Projet Networking TNE

Intégration de l'Authentification Active Directory

4 min de lecture

Phase 2 : Intégration de l’Authentification Active Directory

1. Objectif de ce Document

Ce document décrit la procédure pour connecter Proxmox VE à notre annuaire Active Directory (tne.local).

L’objectif est de permettre aux administrateurs (et potentiellement à d’autres utilisateurs) de se connecter à l’interface web de Proxmox en utilisant leur compte Windows habituel, au lieu d’utiliser le compte local root ou de devoir créer des comptes utilisateurs spécifiques à Proxmox.

2. Le “Pourquoi” : Une Seule Clé pour Tout le Château

Imaginez que pour gérer l’infrastructure, vous ayez un trousseau de clés :

  • Une clé (root) pour entrer dans la salle des serveurs (Proxmox).
  • Une autre clé (Administrator) pour gérer les identités (Active Directory).
  • Encore une autre pour la supervision (Zabbix), etc.

C’est fastidieux et peu sécurisé. Si quelqu’un quitte l’équipe, il faut penser à supprimer ses accès sur toutes les plateformes.

En liant Proxmox à l’Active Directory, nous appliquons le principe du SSO (Single Sign-On) à notre administration. L’Active Directory devient le gestionnaire de clés central.

  • Un seul identifiant : Les administrateurs utilisent leur compte AD (j.dupont@tne.local) pour se connecter partout.
  • Gestion Simplifiée : Pour donner un accès à Proxmox à un nouvel administrateur, il suffit de l’ajouter dans le bon groupe de sécurité dans l’AD.
  • Sécurité Renforcée : Pour retirer tous les accès à quelqu’un, il suffit de désactiver son compte AD. Tous ses accès sont instantanément coupés. De plus, on évite de partager le mot de passe du compte root, qui est ultra-sensible.

3. Prérequis

  • Le cluster Proxmox doit être fonctionnel.
  • L’infrastructure Active Directory doit être installée et configurée (voir Phase 3). Au moins un contrôleur de domaine doit être en ligne.
  • Avoir créé dans l’Active Directory :
    1. Un compte de service pour la liaison, par exemple svc-proxmox-reader. Ce compte n’a besoin que de droits de lecture sur l’annuaire.
    2. Un groupe de sécurité pour les administrateurs Proxmox, par exemple GRP-SEC-Admins-Proxmox.

4. Procédure Pas-à-Pas

Cette configuration se fait une seule fois au niveau du Datacenter.

  1. Connectez-vous à l’interface web de Proxmox avec le compte root.

  2. Allez dans Datacenter > Permissions > Authentication.

  3. Cliquez sur Add et sélectionnez Active Directory Server.

  4. Remplissez la boîte de dialogue comme suit :

    • Realm : tne.local (un nom court et unique pour cette source d’authentification).
    • Domain Name : tne.local (le nom de domaine AD complet).
    • Default : Cochez cette case pour que ce domaine apparaisse par défaut sur la page de connexion.
    • Server : 10.0.20.10 (l’adresse IP de votre premier contrôleur de domaine).
    • Fallback Server(s) : 10.0.20.11 (l’IP de votre second DC, si vous en avez un. C’est une bonne pratique pour la redondance).
    • Port : Laissez par défaut (389 pour LDAP, ou 636 si vous configurez LDAPS).
    • User Attribute Name : sAMAccountName (c’est l’attribut qui contient le login court, ex: j.dupont).
    • Bind User : Le nom d’utilisateur complet (User Principal Name) du compte de service : svc-proxmox-reader@tne.local.
    • Password : Le mot de passe du compte de service.
    • Enable : Laissez coché.
    • Comment : Liaison avec l'annuaire AD principal.

  5. Cliquez sur Add.

5. Attribution des Permissions

Maintenant que Proxmox sait comment parler à l’AD, il faut lui dire quels utilisateurs ou groupes de l’AD ont le droit de faire quoi.

  1. Allez dans Datacenter > Permissions.
  2. Cliquez sur Add et sélectionnez Group Permission.
  3. Remplissez les champs :
    • Path : / (signifie “tout le datacenter”).
    • Group : GRP-SEC-Admins-Proxmox@tne.local (le nom du groupe de sécurité suivi de @ et du nom du “Realm” que vous avez défini à l’étape 4).
    • Role : Administrator (le plus haut niveau de permissions).
    • Propagate : Laissez coché pour que les permissions s’appliquent à tous les objets du datacenter.
  4. Cliquez sur Add.

6. Points de Validation

  • Tester la liaison : Dans Datacenter > Permissions > Authentication, sélectionnez la ligne tne.local que vous venez de créer et cliquez sur le bouton Test. Vous devriez voir un message indiquant que le test a réussi.
  • Tester la connexion :
    1. Assurez-vous qu’un utilisateur test (par ex. j.dupont) est bien membre du groupe GRP-SEC-Admins-Proxmox dans l’Active Directory.
    2. Déconnectez-vous du compte root de l’interface Proxmox.
    3. Sur la page de connexion :
      • User name : j.dupont
      • Password : Le mot de passe AD de cet utilisateur.
      • Realm : tne.local (Active Directory)
    4. La connexion doit réussir, et vous devez avoir les pleins pouvoirs d’administration sur l’interface.

Si la connexion fonctionne, l’intégration est un succès. La gestion des accès à Proxmox est maintenant centralisée et bien plus sécurisée.

Étape suivante : L’un des avantages majeurs de notre cluster est la capacité à survivre à une panne. Mettons en place la Haute Disponibilité pour nos VMs critiques.

Vue Graphique

Liens retour