FRsAG April 2022

frsag@frsag.org

46 participants
14 discussions

Réflexion sur référentiel identité unique dans environnement Linux, Windows et web
by DUVERGIER Claude 22 Jan '24

22 Jan '24

Bon(soi|jou)r la liste, Je pose ici mes réflexions sur un problème qui, j'espère, parlera à certains (qui l'auront résolu), pourra en aider d'autres (qui l'ont/l'auront un jour). TL;DR : Quels sont les services à utiliser pour pouvoir authentifier des utilisateurs lors d'accès à des dossiers partagés CIFS, des serveurs SSH Linux et des applications Web avec un référentiel unique/centralisé. CONTEXTE : J'ai actuellement l'infrastructure suivante : * Annuaire LDAP sous OpenLDAP : c'est le référentiel unique, il contient utilisateurs/machines (PosixAccount) et groupes (PosixGroup). * Application (web) maison pour alimenter l'annuaire en fonction des embauches/départs (pas de base de données SQL ou autre, tout est dans le LDAP). * Serveur OpenID pour certaines applications web : utilise le LDAP comme source. * Les utilisateurs ont des comptes locaux sur leur stations de travail Windows/Linux (aucune interaction avec le LDAP). Ainsi, les utilisateurs peuvent s'identifier sur : * des application Web qui gèrent nativement LDAP (eg. Moodle, GitLab, GLPI, etc.). * des applications Web sous Apache/Nginx (via mod_authnz_ldap ou nginx-ldap-auth). * des applications Web qui gèrent OpenID. * des serveurs Linux en SSH via nslcd, libnss-ldapd et libpam-ldapd. (Et avoir un carnet d'adresse des collègues dans leur client de messagerie) Chaque application est responsable de qui elle accepte (utilisateur et/ou groupe) et de ce qu'elle lui autorise de faire (l'annuaire LDAP ne contient pas de permissions). PROBLÈMES/LIMITES : Cela fonctionne (bien) depuis des années, mais ne réponds pas aux besoins suivants (arrivés plus tard) : * (Le plus important): le partage de fichiers via CIFS/Samba (car nécessite des attributs spécifiques dans le LDAP). * stocker *facilement* des données complexes dans OpenLDAP (eg. variantes d'avatars/photo, jours de présence sur x semaines) Bonus facultatif : gestion "domaine" des comptes utilisateurs des stations de travail pour qu'ils utilisent les même identifiants lors de l'ouverture de leur session, que je puisse les gérer de manière centralisée, et qu'ils soient même pré-authentifiés sur les serveurs de fichiers. ÉBAUCHE DE SOLUTION : Je pense donc qu'il est temps de tout reprendre à zéro et c'est là que je découvre (car je suis néophyte sur ces questions) : * FreeIPA qui créer un "AD-like" pour machines Linux. * Samba v4 qui intègre désormais son annuaire LDAP et se comporte comme un Active Directory. * D'autres dont j'avais déjà entendu parler sans jamais les utiliser : Kerberos et RADIUS/DIAMETER. J'envisage donc l'architecture suivante : * Application maison pour stocker (dans une base SQL quelconque) les utilisateurs/groupes (+ des infos spécifiques complexes) ET qui alimente l'annuaire avec seulement les infos pertinentes/standardisées (le schéma LDAP sera plus simple et une API REST pourra exposer les autres infos aux applications si besoin). * Serveur d'annuaire LDAP (OpenLDAP, 389DS, le 389DS de FreeIPA, le LDAP de Samba4 ?). * Serveur(s) de fichiers (TrueNAS, OpenMediaVault, etc.) : qui se connectent à l'annuaire LDAP (ou autre forme de confiance/délégation). Si je prends le bonus "domaine" : que me faudrait-il ? Samba4 seul suffirait pour les stations de travail Windows ET Ubuntu ou bien il faudrait Samba4+FreeIPA pour tout couvrir ? L'idée d'avoir un AD Samba4 qui tourne sur Internet ne me plait guère. Et comme les serveurs de fichiers seront de toutes façons dans le LAN, je pense plutôt installer Samba4 en LAN et mettre en place, juste pour les applications web, une copie (synchro à sens unique) vers un OpenLDAP ouvert sur Internet (sans les attributs samba/domaine). Je suis ouvert à : * toute correction si j'ai dit une énormité sans nom * et surtout à toute suggestion d'outil que je n'aurais pas trouvé qui m'aide dans ma quête. Merci

