineroot@pcubuntumate:~# salt-call pillar.items | grep password -C3 addc.dompedago.etb1.lan enable: True join_password: 5BF9jkvLA3giLjuhIO6StmgyYOrs9HAQc07Js4rjlX join_username: eole-workstation-manager -- ---------- base_dn: dc=dompedago,dc=etb1,dc=lan password: e5hSEOPtRWDeCdCH684qlB1eP70cfOVTx9xXbHwotI port: 389
- Installe le client
- Une personne ayant le droit de déployer des machines sans droit d’admin utilise un poste client qu’elle maîtrise (compte locale d’administration)
- Le ciblage de minion par grains peut être problématique d’un point de vue sécurité
Pistes à étudier¶
- Utiliser un ciblage par
pillars
- Ne plus définir les grains
ad/member
,veyon/master
etveyon/client
sur les postes parinstallMinion
(source:eole-workstation-joineole|workstation/installMinion.ps1@52b1b078#L430 et source:eole-workstation-joineole|workstation/installMinion.sh@52b1b078#L60) - Associer la jonction au domaine au
pillar
ad/member
(source:saltstack/salt/top.sls@db1ccb73#L5) - Associer l’installation de Veyon aux
pillars
veyon/master
etveyon/client
(source:saltstack/salt/top.sls@db1ccb73#L10) - Modifier la procédure d’intégration
- Sur le poste client : exécuter
installMinion
- Sur le scribe : disocier l’acceptation de la clef à l’intégration au domaine
salt-key
pour accepter la clef n’active pas automatiquement l’intégration au domaine par Salt ni l’installation de Veyon- une commande dédiée permet de créer un
pillar
dédié au minion pour activer les fonctionnalités voulues (ad/member
,veyon/master
etveyon/client
), par exempleeole-workstation --join --veyon <MINION_ID>
- Sur le poste client : exécuter
- Ne plus définir les grains
- Utiliser saltify pour un déploiement par SSH
- Utiliser le lien Active Directory pour déployer des clefs générées sur le maître
- Utiliser le lien Active Directory pour récuppérer la clef publique automatiquement générée lors du démarrage de
salt-minion