Projet Networking TNE

Liaison des Services à Active Directory (SSO)

4 min de lecture

Guide d’Intégration : Liaison des Services à Active Directory (SSO)

1. Objectif de ce Document

Ce document est le guide de référence central pour connecter nos différents services applicatifs à l’annuaire Active Directory (tne.local). Il a pour but de standardiser la méthode d’intégration et de fournir un aperçu rapide des paramètres de configuration pour chaque service.

L’objectif final est de créer un écosystème où l’authentification est centralisée, en se rapprochant le plus possible du Single Sign-On (SSO).

2. Le “Pourquoi” : Une Seule Clé pour Tout le Château

Dans notre infrastructure, l’Active Directory est le gardien des identités. C’est lui, et lui seul, qui sait qui est qui. Lier nos services à l’AD, c’est comme changer toutes les serrures du château pour qu’elles fonctionnent avec une seule et même clé maîtresse : le compte Active Directory de l’utilisateur.

Les avantages sont fondamentaux :

  • Pour les Utilisateurs : Un seul couple nom d’utilisateur / mot de passe à retenir pour se connecter à GLPI, Nextcloud, Zabbix, etc.
  • Pour les Administrateurs :
    • Gestion Simplifiée : L’arrivée ou le départ d’une personne est géré en un seul endroit. On active/désactive le compte AD, et tous les accès sont créés/coupés instantanément.
    • Sécurité Renforcée : On peut appliquer la politique de mot de passe du domaine (complexité, expiration) à tous les services.
    • Gestion des Droits Centralisée : On donne des permissions en ajoutant des utilisateurs à des groupes AD, pas en gérant des dizaines de comptes locaux dans chaque application.

3. Le Prérequis Universel : Le Compte de Service en Lecture Seule

Pour permettre à nos services (Proxmox, GLPI, etc.) de communiquer avec l’Active Directory, nous n’utiliserons jamais un compte administrateur. Nous utilisons un compte de service dédié, avec des droits minimaux.

  • Nom du Compte : svc-ldap-reader
  • Emplacement : OU=Administration,OU=Utilisateurs,OU=LyceeTechnique,DC=tne,DC=local
  • Permissions : Ce compte est un simple membre du groupe Domain Users. Il n’a besoin que du droit de lecture sur l’annuaire, ce qui est le droit par défaut.
  • Configuration : Son mot de passe est très complexe et configuré pour ne jamais expirer.

4. Procédures de Configuration par Service

a) Proxmox VE (Accès Administrateurs)

  • Où : Datacenter > Permissions > Authentication
  • Paramètres Clés :
    • Realm : tne.local (nom arbitraire)
    • Domain Name : tne.local
    • Server : 10.0.20.10 (IP du DC)
    • User Attribute Name : sAMAccountName
    • Bind User : svc-ldap-reader@tne.local (UPN du compte de service)
    • Password : Mot de passe du compte de service.
  • Permissions Finales : La liaison est activée via Datacenter > Permissions > Add > Group Permission, en liant un groupe AD (ex: GRP-SEC-Admins-Proxmox) à un rôle Proxmox.

b) GLPI (Accès Techniciens et Utilisateurs)

  • Où : Setup > Authentication > LDAP directories
  • Paramètres Clés :
    • Server : 10.0.20.10
    • BaseDN : OU=Utilisateurs,OU=LyceeTechnique,DC=tne,DC=local
    • RootDN : CN=Service GLPI Reader,OU=Administration,OU=Utilisateurs,... (DN complet du compte de service, car GLPI utilise un compte différent).
    • Connection filter : (&(objectClass=user)(objectCategory=person)(samaccountname=%s))
    • Login Field : samaccountname

c) Zabbix (Accès Administrateurs/Superviseurs)

  • Où : Administration > Users > Authentication Settings > LDAP
  • Paramètres Clés :
    • LDAP host : ldap://10.0.20.10
    • Base DN : OU=Utilisateurs,OU=LyceeTechnique,DC=tne,DC=local
    • Search attribute : sAMAccountName
    • Bind DN : svc-ldap-reader@tne.local
    • Bind password : Mot de passe du compte de service.

d) Nextcloud AIO (Accès Utilisateurs)

  • Où : Dans l’interface web de Nextcloud, Apps > LDAP user and group backend.
  • Paramètres Clés (dans les 4 onglets de l’assistant) :
    • Serveur : 10.0.20.10, Port 389. svc-ldap-reader@tne.local et son mot de passe.
    • Utilisateurs : Base DN OU=Etudiants,OU=Utilisateurs,...
    • Attributs de connexion : sAMAccountName
    • Groupes : Base DN OU=Groupes,OU=LyceeTechnique,...

e) Squid Proxy (Authentification du Trafic Web)

  • Description : C’est une intégration différente. Elle n’est pas pour l’accès à une interface de gestion, mais pour identifier le trafic des utilisateurs.
  • Où : Dans le fichier /etc/squid/squid.conf sur les serveurs proxy.
  • Méthode : Le service utilise une double méthode :
    1. Kerberos (auth_param negotiate) : Pour une authentification transparente (SSO) des postes joints au domaine.
    2. LDAP (auth_param basic) : Comme méthode de secours, qui affiche une fenêtre de login/mot de passe.

f) Note sur Vaultwarden

  • Statut : NON LIÉ (Volontairement).
  • Justification : Vaultwarden est notre coffre-fort de mots de passe de dernier recours. Pour des raisons de sécurité maximale, il est intentionnellement isolé de l’annuaire principal. Si l’Active Directory venait à être compromis, le coffre-fort resterait un bastion sécurisé indépendant. C’est une pratique de “cloisonnement de sécurité”.

Vue Graphique

Liens retour