7 6

[TECH] Sonde température interrogeable en SNMP
by Fabien Sirjean 04 Oct '22

04 Oct '22

Salut la liste, Quel est votre modèle préféré de sonde de température IP interrogeable en SNMP ? Dans mon cahier des charges du monde idéal, il y aurait par exemple : * open hardware * SNMPv3 * pas lié à un provider cloud bling bling quelconque * si ça fait l'hygrométrie aussi c'est bien * 0U, alimenté en USB ou mieux en POE * pour ~ 40-50 balles (je rêve ?) Merci pour vos retours d'expérience :-) Belle fin de journée, Fabien

11 13

Re: [FRsAG] recherche solution relay smtp on premise
by elpablodelcasata＠netcourrier.com 18 Sep '22

18 Sep '22

Vadesecure > c'est super cher super efficace (trop ?) Promox, j'ai vu et je me pose la question sur les performances antispam, est ce vraiment efficace ? des retex ? PineApp > une idée de la tarification ? Tobi De : Maxime DERCHE <maxime(a)mouet-mouet.net> À : frsag(a)frsag.org Sujet : Re: [FRsAG] recherche solution relay smtp on premise Date : 11/01/2022 14:37:17 Europe/Paris Bonjour, Le 11/01/2022 à 11:28, elpablodelcasata(a)netcourrier.com a écrit : > > Bonjour, > > Je suis à la recherche d'une solution de relay SMTP antispam / antivirus performant. > Avec du support et un antispam performant. > Pas besoin de portail utilisateur pour débloquer les emails. > Facilité d'exploitation pour les sysadmin. > C'est pour héberger sur mon infra (vmware), on a environ 2000 boites. > > Il faut que se soit fiable. > Je n'ai pas envie de dépenser une fortune donc pas de solution qui fait payer au mail > protégé si possible. <https://www.vadesecure.com/> ? Société basée à Hem, banlieue Lilloise. Apparemment (<https://fr.wikipedia.org/wiki/Vade_Secure>) il y aurait de l'activité aux USA donc exposition au Patriot Act, à vérifier. J'y ai brièvement bossé il y a quinze ans, mais j'ai pas du tout suivi depuis donc je n'ai pas d'avis sur le produit et je ne connais pas leur politique tarifaire, mais j'en entends régulièrement du bien localement. Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/

8 13

Apéro Lyonnais : lundi 02 mai 2022
by cam.lafit 02 May '22

02 May '22

Bonjour tout le monde Faisons suite à une (belle) fête du travail dominicale et profitons d'une bonne bière ou jus de pomme en terrasse. Je vous attends ce lundi 02 mai 2022 pour un apéro lyonnais et ses environs ce soir au : Malting-Pot 263 Grande Rue de la Guillotiere, 69007 soit le lundi 04 avril 2022 dès 19h. Et toujours vaguement des infos sur : http://www.agendadulibre.org/tags/araas https://www.meetup.com/fr-FR/Auvergne-Rhone-Alpes-Apero-Admin-Sys/ Km

2 1

Fuck, l'outil improbable
by David Ponzone 25 Apr '22

25 Apr '22

Je connaissais pas, ça m’a bien amusé: https://github.com/nvbn/thefuck <https://github.com/nvbn/thefuck>

