Dimebag Darrell Posté(e) le 20 janvier 2020 Partager Posté(e) le 20 janvier 2020 Et par sécurité, je suppose qu'il est bon d'avoir le 2FA activé... 🙂 comme ça on a la maitrise de tout merci pour l'info Je vais essayer ça 🙂 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Spi Posté(e) le 20 janvier 2020 Partager Posté(e) le 20 janvier 2020 il y a 7 minutes, Dimebag Darrell a dit : Et par sécurité, je suppose qu'il est bon d'avoir le 2FA activé... 🙂 comme ça on a la maitrise de tout merci pour l'info Je vais essayer ça 🙂 Effectivement c'est mieux avec le 2FA, c'est quand même le truc qui héberge tous tes autres accès donc autant prendre le maximum de sécurité. 🙂 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 20 janvier 2020 Partager Posté(e) le 20 janvier 2020 (modifié) Dernières questions : Au cas ou le serveur n'est pas accessible, je suppose que le vault est synchronisé avec les clients (par ex : l'application sur iOS )? D'un point de vue pratique (installation) : peut-on générer le certificat après l'installation, via let's encrypt de synology ? Citation Do you have a SSL certificate to use? (y/n): y ? Modifié le 20 janvier 2020 par Dimebag Darrell 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Spi Posté(e) le 20 janvier 2020 Partager Posté(e) le 20 janvier 2020 Je ne l'ai pas encore installé mais je suppose que lorsque tu renouvelles ton certificat sur le Synology et que ton reverse proxy est configuré, il n'y a rien à modifier côté Bitwarden. Si le serveur n'est pas accessible, les données déjà synchronisées sur le client lourd ou l'application smartphone sont toujours là. Par contre l'extension de navigateur je ne pense pas. 🙂 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Posté(e) le 20 janvier 2020 Partager Posté(e) le 20 janvier 2020 Il y a 2 heures, Dimebag Darrell a dit : Dernières questions : Au cas ou le serveur n'est pas accessible, je suppose que le vault est synchronisé avec les clients (par ex : l'application sur iOS )? D'un point de vue pratique (installation) : peut-on générer le certificat après l'installation, via let's encrypt de synology ? Quand tu ouvre l'application iOS, ... ou sur pc ( extension navigateur ) , la syncro se fait automatiquement entre l'appli et ton NAS de manière transparente. Si le NAS n'est pas joignable pour X raison, l'application fonctionnera normalement pour toi, mais il n'y aura pas de synchro jusqu’à la remise en ligne du NAS. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Balooforever Posté(e) le 20 janvier 2020 Auteur Partager Posté(e) le 20 janvier 2020 Il y a 23 heures, Spi a dit : Hello, Après une petite upgrade de RAM de mon 415+ j'ai voulu me lancer dans ce tuto. Une fois arrivé à la validation des id, je reçois l'erreur suivante: "Unable to validate installation id. Problem contacting Bitwarden server." Les ports sont ouverts en sortie, par contre la configuration "bridge" de docker ne me semble pas correcte. Elle utilise un subnet en 172.17.0.0/16 qui n'existe pas, de plus le NAS est en 172.18.0.0/16. Il existe par contre un réseau en 172.17.1.0/24 qui n'est pas utilisé. En cherchant un peu sur Google, j'ai lu qu'il fallait installer Open vSwitch mais je ne vois pas le rapport. De plus, j'ai un message d'avertissement concernant mon aggrégation de lien et je ne sais pas ce qu'il faut choisir... Quelqu'un aurait il une idée? Merci ! Bonjour, Par hasard, côté pare-feu du syno tu autorises bien l'ip en 172.* ? J'ai déjà eu le blocage 🙂 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Spi Posté(e) le 20 janvier 2020 Partager Posté(e) le 20 janvier 2020 Il y a 1 heure, Balooforever a dit : Bonjour, Par hasard, côté pare-feu du syno tu autorises bien l'ip en 172.