Distribution EOLE » Commun » eole-workstation

{{>toc}}

h1. Gestion des postes clients

h2. Gestion des clefs

La gestion des clefs est, par défault, manuelle depuis la console ou l’EAD3 ("windows":https://eole.ac-dijon.fr/documentations/2.8/completes/HTML/ModuleScribe/co/integration.html et "GNU Linux":https://eole.ac-dijon.fr/documentations/2.8/completes/HTML/ModuleScribe/co/integration_1.html)

Les différentes méthodes de déploiment manuelles actuellement supportées sont les suivantes :

* installer le *@salt-minion@* sur un poste et l’intégration au domaine se fait automatiquement

* intégrer le poste client au domaine et le client *@salt-minion@* est installé automatiquement par la GPO

Une première implémentation de gestion automatique est mise en place en 2.8.1 (#31930) mais est incompatible avec l’intégration par l’outil *@joinEole@*.

h3. Liste de problèmes à résoudre

* Le postes clients ayant le "grain":https://docs.saltproject.io/en/latest/topics/grains/index.html *@ad/member@* ont accès au "pillar":https://docs.saltproject.io/en/latest/topics/pillar/index.html *@ad@* contenant le mot de passe de l’utilisateur *@eole-workstation-manager@* (source:tmpl/ad.sls@db1ccb7#L22), ainsi, un utilisateur ayant accès à la commande *@salt-call@* peut lister l’intégralité des "pillars":https://docs.saltproject.io/en/latest/topics/pillar/index.html applicablent à la machine

** Une personne ayant le droit de déployer des machines sans droit d’admin utilise un poste client qu’elle maîtrise (compte locale d’administration)

### Installe le client *@salt-minion@*

### Se connecte à l’EAD pour accepter la clef

### Se connecte sur le poste client avec un compte d’admin local et exécute *@salt-call pillar.items@* et obtiens le login et mot de passe admin de jonction au domaine

<pre>

root@pcubuntumate:~# salt-call pillar.items | grep password -C3

            addc.dompedago.etb1.lan

        enable:

            True

        join_password:

            5BF9jkvLA3giLjuhIO6StmgyYOrs9HAQc07Js4rjlX

        join_username:

            eole-workstation-manager

--

                ----------

                base_dn:

                    dc=dompedago,dc=etb1,dc=lan

                password:

                    e5hSEOPtRWDeCdCH684qlB1eP70cfOVTx9xXbHwotI

                port:

                    389

</pre>

* Le ciblage de minion par "grains":https://docs.saltproject.io/en/latest/topics/grains/index.html peut être "problématique d’un point de vue sécurité":https://docs.saltproject.io/en/latest/faq.html#faq-grain-security

h3. Pistes à étudier

* Utiliser un ciblage par @pillars@

** Ne plus définir les grains *@ad/member@*, *@veyon/master@* et *@veyon/client@* sur les postes par *@installMinion@* (source:eole-workstation-joineole|workstation/installMinion.ps1@52b1b078#L430 et source:eole-workstation-joineole|workstation/installMinion.sh@52b1b078#L60)

** Associer la jonction au domaine au *@pillar@* *@ad/member@* (source:saltstack/salt/top.sls@db1ccb73#L5)

** Associer l’installation de Veyon aux *@pillars@* *@veyon/master@* et *@veyon/client@* (source:saltstack/salt/top.sls@db1ccb73#L10)

** Modifier la procédure d’intégration

### Sur le poste client : exécuter *@installMinion@*

### Sur le scribe : disocier l’acceptation de la clef à l’intégration au domaine

**** *@salt-key@* pour accepter la clef n’active pas automatiquement l’intégration au domaine par Salt ni l’installation de Veyon

**** une commande dédiée permet de créer un *@pillar@* dédié au minion pour activer les fonctionnalités voulues (*@ad/member@*, *@veyon/master@* et *@veyon/client@*), par exemple *@eole-workstation --join --veyon <MINION_ID>@*

* Utiliser "saltify":https://docs.saltproject.io/en/master/ref/clouds/all/salt.cloud.clouds.saltify.html pour un déploiement par SSH

* Utiliser le lien Active Directory pour "déployer des clefs générées sur le maître":https://docs.saltproject.io/en/latest/topics/tutorials/preseed_key.html

* Utiliser le lien Active Directory pour récuppérer la clef publique automatiquement générée lors du démarrage de *@salt-minion@*