28 38

MFA VPN IPSEc StormShield + Agent TheGreenBow
by Hugo SIMANCAS 25 Apr '22

25 Apr '22

Bonjour, Connaissez vous une solution de MFA compatible VPN IPSec StormShield (via TheGreenBox par exemple) Merci / ::1 \ Hugo SIMANCAS https://www.data-expertise.com [https://www.data-expertise.com/] Support technique : 09 78 23 20 29 Standard : 05 34 26 02 46 !Utilisez notre plateforme visio libre & gratuite : https://conf.data-expertise.com/ [https://conf.data-expertise.com/] !Pad collaboratif libre & gratuit sécurisé https://pad.data-expertise.com/ [https://pad.data-expertise.com/] Les informations contenues dans ce courrier électronique sont confidentielles et protégées par le secret professionnel. En tout état de cause, elles ne sont destinées qu'à la personne ou entreprise dont le nom est mentionné ci-dessus. Veuillez aviser l'expéditeur de toute difficulté ou de toute erreur dans la transmission de ce document. Si vous n'êtes pas le destinataire du présent courrier, vous n'êtes pas autorisé, sous peine de poursuites à en prendre des copies, le divulguer ou le diffuser. La présence de cette note prouve également que ce message électronique a été vérifié par un logiciel anti-virus.

3 2

[JOBS] Sysadmin / DevOps Linux - Bordeaux
by Pierre DOLIDON 22 Apr '22

22 Apr '22

Bonjour. ma société ouvre un poste de sysadmin/devops Linux, proche de bordeaux N’hésitez pas a faire tourner, merci :-) Voici la fiche de poste : Dutikosociété de services à valeur ajoutée et à forte croissance sur le marché de l’infogérance de serveurs Linux, recherche, afin de grossir ses équipes, un SysAdmin/DevOps Linux. Votre profil :Passionné par le monde fabuleux de Linux et de l’opensource, vous êtes à l’aise dans le travail d’équipe. Vous disposez d’un grand potentiel d’absorption de compétences. Vous êtes de formation supérieure en informatique (BTS, DUT, Licence ou +), ou autodidacte ? Vous pouvez déjà justifier d’une expérience de SysAdmin ? Ce job est pour vous ! Vous aurez à intervenir sur l’ensemble du parc des serveurs (dédiés, virtuels, clouds) hébergés majoritairement en externe (OVH, Online.net <http://Online.net>, AWS, etc.) sur diverses tâches d’administration quotidiennes des serveurs (surveillance, configuration, gestion) et participerez à la conception, l’installation et la mise en production des infrastructures clients. Vous gérerez les incidents d’exploitation et de supervision, analyserez les situations, et assurerez leur résolution. Vous participerez aux projets interne (infra, automatisation, etc.). L’ensemble de ces actions devant être menées à bien avec réactivité, qualité et performance. Vous travaillerez sur ces technologies * Linux (principalement Debian/Ubuntu) * Apache, NginX, PHP… * MySQL, PostgreSQL, Elasticsearch * Varnish, Redis, NodeJS * Scripting bash (Perl/Python apprécié) * Panels Plesk/Virtualmin/ISPConfig * Virtualisation (KVM, ...) * Architectures à répartition de charge / redondées (DRBD, NFS, Haproxy…) * Outils de supervision (Nagios, Centreon) * Sauvegardes (BackupPC, Bacula) * et bien d’autres tels que Postfix, Ansible, Bind… Type de poste: CDI Rémunération: selon profil et expérience Lieu de travail : Le Haillan (Proche de Bordeaux) Avantages: Mutuelle, Tickets restaurant, Télétravail, Ordinateur et téléphone portable Le poste est a pourvoir dès a présent Envie de nous rencontrer ? N’hésitez pas à nous faire parvenir votre candidature (CV et lettre de motivation) par mail à candidature(a)dutiko.com Pierre.

