Quels mot de passe peuvent être modifiés par Cleanroom avec son coffre-fort ?
Cleanroom gère trois type d’alias : les alias LDAP, les alias SSH et les alias de clefs SSH.
La rotation de mot de passe n’est gérée que dans les cas suivants :
- Alias LDAP : rotation possible uniquement sur des AD (annuaire LDAP et comptes locaux Windows non supportés)
- Alias SSH : rotation possible vers toutes machines ayant l’utilitaire
passwdpour la modification de mot de passe -
Alias clef SSH : rotation possible vers toutes machines stockant les clefs publiques autorisées à se connecter en ssh dans
~/.ssh/authorized_keys
Comment fonctionne la rotation de mot de passe sur les alias LDAP ?
Association d’un alias LDAP avec un site et un domaine
Un alias LDAP sera rattaché à un site à l’aide de la politique de mot de passe qui lui est associée. A l’intérieur de cette dernière se trouve le paramétrage du site à utiliser :
L’alias sera rattaché à un domaine si le domaine indiqué dans l’alias est identique à un champ “Domaine microsoft” d’un domaine LDAP :
Opération de rotation de mot de passe
⚠️ La rotation de mot de passe n’est possible qu’en passant par un site, il faut obligatoirement le paramétrer dans la politique de mot de passe.
Deux cas de figures peuvent apparaître suivant la configuration :
1. Cas des annuaires LDAP avec connexion en LDAPS à l’AD
Pour ce cas, une requête LDAPS sera envoyée à l’AD afin de modifier le mot de passe de l’utilisateur contenu dans l’alias.
⚠️ Il est nécessaire d’affecter les droits de modification de mot de passe au compte de lecture du domaine LDAP.
2. Cas des annuaires LDAP (mode de compatibilité) et annuaires LDAP avec connexion LDAP à l’AD
Pour ce cas, une requête SMB sera envoyée depuis la passerelle Cleanroom vers l’AD pour modifier le mot de passe du compte de l’alias. Ce sera le compte de l’alias qui sera utilisé pour modifier son propre mot de passe.
⚠️ L’ouverture des flux SMB (TCP 139 et 445) sont nécessaires entre la passerelle Cleanroom et l’AD.
Comment fonctionne la rotation de mot de passe sur les alias SSH et clef SSH ?
Association d’un alias SSH et clef SSH avec un site
Un alias LDAP sera rattaché à un site à l’aide de la politique de mot de passe qui lui est associée. A l’intérieur de cette dernière se trouve le paramétrage du site à utiliser :
Opération de rotation de mot de passe
⚠️ La rotation de mot de passe n’est possible qu’en passant par un site, il faut obligatoirement le paramétrer dans la politique de mot de passe.
1. Cas de l’alias SSH
Cleanroom ira se connecter en SSH à tous les serveurs rattachés à l’alias SSH pour y jouer la commande passwd pour modifier le mot de passe de l’utilisateur. Le compte de connexion aux serveurs SSH sera le compte de l’alias.
2. Cas de l’alias clef SSH
Cleanroom ira se connecter en SSH à tous les serveurs rattachés à l’alias clef SSH pour modifier l’entrée de la clef SSH publique dans ~/.ssh/authorized_keys. Le compte de connexion aux serveurs SSH sera le compte de l’alias.