3840Close
redangelOn the 2019-07-16 at 09:49am
Moi qui pensait que Kerberos était une techno microsoft... pardon.

getent passwd renvoie exactement la même chose que cat /etc/passwd. La seule chose qui ressemble à de l'ad là-dedans, c'est sssd: "sssd:x:112:117sorrySSD system user,,,:/var/lib/sss:/usr/sbin/nologin"

J'ai résolu mon problème hier en suivant une autre procédure (hyper vieille:
Ubuntu 14.04 Active Directory AuthenticationLeave No Bit UnturnedIn a post a couple of years ago I gave an example on how to configure an Ubuntu 12.04 server to authenticate to Active Directory. Things used to be hard back then. Now we have the realmd realm enro…
):
realm discover corpo.local

realm join corpo.local --user=adm.BLBLBL

realm list

realm deny --all

realm permit administratruc

realm permit -g 'GRP_TRUCTRUC'

realm list
Je n'ai toujours pas compris grand chose... mais les utilisateurs AD du groupe permis peuvent s'authentifier en SSH.
flanker (./38):
Y a pas moyen de faire de l'authentification LDAP plutôt ? Avec une authentification par bind, tant qu'à faire.
Du coup ça veut dire activer la fonctionnalité ldap côté AD ? Je pensais (bêtement) que ça serait moins sécurité et plus obsolète comme manière de faire.
flanker (./38):
Au passage, vu que tu en parles, on m'a plutôt fortement déconseillé les rebonds, qui ne sont pas des machines d'admin fiables.
Ah ?! Ca m'intéresse et me surprend beaucoup. Je suis pas expert en sécu, mais à HPE on jurait beaucoup par ça, avec une (ou plusieurs dépendamment du nombre d'utilisateurs) vm point d'entrée, tout désactivé par défaut, et avec uniquement les flux en destination concernant tel ou tel projet. Si tu as de la littérature là-dessus, ça m'intéresse, car on pensait faire ça partout (quand on aura le temps...) dans ma nouvelle boîte.
flanker (./38):
En pratique, ça sert surtout à faire des points de faiblesse dans le réseau : tu corromps un rebond, et tu récupères les credentials de tout le monde pour toutes les machines.
Je comprends pas trop ton point : si la VM est chiffrée, comment tu récupères les credentials de tout le monde ? Qui doivent être hashés par ailleurs (selon les technos bien sûr). Par ailleurs, ça me paraît plus facile de sécuriser un point sur le réseau (firewall tout activé, aucune fonctionnalité, un antivirus virulent, toutes les limitations possibles... le truc calvaire sur un laptop) que les machines de chacun.
flanker (./38):
La bonne machine fiable, c'est le poste d'admin qui ne sert qu'à ça
Tu parles d'une machine physique ? Comment tu gères multi-utilisateurs ? Simultané ? Si ces personnes sont pas au même étage ?