FRsAG September 2022

frsag@frsag.org

43 participants
20 discussions

Réflexion sur référentiel identité unique dans environnement Linux, Windows et web
by DUVERGIER Claude 22 Jan '24

22 Jan '24

Bon(soi|jou)r la liste, Je pose ici mes réflexions sur un problème qui, j'espère, parlera à certains (qui l'auront résolu), pourra en aider d'autres (qui l'ont/l'auront un jour). TL;DR : Quels sont les services à utiliser pour pouvoir authentifier des utilisateurs lors d'accès à des dossiers partagés CIFS, des serveurs SSH Linux et des applications Web avec un référentiel unique/centralisé. CONTEXTE : J'ai actuellement l'infrastructure suivante : * Annuaire LDAP sous OpenLDAP : c'est le référentiel unique, il contient utilisateurs/machines (PosixAccount) et groupes (PosixGroup). * Application (web) maison pour alimenter l'annuaire en fonction des embauches/départs (pas de base de données SQL ou autre, tout est dans le LDAP). * Serveur OpenID pour certaines applications web : utilise le LDAP comme source. * Les utilisateurs ont des comptes locaux sur leur stations de travail Windows/Linux (aucune interaction avec le LDAP). Ainsi, les utilisateurs peuvent s'identifier sur : * des application Web qui gèrent nativement LDAP (eg. Moodle, GitLab, GLPI, etc.). * des applications Web sous Apache/Nginx (via mod_authnz_ldap ou nginx-ldap-auth). * des applications Web qui gèrent OpenID. * des serveurs Linux en SSH via nslcd, libnss-ldapd et libpam-ldapd. (Et avoir un carnet d'adresse des collègues dans leur client de messagerie) Chaque application est responsable de qui elle accepte (utilisateur et/ou groupe) et de ce qu'elle lui autorise de faire (l'annuaire LDAP ne contient pas de permissions). PROBLÈMES/LIMITES : Cela fonctionne (bien) depuis des années, mais ne réponds pas aux besoins suivants (arrivés plus tard) : * (Le plus important): le partage de fichiers via CIFS/Samba (car nécessite des attributs spécifiques dans le LDAP). * stocker *facilement* des données complexes dans OpenLDAP (eg. variantes d'avatars/photo, jours de présence sur x semaines) Bonus facultatif : gestion "domaine" des comptes utilisateurs des stations de travail pour qu'ils utilisent les même identifiants lors de l'ouverture de leur session, que je puisse les gérer de manière centralisée, et qu'ils soient même pré-authentifiés sur les serveurs de fichiers. ÉBAUCHE DE SOLUTION : Je pense donc qu'il est temps de tout reprendre à zéro et c'est là que je découvre (car je suis néophyte sur ces questions) : * FreeIPA qui créer un "AD-like" pour machines Linux. * Samba v4 qui intègre désormais son annuaire LDAP et se comporte comme un Active Directory. * D'autres dont j'avais déjà entendu parler sans jamais les utiliser : Kerberos et RADIUS/DIAMETER. J'envisage donc l'architecture suivante : * Application maison pour stocker (dans une base SQL quelconque) les utilisateurs/groupes (+ des infos spécifiques complexes) ET qui alimente l'annuaire avec seulement les infos pertinentes/standardisées (le schéma LDAP sera plus simple et une API REST pourra exposer les autres infos aux applications si besoin). * Serveur d'annuaire LDAP (OpenLDAP, 389DS, le 389DS de FreeIPA, le LDAP de Samba4 ?). * Serveur(s) de fichiers (TrueNAS, OpenMediaVault, etc.) : qui se connectent à l'annuaire LDAP (ou autre forme de confiance/délégation). Si je prends le bonus "domaine" : que me faudrait-il ? Samba4 seul suffirait pour les stations de travail Windows ET Ubuntu ou bien il faudrait Samba4+FreeIPA pour tout couvrir ? L'idée d'avoir un AD Samba4 qui tourne sur Internet ne me plait guère. Et comme les serveurs de fichiers seront de toutes façons dans le LAN, je pense plutôt installer Samba4 en LAN et mettre en place, juste pour les applications web, une copie (synchro à sens unique) vers un OpenLDAP ouvert sur Internet (sans les attributs samba/domaine). Je suis ouvert à : * toute correction si j'ai dit une énormité sans nom * et surtout à toute suggestion d'outil que je n'aurais pas trouvé qui m'aide dans ma quête. Merci

