FRsAG July 2022

frsag@frsag.org

51 participants
32 discussions

Réflexion sur référentiel identité unique dans environnement Linux, Windows et web
by DUVERGIER Claude 22 Jan '24

22 Jan '24

Bon(soi|jou)r la liste, Je pose ici mes réflexions sur un problème qui, j'espère, parlera à certains (qui l'auront résolu), pourra en aider d'autres (qui l'ont/l'auront un jour). TL;DR : Quels sont les services à utiliser pour pouvoir authentifier des utilisateurs lors d'accès à des dossiers partagés CIFS, des serveurs SSH Linux et des applications Web avec un référentiel unique/centralisé. CONTEXTE : J'ai actuellement l'infrastructure suivante : * Annuaire LDAP sous OpenLDAP : c'est le référentiel unique, il contient utilisateurs/machines (PosixAccount) et groupes (PosixGroup). * Application (web) maison pour alimenter l'annuaire en fonction des embauches/départs (pas de base de données SQL ou autre, tout est dans le LDAP). * Serveur OpenID pour certaines applications web : utilise le LDAP comme source. * Les utilisateurs ont des comptes locaux sur leur stations de travail Windows/Linux (aucune interaction avec le LDAP). Ainsi, les utilisateurs peuvent s'identifier sur : * des application Web qui gèrent nativement LDAP (eg. Moodle, GitLab, GLPI, etc.). * des applications Web sous Apache/Nginx (via mod_authnz_ldap ou nginx-ldap-auth). * des applications Web qui gèrent OpenID. * des serveurs Linux en SSH via nslcd, libnss-ldapd et libpam-ldapd. (Et avoir un carnet d'adresse des collègues dans leur client de messagerie) Chaque application est responsable de qui elle accepte (utilisateur et/ou groupe) et de ce qu'elle lui autorise de faire (l'annuaire LDAP ne contient pas de permissions). PROBLÈMES/LIMITES : Cela fonctionne (bien) depuis des années, mais ne réponds pas aux besoins suivants (arrivés plus tard) : * (Le plus important): le partage de fichiers via CIFS/Samba (car nécessite des attributs spécifiques dans le LDAP). * stocker *facilement* des données complexes dans OpenLDAP (eg. variantes d'avatars/photo, jours de présence sur x semaines) Bonus facultatif : gestion "domaine" des comptes utilisateurs des stations de travail pour qu'ils utilisent les même identifiants lors de l'ouverture de leur session, que je puisse les gérer de manière centralisée, et qu'ils soient même pré-authentifiés sur les serveurs de fichiers. ÉBAUCHE DE SOLUTION : Je pense donc qu'il est temps de tout reprendre à zéro et c'est là que je découvre (car je suis néophyte sur ces questions) : * FreeIPA qui créer un "AD-like" pour machines Linux. * Samba v4 qui intègre désormais son annuaire LDAP et se comporte comme un Active Directory. * D'autres dont j'avais déjà entendu parler sans jamais les utiliser : Kerberos et RADIUS/DIAMETER. J'envisage donc l'architecture suivante : * Application maison pour stocker (dans une base SQL quelconque) les utilisateurs/groupes (+ des infos spécifiques complexes) ET qui alimente l'annuaire avec seulement les infos pertinentes/standardisées (le schéma LDAP sera plus simple et une API REST pourra exposer les autres infos aux applications si besoin). * Serveur d'annuaire LDAP (OpenLDAP, 389DS, le 389DS de FreeIPA, le LDAP de Samba4 ?). * Serveur(s) de fichiers (TrueNAS, OpenMediaVault, etc.) : qui se connectent à l'annuaire LDAP (ou autre forme de confiance/délégation). Si je prends le bonus "domaine" : que me faudrait-il ? Samba4 seul suffirait pour les stations de travail Windows ET Ubuntu ou bien il faudrait Samba4+FreeIPA pour tout couvrir ? L'idée d'avoir un AD Samba4 qui tourne sur Internet ne me plait guère. Et comme les serveurs de fichiers seront de toutes façons dans le LAN, je pense plutôt installer Samba4 en LAN et mettre en place, juste pour les applications web, une copie (synchro à sens unique) vers un OpenLDAP ouvert sur Internet (sans les attributs samba/domaine). Je suis ouvert à : * toute correction si j'ai dit une énormité sans nom * et surtout à toute suggestion d'outil que je n'aurais pas trouvé qui m'aide dans ma quête. Merci

