Gestion des utilisateurs : quels outils?

Cette question a déjà été posé sur la mailing liste, mais ce serait intéressant, sur le forum, de savoir quels outils sont utilisé par les CHATONS pour gérer les comptes des utilisateurs ainsi que leur accès aux différentes ressources hébergées (mail, homedir, authent. pour les wordpress, nextcloud … etc)

Cela peut aller de FusionDirectory à ISPconfig en passant par Ajenti …

Personnellement je teste fusionDirectory : c’est assez le bazar au premier abord , c’est … vide !
Ca change de cPanel que j’utilise chez O2switch …

Pour moi l’objectif n’est pas de tomber dans une réécriture html, php de tel outil mais bien d’avoir un outil utilisable en l’état sans péter toute une infra. existante façon ISPconfig ou le truc s’installe sur TOUS les serveurs …

De mon coté, j’ai 3 vecteurs principaux pour les utilisateurs :

  • Nextcloud
  • Les mails
  • L’hébergement web

Nextcloud a sa gestion d’utilisateur builtin et ça fait le taf. Les gens qui veulent accéder à Nextcloud vont s’inscrire eux même et je valide les comptes ensuite.

Les mails sont gérés en Maildir, pas de compte mail virtuel, je fais donc un bon useradd qui va bien quand il faut ajouter un compte mail. Le mot de passe est expédié par mail avec la procédure pour le changer (ssh + passwd).

L’hébergement web est généré par un script en shell. Je le lance, ça pose 3 ou 4 questions sur le besoin (http ? https ? php ? quelle version ?) et ça génère un espace web (répertoire + vhost) et un compte unix (pour faire du ssh/sftp/rsync par exemple). Il y a aussi un mot de passe temporaire et une procédure pour le changer (ssh + passwd).

Du coup, aucun interface web si ce n’est pour Nextcloud. Ça réduit la surface d’attaque et ça me permet de tout maitriser sans déléguer des tâches d’administration à une appli web.

Merci pour ta réponse, je vais être aussi dans ce cas :

  • nextcloud,
  • mails,
  • hébergements web …

Et c’est vrai que nextcloud à une bonne gestion des utilisateurs.
Par contre pas sure qu’il puisse servir d’annuaire pour d’autre service (mail, etc) ?

Sinon je vous fait un petit tour d’horizon de ce que j’ai vu comme solution , qui ne seraient, à priori, pas trop invasives sur une prod. en place et gérée de manière transparente à notre sauce (dns sécurisés, proxmox, ssh etc … sécurisation par zone et modularité des fonctionalités)
j’ai vu l’install de ISPConfig , dès le debut j’ai écarté le truc : une fois que l’on a posé ce genre de solution on est lié avec … elle modifie complétement le serveur , et dans ce cas LES serveurs.

Tous comme je ne veux pas qu’une solution touche à mes zones DNS en automatique, via un simple GUI : une faille sur le WEBGui , la prod. part en morceaux !

Par ordre de préférence (relatives car pas encore de test réel hormis Fusion Directory), j’ai regardé des démos, vérifié les commit sur les github pour voir si les projets n’étaient pas mort ou peu actif … :

  1. VirtualMin,
  2. VestaCP,
  3. Sentora,
  4. Ajenti,
  5. i-mscp.

Fusion Directory (FD) bien à part ,car ,pour l’instant , mon test sur debian 9 (package issue de la debian stable), n’a pas été glorieux niveau stabilité : il y a des plantages de l’interface … (un clic sur « Users » et pan : Unknown element type specified!)
Edit : conseil, prendre le dépôt officiel de FD… (pas celui qui installe FD 1.0 par défaut)

On commence avec un annuaire vide … (vide de vide !), le SSL(etc) , n’a pas voulu fonctonné : bref hyper loin de la facilité que propose NextCloud pour gérer des comptes.
J’ose pas imaginer les failles de sécu si j’ouvre une partie du webgui à l’extérieur .
Pour l’instant je garde sous le coude, mais ne choisit pas cette solution, qui pourtant me semble assez modulaire et complètement dans l’esprit d’une infra modulaire et donc maitrisée.

Bonjour

pour Parinux nous avons mis en place KeyCloak qui fait du OpenId-Connect, du Samlv2 et du CAS
ce SSO permet d’avoir plusieurs annuaires OpenLdap ou gestion directement via un base interne.
On peut forcer la complexité du mot de passe et la validation de l’adresse de courriel.
Les utilisateurs peuvent activer l’authentification double facteur via leur interface de préférence personnel, via le scan d’un simple Qrcode avec leur mobile.

