Bon(soi|jou)r la liste,
Je pose ici mes réflexions sur un problème qui, j'espère, parlera à certains (qui l'auront résolu), pourra en aider d'autres (qui l'ont/l'auront un jour).
TL;DR :
Quels sont les services à utiliser pour pouvoir authentifier des utilisateurs lors d'accès à des dossiers partagés CIFS, des serveurs SSH Linux et des applications Web avec un référentiel unique/centralisé.
CONTEXTE :
J'ai actuellement l'infrastructure suivante :
* Annuaire LDAP sous OpenLDAP : c'est le référentiel unique, il contient utilisateurs/machines (PosixAccount) et groupes (PosixGroup). * Application (web) maison pour alimenter l'annuaire en fonction des embauches/départs (pas de base de données SQL ou autre, tout est dans le LDAP). * Serveur OpenID pour certaines applications web : utilise le LDAP comme source. * Les utilisateurs ont des comptes locaux sur leur stations de travail Windows/Linux (aucune interaction avec le LDAP).
Ainsi, les utilisateurs peuvent s'identifier sur :
* des application Web qui gèrent nativement LDAP (eg. Moodle, GitLab, GLPI, etc.). * des applications Web sous Apache/Nginx (via mod_authnz_ldap ou nginx-ldap-auth). * des applications Web qui gèrent OpenID. * des serveurs Linux en SSH via nslcd, libnss-ldapd et libpam-ldapd.
(Et avoir un carnet d'adresse des collègues dans leur client de messagerie)
Chaque application est responsable de qui elle accepte (utilisateur et/ou groupe) et de ce qu'elle lui autorise de faire (l'annuaire LDAP ne contient pas de permissions).
PROBLÈMES/LIMITES :
Cela fonctionne (bien) depuis des années, mais ne réponds pas aux besoins suivants (arrivés plus tard) :
* (Le plus important): le partage de fichiers via CIFS/Samba (car nécessite des attributs spécifiques dans le LDAP). * stocker *facilement* des données complexes dans OpenLDAP (eg. variantes d'avatars/photo, jours de présence sur x semaines)
Bonus facultatif : gestion "domaine" des comptes utilisateurs des stations de travail pour qu'ils utilisent les même identifiants lors de l'ouverture de leur session, que je puisse les gérer de manière centralisée, et qu'ils soient même pré-authentifiés sur les serveurs de fichiers.
ÉBAUCHE DE SOLUTION :
Je pense donc qu'il est temps de tout reprendre à zéro et c'est là que je découvre (car je suis néophyte sur ces questions) :
* FreeIPA qui créer un "AD-like" pour machines Linux. * Samba v4 qui intègre désormais son annuaire LDAP et se comporte comme un Active Directory. * D'autres dont j'avais déjà entendu parler sans jamais les utiliser : Kerberos et RADIUS/DIAMETER.
J'envisage donc l'architecture suivante :
* Application maison pour stocker (dans une base SQL quelconque) les utilisateurs/groupes (+ des infos spécifiques complexes) ET qui alimente l'annuaire avec seulement les infos pertinentes/standardisées (le schéma LDAP sera plus simple et une API REST pourra exposer les autres infos aux applications si besoin). * Serveur d'annuaire LDAP (OpenLDAP, 389DS, le 389DS de FreeIPA, le LDAP de Samba4 ?). * Serveur(s) de fichiers (TrueNAS, OpenMediaVault, etc.) : qui se connectent à l'annuaire LDAP (ou autre forme de confiance/délégation).
Si je prends le bonus "domaine" : que me faudrait-il ? Samba4 seul suffirait pour les stations de travail Windows ET Ubuntu ou bien il faudrait Samba4+FreeIPA pour tout couvrir ?
L'idée d'avoir un AD Samba4 qui tourne sur Internet ne me plait guère. Et comme les serveurs de fichiers seront de toutes façons dans le LAN, je pense plutôt installer Samba4 en LAN et mettre en place, juste pour les applications web, une copie (synchro à sens unique) vers un OpenLDAP ouvert sur Internet (sans les attributs samba/domaine).
Je suis ouvert à :
* toute correction si j'ai dit une énormité sans nom * et surtout à toute suggestion d'outil que je n'aurais pas trouvé qui m'aide dans ma quête.
Merci
Bonjour,
Le 13/08/2021 à 01:56, DUVERGIER Claude a écrit :
- (Le plus important): le partage de fichiers via CIFS/Samba (car nécessite des attributs spécifiques dans le LDAP).
Sur ce seul point, il est possible de rajouter à OpenLDAP des schémas pour la prise en compte des attributs Samba [1]. Le problème, c'est que tu risques de devoir demander à tes utilisateurs de ressaisir leur mot de passe du domaine pour le rajout de leur sambaNTpassword.
