• Gestion des postes clients
  • Gestion des clefs
    • Liste de problèmes à résoudre
    • Pistes à étudier

Gestion des postes clients¶

Gestion des clefs¶

La gestion des clefs est, par défault, manuelle depuis la console ou l’EAD3 (windows et GNU Linux)

Les différentes méthodes de déploiment manuelles actuellement supportées sont les suivantes :

• installer le salt-minion sur un poste et l’intégration au domaine se fait automatiquement
• intégrer le poste client au domaine et le client salt-minion est installé automatiquement par la GPO

Une première implémentation de gestion automatique est mise en place en 2.8.1 (#31930) mais est incompatible avec l’intégration par l’outil joinEole.

Liste de problèmes à résoudre¶

• Le postes clients ayant le grain ad/member ont accès au pillar ad contenant le mot de passe de l’utilisateur eole-workstation-manager (source:tmpl/ad.sls@db1ccb7#L22), ainsi, un utilisateur ayant accès à la commande salt-call peut lister l’intégralité des pillars applicablent à la machine
  • Une personne ayant le droit de déployer des machines sans droit d’admin utilise un poste client qu’elle maîtrise (compte locale d’administration)
    1. Installe le client salt-minion
    2. Se connecte à l’EAD pour accepter la clef
    3. Se connecte sur le poste client avec un compte d’admin local et exécute salt-call pillar.items et obtiens le login et mot de passe admin de jonction au domaine
       

       root@pcubuntumate:~# salt-call pillar.items | grep password -C3
                   addc.dompedago.etb1.lan
               enable:
                   True
               join_password:
                   5BF9jkvLA3giLjuhIO6StmgyYOrs9HAQc07Js4rjlX
               join_username:
                   eole-workstation-manager
       --
                       ----------
                       base_dn:
                           dc=dompedago,dc=etb1,dc=lan
                       password:
                           e5hSEOPtRWDeCdCH684qlB1eP70cfOVTx9xXbHwotI
                       port:
                           389
       

• Le ciblage de minion par grains peut être problématique d’un point de vue sécurité

Pistes à étudier¶

• Utiliser un ciblage par pillars
  • Ne plus définir les grains ad/member, veyon/master et veyon/client sur les postes par installMinion (source:eole-workstation-joineole|workstation/installMinion.ps1@52b1b078#L430 et source:eole-workstation-joineole|workstation/installMinion.sh@52b1b078#L60)
  • Associer la jonction au domaine au pillar ad/member (source:saltstack/salt/top.sls@db1ccb73#L5)
  • Associer l’installation de Veyon aux pillars veyon/master et veyon/client (source:saltstack/salt/top.sls@db1ccb73#L10)
  • Modifier la procédure d’intégration
    1. Sur le poste client : exécuter installMinion
    2. Sur le scribe : disocier l’acceptation de la clef à l’intégration au domaine
       • salt-key pour accepter la clef n’active pas automatiquement l’intégration au domaine par Salt ni l’installation de Veyon
       • une commande dédiée permet de créer un pillar dédié au minion pour activer les fonctionnalités voulues (ad/member, veyon/master et veyon/client), par exemple eole-workstation --join --veyon <MINION_ID>
• Utiliser saltify pour un déploiement par SSH
• Utiliser le lien Active Directory pour déployer des clefs générées sur le maître
• Utiliser le lien Active Directory pour récuppérer la clef publique automatiquement générée lors du démarrage de salt-minion