1 0

Gestion parc, identifier machines non utilisées
by elpablodelcasata＠netcourrier.com 21 Apr '22

21 Apr '22

Bonjour, Je recherche pour un client dans un centre hospitalier un moyen d'identifier les machines du parc peu utilisées, voir non utilisées. Sur les 800 machines qu'il dispose il pense que 60 % sont utilisées quotidiennement, 20 % à mi-temps 10 % un coup de temps en temps et 10% jamais. Le client dispose de WAPT et de GLPI alimenté par Fusion inventory. Avez vous un outil, un astuce ? Merci Tobi 2.13.0.0

13 17

Re: Gestion parc, identifier machines non utilisées
by Florent Lagoda 12 Apr '22

12 Apr '22

Avec l'audit et l'historique des logon si conservé sur l'AD ? Ou avec un paquet wapt qui viendrait extraire l'event log pour recup cette meme donnée à stocker quelque part. Ensuite à scripter pour extraire et compter le nombre par mois/semaine/semestre selon ton besoin et ce que tu cherche à faire ressortir. WAPT, DHCP, GLPI te donnera si elle est vivante mais pas son degré d'utilisation. > Le 12/04/2022 à 09:38,elpablodelcasata@netcourrier.com a écrit : >> Bonjour, >> >> Je recherche pour un client dans un centre hospitalier un moyen d'identifier les >> machines du parc peu utilisées, voir non utilisées. >> Sur les 800 machines qu'il dispose il pense que 60 % sont utilisées quotidiennement, >> 20 % à mi-temps 10 % un coup de temps en temps et 10% jamais. >> Le client dispose de WAPT et de GLPI alimenté par Fusion inventory. >> >> Avez vous un outil, un astuce ? >> >> Merci >> Tobi >> 2.13.0.0

1 0

Re: [MISC] Pour ou Contre conserver Windows Defender sur Windows Server ?
by Erwan ROBIN 08 Apr '22

08 Apr '22

Bonjour à tous, "Et pourquoi ne pas laisser QUE Windows Defender qui est réputer comme un des meilleurs antivirus sur Windows ? Sachant qu'un mauvais antivirus peut etre considéré comme une faille de sécurité dans le sens ou il a des droits très élevés pour opérer sur l'OS. En cas de compromission c'est finito. " Je suis assez d'accord avec Tobi (elpablodelcasata(a)netcourrier.com), Windows Defender est actuellement l'un des meilleurs antivirus "gratuit" du marché alors pourquoi s'en priver. En termes de sécurité, il faudrait "normalement" avoir un antivirus différent par périmètre (à minima serveurs vs postes) pour éviter qu'une compromission via l'AV entraine une cascade sur tout le SI. "Avoir plusieurs moteurs AV sur un poste de travail, ça a toujours amené plus de problèmes que de solutions. (En 2009, lors d'un dépannage client, j'en avais trouvé 4 : McAfee, Norton, Avast et MSSE)." Effectivement, avoir plusieurs antivirus installés conjointement n'est pas du tout une bonne idée. Il s'avère parfois que ces derniers se détectent mutuellement comme étant malveillant, ce qui mène parfois à une désactivation totale d'analyse antivirale, et même à de gros problèmes de fiabilité de l'OS. "Est-ce qu'il faut utiliser la commande PowerShell magique : Uninstall-WindowsFeature -Name Windows-Defender Pour le virer ou pas ?" Je pense que ça ce n'est pas une bonne idée... La feature "Windows Defender" ne désigne plus (à partir de Windows 8 ou 10 je crois) que la partie Antivirale mais l'ensemble de solutions sécurité Microsoft, dont le pare-feu. A mon avis, il pourrait y avoir des effets de bords non désirés. Je privilégierais une désactivation "à la mano" en graphique de l'antivirus plutôt qu'une désactivation totale. Erwan Pentester/Consultant SSI Tech @Digitemis

1 0

2025

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG April 2022