Configuration avancée des utilisateurs

[FakeDave]

Bonjour,

j'ai une grosse question très importante pour moi et je ne trouve pas la solution. Ce n'est peut-être pas un bon sujet pour cette section mais je ne savais pas où la poser.

J'ai un client qui a revu mon installation réseau et la config. Tout est globalement ok sauf un point:

• les mots de passe des users n'expirent pas
• il n'y a pas de vérification qu"un nouveau mot de passe n'ai pas été utilisé lors de précédents x changements
• un utilisateur n'est pas limité dans le nombre de changements quotidiens
• un utilisateur n'est pas désactivé automatiquement après x mauvaises tentatives de login.

J'imagine que c'est possible car linux doit autoriser ce genre de comportement mais comment???

Je remercie infiniment toute personne qui peut m'aider car c'est LE problème que je dois corriger rapidement.

Cordialement,

 

Nicolas

[Fenrir]

Si tu parles des comptes d'un synology, ces options n'existent pas nativement mais tu peux les implémenter.

Utilise le paquet Directory Server pour gérer tes comptes et créé une interface de changement de mot de passe qui correspond à ta politique de sécurité :

• les mots de passe des users n'expirent pas : un attribut de date d'expiration du mot de passe + un script de notification qui prévient l'utilisateur
• il n'y a pas de vérification qu"un nouveau mot de passe n'ai pas été utilisé lors de précédents x changements : il faut historiser les hash précédents mdp
• un utilisateur n'est pas limité dans le nombre de changements quotidiens : ajoute un timestamp à l'historisation précédente
• un utilisateur n'est pas désactivé automatiquement après x mauvaises tentatives de login : plus compliqué car toutes les applications ne reportent pas les erreurs de la même manière et qu'il va falloir parser les logs

[FakeDave]

Super Fenrir, merci pour ta première réponse.

Bon déjà je ne regardais pas du bon coté car j'étais parti sur RADIUS.

J'ai donc supprimé RADIUS et installé Directory Server. J'avoue que ce n'est pas simple pour moi. J'ai fait une partie de setup et je ne suis pas encore allé jusqu'à le lier avec un ordi. J'ai quelques questions auparavant:

• Actuellement j'héberge sur mon syno: mail principaux, mail secondaires (j'ai 2 comptes users pour gérer 2 adresses mails de boulot bien distinctes), agenda et contacts. --> est ce qu'avec LDAP je vais pouvoir me logguer sur un ordi (j'en utilise au moins 2) et que LDAP soit utilisé par tous les services que j'utilise?
• est-ce que tu connaitrais des tutos ou des sites intéressants pour mon setup?
• d'autre part est ce que tu connaitrais des tutos pour faire ce que tu décris, script & co?

Sinon j'avoue que je ne vais pas y arriver ...

Merci

[Fenrir]

• est ce qu'avec LDAP je vais pouvoir me logguer sur un ordi (j'en utilise au moins 2) et que LDAP soit utilisé par tous les services que j'utilise
  • =>je crois que oui, en tout cas ça fonctionne pour les fonctions natives du syno (partage réseau, accès à dsm), mais le plus simple reste de tester (tu peux avoir l'annuaire et les comptes locaux en même temps)
• est-ce que tu connaitrais des tutos ou des sites intéressants pour mon setup?
  • =>pas de tête comme ça, mais si tu cherches "samba openldap" du devrais trouver des choses
• d'autre part est ce que tu connaitrais des tutos pour faire ce que tu décris, script & co?
  • =>ta demande est spécifique, donc je ne penses pas qu'il existe des tutos y répondant exactement, mais globalement si tu sais programmer/scripter dans un langage (php, bash, java, perl, ...) tu ne devrais pas avoir de soucis de réalisation, par contre si tu ne sais pas faire, il va falloir commencer par les bases (open classroom dispose de pas mal de cours pour débuter)

Pour quelqu'un avec un peu de logique et qui sait programmer (peu importe le langage), il y en a à peine pour quelques heures

[FakeDave]

Bon, j'ai progressé mais je ne suis pas sûr que ça m'aide vraiment pour ce que je souhaite faire.

J'ai crée le serveur, tout renseigné, bind avec le client Syno, créée les users etc.

Sur mon mac, le serveur est bien vu et utilisable (à priori) mais je n'arrive pas à me logger avec ... Pas terrible. Et ensuite, juste pour avoir un accès partage réseau, ça ne me sert pas vraiment.

Il me faudrait vraiment pouvoir centraliser accès/auth à CardDAV, CalDAV, email et bien sur partage réseau. Je ne vois pas comment cela est possible sous OSX en tant que client (ensuite j'ai aussi Windows).

Je me demande si je ne suis pas en train de cherche à faire qquechose d'impossible avec LDAP ...

Si ça continue comme ça j'achète un autre serveur (linux, OS X) et je crée les règles de mon client uniquement pour ses fichiers à lui ... Un peu un gaspillage mais bon :-(

 

[marcien]

Avec le DSM 6.0 qui vise plutot les Pro, on aura peut-etre ces options dans la gestion "normale"... C'est du classique de sécurité !

Faut encore attendre l'ouverture de la Beta 1.

[Fenrir]

je ne sais pas comment tu t'y es pris, mais je viens de le faire en moins d'une minute montre en main :

1. installation du paquet
2. on l'active
3. FQDN : le nom dns complet du nas
4. Password du compte admin ldap
5. on applique
6. le syno nous demande si on souhaite configurer le client ldap => OUI
7. on créé un utilisateur toto, pass=titi
8. c'est fini pour le serveur ldap , les utilisateurs ldap peuvent déjà se connecter au DSM en web
9. création d'un dossier partagé
10. je donne le droit RW à l'utilisateur toto (il faut bien choisir le compte de l'annuaire, pas les comptes locaux)
11. sous windows, \\fqdn du nas\toto => on me demande le login -> toto et le pass -> titi
12. fin

Pour le mac, je n'en ai pas donc je ne peux pas tester, mais je suis certain à 100% que ça marche pareil

ps : j'ai plus de temps à taper ce message qu'à faire tout ce que je décris

[FakeDave]

Bon, j'avoue, je n'ai pas persisté. Ca ne résout pas mon problème en fait.

Si je change un mdp et que j'ai tous mes clients à reconfigurer ensuite, c'est la galère: email, caldav, carddav, time machine, ...

Donc comme mon besoin est de respecter des règles de mdp, expiration etc, pour les données d'un client, je vais monter un serveur Ubuntu à coté qui ne stockera que ses données avec ses règles. C'est dommage de ne pas tout avoir sur le syno mais je pense que c'est actuellement plus simple.J'ai commencé le setup et j'ai déjà qques petits succès et malheureusement qques galères aussi ...

Merci pour ton aide Fenrir mais pour l'instant je laisse tomber. Quand j'aurai satisfait mes besoins immédiats et que j'aurai un peu plus de temps, je reviendrai sur comment solutionner cela avec le syno.

A+

[Fenrir]

ok, par contre je ne vois pas pourquoi tu devrais tout reconfigurer en cas de changement de mdp puisque les comptes ldap du syno peuvent être utilisé directement par les applis du syno ...

sinon, je viens de tomber là dessus : https://www.univention.com/downloads/ucs-download

je n'ai pas testé ni creusé, mais ça à l'air pas mal (https://fr.wikipedia.org/wiki/Univention_Corporate_Server) si tu souhaites éviter de monter un samba/pdc à la main et ça semble répondre à ta demande :

source : http://www.mikelaverick.com/2013/11/active-directory-without-microsoft-an-open-source-alternative-to-bill-gates-for-your-home-lab/