7 6

Question théorique concernant la migration d'un LXC
by David Ponzone 12 Nov '22

12 Nov '22

S’il y a des gurus des LXC ici, J’ai déplacé un LXC d’un Proxmox 6 (Debian 10.6) vers un Proxmox 7 (Debian 11.4) (j’ai donc juste copié le fichier de conf, et le root disk était accessible en NFS). Et ça marche. Je m’attendais à ce que ça crash lamentablement. Donc, je me questionne: -coup de bol parce que Debian 10 à Debian 11, même organisation et pas de gros changement entre les 2 ? -pas un coup de bol, les LXC permettent ça tout le temps tant que les binaires sont compatibles -je crois que ça marche, mais en fait ça va finir par déconner ? Merci

7 7

[TECH] Sonde température interrogeable en SNMP
by Fabien Sirjean 04 Oct '22

04 Oct '22

Salut la liste, Quel est votre modèle préféré de sonde de température IP interrogeable en SNMP ? Dans mon cahier des charges du monde idéal, il y aurait par exemple : * open hardware * SNMPv3 * pas lié à un provider cloud bling bling quelconque * si ça fait l'hygrométrie aussi c'est bien * 0U, alimenté en USB ou mieux en POE * pour ~ 40-50 balles (je rêve ?) Merci pour vos retours d'expérience :-) Belle fin de journée, Fabien

11 13

Piloter plusieurs consoles en même temps
by Artur 04 Oct '22

04 Oct '22

Salut, A une certaine époque j'utilisais un bout d'application qui permettait de taper des commandes sur plusieurs terminaux en parallèle (pour mettre à jour plusieurs nœuds d'un cluster par exemple), mais son nom m'échappe. Connaissez-vous un équivalent sous Windows, svp ? Le schéma de connexion serait équivalent à : appli -> putty1/putty2/putty... -> linux1/linux2/linux... Merci par avance. -- Cordialement, Artur

22 28

Migration Samba NT vers Active Directory
by Fabien Sirjean 30 Sep '22

30 Sep '22

Salut la liste, Ayant l'impression d'avoir épluché la moitié du web et m'étant arraché pas mal de cheveux, je viens chercher quelques lumières auprès de vous :-) Je suis en train de migrer un Samba en mode NT4 vers un domaine AD en Samba 4 (mode ad-dc), voir [1]. C'est une opération que je connais bien pour l'avoir déjà réalisée une dizaine de fois, c'est pas très drôle mais en général ça se passe pas trop mal. En gros, on installe une nouvelle machine pour y installer samba 4, et on utilise le script "classicupgrade" pour convertir l'ancien LDAP et fichiers TDB en un AD. Modulo les histoires de duplicats de SID et autres joyeusetés, ça fonctionne et on a un bel AD tout neuf qui fonctionne parfaitement. Tout l'enjeu, c'est de ne pas avoir besoin de migrer les postes à la main dans le nouveau domaine (y'en a plusieurs centaines tendance un joli millier). Normalement (#enthéorie), les postes windows qui étaient membres du domaine NT4 migrent automatiquement dans le domaine AD sous quelques conditions : * Le nouveau domaine AD doit conserver le même nom court que l'ancien domaine NT (ex: SAMDOM devient SAMDOM.EXAMPLE.COM) * On change le résolveur DNS des postes via le DHCP pour qu'ils utilisent le nouveau contrôleur de domaine AD * La résolution DNS des noms type _ldap._tcp.samdom.example.com doit être fonctionnelle (cf le point précédent). Dans le passé, je n'ai jamais eu de soucis à ce niveau là. Mais aujourd'hui je suis confronté à un comportement curieux : * Le domaine est pleinement fonctionnel, on peut intégrer manuellement des postes quelque soit la version de windows * Les postes sous windows 11 migrent parfaitement en autonomie au premier reboot (comportement attendu) * Les postes sous windows 7 ou 10 ne migrent pas sans action manuelle : aucun log sur le contrôleur de domaine samba, ni la console windows du poste, la résolution DNS est bien OK, on dirait que les postes ne tentent pas du tout de joindre un contrôleur de domaine AD au démarrage. J'ai tenté de baisser le niveau de sécurité minimum exigé par le serveur AD ("server min protocol = NT1" dans /etc/samba/smb.conf), mais rien à faire. Avez-vous déjà rencontré une telle situation ? Vu que je suis plutôt team manchot, je touche un peu aux limites de mes connaissances en crosoft. Mes questions en deux temps : 1/ Avez-vous une idée de comment aider les postes Win7 et Win10 à migrer automatiquement ? 2/ Si la migration automatique ne fonctionne pas, je cherche une idée de comment scripter la sortie/réintégration au domaine. J'ai tenté des trucs en powershell [2] mais une fois le poste sorti du domaine, je perds la main pour la réintégration... Je vous colle ma conf samba du contrôleur de domaine (très courte, vu que tous les partages & co sont sur une autre machine) : [global] netbios name = DC1 realm = SAMDOM.EXAMPLE.COM server role = active directory domain controller workgroup = SAMDOM idmap_ldb:use rfc2307 = yes log level = 4 dns forwarder = 10.X.X.X allow insecure wide links = yes client min protocol = NT1 server min protocol = NT1 lanman auth=yes ntlm auth=yes time server = yes [sysvol] path = /var/lib/samba/sysvol read only = No [netlogon] path = /var/lib/samba/sysvol/samdom.example.com/scripts read only = No Merci d'avance pour vos retours ou conseils éventuels :) Bonne soirée, Fabien [1] https://wiki.samba.org/index.php/Migrating_a_Samba_NT4_Domain_to_Samba_AD_(… [2] https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.ma…

