FRsAG May 2023

frsag@frsag.org

9 participants
6 discussions

Réflexion sur référentiel identité unique dans environnement Linux, Windows et web
by DUVERGIER Claude 22 Jan '24

22 Jan '24

Bon(soi|jou)r la liste, Je pose ici mes réflexions sur un problème qui, j'espère, parlera à certains (qui l'auront résolu), pourra en aider d'autres (qui l'ont/l'auront un jour). TL;DR : Quels sont les services à utiliser pour pouvoir authentifier des utilisateurs lors d'accès à des dossiers partagés CIFS, des serveurs SSH Linux et des applications Web avec un référentiel unique/centralisé. CONTEXTE : J'ai actuellement l'infrastructure suivante : * Annuaire LDAP sous OpenLDAP : c'est le ré… [View More]férentiel unique, il contient utilisateurs/machines (PosixAccount) et groupes (PosixGroup). * Application (web) maison pour alimenter l'annuaire en fonction des embauches/départs (pas de base de données SQL ou autre, tout est dans le LDAP). * Serveur OpenID pour certaines applications web : utilise le LDAP comme source. * Les utilisateurs ont des comptes locaux sur leur stations de travail Windows/Linux (aucune interaction avec le LDAP). Ainsi, les utilisateurs peuvent s'identifier sur : * des application Web qui gèrent nativement LDAP (eg. Moodle, GitLab, GLPI, etc.). * des applications Web sous Apache/Nginx (via mod_authnz_ldap ou nginx-ldap-auth). * des applications Web qui gèrent OpenID. * des serveurs Linux en SSH via nslcd, libnss-ldapd et libpam-ldapd. (Et avoir un carnet d'adresse des collègues dans leur client de messagerie) Chaque application est responsable de qui elle accepte (utilisateur et/ou groupe) et de ce qu'elle lui autorise de faire (l'annuaire LDAP ne contient pas de permissions). PROBLÈMES/LIMITES : Cela fonctionne (bien) depuis des années, mais ne réponds pas aux besoins suivants (arrivés plus tard) : * (Le plus important): le partage de fichiers via CIFS/Samba (car nécessite des attributs spécifiques dans le LDAP). * stocker *facilement* des données complexes dans OpenLDAP (eg. variantes d'avatars/photo, jours de présence sur x semaines) Bonus facultatif : gestion "domaine" des comptes utilisateurs des stations de travail pour qu'ils utilisent les même identifiants lors de l'ouverture de leur session, que je puisse les gérer de manière centralisée, et qu'ils soient même pré-authentifiés sur les serveurs de fichiers. ÉBAUCHE DE SOLUTION : Je pense donc qu'il est temps de tout reprendre à zéro et c'est là que je découvre (car je suis néophyte sur ces questions) : * FreeIPA qui créer un "AD-like" pour machines Linux. * Samba v4 qui intègre désormais son annuaire LDAP et se comporte comme un Active Directory. * D'autres dont j'avais déjà entendu parler sans jamais les utiliser : Kerberos et RADIUS/DIAMETER. J'envisage donc l'architecture suivante : * Application maison pour stocker (dans une base SQL quelconque) les utilisateurs/groupes (+ des infos spécifiques complexes) ET qui alimente l'annuaire avec seulement les infos pertinentes/standardisées (le schéma LDAP sera plus simple et une API REST pourra exposer les autres infos aux applications si besoin). * Serveur d'annuaire LDAP (OpenLDAP, 389DS, le 389DS de FreeIPA, le LDAP de Samba4 ?). * Serveur(s) de fichiers (TrueNAS, OpenMediaVault, etc.) : qui se connectent à l'annuaire LDAP (ou autre forme de confiance/délégation). Si je prends le bonus "domaine" : que me faudrait-il ? Samba4 seul suffirait pour les stations de travail Windows ET Ubuntu ou bien il faudrait Samba4+FreeIPA pour tout couvrir ? L'idée d'avoir un AD Samba4 qui tourne sur Internet ne me plait guère. Et comme les serveurs de fichiers seront de toutes façons dans le LAN, je pense plutôt installer Samba4 en LAN et mettre en place, juste pour les applications web, une copie (synchro à sens unique) vers un OpenLDAP ouvert sur Internet (sans les attributs samba/domaine). Je suis ouvert à : * toute correction si j'ai dit une énormité sans nom * et surtout à toute suggestion d'outil que je n'aurais pas trouvé qui m'aide dans ma quête. Merci [View Less]

7 6

Retour sur carbonio ?
by diodo＠oute.org 06 Jun '23

06 Jun '23

Bonjour, Comme certains, nous utilisons au travail zimbra. Comme la version communautaire disparaît en fin d'année, on regarde pour migrer soit vers une nouvelle version, soit un autre soft. Je viens de voir que zextras a repris les sources de zimbra (9 ?) pour sortir carbonio (version entreprise et commu) Je voulais savoir s'il y avait ici des gens qui ont sauté le pas pour passer sur cette solution, et si c'est viable dans le temps, car je ne trouve pas vraiment de retour d'expérience … [View More]

4 5

[JOBS] Mission freelance formation devops.
by Aurélien Bras 31 May '23

31 May '23

Bonjour à tous, Merci à tous pour vos retours concernant le profil de formateur admin sys Linux, j'ai eu de super candidatures et je pense avoir trouvé la perle rare. Je recherche maintenant un formateur Freelance full remote pour donner une formation devops (945h partagé à deux ou trois) L'écriture du programme fait partie de la mission donc beaucoup de liberté de ce côté là. On travaillera en binôme avec moi même tant sur la conception que pour donner les cours. Les techno à aborder seront … [View More]

1 0

[JOBS] Mission freelance de formation GNU/Linux
by Aurélien Bras 25 May '23

25 May '23

Bonjour à tous, Je recherche un formateur Freelance full remote ayant de bonnes connaissances en GNU/Linux pour préparer et assurer quelques mois de formation (public technicien système et réseau). L'écriture du programme et du contenu fait partie de la mission donc beaucoup de liberté de ce côté là. Ce n'est pas beaucoup payé mais ça reste correct. Pas besoin d'une grosse expérience en formation au contraire l'important c'est d'avoir des connaissances et l'envie de transmettre votre passion.… [View More]

1 0

[BIZ] Scalance Siemens
by Daniel Under 04 May '23

04 May '23

Bonjour à tous, Je ne sais pas si c'est la meilleure liste pour poser ma question mais je tente car je ne trouve rien de concret ailleurs. Un de mes clients (/amis) gère sa soufflerie grâce à un Scalance xb005 Siemens. La société qui lui a programmé son Scalance a fermé, ce sans lui donner le mot de passe pour accéder à l'admin via le portail SIMATIC STEP 7 installé sur un des PC. D’après mes recherches il n'est pas possible de bypasser le password. Le support de Siemens nous a aussi … [View More]

3 4

intégrateur mikrotik
by Benjamin AVET 03 May '23

03 May '23

Bonjour à tous, connaitriez-vous des intégrateurs mikrotik au nord de Paris ? Merci d'avance, Benjamin

1 0

2025

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG May 2023