FRsAG August 2021

frsag@frsag.org

54 participants
16 discussions

Réflexion sur référentiel identité unique dans environnement Linux, Windows et web
by DUVERGIER Claude 22 Jan '24

22 Jan '24

Bon(soi|jou)r la liste, Je pose ici mes réflexions sur un problème qui, j'espère, parlera à certains (qui l'auront résolu), pourra en aider d'autres (qui l'ont/l'auront un jour). TL;DR : Quels sont les services à utiliser pour pouvoir authentifier des utilisateurs lors d'accès à des dossiers partagés CIFS, des serveurs SSH Linux et des applications Web avec un référentiel unique/centralisé. CONTEXTE : J'ai actuellement l'infrastructure suivante : * Annuaire LDAP sous OpenLDAP : c'est le référentiel unique, il contient utilisateurs/machines (PosixAccount) et groupes (PosixGroup). * Application (web) maison pour alimenter l'annuaire en fonction des embauches/départs (pas de base de données SQL ou autre, tout est dans le LDAP). * Serveur OpenID pour certaines applications web : utilise le LDAP comme source. * Les utilisateurs ont des comptes locaux sur leur stations de travail Windows/Linux (aucune interaction avec le LDAP). Ainsi, les utilisateurs peuvent s'identifier sur : * des application Web qui gèrent nativement LDAP (eg. Moodle, GitLab, GLPI, etc.). * des applications Web sous Apache/Nginx (via mod_authnz_ldap ou nginx-ldap-auth). * des applications Web qui gèrent OpenID. * des serveurs Linux en SSH via nslcd, libnss-ldapd et libpam-ldapd. (Et avoir un carnet d'adresse des collègues dans leur client de messagerie) Chaque application est responsable de qui elle accepte (utilisateur et/ou groupe) et de ce qu'elle lui autorise de faire (l'annuaire LDAP ne contient pas de permissions). PROBLÈMES/LIMITES : Cela fonctionne (bien) depuis des années, mais ne réponds pas aux besoins suivants (arrivés plus tard) : * (Le plus important): le partage de fichiers via CIFS/Samba (car nécessite des attributs spécifiques dans le LDAP). * stocker *facilement* des données complexes dans OpenLDAP (eg. variantes d'avatars/photo, jours de présence sur x semaines) Bonus facultatif : gestion "domaine" des comptes utilisateurs des stations de travail pour qu'ils utilisent les même identifiants lors de l'ouverture de leur session, que je puisse les gérer de manière centralisée, et qu'ils soient même pré-authentifiés sur les serveurs de fichiers. ÉBAUCHE DE SOLUTION : Je pense donc qu'il est temps de tout reprendre à zéro et c'est là que je découvre (car je suis néophyte sur ces questions) : * FreeIPA qui créer un "AD-like" pour machines Linux. * Samba v4 qui intègre désormais son annuaire LDAP et se comporte comme un Active Directory. * D'autres dont j'avais déjà entendu parler sans jamais les utiliser : Kerberos et RADIUS/DIAMETER. J'envisage donc l'architecture suivante : * Application maison pour stocker (dans une base SQL quelconque) les utilisateurs/groupes (+ des infos spécifiques complexes) ET qui alimente l'annuaire avec seulement les infos pertinentes/standardisées (le schéma LDAP sera plus simple et une API REST pourra exposer les autres infos aux applications si besoin). * Serveur d'annuaire LDAP (OpenLDAP, 389DS, le 389DS de FreeIPA, le LDAP de Samba4 ?). * Serveur(s) de fichiers (TrueNAS, OpenMediaVault, etc.) : qui se connectent à l'annuaire LDAP (ou autre forme de confiance/délégation). Si je prends le bonus "domaine" : que me faudrait-il ? Samba4 seul suffirait pour les stations de travail Windows ET Ubuntu ou bien il faudrait Samba4+FreeIPA pour tout couvrir ? L'idée d'avoir un AD Samba4 qui tourne sur Internet ne me plait guère. Et comme les serveurs de fichiers seront de toutes façons dans le LAN, je pense plutôt installer Samba4 en LAN et mettre en place, juste pour les applications web, une copie (synchro à sens unique) vers un OpenLDAP ouvert sur Internet (sans les attributs samba/domaine). Je suis ouvert à : * toute correction si j'ai dit une énormité sans nom * et surtout à toute suggestion d'outil que je n'aurais pas trouvé qui m'aide dans ma quête. Merci

