Stage de Jason Secula - IUT Charlemagne - [1/04/19 au 21/06/19]
Important : cette page est réservée au suivi du stage, merci de ne pas la modifier
Informations générales pour les stagiaires
Pour toute information concernant ce stage : contacter Christophe ou Thomas K.
Sujet
Stage (Avril - Juin 2019)
Avril
- 1,
- Arrivée
- Installation du poste de travail
- Début du maquettage de l'installation LDAP sur des VMs avec Vagrant+Virtualbox
- Réalisation d'un annuaire LDAP avec utilisateurs et groupes
- 2,
- Etude de la réplication des serveurs LDAP
- Etude de la synchronisation des répertoires homes avec NFS+LDAP
- Mise en place de l'expiration de compte
- 3,
- Mise en place de la restriction de l'accès aux postes clients par groupe
- Mise en place d'une réplication provider-consumer (Master-Slave) du serveur LDAP
- 4,
- Mise en place d'un serveur NFS et de la diffusion des répertoires homes sur les postes avec LDAP+AUTOFS
- 5,
- Etude de l'outil de synchronisation LDAP LSC
- 8,
- arrivée, journée d'accueil salle de réunion de la Coupole
- 9,
- Suite de l'étude de l'outil LSC
- Synchronisation des utilisateurs d'un annuaire LDAP avec un autre en utilisant LSC
-
10,
-
11,
-
12,
-
15,
- 16,
- Ajout de directives dans le fichier de configuration LSC pour créer des attributs POSIX (uidNumber, gidNumber, homeDirectory, LoginShell) lors du rajout des utilisateurs
- Ajout d'une tâche LSC pour créer les groupes POSIX correspondant à chaque utilisateur en se basant sur les utilisateurs rajoutés précédemment
- Renommage des tâches pour avoir le bon ordre (par ordre alphabétique) de lancement
- Test de la synchronisation
- Etude de la possibilité de mettre à jour des informations (ex: changement de mot de passe sur un poste client) en passant par un serveur esclave comme relai (voir lien Fonctionnalités avancées de OpenLDAP).
-
17,
-
18,
-
23,
- 24,
- Ajustement de la configuration de synchronisation LSC (ajout d'une condition modifytimestamp pour la mise à jour des entrées)
- Recherche sur l'overlay PasswordPolicy pour restreindre le changement de mot de passe
- 25,
- Ajout des plugins Sudo, System, PasswordPolicy et LdapManager à FusionDirectory (ajout des schémas qui vont avec)
- Création de rôles sudo pour l'accès avec sudo sur les différents appareil
- Test du plugin FusionInventory pour FusionDirectory (fonctionne comme serveur FusionInventory)
- Configuration d'un client SSSD pour tester l'authentification basé sur les groupes, les hosts (access_provider, ldap_access_order, ldap_access_filter)
- Remplacement du schema nis par le schema rfc2307bis
- Ajout du plugin mixedgroups qui permet de mixer les groupes posix et groupofnames
- Modification de la configuration de synchronisation LSC pour créer des groupes mix (groupofnames et posixgroup) lors de la synchronisation
- Activation de l'overlay memberof et recréation des groupes
-
26,
-
29,
-
30,
Mai
- 2,
- Suite de la rédaction de la documentation sur SSSD
- Modification du script LSC suite à la constatation d'une erreur d'attribution des GIDs par la synchronisation (plusieurs GIDs identiques)
- Réflexion sur les ACLs à mettre en place sur le(s) serveur(s) LDAP
- Préparation du fichier LDIF pour ajouter la configuration TLS au serveur LDAP en attendant le certificat, la clé privée du certificat et le certificat de l'autorité de certification
-
3,
- Configuration de SSSD sur un pc portable avec droits sudo et création d'un répertoire home (PAM)
- Configuration de la création d'un répertoire home automatique dans un partage NFS monté sur /home sur le poste client avec SSSD
- Mise à jour de la documentation SSSD pour inclure la création automatique de répertoire home avec PAM
-
6,
- 7,
- Tentative de réplication de toute la configuration pour éviter le problème des schémas manquant (erreur de réplication pour les modules mais réplication des schémas réussie)
- 9,
- Réplication manuelle des schémas et des modules avant la réplication des données
- Ajout d'une directive sur le serveur consumer (esclave) pour permettre la mise à jour des données utilisateurs (ex: mot de passe)
- Test de la mise à jour de mot de passe en étant connecté directement au consumer et non au provider (changement de mot de passe réussi)
- Constatation d'un problème de connection lors d'une tentative de connection en ldaps pour la réplication du maitre vers l'esclave (cause possible: TLS non activé sur l'esclave)
- Rédaction d'une documentation sur la mise en place de la réplication maître-esclave
-
10,
-
13,
- 14,
- Même problème qu'avant concernant la synchronisation LSC
- 15,
- Résolution du problème de synchronisation LSC dû à une erreur dans le mainIdentifier dans le fichier de config
- Modification de la documentation LSC (ajout d'un exemple de configuration complet à partir de la configuration sur obas-ldap-master)
- Ajout des ACLs restrictivent sur obas-ldap-slave
- Constatation de problèmes de droits lors de l'accès aux paramètres réseaux sur un poste avec un environnement de bureau (certains groupes systèmes sont manquant pour donner l'autorisation à l'utilisateur de modifier certains paramètres)
-
16,
-
Tentative de détection de la cause du bug fusiondirectory lors de la présence des groupes mix (groupofnames+posixgroup)
-
Modification de la documentation SSSD
-
Etude du backup des données et de la configuration du serveur LDAP
- 17,
- Modification de la configuration apache du serveur GLPI pour rendre accessible GLPI directement au lieu de passer par l'url http://invobs.astro.unistra.fr/glpi (changement du DocumentRoot sur la racine de glpi) qui est tout de même accessible via cette url (suppression de l'alias et ajout d'un redirect permanent)
- Configuration de l'authentification LDAP sur l'interface GLPI
- Test de connection avec les identifiants LDAP
- 20,
- Recherche d'un moyen de création de ticket GLPI à partir de mails (collecteurs)
- Modification de la configuration apache sur le serveur rosendo pour rediriger vers zabbix lorsqu'on va sur la racine (suppression de la réécriture de la conf de grafana et changement du DocumentRoot dans la conf zabbix)
- Configuration de l'authentification LDAP sur zabbix
- Détection d'un risque d'indisponibilité de s'authentifiter sur Zabbix si le serveur LDAP est injoignable (authentification LDAP ou interne mais pas les deux). Il est possible d'avoir un utilisateur qui se connecte sans LDAP en cas de problème.