Pour le reste, nous avons des problématiques similaires et nous allons nous orienter probablement vers samba4 (je ne parle pas ici de la problématique accès ouvert/LAN/Web, mais bien du (P)DC).
Cordialement,
[1] https://github.com/mwaeckerlin/openldap/blob/master/samba.schema
Bonjour,
A ma connaissance pour l'avoir mis en oeuvre avec notre outil "maison" extra-ct tu as en plus du schéma samba à ajouter à openldap (plutot v3) des scripts perl "smbldap-tools" qui font le job.
Extract gère la création des utilisateur sur le LDAP, l'affectation à des groupes, aux partage ou au ACL (et accessoirement l'accès via le web aux fichier suivant les droits).
Beaucoup de paramétrage... Si qqun à mieux, un peu moins poussieur et qui tourne avec du Samba4 ca m'intéresse.
La gestion des identités a toujours été pour moi une véritable corvée. J'ai toujours eu à scripter / crafter des solutions de sync pour réussir à obtenir ce que je souhaitais...
Ce qui en toute franchise, ressemblait plus à un POC tombé en prod qu'a une véritable solution résiliente.
Bonjour,
@claude, ce sujet devient necessaire chez nous et trés proche de tes besoins de l'époque. As tu pu avancer sur tes réflexions ?
merci, jerome
Le lun. 23 août 2021 à 17:29, Cécile Martron via FRsAG frsag@frsag.org a écrit :
La gestion des identités a toujours été pour moi une véritable corvée. J'ai toujours eu à scripter / crafter des solutions de sync pour réussir à obtenir ce que je souhaitais...
Ce qui en toute franchise, ressemblait plus à un POC tombé en prod qu'a une véritable solution résiliente.
-- Cécile Martron
Le 18/08/2021 à 11:43, pbaudry@extra-mail.fr a écrit :
Bonjour,
A ma connaissance pour l'avoir mis en oeuvre avec notre outil "maison" extra-ct tu as en plus du schéma samba à ajouter à openldap (plutot v3) des scripts perl "smbldap-tools" qui font le job.
Extract gère la création des utilisateur sur le LDAP, l'affectation à des groupes, aux partage ou au ACL (et accessoirement l'accès via le web aux fichier suivant les droits).
Beaucoup de paramétrage... Si qqun à mieux, un peu moins poussieur et qui tourne avec du Samba4 ca m'intéresse.
-- Pierre BAUDRY Synertal
Le 16/08/2021 à 09:15, Rémy Dernat a écrit :
Bonjour, Le 13/08/2021 à 01:56, DUVERGIER Claude a écrit :
- (Le plus important): le partage de fichiers via CIFS/Samba (car nécessite des attributs spécifiques dans le LDAP).
Sur ce seul point, il est possible de rajouter à OpenLDAP des schémas pour la prise en compte des attributs Samba [1]. Le problème, c'est que tu risques de devoir demander à tes utilisateurs de ressaisir leur mot de passe du domaine pour le rajout de leur sambaNTpassword.
Pour le reste, nous avons des problématiques similaires et nous allons nous orienter probablement vers samba4 (je ne parle pas ici de la problématique accès ouvert/LAN/Web, mais bien du (P)DC).
Cordialement,
[1] https://github.com/mwaeckerlin/openldap/blob/master/samba.schema
-- Rémy Dernat Chef de projet SI IR CNRS - ISI / ISEM
Liste de diffusion du FRsAGhttp://www.frsag.org/
Liste de diffusion du FRsAGhttp://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour tout le monde,
Dans mon Fai associatif il ne jure que par https://goauthentik.io/ (j' exagère à penne !).
Peut-être que cet outil va t'aider dans ta réflexion.
En espérant t'avoir aidé un peu.
Cordialement.
Le lun. 15 janv. 2024 à 09:07, Jerome Lien jerome.lien@gmail.com a écrit :
Bonjour,
@claude, ce sujet devient necessaire chez nous et trés proche de tes besoins de l'époque. As tu pu avancer sur tes réflexions ?
merci, jerome
Le lun. 23 août 2021 à 17:29, Cécile Martron via FRsAG frsag@frsag.org a écrit :
La gestion des identités a toujours été pour moi une véritable corvée. J'ai toujours eu à scripter / crafter des solutions de sync pour réussir à obtenir ce que je souhaitais...
Ce qui en toute franchise, ressemblait plus à un POC tombé en prod qu'a une véritable solution résiliente.