7 6

[TECH] Sonde température interrogeable en SNMP
by Fabien Sirjean 04 Oct '22

04 Oct '22

Salut la liste, Quel est votre modèle préféré de sonde de température IP interrogeable en SNMP ? Dans mon cahier des charges du monde idéal, il y aurait par exemple : * open hardware * SNMPv3 * pas lié à un provider cloud bling bling quelconque * si ça fait l'hygrométrie aussi c'est bien * 0U, alimenté en USB ou mieux en POE * pour ~ 40-50 balles (je rêve ?) Merci pour vos retours d'expérience :-) Belle fin de journée, Fabien

11 13

Qui pour remplacer Nagios en 2022 ?
by Mickael MONSIEUR 22 Sep '22

22 Sep '22

Bonjour, Suite à une mise à jour des systèmes, on a décidé de remplacer par la même occasion notre Nagios par quelque chose d'un peu plus "user-friendly". (et pourtant c'est un demi barbu qui parle..) Vous me demanderez ce qu'on a contre Nagios? En 15 ans, ça n'a pas vraiment évolué, et on aimerait bien quelque chose avec un minimum de GUI pour l'encodage, voir une API. Et mettre 2k/an dans la version XI pour un soft qui n'évolue presque pas... bof. Notre besoin est plutôt simple, on a déjà Observium qui fait 90% de nos besoins au sein de notre réseau, mais Observium ne permet pas "facilement" de monitorer "juste" des ports TCP, du SMTP/POP/IMAP, des réponses DNS, des réponses HTML dans une page HTTPS, l'expiration d'un certificat TLS. Au début on pensait à Zabbix, mais quand on voit que ça passe d'office par un agent, on en voit pas l'utilité. Observium fait déjà tout ça en SNMP, et certaines machines ne sont pas gérées par nous on doit juste les monitorer de l'extérieur, donc installation impossible. Les seules conditions qu'on a c'est : open source, sans agent, et pas dans un langage RAM killer comme Java. Mickael

27 39

Re: [FRsAG] recherche solution relay smtp on premise
by elpablodelcasata＠netcourrier.com 18 Sep '22

18 Sep '22

Vadesecure > c'est super cher super efficace (trop ?) Promox, j'ai vu et je me pose la question sur les performances antispam, est ce vraiment efficace ? des retex ? PineApp > une idée de la tarification ? Tobi De : Maxime DERCHE <maxime(a)mouet-mouet.net> À : frsag(a)frsag.org Sujet : Re: [FRsAG] recherche solution relay smtp on premise Date : 11/01/2022 14:37:17 Europe/Paris Bonjour, Le 11/01/2022 à 11:28, elpablodelcasata(a)netcourrier.com a écrit : > > Bonjour, > > Je suis à la recherche d'une solution de relay SMTP antispam / antivirus performant. > Avec du support et un antispam performant. > Pas besoin de portail utilisateur pour débloquer les emails. > Facilité d'exploitation pour les sysadmin. > C'est pour héberger sur mon infra (vmware), on a environ 2000 boites. > > Il faut que se soit fiable. > Je n'ai pas envie de dépenser une fortune donc pas de solution qui fait payer au mail > protégé si possible. <https://www.vadesecure.com/> ? Société basée à Hem, banlieue Lilloise. Apparemment (<https://fr.wikipedia.org/wiki/Vade_Secure>) il y aurait de l'activité aux USA donc exposition au Patriot Act, à vérifier. J'y ai brièvement bossé il y a quinze ans, mais j'ai pas du tout suivi depuis donc je n'ai pas d'avis sur le produit et je ne connais pas leur politique tarifaire, mais j'en entends régulièrement du bien localement. Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/> _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/

8 13

Apéro Lyonnais : lundi 01 août 2022
by cam.lafit 01 Aug '22

01 Aug '22

Bonjour tout le monde Pour changer j'anticipe d'un mois :) N'ayant pu notifier tout le monde en temps et en heure pour ce soir, il n'y a donc pas d'apéro ou en tout cas ce sera sans moi. Une fois n'est pas coutume j'anticipe du week end. N'oubliez pas ce lundi 01 août dès 19h soir c'est apéro lyonnais. Je vous attends donc le 01/08 pour un apéro lyonnais et ses environs au : Malting-Pot 263 Grande Rue de la Guillotiere, 69007 soit le lundi 06 juin 2022 dès 19h. Et toujours vaguement des infos sur : http://www.agendadulibre.org/tags/araas https://www.meetup.com/fr-FR/Auvergne-Rhone-Alpes-Apero-Admin-Sys/ Km

