[Toulibre] Stratégie d'authentification serveur Linux environnement Active Directory

Jérôme jerome at jolimont.fr
Ven 19 Juin 11:06:55 CEST 2015


Bonjour.

J'essaye de mettre en place dans ma boîte (environnement MicroSoft) un
serveur Linux pour pouvoir faire plus facilement certaines choses : 

- mise à disposition de services de travail collaboratif (Redmine/trac,
ownCloud, git, ça reste à définir)
- peut-être utilisation du serveur pour des calculs intensifs lancés
depuis les postes individuels
- scripts de sauvegarde de données distantes accessibles en SSH, FTP,...

Tout ça pas forcément dans la même VM. C'est surtout le premier point
qui me pose problème. Pour le deuxième, on verra. Et pour le troisième
je ferai à la main.

Je suis en train de mettre ça en place, et je me demande quelle
stratégie choisir pour l'authentification.

Ce serait moche de devoir dupliquer les comptes des utilisateurs, donc
je voudrais m'appuyer sur l'Active Directory (AD). S'agissant des
services de travail collaboratif, on peut aussi avoir des utilisateurs
externes (partenaires, clients).

Je vois pour chaque service plusieurs possibilités d'authentification
(liste non exhaustive) :

- utilisateurs systèmes
- LDAP
- BDD interne au service

Pour les utilisateurs internes, d'après mes lectures des tutos
winbind/samba/ldap/kerberos, il y a différentes façons de faire. Je
pensais initialement créer un LDAP local qui serait synchronisé sur
celui du serveur AD. Ce LDAP serait utilisé par les applications. Mais
si je comprends bien les tutos winbind/samba, ma machine peut carrément
être intégrée au domaine et donc avoir les utilisateurs du domaine
Windows comme utilisateurs "système", avec capacité de se connecter sur
la machine, etc.

Les utilisateurs externes pourraient être authentifiés dans la BDD
propre à chaque service, en étant créés à la main au fil des besoins.
Peut-être que c'est mieux de créer un LDAP des utilisateurs externes, de
sorte que lorsqu'un chef de projet ajout un utilisateur à Redmine,
celui-ci a un compte ownCloud avec le même mot de passe, par exemple (et
inversement ?). Si c'est trop compliqué à configurer, ça vaut pas le
coup.

Il y a tout plein de tutoriels mais certains datent. Et j'aime pas trop
m'écarter des sentiers battus, pour ne pas faire de connerie, déjà, mais
aussi pour des raisons de maintenance (surtout si je suis pas ou plus
là). On a pas le département SI d'une grosse boîte.

J'ai peur que la solution dépende de la capacité de chaque service à
mixer utilisateurs système et virtuels, authentification LDAP et BDD
interne, etc. Et je n'ai arrêté aucune liste des services, j'ai quelques
idées mais ce n'est que le début.

Auriez-vous des conseils à me donner ?

Merci.

-- 
Jérôme




Plus d'informations sur la liste de diffusion Toulouse-ll