FRsAG September 2021

frsag@frsag.org

53 participants
18 discussions

Réflexion sur référentiel identité unique dans environnement Linux, Windows et web
by DUVERGIER Claude 22 Jan '24

22 Jan '24

Bon(soi|jou)r la liste, Je pose ici mes réflexions sur un problème qui, j'espère, parlera à certains (qui l'auront résolu), pourra en aider d'autres (qui l'ont/l'auront un jour). TL;DR : Quels sont les services à utiliser pour pouvoir authentifier des utilisateurs lors d'accès à des dossiers partagés CIFS, des serveurs SSH Linux et des applications Web avec un référentiel unique/centralisé. CONTEXTE : J'ai actuellement l'infrastructure suivante : * Annuaire LDAP sous OpenLDAP : c'est le référentiel unique, il contient utilisateurs/machines (PosixAccount) et groupes (PosixGroup). * Application (web) maison pour alimenter l'annuaire en fonction des embauches/départs (pas de base de données SQL ou autre, tout est dans le LDAP). * Serveur OpenID pour certaines applications web : utilise le LDAP comme source. * Les utilisateurs ont des comptes locaux sur leur stations de travail Windows/Linux (aucune interaction avec le LDAP). Ainsi, les utilisateurs peuvent s'identifier sur : * des application Web qui gèrent nativement LDAP (eg. Moodle, GitLab, GLPI, etc.). * des applications Web sous Apache/Nginx (via mod_authnz_ldap ou nginx-ldap-auth). * des applications Web qui gèrent OpenID. * des serveurs Linux en SSH via nslcd, libnss-ldapd et libpam-ldapd. (Et avoir un carnet d'adresse des collègues dans leur client de messagerie) Chaque application est responsable de qui elle accepte (utilisateur et/ou groupe) et de ce qu'elle lui autorise de faire (l'annuaire LDAP ne contient pas de permissions). PROBLÈMES/LIMITES : Cela fonctionne (bien) depuis des années, mais ne réponds pas aux besoins suivants (arrivés plus tard) : * (Le plus important): le partage de fichiers via CIFS/Samba (car nécessite des attributs spécifiques dans le LDAP). * stocker *facilement* des données complexes dans OpenLDAP (eg. variantes d'avatars/photo, jours de présence sur x semaines) Bonus facultatif : gestion "domaine" des comptes utilisateurs des stations de travail pour qu'ils utilisent les même identifiants lors de l'ouverture de leur session, que je puisse les gérer de manière centralisée, et qu'ils soient même pré-authentifiés sur les serveurs de fichiers. ÉBAUCHE DE SOLUTION : Je pense donc qu'il est temps de tout reprendre à zéro et c'est là que je découvre (car je suis néophyte sur ces questions) : * FreeIPA qui créer un "AD-like" pour machines Linux. * Samba v4 qui intègre désormais son annuaire LDAP et se comporte comme un Active Directory. * D'autres dont j'avais déjà entendu parler sans jamais les utiliser : Kerberos et RADIUS/DIAMETER. J'envisage donc l'architecture suivante : * Application maison pour stocker (dans une base SQL quelconque) les utilisateurs/groupes (+ des infos spécifiques complexes) ET qui alimente l'annuaire avec seulement les infos pertinentes/standardisées (le schéma LDAP sera plus simple et une API REST pourra exposer les autres infos aux applications si besoin). * Serveur d'annuaire LDAP (OpenLDAP, 389DS, le 389DS de FreeIPA, le LDAP de Samba4 ?). * Serveur(s) de fichiers (TrueNAS, OpenMediaVault, etc.) : qui se connectent à l'annuaire LDAP (ou autre forme de confiance/délégation). Si je prends le bonus "domaine" : que me faudrait-il ? Samba4 seul suffirait pour les stations de travail Windows ET Ubuntu ou bien il faudrait Samba4+FreeIPA pour tout couvrir ? L'idée d'avoir un AD Samba4 qui tourne sur Internet ne me plait guère. Et comme les serveurs de fichiers seront de toutes façons dans le LAN, je pense plutôt installer Samba4 en LAN et mettre en place, juste pour les applications web, une copie (synchro à sens unique) vers un OpenLDAP ouvert sur Internet (sans les attributs samba/domaine). Je suis ouvert à : * toute correction si j'ai dit une énormité sans nom * et surtout à toute suggestion d'outil que je n'aurais pas trouvé qui m'aide dans ma quête. Merci

7 6

Propriété d'un certificat SSL
by Vincent Habchi 29 Sep '21

29 Sep '21

B’jour à tous, Petite question d’ordre ± juridique, je ne sais pas si vous aurez la réponse. Ma boîte avait délégué l’hébergement d’un site à un tiers. Mon patron a décidé de rompre ce contrat et de rapatrier la gestion du site en interne. J’ai récupéré l’arbo et les bases, mais l’hébergeur refuse de me donner le certificat SSL qu’il utilise, au motif qu’il serait « sa propriété ». En fait, l’hébergeur utilise Namecheap, et donc je pense qu’il entend « rendre » le certificat pour pouvoir le régénérer et l’utiliser pour un autre serveur. Sans certificat SSL, il va nécessairement y avoir un hiatus dans le service, le temps que le changement DNS se propage jusqu’aux serveurs de Let’s encrypt, et que je puisse générer un nouveau jeu de clefs. Ce ne sont que quelques heures max., mais mon patron tique. Ma question est : peut-on être propriétaire du certificat d’un domaine qui n’est pas le sien ? Merci, Vincent