7 6

[DIY] boîtier pour NAS
by David Ponzone 30 Aug '21

30 Aug '21

Salut tous. Je me suis mis en tête de trouver un boîtier pour Odroid-C2/N2 (donc une carte avec un CPU un peu péchu et un port SATA) avec 2 emplacements 3.5 ou 2.5, pour en faire un NAS Raid1 fait maison (probablement avec mdadm et OpenMediaVault). Et j’ai du mal à trouver un tel boîtier. Quelqu’un connaît une réf ou c’est une chimère ? Éventuellement avec une autre carte (je suis pas figé tant qu’on peut mettre une distri Linux dessus et que la communauté est relativement active). Bien sûr l’objectif est que le prix soit en dessous de 150-200€, le prix de l’entrée de gamme Syno (avec leur CPU de mollusque). Merci de vos conseils David Ponzone

20 48

Liste (XML, JSON, autre?) de logiciels et de leur version current pour mise à jour
by David Durieux 27 Aug '21

27 Aug '21

Bonjour, Je souhaiterai avoir un xml, json... des versions de logiciels à jour (CURRENT) afin de comparer avec les logiciels installés (dans notre cas avec GLPISC / FusionInventory). Le but est de mettre à jour les logiciels sur les postes Windows afin de réduire le risque. Par exemple le fichier pourrait dire : * Firefox : 90.0.2 * Zoom : 5.7.4 et ensuite avec un script maison, je cherche dans la base de données et affiche les postes qui ont firefox, zoom mais pas dans la dernière version. Je pourrais faire pour chaque logiciel, mais ça va être long et fastidieux, il doit bien y avoir une liste / site / autre qui centralise ces informations non? Je pense que ça doit exister, mais j'ai du mal à trouver. Pouvez-vous m'aider chers collègues ^_^ PS: c'est quand même bien plus simple sur du BSD ou du Linux avec les gestionnaires de paquets... Cordialement, David Durieux

10 11

Re: [FRsAG] [DIY] boîtier pour NAS
by Serge ALGAROTTI 26 Aug '21

26 Aug '21

Bonjour, > > Quelqu’un a identifié un projet similaire ? > > je viens de voir ça: > > Argon EON Pi NAS: > 4-Bay SATA NAS Raspberry Pi Enclosure > Hi Argon 40 Technologies, Inc. > > First, thank you for supporting us through the years. > > We will be launching our latest project in Kickstarter on 09 September > 2021, and we decided to let you know in advance as you are one of our avid > supporters. > > Argon EON is a 4-Bay SATA enclosure that allows you to connect 4 Storage > Drives with two(2) - 3.5"HDD and two(2) - 2.5"HDD or SSD. It will be > powered by the Raspberry Pi 4 of your choice. > > It is again a Build Your Own System much like the Argon ONE and Argon ONE > M.2. We believe that letting you the makers, enjoying the build is part of > the experience that makes using the Raspberry Pi great. > > > *CLICK the LINK BELOW to FOLLOW US on KICKSTARTER.* > GO TO KICKSTARTER > <https://argon40.us19.list-manage.com/track/click?u=608d969ef73e300aace9b2c1…> > cordialement, > > Serge > >> >>

1 0

Azure et Ubuntu Cloud-Config
by David Ponzone 25 Aug '21

25 Aug '21

Je sais que c’est un gros mot pour pas mal de gens ici, mais faut parfois être pragmatique (hélas) :) Est-ce que quelqu’un a une doc qui explique un peu comment Azure gère une VM Ubuntu 18.04 avec Cloud-Config, et surtout comment virer Cloud-Config (totalement ou seulement sur la partie réseau) quand on arrive pas à faire faire ce qu’on veut au DHCP Azure (avoir une default GW custom, donc pas en .1 et sur la seconde carte réseau) ? Merci David

