Dans le cadre du Hackathon cette seconde partie de l’atelier sur FreeIPA a été conduite par l’équipe du ministère de la Transition écologique et solidaire pour tester l’utilisation de la solution FreeIPA afin de mutualiser la gestion utilisateur dans FreeIPA pour des domaines Microsoft.

FreeIPA est une solution intégrée de gestion d’information de sécurité comprenant :

Le but est de centraliser la gestion des utilisateurs dans un véritable annuaire afin d’outrepasser les limitations du nombre d’objets que peut gérer Samba4.

Organiser l’infrastructure

Schéma d’un FreeIPA central avec des domaines Samba4 multiples

Schéma d’un FreeIPA central avec des domaines Samba4 multiples

La cible est d’avoir :

  • La solution FreeIPA centralisée qui gère les entrées utilisateurs ;
  • Chaque site dispose de son propre domaine Active Directory géré par Samba4 afin de gérer les ressources Microsoft ;
  • Les utilisateurs s’authentifient sur les postes clients avec leur compte FreeIPA.

Ce qui fonctionne

Lors de cet atelier l’authentification des utilisateurs du domaine FreeIPA central sur les postes clients Windows 10 intégrés au domaine Active Directory a été validée.

Ce qui ne fonctionne pas

Il n’est actuellement pas possible de lister les utilisateurs et groupes du domaine FreeIPA dans les outils d’administration du domaine Active Directory. Il n’est donc pas possible de positionner les ACLs et GPOs pour ces objets.

Discussion avec les développeurs FreeIPA et Samba

Lors de cet atelier, un contact IRC a été établi avec les développeurs FreeIPA afin d’exposer la problématique. Ils nous ont informé que cette fonctionnalité n’était pas encore supportée du fait de l’absence du service de catalogue global.

Depuis, Daniel Dehennin a rencontré, lors du FOSDEM 2018, Alexander Bokovoy, core developer FreeIPA depuis 2011 et Samba Team member depuis 2003. Ils ont convenu d’exposer les cas d’usages sur un wiki public afin d’organiser le développement des solutions possibles à moyen et long terme.