1 1

[JOBS] Prestation pour la configuration de PowerChute
by DOYENNETTE, Raphael 27 Jul '22

27 Jul '22

Bonsoir, Je suis administrateur système et réseau, je suis à la recherche d’une prestation sur la configuration de PowerChute. Dans mon cas, je travaille sur la partie network shutdown, l’outil est installé mais j’aimerai trouver un expert qui serait capable d’optimiser les events en lien avec nos onduleurs. Ainsi que les différents modules car c’est un sujet critique. La prestation serait évidemment rémunéré. Je suis basé à Paris. Merci beaucoup.

1 0

Re: FRsAG Digest, Vol 536, Issue 1
by luc le rumeur 26 Jul '22

26 Jul '22

Hello, Perso on est très satisfait de prtg. Je peux pas dire pour le prix par contre. Luc On Tue, Jul 26, 2022, 19:14 <frsag-request(a)frsag.org> wrote: > Envoyez vos postes pour la liste de diffusion FRsAG à > frsag(a)frsag.org > > Pour vous inscrire ou désinscrire par courriel, envoyez un message > avec 'help' dans l’objet ou le corps à > frsag-request(a)frsag.org > > Vous pouvez contacter la personne gérant la liste en écrivant à > frsag-owner(a)frsag.org > > Quand vous répondez, veuillez éditer l’objet pour qu’il soit plus > précis que "Re: Contenu du résumé de FRsAG ..." > > Today's Topics: > > 1. Re: Qui pour remplacer Nagios en 2022 ? (Mickael MONSIEUR) > 2. Re: Qui pour remplacer Nagios en 2022 ? (David Ponzone) > 3. Re: Qui pour remplacer Nagios en 2022 ? (Kevin Decherf) > 4. Re: Qui pour remplacer Nagios en 2022 ? (Mickael MONSIEUR) > 5. Re: Qui pour remplacer Nagios en 2022 ? (Sébastien CAPS) > > > ---------------------------------------------------------------------- > > Message: 1 > Date: Tue, 26 Jul 2022 18:01:51 +0200 > From: Mickael MONSIEUR <mickael.monsieur(a)gmail.com> > Subject: [FRsAG] Re: Qui pour remplacer Nagios en 2022 ? > To: Kevin Decherf <kevin(a)kdecherf.com> > Cc: frsag <frsag(a)frsag.org> > Message-ID: > < > CAK2CCpfj8STEtvWzijZzK_xVsa64UkY5Dg_Kyxw92srvDrePXg(a)mail.gmail.com> > Content-Type: text/plain; charset="UTF-8" > > Le mar. 26 juil. 2022 à 17:56, Kevin Decherf <kevin(a)kdecherf.com> a écrit > : > > > > On Tue, Jul 26, 2022, at 17:32, Mickael MONSIEUR wrote: > > > Au début on pensait à Zabbix, mais quand on voit que ça passe d'office > > > par un agent, on en voit pas l'utilité. Observium fait déjà tout ça en > > > SNMP, et certaines machines ne sont pas gérées par nous on doit juste > > > les monitorer de l'extérieur, donc installation impossible. > > > > Sauf si ma mémoire me fait défaut, il me semblait que Zabbix supportait > aussi les sondes SNMP sans passer par l'agent ? > > Peut être bien.. mais ici je dois juste monitorer des services de > manière passive sans agent ni snmp. Même si le snmp on l'a sur 50% des > machines à monitorer, l'autre 50% on y a pas accès. > > Sauf si Zabbix peut monitorer des ports/services/certificats/etc sans > agent ni SNMP, on dirait que oui... > https://www.zabbix.com/fr/agentless_monitoring > > While a Zabbix agent offers great features on most platforms, in > some cases it is not possible to install it. For these cases, some > agentless monitoring methods are provided by the Zabbix server. > > Quelqu'un a déjà essayé ? > > > > > -- > > Kevin Decherf - @Kdecherf > > GPG 0x108ABD75A81E6E2F > > https://kdecherf.com > > _______________________________________________ > > Liste de diffusion du %(real_name)s > > http://www.frsag.org/ > > ------------------------------ > > Message: 2 > Date: Tue, 26 Jul 2022 18:02:06 +0200 > From: David Ponzone <david.ponzone(a)gmail.com> > Subject: [FRsAG] Re: Qui pour remplacer Nagios en 2022 ? > To: Mickael MONSIEUR <mickael.monsieur(a)gmail.com> > Cc: frsag <frsag(a)frsag.org> > Message-ID: <159F2F06-ADD8-4815-9727-F921A70F8CEA(a)gmail.com> > Content-Type: multipart/alternative; > boundary="Apple-Mail=_0CE51777-159C-4FB2-A7EA-16872D249FF7" > > https://checkmk.com/product/raw-edition < > https://checkmk.com/product/raw-edition> ? > > J’avais commencé à jouer avec, mais pas eu beaucoup de temps pour > approfondir (c’est sur la todo 2023: CheckMK peut-il virer LibreNMS ?). > Mais ça semble plutôt pas mal. > > > Le 26 juil. 2022 à 17:32, Mickael MONSIEUR <mickael.monsieur(a)gmail.com> > a écrit : > > > > Bonjour, > > > > Suite à une mise à jour des systèmes, on a décidé de remplacer par la > > même occasion notre Nagios par quelque chose d'un peu plus > > "user-friendly". (et pourtant c'est un demi barbu qui parle..) > > > > Vous me demanderez ce qu'on a contre Nagios? En 15 ans, ça n'a pas > > vraiment évolué, et on aimerait bien quelque chose avec un minimum de > > GUI pour l'encodage, voir une API. Et mettre 2k/an dans la version XI > > pour un soft qui n'évolue presque pas... bof. > > > > Notre besoin est plutôt simple, on a déjà Observium qui fait 90% de > > nos besoins au sein de notre réseau, mais Observium ne permet pas > > "facilement" de monitorer "juste" des ports TCP, du SMTP/POP/IMAP, des > > réponses DNS, des réponses HTML dans une page HTTPS, l'expiration d'un > > certificat TLS. > > > > Au début on pensait à Zabbix, mais quand on voit que ça passe d'office > > par un agent, on en voit pas l'utilité. Observium fait déjà tout ça en > > SNMP, et certaines machines ne sont pas gérées par nous on doit juste > > les monitorer de l'extérieur, donc installation impossible. > > > > Les seules conditions qu'on a c'est : open source, sans agent, et pas > > dans un langage RAM killer comme Java. > > > > Mickael > > _______________________________________________ > > Liste de diffusion du %(real_name)s > > http://www.frsag.org/ > >

