Intégration au domaine et installation du client EOLE sur les postes GNU/Linux

Sommaire
  1. Intégration par le client EOLE
  2. Acceptation et gestion des clés

À partir d'EOLE 2.8.0, il est possible d'utiliser le client EOLE pour intégrer des clients GNU/Linux au domaine.

Intégration par le client EOLE

Dans ce scénario, il faut installer le client (Salt Minion) sur tous les postes :

  • depuis le poste client connecté avec un utilisateur ayant accès au mode superutilisateur (sudo[1])

  • ouvrir un navigateur internet

  • télécharger l'installeur du client installMinion.sh via HTTP[2] en naviguant vers l'adresse suivante : http://salt/joineole

  • exécuter le script d'installation dans un terminal à l'aide de la commande suivante :

    sudo bash installMinion.sh

AttentionRésolution DNS

Par défaut, une entrée DNS est automatiquement ajoutée dans Active Directory afin que le nom salt soit résolu avec l'adresse IP sur laquelle répond le serveur SaltMaster de gestion des stations.

Pour le bon fonctionnement du client, il faut impérativement que la station puisse effectuer cette résolution de nom.

AttentionProxy

L'accès à http://salt doit s'effectuer sans proxy.

Si un pare-feu est présent entre le serveur et les clients, il faut s'assurer que celui-ci est configuré correctement.

Dans le cas d'un serveur Amon, il est possible de déclarer des exceptions en utilisant les variables : proxy_bypass_domain_ethX.

Attention

Le script d'installation télécharge des fichiers sur Internet.

Si il est nécessaire pour sortir, le proxy doit impérativement être configuré dans l'environnement d'exécution du script.

Une fois le client EOLE installé, il faut que sa clé soit acceptée sur le serveur.

Dès que sa clé est acceptée, il s'occupe de joindre automatiquement la station au domaine Active Directory lors du premier re-démarrage du poste client.

Remarque

En mode AD, il n'est plus nécessaire d'activer explicitement l'interpréteur de commande (shell[3]) pour les utilisateurs.

Sur le client, l'attribut en question est redéfini par l'intermédiaire du fichier /etc/sssd/sssd.conf.

Acceptation et gestion des clés

Une fois le client EOLE installé, il faut que sa clé soit acceptée sur le serveur afin qu'il soit pleinement fonctionnel.

Gestion des clés dans l'EAD3

Il est possible d'accepter et de gérer les clés des clients EOLE au travers de l'interface d'administration EAD3.

L'action Gestion des clés clients est disponible dans la catégorie Clients.

Écran
  • 1
    ACCEPTER

    Accepte la clé du client, et l'ajoute dans le domaine.

  • 2
    RENOMMER

    Renomme l'entrée du client.

  • 3
    REJETER

    Refuse la demande du client et le liste en client interdit par défaut.

  • 4
    SUPPRIMER

    Supprimer le client du serveur, partie Salt, ou partie Salt et AD.

L'action présente les clients sous la forme d'un tableau.

  • les clés non acceptées peuvent être acceptées, rejetées ou supprimées ;
  • les clés acceptées peuvent être supprimées ou renommées
Attention

Pour l'instant, l'action Renommer modifie uniquement le nom de la clé du client mais pas celui du poste.

Écran
  • 1
    option OUI

    La clé est supprimée de Salt et dans l'annuaire AD

  • 2
    option NON

    La clé est supprimée de Salt uniquement

À partir d'EOLE 2.8.1, la suppression des clés propose deux choix :

  • OUI entraîne la suppression complète du client, c'est-à-dire partie Salt et partie AD, ce qui inclut la disparition du client de son compte machine de AD.
  • NON effectue la suppression du client uniquementdans Salt, le compte machine est toujours dans le domaine.

Gestion des clés en ligne de commande

Dans une console sur le serveur exécuter la commande :

# salt-run state.event pretty=True

Attendre l'arrivée d'un message salt/auth :

1
salt/auth    {
2
    "_stamp": "2019-01-31T10:06:32.609135",
3
    "act": "pend",
4
    "id": "PC-213950.etb1.ac-test.fr",
5
    "pub": "-----BEGIN PUBLIC KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAyu6dKgb7MAhVmvoOZxMY\niVLxoOK+RtyPm56RLqeXwie3cekt76kfXNc2f2bS0LC9ut4i92TY6/+YMADz+BIP\nzaVXnKdfywJb/dHI+Q0riJRfz6P7ElANX1oqNSUKK2KQi2UIH16hjUSWbnsTVVHr\nc4+yLDsOX1x0Qyt+SfmEB/gl1nJcLk3Y+2CcGy6C+hBvo1h35BFvdNLAQkSMXHPO\njx9WLvORTj6ZHyxUapHQw+RhIrPj+Q9/M7HZgFtNIMQH22er9SO5iBUfwE2lXBgh\nCCXY3AnBz2hSrb7Qyaqz0evJsBr6eqh2SEnH7vneSOmRbJU26MqRHAbeHzQVWjln\nvQIDAQAB\n-----END PUBLIC KEY-----",
6
    "result": true
7
}

Accepter la clef du minion en exécutant la commande suivante :

# salt-key -A

Il est également possible d'accepter les clés avec l'utilisateur eole ou eole2 plutôt que root.

Pour ce faire, vous devez ouvrir une session (ssh ou console) avec l'utilisateur eole ou eole2 en choisissant l’option Shell Linux dans le menu semi-graphique (avant-dernière option de la liste). Cela vous permet d’obtenir une invite de commande du type :

eole@scribe :~$

Vous pouvez alors lancer les mêmes commandes qu’avec l’utilisateur root en utilisant l’outil sudo.

Pour attendre l’arrivée des clés :

eole@scribe:~$ sudo salt-run state.event pretty=True

Pour accepter toutes les clés :

eole@scribe:~$ sudo salt-key -A