Gestion des utilisateurs : quels outils?

#1

Cette question a déjà été posé sur la mailing liste, mais ce serait intéressant, sur le forum, de savoir quels outils sont utilisé par les CHATONS pour gérer les comptes des utilisateurs ainsi que leur accès aux différentes ressources hébergées (mail, homedir, authent. pour les wordpress, nextcloud … etc)

Cela peut aller de FusionDirectory à ISPconfig en passant par Ajenti …

Personnellement je teste fusionDirectory : c’est assez le bazar au premier abord , c’est … vide !
Ca change de cPanel que j’utilise chez O2switch …

Pour moi l’objectif n’est pas de tomber dans une réécriture html, php de tel outil mais bien d’avoir un outil utilisable en l’état sans péter toute une infra. existante façon ISPconfig ou le truc s’installe sur TOUS les serveurs …

#2

De mon coté, j’ai 3 vecteurs principaux pour les utilisateurs :

  • Nextcloud
  • Les mails
  • L’hébergement web

Nextcloud a sa gestion d’utilisateur builtin et ça fait le taf. Les gens qui veulent accéder à Nextcloud vont s’inscrire eux même et je valide les comptes ensuite.

Les mails sont gérés en Maildir, pas de compte mail virtuel, je fais donc un bon useradd qui va bien quand il faut ajouter un compte mail. Le mot de passe est expédié par mail avec la procédure pour le changer (ssh + passwd).

L’hébergement web est généré par un script en shell. Je le lance, ça pose 3 ou 4 questions sur le besoin (http ? https ? php ? quelle version ?) et ça génère un espace web (répertoire + vhost) et un compte unix (pour faire du ssh/sftp/rsync par exemple). Il y a aussi un mot de passe temporaire et une procédure pour le changer (ssh + passwd).

Du coup, aucun interface web si ce n’est pour Nextcloud. Ça réduit la surface d’attaque et ça me permet de tout maitriser sans déléguer des tâches d’administration à une appli web.

#3

Merci pour ta réponse, je vais être aussi dans ce cas :

  • nextcloud,
  • mails,
  • hébergements web …

Et c’est vrai que nextcloud à une bonne gestion des utilisateurs.
Par contre pas sure qu’il puisse servir d’annuaire pour d’autre service (mail, etc) ?

Sinon je vous fait un petit tour d’horizon de ce que j’ai vu comme solution , qui ne seraient, à priori, pas trop invasives sur une prod. en place et gérée de manière transparente à notre sauce (dns sécurisés, proxmox, ssh etc … sécurisation par zone et modularité des fonctionalités)
j’ai vu l’install de ISPConfig , dès le debut j’ai écarté le truc : une fois que l’on a posé ce genre de solution on est lié avec … elle modifie complétement le serveur , et dans ce cas LES serveurs.

Tous comme je ne veux pas qu’une solution touche à mes zones DNS en automatique, via un simple GUI : une faille sur le WEBGui , la prod. part en morceaux !

Par ordre de préférence (relatives car pas encore de test réel hormis Fusion Directory), j’ai regardé des démos, vérifié les commit sur les github pour voir si les projets n’étaient pas mort ou peu actif … :

  1. VirtualMin,
  2. VestaCP,
  3. Sentora,
  4. Ajenti,
  5. i-mscp.

Fusion Directory (FD) bien à part ,car ,pour l’instant , mon test sur debian 9 (package issue de la debian stable), n’a pas été glorieux niveau stabilité : il y a des plantages de l’interface … (un clic sur “Users” et pan : Unknown element type specified!)
Edit : conseil, prendre le dépôt officiel de FD… (pas celui qui installe FD 1.0 par défaut)

On commence avec un annuaire vide … (vide de vide !), le SSL(etc) , n’a pas voulu fonctonné : bref hyper loin de la facilité que propose NextCloud pour gérer des comptes.
J’ose pas imaginer les failles de sécu si j’ouvre une partie du webgui à l’extérieur .
Pour l’instant je garde sous le coude, mais ne choisit pas cette solution, qui pourtant me semble assez modulaire et complètement dans l’esprit d’une infra modulaire et donc maitrisée.

#4

Bonjour

pour Parinux nous avons mis en place KeyCloak qui fait du OpenId-Connect, du Samlv2 et du CAS
ce SSO permet d’avoir plusieurs annuaires OpenLdap ou gestion directement via un base interne.
On peut forcer la complexité du mot de passe et la validation de l’adresse de courriel.
Les utilisateurs peuvent activer l’authentification double facteur via leur interface de préférence personnel, via le scan d’un simple Qrcode avec leur mobile.

  • Keycloak
  • OpenLdap redondé
  • gestion des cotisations via Dolibarr
#5

Merci de ta réponse je vais jeter un oeil.

#6

À voir/tester : https://apps.nextcloud.com/apps/user_pwauth
Si tu fais du mail non virtuel, tu peux gérer ton web/mail/nc via PAM.

#7

salut, non en fait je vais tenter de passer par un ldap (fusiondirectory) pour centraliser les users,mais certainement pas mes comptes stratégiques dans un annuaire.