2 1

Broker Serveurs Dell
by Gary BLUM 23 Aug '21

23 Aug '21

Bonjour, Par hasard, auriez vous un bon broker de serveur Dell a me recommander ? Je cherche en UE et qui parle français ? Merci pour vos recommandations ! Agréable journée, -- Gary

9 8

[JOBS] Sysadmin/ingé système sénior sur Montréal chez MPC
by Cyril LAVIER 23 Aug '21

23 Aug '21

Salut. Je recherche quelques sysadmins / ingés systèmes pour BOFHer avec moi sur Montréal (au 645 Wellington, 10 mins à pied du métro Square Victoria/OACI pour ceux qui connaissent). La fiche de poste est là : https://www.smartrecruiters.com/Technicolor/743999766310388-senior-system-a… Quelques détails en plus : - Salaire : dans les 100k$CA annuel - Télétravail : pas au début (genre les 2 premières semaines), mais partiel ensuite, 2/3 jours par semaine et plus selon les situations. - Pas mal de gros projets de refonte, quasiment pas de ticketing. - Le seul support utilisateur, c'est en escalade et/ou quand c'est la grosse merde - 99% Linux (CentOS/Ubuntu), les quelques bestioles Windows sont des remote desktop. - Au niveau réseau, c'est Brocade et Juniper. - Le réseau est un plus, mais franchement, j'ai déjà les compétences sur place, donc c'est juste de savoir les bases, pas besoin absolu d'être ceinture noire JunOS. - Il faut savoir parler anglais, car on travaille pas mal avec les autres entités Nord-Américaines (Toronto, Vancouver, Los Angeles principalement). Si vous avez des questions, n'hésitez pas. On recherche aussi des juniors, mais c'est pas vraiment de mon côté, donc j'aurai pas de valeur ajoutée dans le recrutement. Merci :) -- Cyril Lavier

1 0

Ordonnanceur / Jobs scheduler
by Alain Bieuzent 19 Aug '21

19 Aug '21

Bonjour la liste. Je commence à avoir pas mal de scripts de part et d’autre à lancer régulièrement. Jusqu'à maintenant les crontab nous suffisait, mais on commence à ne plus y voir très clair. La très grande majorité des scripts sont en écrits en bash ou en PHP. Auriez-vous des ordonnanceurs / Jobs schedulers dont vous êtes satisfait à recommander ? Merci.

12 12

Sondage : délai de basculement IPFO
by Stéphane Rivière 17 Aug '21

17 Aug '21

Bonjour à toutes et tous, TG d'ice tea, de café glacé et de glaces... Chez OVH, faire bagoter une IPFO entre deux servs, constate que la moyenne de 3 à 5 mn irait plus vers 5 à 10 mn ces derniers temps. Je souhaitais avoir une idée des délais que vous rencontrez... OVH : Scaleway : autres hébergeurs : Merci de vos réponses :) -- Stéphane Rivière Ile d'Oléron - France

7 6

Retex WAZUH
by elpablodelcasata＠netcourrier.com 17 Aug '21

17 Aug '21

Bonjour les admins ! Je recherche un retex sur Wazuh. Actuellement je gère un parc de plusieurs centaines de machines et serveurs, je n'ai pour le moment aucun système de collecte et d'archivage de log et j'avoue que je le vie très mal. Est ce aussi prometteur que cela peut paraitre sur la collecte et l'analyse de logs ? La détection de compromission ? la réponse à un incident ? A la lecture de la doc il a tout d'un grand, j'aimerai savoir quelle est l'énergie à mettre en œuvre pour effectivement atteindre une plateforme efficiente. Quelle architecture avez vous mis en place, Comment l'avez vous dimensionnée ? Merci Tobi.S 2.13.0.0

2 2

2025

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG August 2021