Bonjour !
J’ai un server samba4 qui gère l’authentification ssh pour mes serveurs. Pour passer à l’étape suivante, j’aimerai pourvoir publier ma clé publique par samba4 pour pouvoir désactiver la connexion par mot de passe et pouvoir mettre à jour ma clé publique de temps en temps.
Merci !
Combien de serveurs ? Quelle architecture réseau ?
Combien d’utilisateurs ? répertoires HOMEs partagés ?
Votre serveur samba4 fait-il fonction de contrôleur de domaine NT4 ou Active Directory ?
En tout état de cause je ne vois pas comment il pourrait gérer une authentification ssh qui se basent sur des concepts simples d’Unix qui sont très éloignés de la problématique abordée par l’usine à gaz que peut devenir samba.
Pourriez-vous préciser les besoins : nombre d’utilisateurs, OS des postes clients, etc … ?
F. Petitjean
Ingénieur civil du Génie Maritime.
Computers are like air conditioners. Both stop working, if you open windows.
– Adam Heath
Bonjour, merci pour la réponse !
Pour l’instant un seul car je teste justement ce que je peux utiliser avant de l’étendre à tout les serveurs (~30-40, debian9)
L’authentification/connection au dc passe en interne ou par des réseau sûr (vpn)
Le serveur samba est DC active directory
Les comptes admin qui pourront se connecter par ssh n’auront pas de home partagés
On parle de 3-4 comptes.
Merci!
Je suppose qu’il faut comprendre 3 à 4 comptes pour administrer. Pour bien comprendre votre besoin j’avais demandé
Parce que s’il n’y a pas de postes Windows dans le réseau, je ne vois pas l’intérêt de s’orienter vers une solution avec
Active Directory (de MS) est une technologie d’entreprise intégrant
Les postes clients sous Windows doivent être dans la version Pro pour pouvoir être entrés dans le domaine (login réseau géré par Kerberos)
Autrement dit, dans un domaine Active Directory les utilisateurs et les ordinateurs ont un compte dans le domaine, c-a-d une entrée dans l’annuaire (avec des noms d’attributs incompréhensible comme SamAccountName ).
Dans le schéma de l’annuaire il n’y a quasiment rien qui concerne Unix/Linux si ce n’est un vague support des tables NIS. J’ai bien peur qu’il n’y a rien concernant ssh.
Par défaut, pour un système Linux on n’a pas une version serveur d’entreprise, une version serveur départemental, une version poste de travail, une version poste client non intégré à un domaine AD, … Chaque système est a priori indépendant, chacun est maître chez soi.
Si je comprends bien votre problème, il s’agit d’aider une poignée d’utilisateurs administrateurs à gérer leurs clés ssh et vous avez vu authentification dans la description de samba.
Avant de vous enferrer dans une usine à gaz du type un DC Active Directory + sssd-ad sssd-krb5 sur N serveurs, à votre place j’investiguerais une solution légère consistant à partager un compte d’administration commun sur les serveurs.
sudo
/home/admin et importer avec autofs/automount sur les autres serveursuid.ssh serveur_x
sudo systemctl restart zzzz.service
Au fur et à mesure le fichier ~admin/.ssh/known_hosts va contenir toutes les clés des serveurs.
Si vous optez pour l’option avec NIS, ne pas oublier de documenter une méthode de connexion de secours au cas où un problème le montage empêcherait la connexion à ce compte commun d’administration.
Cordialement,
Regards,
Mit freundlichen Grüßen,
مع تحياتي الخالصة
F. Petitjean
Ingénieur civil du Génie Maritime.
« Moi, lorsque je n’ai rien à dire, je veux qu’on le sache. » (R. Devos)
C’est ça en fait j’ai déjà active directory pour une centaines de poste windows et je me disais qu’il y avait peut-être un moyen de gérer les clé ssh avec, vu que de toute façon pas moyen d’échapper à active directory autant tout centraliser.
Je suis assez d’accord pour le coté usine à gaz qu’est AD
Donc je vais me diriger vers la synchro des homes admin, merci pour vos conseils !