2 1

Fwd: [MISC] Liste des adresses du bot...
by Lucas R. 19 Jul '22

19 Jul '22

Pour ceux qui ne sont pas présent sur la liste FRnOG, voici la liste des adresses du bot -------- Message transféré -------- Sujet : [FRnOG] [MISC] Liste des adresses du bot... Date : Tue, 19 Jul 2022 09:43:18 +0200 De : Stéphane Rivière <stef(a)genesix.org> Organisation : La Maison Pour : Liste FRnoG <frnog(a)frnog.org> À toutes fins utiles, et à compléter :) grogus(a)openmailbox.org fredericdelagoublaye (et tous dérivés) ovh(a)openaliasbox.org joliejulie(a)protonmail.com (pas d'erreur, c'est sa copine). thomasovh(a)zohomail.eu thomasovh(a)free.fr thomasovh(a)proton.me -- Stéphane Rivière Ile d'Oléron - France

2 1

Subject
by Thomas 18 Jul '22

18 Jul '22

Body

3 3

Recherche de stage rémunéré
by Thomas 18 Jul '22

18 Jul '22

Bonjour, Après de longues années chez Google, Apple, Facebook, Amazon et Microsoft, je cherche un nouveau stage. Celui-ci doit être rémunéré pour que je puisse continuer à vivre. De l'administration système au développement, du poste basique à celui de manager d'une équipe de plus de 150 personnes, je pense pouvoir intéresser la plupart des personnes inscrites ici. Avec 18 ans d'expérience dans ces différents domaines, ma prétention salariale est de $210k/an hors variable et divers bonus. Je suis dispo 2 à 3h par jour. Cordialement,Thomas

2 2

2024

2023

2022

2021

2020

2019

2018

2017

2016

2015

2014

2013

2012

2011

2010

FRsAG July 2022