* ? J'ai déjà eu le blocage 🙂 Hello Balooforever, Le Syno accepte pas mal de chose depuis 172.16.1.0/24 mais je ne sais pas de quel protocole on parle? 🙂 Il faudrait savoir ce que le script essaie de contacter, j'imagine une ressource sur le 80 ou 443 chez eux? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 20 janvier 2020 Partager Posté(e) le 20 janvier 2020 Le 07/02/2018 à 20:20, Balooforever a dit : !) Do you want to use Let's Encrypt to generate a free SSL certificate? (y/n): n (!) Enter your installation id (get at https://bitwarden.com/host): xxxxxxxxxxxxxx (!) Enter your installation key: xxxxxxxxxxxxx (!) Do you have a SSL certificate to use? (y/n): y !!!!!!!!!! NOTE !!!!!!!!!! Make sure 'certificate.crt' and 'private.key' are provided in the appropriate directory before running 'start' (see docs for info). (!) Is this a trusted SSL certificate (requires ca.crt, see docs)? (y/n): y Installation complete If you need to make additional configuration changes, you can modify the settings in `./bwdata/config.yml` and then run: `./bitwarden.sh rebuild` or `./bitwarden.sh update` Next steps, run: `./bitwarden.sh start` and then `./bitwarden.sh updatedb` Rendez-vous dans FileStation mais ne fermez pas votre fenêtre SSH. Nous allons renommer et copier les fichiers du certificat SSL dans le bon dossier : Renommer le fichier "privkey.pem" avec comme nom "private.key" puis le copier dans /volumeX/docker/bitwarden/bwdata/ssl/votredomaine/ ce qui donnera comme résultat : /volumeX/docker/bitwarden/bwdata/ssl/votredomaine/private.key Renommer le fichier "cert.pem" avec comme nom "certificate.crt" puis le copier dans /volumeX/docker/bitwarden/bwdata/ssl/votredomaine/ ce qui donnera comme résultat : /volumeX/docker/bitwarden/bwdata/ssl/votredomaine/certificate.crt Renommer le fichier "chain.pem" avec comme nom "ca.crt" puis le copier dans /volumeX/docker/bitwarden/bwdata/ssl/votredomaine/ ce qui donnera comme résultat : /volumeX/docker/bitwarden/bwdata/ssl/votredomaine/ca.crt Mes certificats ne sont pas créé et je compte les créer avec let's encrypt (nativement dans synology) comment dois-je faire ? Le but étant d'assurer le renouvellement des certificats via let's encrypt (sur le syno) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Spi Posté(e) le 20 janvier 2020 Partager Posté(e) le 20 janvier 2020 (modifié) @.Shad. @Balooforever Bonsoir, Est-ce que vous auriez des pistes pour moi? Parce-que là je sèche. 🙂 Voici un screenshot des différentes commandes, je ne vois pas d'erreur dans la marche à suivre. - Testé depuis le début -> Fail - Testé avec les commandes renseignées sur le site de Bitwarden - Testé avec un nouvel id -> Fail - Testé avec un nouvel id + firewall du Syno off -> fail - Testé avec le reverse proxy comme le tuto xpenology propose (j'aurais fait pareil aussi): Source: Protocol: "HTTPS", Hostname: "bitwarden.mydomain.com", Port: "443", HSTS and HTTP/2 "Unchecked" Destination: Protocol: "HTTP", Hostname: "localhost", Port: "8123" Associate Reverse Proxy with Certificate Go to "Control Panel" -> "Security" -> "Certificate" -> "Configure" Services: "bitwarden.domain.com" Certificate: "bitwarden.mydomain.com" -> "OK" -> Il utilise le certificat du Syno dans lequel le SAN est bien renseigné. Certains parlent d'un problème dans la version Docker 18.09.0-0505 sur Syno, qui ferait que Docker Compose n'interprète pas correctement les arguments du scripts. Pour info, je suis en 18.09.0-0506, d'après le package center c'est résolu: "Fix an issue regarding the environement variable of Docker Compose". J'ai potassé les infos depuis ces liens: https://community.bitwarden.com/t/solved-installation-id-validation-fails-from-behind-proxy/2480/3 https://xpenology.com/forum/topic/12455-bitwarden-self-hosted-password-manager-on-docker/ https://github.com/bitwarden/server/issues/172 