Table des matières
Authentification
Machines physiques, VM, LXC
- SSH : authentification par clé uniquement.
- Système :
- Root : mdp commun connu de tous les admins. Sert uniquement en cas de secours. Configuré sur toutes les machines par Puppet ;
- User + sudo : chaque admin a son mdp perso. mdp et clé SSH configurés sur toutes les machines de l'asso par Puppet.
Équipements
Exemples : switch, PDUs, BMCs, etc.
L'authentification se fait via un mdp commun.
Services web internes
Exemples : site web (arn-fai.net) et le présent wiki.
Chaque admin et contributeur-rice a son compte perso avec son mdp perso. Deux services font exception, le dépôt de document et mailman : le mdp d'admin est commun.
Il n'y a pas d'authentification centralisée (CAS) entre toutes nos applications web internes, il faut un compte par application. Ça a été testé et abandonné au début de l'asso (voir technique:generique:ldap, par exemple) : trop chiant pour un gain pas évident : peu de contributeur-rice-s qui changent peu souvent (peu de turn-over, TMTC), pas d'admins volontaire pour maintenir une usine comme OpenLDAP, etc.
Services web externes
Exemples : bureau d'enregistrement de notre nom de domaine, transitaires, RIPE db, etc.
Authentification avec un mdp commun.
Comment sont partagés les mdps communs entre les admins ?
Pour éviter les discussions sans fin sur le meilleur outil (passbolt, pass, etc.) qu'on devrait trop utiliser, on envoie le trousseau de mdps aux nouveaux admins, au format texte, par mail chiffré (OpenPGP, après vérification de l'identité et de l'empreinte, of course). Ainsi, chacun peut utiliser l'outil de stockage de son choix (pass, keepassX, conteneur LUKS + txt , etc.).