Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

Attention, une faille de sécurité dans bash a récemment été rapportée, il est recommandé de mettre à jour son système (plus de détails) *** mise à jour 12/10/2014 ***

#1 Le 05/07/2007, à 18:05

dwido

Laptops, réseau d'entreprise et prise de tête

Chers amis bonjour,

Je me permet de faire appel à vos lumières car, après de maintes et infructueuses recherches sur google et autres depuis plus de 3 semaines, je sêche.

Mon soucis est le suivant:

Quel est le meilleur choix pour gerer des utilisateurs qui ont un Laptop:
Local ? NIS ? NIS+? LDAP?

L'infrastructure est la suivante: 99% LINUX (serveurs Debian 4.0, laptops (1 par personne) Ubuntu 7.04) + 1 client samba (Xbox Media Center)

Pour le XBMC, je suis obligé de mettre un samba: pas de soucis, on en parle même pas.

Pour les users: tous ont un laptop personnel sous ubuntu 7.04. Les laptops doivent pouvoir acceder aux differentes ressources des serveurs quand ils sont sur le réseau.

Je souhaite:
- sécuriser les ressources sur les serveurs: gestion des droits
- que les /home ne soient PAS monté depuis le serveur (je vais me servir de Rsync pour copier du laptop vers le serveur), je veux que les /home soient locaux.
- que les users puissent utiliser leur laptop IN et OUT of office (bureau ou bistrot)

Après analyse:
NIS + NFS:
- solution pas très sécure... mot de passe en clair sur le réseau
- je ne crois pas que les users pourraient se logguer à leur session (au bistrot par example) si le serveur NIS n'est pas atteignable (je me trompe ?)

Shares en samba... euh non!, les users SMB et les users LOCAUX (aux laptops) ne sont pas synchronisable (ou alors je me trompe)

LDAP+SAMBA ?

Que dois-je mettre en place: Gestion centralisé ou local ?

Je n'ai pas vraiment de limitation au niveau du nombre de serveurs disponible si besoin, je tourne VmWare, dans une machine de 4Gb de Ram, 2.8Gb Intel Dual Core et 6x500Gb de disques.

Merci pour votre aide
DWiDo

Dernière modification par dwido (Le 18/07/2007, à 10:18)

Hors ligne

#2 Le 06/07/2007, à 00:58

NikkoBuntu

Re : Laptops, réseau d'entreprise et prise de tête

Bonjour ...
Et tu n'as pas parlé de messagerie, carnets d'adresse centralisés DNS, etc...  hmm

Par contre, je n'ai pas capté ton histoire de connexion depuis le bistrot ? : tu as un accès externe à ton résean depuis le net ? (depuis le bistrot ...)

Si c'est cas, ton pb de sécurité est méchamment accru !!! et NIS n'est pas sécurisé pour cela.

Pour le reste, je suis preneur, moi aussi, de solution.

Cordialement


Nicolas
Le MIEUX est l'ENNEMI du BIEN ...

Hors ligne

#3 Le 06/07/2007, à 16:15

dwido

Re : Laptops, réseau d'entreprise et prise de tête

Le "Bistrot" est une métaphore pour "en dehors du réseau". Le laptop est un objet qui voyage, je voudrais donc qu'il soit utilisable partout.

Pour le reste: DNS, DHCP, proxy c'est OK, pour les autres applications on vera plus tard. pour le moment suit en IMAP chez mon provider.

Je ne pense pas encore mettre un accès depuis l'exterieur, mais par la suite une solution VPN sera étudiée.

Pour l'instant mon seul vrai problème c'est la relation authentification -- ressource -- sécurité des ressources. semblerait qu'avec des tower sous un bureau ce serait plus simple ! mais je n'ai plus que des laptops.

Hors ligne

#4 Le 09/07/2007, à 10:41

kornflex

Re : Laptops, réseau d'entreprise et prise de tête

je pencherai pour une solution LDAP+samba pour gérer les droits et les partages.
Pour sécuriser ton autentification et les ressources partagées, tu peux mettre en place un cryptage kerberos.

Pour ce qui est de s'autentifier en réseau et local, le mieux est de demander a ce que le portable cherche sur le serveur LDAP le compte en question, et s'il n'est pas raccordé au réseau, donc pas de réponse trouvée, alors il bascule sur les comptes locaux.

Donc il faudra je pense 2 logins différents avec les conséquences que cela implique : gestion des droits sur les fichiers, bureau différent etc...