https://community.synology.com/enu/forum/1/post/12814 Modifié le 20 janvier 2020 par Spi Ajout d'infos 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Spi Posté(e) le 20 janvier 2020 Partager Posté(e) le 20 janvier 2020 Hello @Dimebag Darrell Il y a 6 heures, Dimebag Darrell a dit : Mes certificats ne sont pas créé et je compte les créer avec let's encrypt (nativement dans synology) comment dois-je faire ? Le but étant d'assurer le renouvellement des certificats via let's encrypt (sur le syno) Je vais supposer que tu as déjà un certificat Let's Encrypt fonctionnel, avec le sous domaine pour ton instance Bitwarden. A partir de ça tu peux aller dans Control Panel -> Security -> Certificate -> Add -> Export Certificate. Tu vas récupérer l'archive avec les trois fichiers dont ils parlent dans le tuto. PS: Tu as suivi le tuto comme moi et tout s'est bien passé? Tu peux me préciser ta version de Docker et me copier les commandes que tu as utilisés stp? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 Il y a 8 heures, Spi a dit : Certains parlent d'un problème dans la version Docker 18.09.0-0505 sur Syno, qui ferait que Docker Compose n'interprète pas correctement les arguments du scripts. Pour info, je suis en 18.09.0-0506, d'après le package center c'est résolu: "Fix an issue regarding the environement variable of Docker Compose Je te confirme que cela est corrigé sous 18.09.0-0506. As tu bien demandé ton id ici ? https://bitwarden.com/host/ Sinon je pense qu'il ne te reste que a contacter bitwarden ... https://bitwarden.com/contact/ 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 Bonjour à tout le monde l'installation s'est super bien passé, néanmoins je bloque sur la verification email Impossible d'envoyer le mail de vérification sur gmail... peut-être une idée comment régler le souci ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 (modifié) @Spi : Je ne vois pas pourquoi tu obtiens cette erreur, à part éventuellement un problème chez Bitwarden. Il y a par contre moyen de contourner ça, tu peux installer Bitwarden sur une autre machine Linux sur ton réseau, si tu as ça. Ensuite, il te suffit de copier/coller le dossier bwdata et le script sur ton NAS. Puis, tu lances le script avec l'argument restart En réalité le script d'installation sert juste à compléter les fichiers de configuration : bwdata/config.yml bwdata/env/global.override.env Du coup peu importe la machine qui exécute le script. Si tu as toujours la même erreur alors effectivement il serait préférable de contacter Bitwarden directement. il y a 43 minutes, Dimebag Darrell a dit : Bonjour à tout le monde l'installation s'est super bien passé, néanmoins je bloque sur la verification email Impossible d'envoyer le mail de vérification sur gmail... peut-être une idée comment régler le souci ? Le compte de l'expéditeur est-il un compte lié à ton nom de domaine ou est-ce un compte tiers (Gmail, Hotmail, etc...) ? Depuis quelques versions il m'est impossible d'utiliser mon mail OVH, il m'a fallu utiliser un compte Gmail pour l'envoi. L'envoi de mail est nécessaire pour 2 choses : La confirmation de l'adresse mail L'accès à la partie Admin Peut-être aussi la récupération de compte en cas de problème avec l'authentification deux facteurs, ne l'ayant pas activé je ne peux pas l'assurer. Il existe une autre solution, mais qui n'est pas des plus sécurisées, qui consiste à ajouter la ligne suivante dans le fichier bwdata/env/global.override.env : globalSettings__mail__smtp__trustServer=true Ça bypass toutes les vérifications, à utiliser à bon escient donc... Modifié le 21 janvier 2020 par .Shad. 