10 12

Re: [FRsAG] Désactiver chmod +x sur un répertoire
by Élodie BOSSIER 29 Sep '21

29 Sep '21

Vraiment pas bête et assez puissant, je test ça :) Le 29/09/2021 à 15:22, Samuel Thibault a écrit : > Peut-être utiliser un volume monté séparément, avec l'option de > montage noexec ?

5 7

Re: [FRsAG] Désactiver chmod +x sur un répertoire
by David Ponzone 29 Sep '21

29 Sep '21

Donc 1 par user ? Naïvement, je me suis dit que si Elodie pose la question, c’est parce qu’elle doit gérer plusieurs centaines/milliers de users, donc peut-être compliqué d’avoir un mount par user sans automount. En plus si le / du user doit être noexec, et si /bin doit autoriser exec, il faut donc monter un /bin avec exec dans chaque / (je sais pas si c’est possible). > Le 29 sept. 2021 à 15:38, Samuel Thibault <samuel.thibault(a)ens-lyon.org> a écrit : > > D'où justement l'idée d'utiliser un volume monté séparément. > > Samuel > > David Ponzone, le mer. 29 sept. 2021 15:37:26 +0200, a ecrit: >> Je veux pas faire le relou mais ça va être valable pour toute la partition, donc y compris les /bin de chaque user. >> >>> Le 29 sept. 2021 à 15:29, Élodie BOSSIER via FRsAG <frsag(a)frsag.org> a écrit : >>> >>> Vraiment pas bête et assez puissant, je test ça :) >>> >>> Le 29/09/2021 à 15:22, Samuel Thibault a écrit : >>>> Peut-être utiliser un volume monté séparément, avec l'option de >>>> montage noexec ? >>> _______________________________________________ >>> Liste de diffusion du FRsAG >>> http://www.frsag.org/

1 0

Désactiver chmod +x sur un répertoire
by Élodie BOSSIER 29 Sep '21

29 Sep '21

Bonjour, Je cherche à ce qu’un utilisateur Linux (sous Debian) ne puisse pas rendre exécutable (+x via chmod) un fichier qu’il aurai envoyé dans un de ses répertoires (en l’occurrence ici /www/ où il ne devrai y avoir que des pages Web), dans son home (chrooté). Mon utilisateur peut exécuter certaines commandes (présentes dans son propre /bin/ chrooté en read only que je lui fourni) mais je ne veux pas qu’il puisse ajouter des binaires dans un autre répertoire où il peut écrire. Je pourrai très bien ne pas rendre disponible la commande bash chmod (ce qui est actuellement le cas) mais ce n’est pas véritablement une solution car la fonction chmod() de PHP se suffit à elle même et j’aimerai ne pas avoir à la désactiver à son tour. Ça serai dommage d’avoir un PHP chrooté pour autoriser les commandes PHP exec(), system() etc... et d’avoir à désactiver chmod() ce qui peut perturber certain CMS. Auriez-vous une autre idée s’il vous plaît ? PS : J’utilise Debian 11 sur le système de fichier ext4 ainsi que NFSv4.2 avec les ACL activées. Merci d'avance, Élodie BOSSIER

2 1

ApéroRéseau ce mercredi prochain à Nantes
by Antoine Nivard 27 Sep '21

27 Sep '21

Bonjour à tous, L'association Ouest Network (GIX à Nantes) vous propose d'échanger avec les équipes techniques bénévoles ce mercredi : mercredi 29 septembre à partir de 19h00 à Bières d'Ailleurs (24, rue des Piliers de La Chauvinière - 44800 Saint-Herblain) Bon début de semaine, -- Cordialement, Antoine Nivard Président & Business Developper de https://Ouest.Network - Vous rapprocher ! https://www.linkedin.com/company/ouestnetwork/ Tél: 06 52 57 79 69 - antoine.nivard(a)ouest.network -- Cordialement, Antoine Nivard

1 0

Avis d'admin sys sur supermicro
by Aurélien 27 Sep '21

27 Sep '21

Bonjour à tous/toutes. Dans le cadre de nouveau projet, on est en train de chercher à diversifier nos fournisseurs de serveurs (historiquement, on a du Dell, du Dell et encore du Dell). On a commencé les quotes chez quelques uns (Cisco, HP, Lenovo pour ne citer qu'eux), mais on a été vachement étonnés des prix pratiqués par supermicro, sur lesquels on arrive à sortir des config 20 à 40% moins cher qu'avec Dell (et globalement, que tous). Ma question est la suivante : sachant que si c'est pas cher, c'est qu'il y a un problème, quel est-il chez Supermicro? Avez-vous un retex en terme de fiabilité sur leur produit? Sur leur service support? Le remplacement de pièces (d'ailleurs, envoie t-il un tech, où c'est à nous de gérer?) Merci d'avance pour vos retour, et bonne journée. -- Aurélien DUCLOS 06 31 94 17 95