1 0

Recheche d'entreprise commerciale
by Jason DELHOMME 30 Sep '22

30 Sep '22

Hello la liste ! Je vous pose le contexte de ma demande : Avec 2 associés nous avons pour projet de créer une entreprise (une SCOP bien évidemment :P) d'ici fin Novembre. Nous sommes tous les 3 des Admins sys confirmés mais nous ne sommes absolument pas à l'aise avec toute la partie "commerciale" pour dénicher des contrats/clients en dehors de nos contacts déjà établis par le bias de notre réseau. Pour se faire nous sommes à la recherche d'une société qui met à disposition ses commerciaux pour justement trouver les dits contrats/clients. Je ne sais pas exactement quel domaine d'activité exerce ce genre d'entreprise (cabinet commercial, agence commerciale , ect... ? ) mais j'avoue avoir du mal a trouver mon bonheur tout seul dans mon coin, donc si vous connaissez quelqu'un qui travaille dans ce type d'entreprise ou même une entreprise directement je suis preneur ! Nous recherchons ces entreprises principalement dans la région Parisienne et/ou Rouennaise. De mon côté je ne trouve que des cabinets de recrutement de commerciaux et pour le moment nous ne pouvons pas nous le permettre. D'avance merci pour vos retours et désolé pour ceus qui vont penser que ma demande n'a rien à faire sur cette liste de diffusion, je peux le comprendre. Bonne journée à tous, --Jason DELHOMME Futur associé Conixys ESNL

2 2

[JOBS] Administrateur Système et Réseaux à Grenoble
by Léo Berry 30 Sep '22

30 Sep '22

Bonjour à tous, Mezcalito une agence digitale au format SCOP et nous recherchons un(e) administrateur(trice) système et réseau pour intégrer le pôle hébergement de l’entreprise. *Missions :* Sous la responsabilité du responsable d’exploitation, vous évoluerez au sein de l’équipe NOC. Vous aurez à mener des missions telles que : Des travaux d’ingénierie système dans un environnement Linux/Debian, automatisation avec Puppet et des clusters HA avec Ganeti (KVM). La maintenance opérationnelle de l’infrastructure répartie sur 2 sites physiques et des services hébergés: clusters et machines virtuelles dédiés, sites et applicatifs Web, bases de données, système de messagerie, serveurs vocaux. Des travaux d’ingénierie réseau avec du routage BGP, OSPF, des switchs Cisco. Support niveau 2 et 3, ainsi que des astreintes. *Vos compétences :* Nous recherchons une personne motivée et passionnée par la perspective de gérer une infrastructure sur toute la chaîne depuis la fibre optique jusqu’au déploiement de l’application. * Expérience significative de 2 à 5 ans dans l’administration de système *Linux*. * Formation supérieure (Bac+2/+3) avec une forte composante système et réseau. * À l’aise sur de la programmation orientée système/réseau et du scripting avec des langages comme Python et Bash. * Avoir pratiqué des outils de déploiement et d’automatisation comme Puppet, Chef ou Ansible. * Des notions sur d’autres langages hébergés sur nos services comme PHP serait un plus. * Une expérience sur des architectures basées sur des conteneurs comme Docker/Kubernetes serait un plus * Une expérience sur l’intégration continue d’application web serait un plus *Type de contrat :* * CDI à pourvoir immédiatement * Rémunération en fonction de l’expérience * Télétravail jusqu’à 3 jours par semaine * Avantages: Mutuelle, chèques déjeuners, chèques vacances, intéressement, participation, et bien sûr l’objectif de devenir associé. Hésitez pas à faire tourner et à me contacter pour plus d'information Merci ! Bonne journée -- Léo Berry Résponsable d'exploitation Mezcalito -https://www.mezcalito.fr/ 38000 Grenoble