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 (modifié) Dans mon cas, c'est un compte gmail, par contre quand je vais vérifier dans ./bitwarden.sh /update, il m'écrase le fichier global.override.env (il ne garde pas "globalSettings__mail__smtp__trustServer=true") Citation globalSettings__mail__replyToEmail=monmail@gmail.com globalSettings__mail__smtp__host=smtp.gmail.com globalSettings__mail__smtp__port=587 globalSettings__mail__smtp__ssl=false globalSettings__mail__smtp__trustServer=true globalSettings__mail__smtp__username=monmail@gmail.com globalSettings__mail__smtp__password=password globalSettings__disableUserRegistration=false voila ma config ! par contre, lors de la création du user, j'ai eu aussi ce message d'erreur "An unexpected error has occurred" et mon compte google a réagi à une tentative de connection d'un service "inconnu" Modifié le 21 janvier 2020 par Dimebag Darrell 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 Ce n'est pas normal. D'ailleurs, tu as bien renseigné tous les paramètres SMTP nécessaires dans ce fichier ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 il y a 5 minutes, Dimebag Darrell a dit : Dans mon cas, c'est un compte gmail, par contre quand je lance la commande ./bitwarden.sh /update, il m'écrase le fichier global.override.env (il ne garde pas "globalSettings__mail__smtp__trustServer=true") voila ma config ! par contre, lors de la création du user, j'ai eu aussi ce message d'erreur "An unexpected error has occurred" et mon compte google a réagi à une tentative de connection d'un service "inconnu" il y a 1 minute, .Shad. a dit : Ce n'est pas normal. D'ailleurs, tu as bien renseigné tous les paramètres SMTP nécessaires dans ce fichier ? dans bwdata/env/global.override.env ? oui comme tu peux le voir ensuite, simple question quelle commande lances tu afin qu'il exécute les modifications appliquées ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 (modifié) Il y a 3 heures, Dimebag Darrell a dit : par contre, lors de la création du user, j'ai eu aussi ce message d'erreur "An unexpected error has occurred" et mon compte google a réagi à une tentative de connection d'un service "inconnu" Tu as bien autorisé l'accès aux applications moins sécurisées dans ton compte Google ? Comme dit plus haut, j'utilise rebuild pour recharger les modifications apportées au(x) fichier(s) de configuration. En utilisant Gmail, tu ne devrais pas avoir besoin d'utiliser la variable trustServer Modifié le 21 janvier 2020 par .Shad. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 il y a 58 minutes, .Shad. a dit : Tu as bien autorisé l'accès aux applications moins sécurisées dans ton compte Google ? en terme de risque ? aucun autre moyen d'éviter ce changement ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 (modifié) Personnellement j'ai créé un compte Gmail qui est dédié à l'administration du NAS quand je ne peux pas utiliser mon adresse mail OVH. Donc les applications qui y accèdent se comptent sur le bout des doigts, et j'ai relativement confiance dans chacune d'elle. Mais si tu passes par Gmail je ne pense pas que tu as aies le choix. Modifié le 21 janvier 2020 par .Shad. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Spi Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 Hello @.Shad. et merci pour ta réponse. Il y a 1 heure, .Shad. a dit : tu peux installer Bitwarden sur une autre machine Linux sur ton réseau, si tu as ça. Ensuite, il te suffit de copier/coller le dossier bwdata et le script sur ton NAS. Puis, tu lances le script avec l'argument restart En réalité le script d'installation sert juste à compléter les fichiers de configuration : bwdata/config.yml bwdata/env/global.override.env Du coup peu importe la machine qui exécute le script. Si tu as toujours la même erreur alors effectivement il serait préférable de contacter Bitwarden directement. Je vais créer une machine virtuelle en Debian pour tester l'installation