13 17

VMWARE / Debian 10 / Problème interruptions sur cartes réseau
by Fabien H 15 Sep '21

15 Sep '21

Bonjour, je vais essayer de vous expliquer le problème que nous rencontrons en essayant d’être concis : Nous avons utilisé pendant des années sur 2 VM un applicatif open source très connu qui fonctionne massivement en multi-threadé, en quasi temps réel, et en gateway UDP avec mal un trafic UDP qui va en augmentant selon la charge (les plus perspicaces devineront !) : - ESXI : 6.5.0 update 3 - OS invité : Debian 8 - Interfaces réseau : E1000 - 8 vCPU / 16 Go RAM Cela a fonctionné très bien même en cas de montée en charge assez importante. Le load average depasse rarement 0,8 et très stable dans le temps. Pourtant nous étions bien conscients que les conditions n’étaient pas optimales sur la type de carte E1000 utilisées. Récemment, nous avons déployé 2 nouvelles VM avec le même applicatif mais en version plus récente et sur un OS plus récent : - ESXI 6.5.0 update 3 - OS invité : Debian 10 - Interface réseau : VMXNET3 (driver integré au noyau 4.19.0-16) - 8 vCPU / 16 Go RAM - VMWARE Tools installé Nous avons constaté assez rapidement des problèmes de montée en charge, avec une charge moderée, le load average est quasi à 0,00. Lors d’une montée en charge en journée, le load est plutôt en moyenne sur 2 ou 3, et lors de certains pics de charge part à 4 ou 6, puis retombe à 2-3. Lorsque la charge retombe. Je constate que le load average s’envole surtout quand le si est non nul sur les 2 CPU qui gèrent les interruptions des 2 cartes réseau IN et OUT : %Cpu2 : 1.5 us, 1.1 sy, 0.0 ni, 96.6 id, 0.0 wa, 0.0 hi, 0.8 si, 0.0 st %Cpu3 : 1.1 us, 1.1 sy, 0.0 ni, 97.4 id, 0.0 wa, 0.0 hi, 0.4 si, 0.0 st 16: 0 0 529091347 0 0 0 0 0 0 0 0 0 0 0 0 0 IO-APIC 16-fasteoi ens34, vmwgfx 17: 0 0 0 453037316 0 0 0 0 0 0 0 0 0 0 0 0 IO-APIC 17-fasteoi ens35 J’en déduit que la charge augmente à cause d’un problème d’interruptions. Pourtant la charge de trafic UDP n’est pas énorme, surtout par rapport à l’ancienne installation sur Debian 8 + E1000. Nous avons essayé le CPU Pinning => Pas vraiment d’amélioration. Nous avons essayé de revenir à E1000 => Amélioration en charge basse mais pas d'amélioration en charge elevée Mes questions : - Avez-vous déjà rencontré ce genre de comportements sur le réseau et les interruption sur Vmware + Linux Debian ? - Comment être sur que le load average vient bien des interruptions ? Faut-il mesurer un nombre d’interruptions / seconde pour confirmer ? - Avez-vous des idées pour faire un bench de VM vierge sur du trafic UDP ? iperf par exemple entre 2 VM ? -Avez-vous des idées sur la possible résolution du problème indiqué ? (j’ai pensé testé en noyau 5.X mais sans conviction) Merci pour votre aide, Fabien

9 23

KVM IP simple
by Wallace 14 Sep '21

14 Sep '21

Bonjour, Pour des besoins de dépannages de serveurs on utilise un petit boitier KVM IP simple qui marche très bien depuis plus de 10 ans : https://www.lantronix.com/products/lantronix-spider/ En gros on arrive on branche sur le réseau sur les ports du serveur et on peut prendre la main dessus. On préfère cela au clavier écran sur un chariot au datacenter. Néanmoins la gestion de la souris dedans et du mapping clavier pose problème et ce boitier n'est plus vraiment supporté. On chercher un équivalent avec les fonctionnalités suivantes - vga minimum, hdmi en option - idéalement auto alimenté par les ports usb, pas besoin de tirer un câble d'alimentation - sans dépendance sur java - sans dépendre de logiciel tiers sur le poste de travail ou en passant par un serveur. En gros ce que l'on a déjà mais à jour des dernières technologies. Merci par avance pour vos suggestions

5 8

Prise électrique pilotable
by elpablodelcasata＠netcourrier.com 14 Sep '21

14 Sep '21

Bonjour, Je cherche une prise électrique pilotable, le but est de redémarrer l'équipement connecté dessus (RAD opérateur) à distance sans rebooter toute la baie info. Soit l'équipement est rackable soit il s'agit d'une prise unique connectée en RJ45. Merci de vos conseils. Tobi

8 12

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG September 2021