-
21,
-
22,
-
Ajout de SSSD sur le serveur invobs avec une configuration qui n'autorise que les utilisateurs du groupe obas-admins à se connecter
-
Ajout de SSSD sur le serveur rosendo avec une configuration qui n'autorise que les utilisateurs du groupe obas-admins à se connecter
-
Mise à jour de la documentation SSSD pour inclure une commande pour configurer PAM sur CentOS/RedHat
- Mise à jour de l'exemple de configuration dans la documentation SSSD pour montrer l'utilisation de filtres avec plusieurs groupes
-
23,
-
Identification de la cause de l'erreur lors de la modification d'un groupe sur FusionDirectory (problème d'incompatibilité entre les plugins sudo et mixedgroups)
-
Test de la sauvegarde à chaud et de la restauration avec les commandes slapcat et slapadd
-
Ajout d'un utilisateur cn=auth,o=annuaire,dc=obas-ldap-master qui n'a que des droits en lecture et qui sera utiliser pour les applications et services afin de retrouver chaque utilisateur (Ajout d'une règle spécifique dans les ACLs)
-
24,
-
Passage du site fusiondirectory de HTTP à HTTPS et ajout d'une redirection si on accède au site en http vers la version https en modifiant la configuration apache
-
Changement des mots de passes pour les comptes LDAP auth,admin,replicator,fd-admin (générés par keepass)
-
27,
-
28,
-
Changement de la configuration SSSD pour le poste astromas1 avec les nouveaux identifiants
-
Tentative de montage de l'ensemble des répertoires home du partage nfs avec autofs et ldap (erreur Too many levels of symbolic links lors du montage sur /home)
-
Montage du répertoire home individuelle avec autofs et ldap lors de la connection de l'utilisateur
-
Suppression du montage automatique du home dans /astromaster/home dans /etc/fstab
- Utilisation de Ansible avec un playbook pour installer et configurer SSSD sur les postes astromas 1 à 6
-
29,
-
31,
-
Installation du poste d'un nouveau stagiaire et configuration avec Ansible
- Création du compte du stagiaire sur l'annuaire avec FusionDirectory
-
Création d'un rôle Ansible "common" pour l'installation de SSSD et de l'agent fusioninventory
-
Création d'un rôle Ansible "supervision" pour l'installation et configuration de l'agent Zabbix
Juin
- 3,
- Transformation du fichier de configuration de l'agent Zabbix en template pour l'utilisation dans le rôle "supervision"
-
4,
- 5,
- Changement du niveau de log du serveur ldap pour voir le problème d'authentification du parefeu
- Recherche d'un moyen d'automatiser avec Ansible la configuration LDAP sur l'iDRAC des serveurs
-
6,
-
Installation des modules Ansible "Dell EMC OpenManage Ansible Modules" pour pouvoir configuer l'iDRAC
-
Modification des rôles ansibles (zabbix-supervision, common)
-
7,
-
11,
-
Modification du role common pour activer via des variables les installations et configurations de l'agent FusionInventory et d'autofs.
-
Ajout de commentaires pour décrire à quoi correspondent les variables définies par défaut et comment les utiliser.
-
12-21,
-
Travail sur les slides
- Maquettage HAProxy
- 24,
- Mise en place de deux serveurs HAProxy faisant le loadbalancing entre les deux serveurs LDAP slave
- Création d'un cluster avec Corosync et Pacemaker
Liens
Installation / configuration d'annuaire LDAP
Outils de gestion d'annuaire
Synchronisation / réplication LDAP
Sauvegarde et restauration LDAP
Supervision avec Zabbix
Configuration des postes clients
ACLs
Ansible
HA
Versions testables
Documentation
Liste des améliorations à envisager
Bugs connus