Wiki » Historique » Version 2
Daniel Dehennin, 22/04/2021 16:27
1 | 1 | Daniel Dehennin | |
---|---|---|---|
2 | 1 | Daniel Dehennin | h1. Gestion des postes clients |
3 | 2 | Daniel Dehennin | |
4 | 2 | Daniel Dehennin | {{>toc}} |
5 | 1 | Daniel Dehennin | |
6 | 1 | Daniel Dehennin | h2. Gestion des clefs |
7 | 1 | Daniel Dehennin | |
8 | 1 | Daniel Dehennin | La gestion des clefs est, par défault, manuelle depuis la console ou l’EAD3 ("windows":https://eole.ac-dijon.fr/documentations/2.8/completes/HTML/ModuleScribe/co/integration.html et "GNU Linux":https://eole.ac-dijon.fr/documentations/2.8/completes/HTML/ModuleScribe/co/integration_1.html) |
9 | 1 | Daniel Dehennin | |
10 | 1 | Daniel Dehennin | Les différentes méthodes de déploiment manuelles actuellement supportées sont les suivantes : |
11 | 1 | Daniel Dehennin | |
12 | 1 | Daniel Dehennin | * installer le *@salt-minion@* sur un poste et l’intégration au domaine se fait automatiquement |
13 | 1 | Daniel Dehennin | * intégrer le poste client au domaine et le client *@salt-minion@* est installé automatiquement par la GPO |
14 | 1 | Daniel Dehennin | |
15 | 1 | Daniel Dehennin | Une première implémentation de gestion automatique est mise en place en 2.8.1 (#31930) mais est incompatible avec l’intégration par l’outil *@joinEole@*. |
16 | 1 | Daniel Dehennin | |
17 | 1 | Daniel Dehennin | h3. Liste de problèmes à résoudre |
18 | 1 | Daniel Dehennin | |
19 | 1 | Daniel Dehennin | * Le postes clients ayant le "grain":https://docs.saltproject.io/en/latest/topics/grains/index.html *@ad/member@* ont accès au "pillar":https://docs.saltproject.io/en/latest/topics/pillar/index.html *@ad@* contenant le mot de passe de l’utilisateur *@eole-workstation-manager@* (source:tmpl/ad.sls@db1ccb7#L22), ainsi, un utilisateur ayant accès à la commande *@salt-call@* peut lister l’intégralité des "pillars":https://docs.saltproject.io/en/latest/topics/pillar/index.html applicablent à la machine |
20 | 1 | Daniel Dehennin | ** Une personne ayant le droit de déployer des machines sans droit d’admin utilise un poste client qu’elle maîtrise (compte locale d’administration) |
21 | 1 | Daniel Dehennin | ### Installe le client *@salt-minion@* |
22 | 1 | Daniel Dehennin | ### Se connecte à l’EAD pour accepter la clef |
23 | 1 | Daniel Dehennin | ### Se connecte sur le poste client avec un compte d’admin local et exécute *@salt-call pillar.items@* et obtiens le login et mot de passe admin de jonction au domaine |
24 | 1 | Daniel Dehennin | <pre> |
25 | 1 | Daniel Dehennin | root@pcubuntumate:~# salt-call pillar.items | grep password -C3 |
26 | 1 | Daniel Dehennin | addc.dompedago.etb1.lan |
27 | 1 | Daniel Dehennin | enable: |
28 | 1 | Daniel Dehennin | True |
29 | 1 | Daniel Dehennin | join_password: |
30 | 1 | Daniel Dehennin | 5BF9jkvLA3giLjuhIO6StmgyYOrs9HAQc07Js4rjlX |
31 | 1 | Daniel Dehennin | join_username: |
32 | 1 | Daniel Dehennin | eole-workstation-manager |
33 | 1 | Daniel Dehennin | -- |
34 | 1 | Daniel Dehennin | ---------- |
35 | 1 | Daniel Dehennin | base_dn: |
36 | 1 | Daniel Dehennin | dc=dompedago,dc=etb1,dc=lan |
37 | 1 | Daniel Dehennin | password: |
38 | 1 | Daniel Dehennin | e5hSEOPtRWDeCdCH684qlB1eP70cfOVTx9xXbHwotI |
39 | 1 | Daniel Dehennin | port: |
40 | 1 | Daniel Dehennin | 389 |
41 | 1 | Daniel Dehennin | </pre> |
42 | 1 | Daniel Dehennin | * Le ciblage de minion par "grains":https://docs.saltproject.io/en/latest/topics/grains/index.html peut être "problématique d’un point de vue sécurité":https://docs.saltproject.io/en/latest/faq.html#faq-grain-security |
43 | 1 | Daniel Dehennin | |
44 | 1 | Daniel Dehennin | h3. Pistes à étudier |
45 | 1 | Daniel Dehennin | |
46 | 1 | Daniel Dehennin | * Utiliser un ciblage par @pillars@ |
47 | 1 | Daniel Dehennin | ** Ne plus définir les grains *@ad/member@*, *@veyon/master@* et *@veyon/client@* sur les postes par *@installMinion@* (source:eole-workstation-joineole|workstation/installMinion.ps1@52b1b078#L430 et source:eole-workstation-joineole|workstation/installMinion.sh@52b1b078#L60) |
48 | 1 | Daniel Dehennin | ** Associer la jonction au domaine au *@pillar@* *@ad/member@* (source:saltstack/salt/top.sls@db1ccb73#L5) |
49 | 1 | Daniel Dehennin | ** Associer l’installation de Veyon aux *@pillars@* *@veyon/master@* et *@veyon/client@* (source:saltstack/salt/top.sls@db1ccb73#L10) |
50 | 1 | Daniel Dehennin | ** Modifier la procédure d’intégration |
51 | 1 | Daniel Dehennin | ### Sur le poste client : exécuter *@installMinion@* |
52 | 1 | Daniel Dehennin | ### Sur le scribe : disocier l’acceptation de la clef à l’intégration au domaine |
53 | 1 | Daniel Dehennin | **** *@salt-key@* pour accepter la clef n’active pas automatiquement l’intégration au domaine par Salt ni l’installation de Veyon |
54 | 1 | Daniel Dehennin | **** une commande dédiée permet de créer un *@pillar@* dédié au minion pour activer les fonctionnalités voulues (*@ad/member@*, *@veyon/master@* et *@veyon/client@*), par exemple *@eole-workstation --join --veyon <MINION_ID>@* |
55 | 1 | Daniel Dehennin | * Utiliser "saltify":https://docs.saltproject.io/en/master/ref/clouds/all/salt.cloud.clouds.saltify.html pour un déploiement par SSH |
56 | 1 | Daniel Dehennin | * Utiliser le lien Active Directory pour "déployer des clefs générées sur le maître":https://docs.saltproject.io/en/latest/topics/tutorials/preseed_key.html |
57 | 1 | Daniel Dehennin | * Utiliser le lien Active Directory pour récuppérer la clef publique automatiquement générée lors du démarrage de *@salt-minion@* |