-- Cécile Martron
Le 18/08/2021 à 11:43, pbaudry@extra-mail.fr a écrit :
Bonjour,
A ma connaissance pour l'avoir mis en oeuvre avec notre outil "maison" extra-ct tu as en plus du schéma samba à ajouter à openldap (plutot v3) des scripts perl "smbldap-tools" qui font le job.
Extract gère la création des utilisateur sur le LDAP, l'affectation à des groupes, aux partage ou au ACL (et accessoirement l'accès via le web aux fichier suivant les droits).
Beaucoup de paramétrage... Si qqun à mieux, un peu moins poussieur et qui tourne avec du Samba4 ca m'intéresse.
-- Pierre BAUDRY Synertal
Le 16/08/2021 à 09:15, Rémy Dernat a écrit :
Bonjour, Le 13/08/2021 à 01:56, DUVERGIER Claude a écrit :
- (Le plus important): le partage de fichiers via CIFS/Samba (car nécessite des attributs spécifiques dans le LDAP).
Sur ce seul point, il est possible de rajouter à OpenLDAP des schémas pour la prise en compte des attributs Samba [1]. Le problème, c'est que tu risques de devoir demander à tes utilisateurs de ressaisir leur mot de passe du domaine pour le rajout de leur sambaNTpassword.
Pour le reste, nous avons des problématiques similaires et nous allons nous orienter probablement vers samba4 (je ne parle pas ici de la problématique accès ouvert/LAN/Web, mais bien du (P)DC).
Cordialement,
[1] https://github.com/mwaeckerlin/openldap/blob/master/samba.schema
-- Rémy Dernat Chef de projet SI IR CNRS - ISI / ISEM
Liste de diffusion du FRsAGhttp://www.frsag.org/
Liste de diffusion du FRsAGhttp://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/
Hello la liste,
de notre cote nous sommes sous keycloak, import des utilisateurs et groupe depuis notre ldap (389-ds), meme principe que authentik mais beaucoup plus KISS.
Si le but est d'automatiser l'attribution des droits, 389-ds permet de le faire de facon assez facile https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/htm...
Bonne semaine
On 1/15/24 17:03, Nicolas collignon wrote:
Bonjour tout le monde,
Dans mon Fai associatif il ne jure que par https://goauthentik.io/ (j' exagère à penne !).
Peut-être que cet outil va t'aider dans ta réflexion.
En espérant t'avoir aidé un peu.
Cordialement.
Le lun. 15 janv. 2024 à 09:07, Jerome Lien jerome.lien@gmail.com a écrit :
Bonjour, @claude, ce sujet devient necessaire chez nous et trés proche de tes besoins de l'époque. As tu pu avancer sur tes réflexions ? merci, jerome Le lun. 23 août 2021 à 17:29, Cécile Martron via FRsAG <frsag@frsag.org> a écrit : La gestion des identités a toujours été pour moi une véritable corvée. J'ai toujours eu à scripter / crafter des solutions de sync pour réussir à obtenir ce que je souhaitais... Ce qui en toute franchise, ressemblait plus à un POC tombé en prod qu'a une véritable solution résiliente. -- Cécile Martron Le 18/08/2021 à 11:43, pbaudry@extra-mail.fr a écrit :
Bonjour, A ma connaissance pour l'avoir mis en oeuvre avec notre outil "maison" extra-ct tu as en plus du schéma samba à ajouter à openldap (plutot v3) des scripts perl "smbldap-tools" qui font le job. Extract gère la création des utilisateur sur le LDAP, l'affectation à des groupes, aux partage ou au ACL (et accessoirement l'accès via le web aux fichier suivant les droits). Beaucoup de paramétrage... Si qqun à mieux, un peu moins poussieur et qui tourne avec du Samba4 ca m'intéresse. -- Pierre BAUDRY Synertal Le 16/08/2021 à 09:15, Rémy Dernat a écrit :
Bonjour, Le 13/08/2021 à 01:56, DUVERGIER Claude a écrit :
* (Le plus important): le partage de fichiers via CIFS/Samba (car nécessite des attributs spécifiques dans le LDAP).
Sur ce seul point, il est possible de rajouter à OpenLDAP des schémas pour la prise en compte des attributs Samba [1]. Le problème, c'est que tu risques de devoir demander à tes utilisateurs de ressaisir leur mot de passe du domaine pour le rajout de leur sambaNTpassword. Pour le reste, nous avons des problématiques similaires et nous allons nous orienter probablement vers samba4 (je ne parle pas ici de la problématique accès ouvert/LAN/Web, mais bien du (P)DC). Cordialement, [1] https://github.com/mwaeckerlin/openldap/blob/master/samba.schema -- Rémy Dernat Chef de projet SI IR CNRS - ISI / ISEM _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du %(real_name)s http://www.frsag.org/
Liste de diffusion du %(real_name)s http://www.frsag.org/