et si ça coince encore, je les contacterais directement. Il y a 1 heure, .Shad. a dit : Le compte de l'expéditeur est-il un compte lié à ton nom de domaine ou est-ce un compte tiers (Gmail, Hotmail, etc...) ? Depuis quelques versions il m'est impossible d'utiliser mon mail OVH, il m'a fallu utiliser un compte Gmail pour l'envoi. L'envoi de mail est nécessaire pour 2 choses : La confirmation de l'adresse mail L'accès à la partie Admin Ca n'a peut-être rien à voir, mais quand je fais mon request ID, je lui indique une adresse qui correspond à moi@mondomaine.com (OVH). Peut-être qu'essayer avec la postmaster ou une Gmail fonctionnerais? Cette même adresse mail est d'ailleurs utilisée pour mon compte Bitwarden hébergé chez eux, il y aurait peut-être un conflit du coup? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 (modifié) il y a une heure, .Shad. a dit : Personnellement j'ai créé un compte Gmail qui est dédié à l'administration du NAS quand je ne peux pas utiliser mon adresse mail OVH. Donc les applications qui y accèdent se comptent sur le bout des doigts, et j'ai relativement confiance dans chacune d'elle. Mais si tu passes par Gmail je ne pense que tu as aies le choix. Voila, j'ai créé une adresse gmail spécifique (by the way, c'est une excellente idée lol) et ça fonctionne parfaitement, pour l'administration de mes systèmes c'est mieux Modifié le 21 janvier 2020 par Dimebag Darrell 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 Par contre, dans le lien qu'il envoie, il indique le port du Synology, sachant que j'ai mis un reverse proxy dessus, l'adresse communiquée n'est pas correcte ! Une idée pour corriger ce souci ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 Il y a 3 heures, Dimebag Darrell a dit : ensuite, simple question quelle commande lances tu afin qu'il exécute les modifications appliquées ? Je reviens sur cette question et corrige, c'est rebuild que j'utilise et non pas restart, update fonctionne également. il y a 10 minutes, Dimebag Darrell a dit : Par contre, dans le lien qu'il envoie, il indique le port du Synology, sachant que j'ai mis un reverse proxy dessus, l'adresse communiquée n'est pas correcte ! Une idée pour corriger ce souci ? Regarde ce que tu as dans ton fichier bwadata/config.yml, tu as une ligne qui reprend le nom de domaine complet : # Full URL for accessing the installation from a browser. (Required) Je ne suis pas sûr à 100%, mais je pense qu'il s'agit du nom de domaine que Bitwarden utilise pour les liens générés. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 Hello, Pour info avec un compte google, si la vérif en 2 étapes est active, il faut créer un mot de passe d'application pour Bitwarden. Voici l'aide :https://support.google.com/mail/answer/185833?hl=fr Cela ce passe ici, dans Mot de passe d'application https://myaccount.google.com/security 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dimebag Darrell Posté(e) le 21 janvier 2020 Partager Posté(e) le 21 janvier 2020 il y a 13 minutes, .Shad. a dit : Je reviens sur cette question et corrige, c'est rebuild que j'utilise et non pas restart, update fonctionne également. Regarde ce que tu as dans ton fichier bwadata/config.yml, tu as une ligne qui reprend le nom de domaine complet : # Full URL for accessing the installation from a browser. (Required) Je ne suis pas sûr à 100%, mais je pense qu'il s'agit du nom de domaine que Bitwarden utilise pour les liens générés. Concernant le port, je pense peut-être avoir trouvé, vu que j'oblige la redirection vers https dans DSM, il prend le numéro de port en local, sans tenir compte du reverse proxy J'ai remarqué dans nginx, en éditant le default.conf (port http par défaut du DSM : 5000). A creuser 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.