[Toulibre] Stratégie d'authentification serveur Linux environnement Active Directory

Ven 19 Juin 12:30:47 CEST 2015

On Fri, 19 Jun 2015 11:06:55 +0200
Jérôme <jerome at jolimont.fr> wrote:

> Bonjour.
> 
> J'essaye de mettre en place dans ma boîte (environnement MicroSoft) un
> serveur Linux pour pouvoir faire plus facilement certaines choses : 
> 
> - mise à disposition de services de travail collaboratif (Redmine/trac,
> ownCloud, git, ça reste à définir)
> - peut-être utilisation du serveur pour des calculs intensifs lancés
> depuis les postes individuels
> - scripts de sauvegarde de données distantes accessibles en SSH, FTP,...
> 
> Tout ça pas forcément dans la même VM. C'est surtout le premier point
> qui me pose problème. Pour le deuxième, on verra. Et pour le troisième
> je ferai à la main.
> 
> Je suis en train de mettre ça en place, et je me demande quelle
> stratégie choisir pour l'authentification.
> 
> Ce serait moche de devoir dupliquer les comptes des utilisateurs, donc
> je voudrais m'appuyer sur l'Active Directory (AD). S'agissant des
> services de travail collaboratif, on peut aussi avoir des utilisateurs
> externes (partenaires, clients).
> 
> Je vois pour chaque service plusieurs possibilités d'authentification
> (liste non exhaustive) :
> 
> - utilisateurs systèmes
> - LDAP
> - BDD interne au service
> 
> Pour les utilisateurs internes, d'après mes lectures des tutos
> winbind/samba/ldap/kerberos, il y a différentes façons de faire. Je
> pensais initialement créer un LDAP local qui serait synchronisé sur
> celui du serveur AD. Ce LDAP serait utilisé par les applications. Mais
> si je comprends bien les tutos winbind/samba, ma machine peut carrément
> être intégrée au domaine et donc avoir les utilisateurs du domaine
> Windows comme utilisateurs "système", avec capacité de se connecter sur
> la machine, etc.
> 
> Les utilisateurs externes pourraient être authentifiés dans la BDD
> propre à chaque service, en étant créés à la main au fil des besoins.
> Peut-être que c'est mieux de créer un LDAP des utilisateurs externes, de
> sorte que lorsqu'un chef de projet ajout un utilisateur à Redmine,
> celui-ci a un compte ownCloud avec le même mot de passe, par exemple (et
> inversement ?). Si c'est trop compliqué à configurer, ça vaut pas le
> coup.
> 
> Il y a tout plein de tutoriels mais certains datent. Et j'aime pas trop
> m'écarter des sentiers battus, pour ne pas faire de connerie, déjà, mais
> aussi pour des raisons de maintenance (surtout si je suis pas ou plus
> là). On a pas le département SI d'une grosse boîte.
> 
> J'ai peur que la solution dépende de la capacité de chaque service à
> mixer utilisateurs système et virtuels, authentification LDAP et BDD
> interne, etc. Et je n'ai arrêté aucune liste des services, j'ai quelques
> idées mais ce n'est que le début.
> 
> Auriez-vous des conseils à me donner ?

Bonjour,

J'ai entendu dire du bien de SSO:
https://fr.wikipedia.org/wiki/Authentification_unique

À part cela je n'ai pas d'expérience personnelle sur ces cas de figure.