Mais ensuite pour les droits sur les fichiers, tu peux toujours changer cela en augmentant les permissions par défaut de l'utilisateur pour qu'e le compte local puisse modifier les fichiers créés avec le compte réseau et inversement.

voila , si ca peut t'aider

Hors ligne

#5 Le 12/07/2007, à 12:14

dwido

Re : Laptops, réseau d'entreprise et prise de tête

ça marche presque...

Intégration de clients Ubuntu dans un réseau avec LDAP
[url]http://www.gesnel.fr/ubuntu/2007/05/30/integration-de-clients-ubuntu-dans-un-reseau-avec-ldap/[/url]
(surtout la partie Annexe : réglages pour un ordinateur portable)

Ce tuto est a faire APRES avoir installer un server LDAP. En le suivant à la lettre, j'ai réussi à:
- logguer un utilisateur (toto) défini dans le LDAP, le /home/toto s'est créé tout seul comme prévu.
- logguer ce même utilisateur alors que le laptop n'est pas sur le réseau

Le test a été fait avec la connection à la console, ssh depuis un autre poste et depuis GDM.

@kornflex: ton point de vu n'est pas faux, je vais me servir de SAMBA pour une question de souplesse des gestions des droits d'accès qui est tout de même mieux que ce que propose NFS (certains me diront: regarde EXT3 avec les droits étendu). Il est à noter qu'a ce stade, je n'ai toujours pas de server SAMBA (prochaine étape)

@NikkoBuntu: Si tu as déjà un server LDAP installé, jette toi sur ce tuto et suis-le A LA LETTRE.

En ce qui me concerne, je n'ai pas fait les parties suivantes qui sont optionnels et n'influence en rien le bon foncionnement du mécanisme:

- Étape 4 : configurer le montage des partages samba (je n'ai pas encore mis SAMBA)
- Étape 6 : réglages par défaut d’un nouvel utilisateur LDAP (utile mais pas nécéssaire)
- Étape 7 : écriture dans un fichier journal (mouais... mais non. ne suis pas encore assez parano)

J'insiste sur le fait que la partie "Annexe : réglages pour un ordinateur portable" est plus que très importante !!!

Malheureusement, cela ne fonctionne pas quand le laptop est hors du réseau sad

Dernière modification par dwido (Le 18/07/2007, à 10:19)

Hors ligne

#6 Le 18/07/2007, à 10:20

dwido

Re : Laptops, réseau d'entreprise et prise de tête

N'y a t'il personne qui ai monté un réseaux avec des laptop en linux et authentification LDAP ?

Hors ligne

#7 Le 19/07/2007, à 12:10

DL

Re : Laptops, réseau d'entreprise et prise de tête

Salut,
voici ce que je tenterais :

1) Tu crées les comptes sur ton serveur LDAP et tu repères bien les uid, gid de tes utilisateurs.
2) Tu crées sur chaque portable des comptes locaux identiques (le plus important est l'uid et le gid, le système ne reconnaît un utilisateur qu'à partir de ces entrées).
3) Tu vérifies les droits sur les répertoires dans /home/
4) tu paramètres le système pour qu'il cherche d'abord l'authentification sur le serveur LDAP, puis sur dans le fichier /etc/passwd

5) tu nous dis comment ça a marché :-))

Bye

PS : pour la synchronisation des fichiers sur le serveur, tu peux aussi essayer unison (interface graphique ou appel dans un script). C'est très efficace.

Hors ligne

#8 Le 30/07/2007, à 15:33

dwido

Re : Laptops, réseau d'entreprise et prise de tête

@DL: Si on a un serveur LDAP c'est justement pour ne pas avoir a créer des comptes locaux.

Ta solution reviens à admettre que le problème est principalement dans la gestion de la sécurité.

J'ai aparement trouvé; le probleme de la doc est dans la config du fichier GDM dans /etc/pam.d. Je fais un correctif et le posterais en ligne.

Pour le moment ma solution fonctionne mais j'ai un doute sur les groupes exportés dans LDAP et les ID associés; soucis que je vais bientôt régler.

Hors ligne

#9 Le 31/07/2007, à 08:16

jean-charles 62

Re : Laptops, réseau d'entreprise et prise de tête

Interessé par ta modif, car est message d'erreur qd je me logue hors du réseau. Pourtant j'ai synchronisé les comptes comme indiqué dans plusieurs how-to.

Haut de page ↑