1 0

Email / Protection de l'arnaque au président
by Kevin Labécot 29 Sep '22

29 Sep '22

Bonjour, J’ai un client qui a évité une arnaque au président grâce à l’oeil de lynx de la comptable ^^ Le mail a passé toutes les protections dkim/spf car expédié d’un domaine tiers mais le from était déguisé en mettant dans la partie « Nom » une adresse email, ce qui aurait pu tromper bon nombre d’utilisateur. Voici à quoi ressemblait le champ « From » du mail reçu : From: "Nom du président <sonvrai(a)email.com>," <faux(a)domaine.fr> Comme vous le voyez, ce format fait que ça a passé le dkim/spf de domaine.fr <http://domaine.fr/> (le faux domaine). Quant au vrai email il donnait une belle illusion étant placé dans la partie du nom de l’expéditeur. Bref, mon client est chez O365. Ma question est : comment bloquer ce genre d’attaque ? Existe-t-il des moyens de les détecter automatiquement ? Merci d’avance — Kevin LABECOT

7 7

WordPress et PHP 8.0
by Mickael MONSIEUR 27 Sep '22

27 Sep '22

Bonjour, J'ai un comportement étrange de WordPress sur Debian 11.x avec PHP 8.0 qui provient du dépôt Sury. Si j'active ces modules là : php8.0 php8.0-amqp php8.0-apcu php8.0-ast php8.0-bcmath php8.0-bz2 php8.0-cgi php8.0-cli php8.0-common php8.0-curl php8.0-dba php8.0-decimal php8.0-dev php8.0-ds php8.0-enchant php8.0-fpm php8.0-gd php8.0-gearman php8.0-gmp php8.0-gnupg php8.0-grpc php8.0-http php8.0-igbinary php8.0-imagick php8.0-imap php8.0-inotify php8.0-interbase php8.0-intl php8.0-ldap php8.0-lz4 php8.0-mailparse php8.0-maxminddb php8.0-mbstring php8.0-mcrypt php8.0-memcache php8.0-memcached php8.0-mongodb php8.0-msgpack php8.0-mysql php8.0-oauth php8.0-odbc php8.0-opcache php8.0-pcov php8.0-pgsql php8.0-phpdbg php8.0-protobuf php8.0-ps php8.0-pspell php8.0-psr php8.0-raphf php8.0-readline php8.0-redis php8.0-rrd php8.0-smbclient php8.0-snmp php8.0-soap php8.0-solr php8.0-sqlite3 php8.0-ssh2 php8.0-stomp php8.0-swoole php8.0-sybase php8.0-tidy php8.0-uopz php8.0-uploadprogress php8.0-uuid php8.0-vips php8.0-xdebug php8.0-xhprof php8.0-xml php8.0-xmlrpc php8.0-xsl php8.0-yaml php8.0-zip php8.0-zmq php8.0-zstd WordPress se comportement très bizarrement. Il y a bien des erreurs d'affichage et dans les logs, mais rien qui me donne une information précise. Juste des "cannot modify header information - headers already sent by..." Par contre, si je n'active que le strict minimum : php8.0 php8.0-cgi php8.0-cli php8.0-curl php8.0-fpm php8.0-gd php8.0-imagick php8.0-mbstring php8.0-mysql php8.0-intl php8.0-dom php8.0-zip Là WordPress se comportement correctement. Est-ce que vous avez une idée ? Un module qu'il ne faudrait absolument pas activer ? cordialement,

6 6

PowerDNS-Admin et les slaves silencieux
by David Ponzone 26 Sep '22

26 Sep '22

Au cas où, je lance une bouteille à la mer: J’étais hyper content hier d’avoir trouvé et installé PowerDNS-Admin, un front-end assez sexy et simple pour PowerDNS. Ça s’installe facilement, aucun accro (sauf qu’il ne faut pas avoir un mot de passe MySQL qui contient un caractère spécial genre % ou *, car SQLAlchemy ne le gère pas correctement). Pour créer une zone master, pas de souci. Par contre, quand je crée une zone slave, elle ne semble pas prise en compte par pdns. Elle est dans la table SQL domains pourtant, mais quand je fais: # pdns_control list-zones slave slave zonecount:0 Et si je lance: # pdns_control retrieve domaine.net X.X.X.X Je vois bien dans les logs: Sep 22 10:05:02 vps-76597 pdns_server[24383]: Retrieval request for domain ‘domaine.net' from master ‘X.X.X.X' received from operator Et puis rien. Donc je me demande si j’ai foiré un truc ou si ils ont foiré un truc. Merci! David

2 5

2025

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG September 2022