  • Keycloak
  • OpenLdap redondé
  • gestion des cotisations via Dolibarr
1 Like

Merci de ta réponse je vais jeter un oeil.

À voir/tester : https://apps.nextcloud.com/apps/user_pwauth
Si tu fais du mail non virtuel, tu peux gérer ton web/mail/nc via PAM.

salut, non en fait je vais tenter de passer par un ldap (fusiondirectory) pour centraliser les users,mais certainement pas mes comptes stratégiques dans un annuaire.

Pour le moment je suis tout en mano/papier mais j’ai prévu de passer sur Coin de la FFDN (https://code.ffdn.org/ffdn/coin).
C’est à la base un SI d’opérateur/FAI associatif mais il est modifiable et surtout y’as une ouverture pour le projet (à migrer en python 3, ajouter une API, …) puisque certains membres de la FFDN sont aussi des Chatons ! Me manque juste des développeur Python pour ça ^^
Un fois dotée d’une API, je pense faire faire un module Wordpress pour causer avec soit directement soit via un middleware qui pourra aussi causer avec l’API de mes serveurs Proxmox et Open Game Panel.

(Si des dev Python et/où PHP passent dans le coin :wink: )

On a une PR en cours pour permettre aux membres du COIN de pouvoir commander un services (et qu’il soit livré automatiquement ou semi automatiquement).

pour ma part, afin de permettre le login identique à Nextcloud et au forum , j’ai mis tous mes users sur un LDAP.
Que je gère via phpldapadmin ( oui c’est vieux ! ) , mais ça marche.

Pour ma V2 de chatons ( cloud perso , VM perso , Peertub , etc ) , je vais passer par une page d’accueil avec un SSO de KeyCloak.

Notre petit conseil : jette un œil à fusiondirectory pour gérer tes users LDAP

#derien

1 Like

je confirme, c’est clairement trash au départ à mettre en œuvre, mais ensuite le truc propose des trucs géniaux.

Tips : monter les bons schémas dès le départ , sinon pas cool.
Et l’irc #fusionDirectory où bilbo aide vraiment tout le monde … et gratos, sympa.

tu pourras nous décrire un peu la mise en œuvre du truc ? (car j’ai pas eu le temps de le tester)

j’avais regardé, mais je n’ai jamais pas à l’utiliser :confused:

heu …

ben dan l’idée globale , c’est assez basique :

  • le DN base : devloporg org
  • un OU nextcloud
  • un group people
    et des users dedans .

Le rattachement LDAP côté Nextcloud est assez ch***te , mais une fois faite , ça marche bien :slight_smile:

quand je créé un nouvel user, je recopie un user existant , en modifiant id / mail / mdp. Et je lui attribue le groupe nextcloud par défaut , puis les groupes additionnels si besoin

Bonjour,

Ma petite config de gestion des utilisateurs:

  • Nextcloud IMAP auth backend. nextcloud appelle le serveur imap (en localhost)
  • Prosody (xmpp) : idem, un script appelle le serveur imap.
  • Dovecot est donc le serveur d’authent de toute le monde. Il hash en SSHA512 et stocke ça dans une mariadb
  • Postfixadmin (oui c’est vieux, aussi) me sert à administrer ça.

Gros avantage (pour moi) : un seul compte à créer.

Le seul truc embêtant pour l’instant est l’impossibilité de reseter son propre mot de passe (il faudrait un email de récupération).
Je me tâte à essayer un ldap avec une de vos solutions mentionnées ici pour l’administrer.

Pour celles et ceux que ça intéresse, sur ce lien est décrit la config nextcloud ldap lié au schéma ldap de yunohost
https://github.com/YunoHost-Apps/nextcloud_ynh/blob/testing/conf/config.json

Et là le schéma en question: https://github.com/YunoHost/yunohost/blob/stretch-unstable/data/other/ldap_scheme.yml

C’est bien , mais là vous ne gérer pas de délégation etc, comment faites vous pour déléguer des droits d’administration sur des OU ?

Perso, je ne fous jamais tout dans User ou Groups …
Avec pleins de serverus, adhérents, clients cela devient vite … ingérable.

C’est un conseil, pour héberger pleins de user, services etc.

Je parle très mal ldap et ne suis pas sûr d’avoir compris ta question.

Si tu parles de permissions, la YunoHost 3.7 inclus un mécanisme de groupe et permissions pour détailler qui sont les utilisateurs qui peuvent se connecter. Du coup la config n’est pas tout à fait la même pour nextcloud.

Déterrage de sujet :

Nous pouvons ajouter aussi :

  • LemonLDAP::NG,
  • CAS (apereo),
  • FreeIPA
  • keycloak
  • Teleport (payant ?)