Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Fin de maintenance pour Fedora 32

#1 18/05/2021 20:22:55

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 428
Site Web

[Résolu] Nextcloud et FreeIPA (Identity Management), problèmes avec les comptes

Hello,

Bon j'avance sur la mise en place de la centralisation de la gestion des identités avec FreeIPA ( IPA sous CentOS, IDM chez RedHat ou IDentity Management).

J'ai relié mon NextCloud avec sans trop de problème (sauf un, voir * plus bas), cependant il ne me prend plus mes nouveaux comptes créer directement dessus (aucun souci avec ceux déjà présent), mais uniquement les nouveaux qui le sont depuis le serveur FreeIPA.
Bien que cela ne me dérange pas trop (le but c'est bien d'avoir tout centraliser), le fait que l'on ne puisse plus passer outre le serveur d'identités fait que si celui ci ne fonctionne pas l'application non plus!
J'ai du louper une étape dans ma configuration, même si je suis loin d'être un débutant en la matière (tant sur IDM que sur Active Directory chez Microsoft), c'est fort possible.

Si ce n'est pas possible de cumuler les deux types de compte (FreeIPA/Interne), il faudra que je vois pour migrer mes comptes interne dessus.

Si quelqu'un avait une petite idée sur comment avoir les deux en parallèle?

Il faudra aussi que je vois comment migrer mes comptes E-mail dessus, mais c'est une autre histoire. Vu que j'ai plusieurs domaines utilisé, cela semble la galère vu que les noms "DNS" sont déjà géré ailleurs...

* Concernant le petit problème, l'option de prise en compte des utilisateurs dans les groupes se présente parfois comme ici :

(memberof=cn=nomdugroup,cn=groups,cn=compat,dc=ipazeus,dc=local)))

Le "cn=compat" retourne une erreur avec un retour de zéro utilisateurs appartenant au groupe (ici "nomdugroup").

Du coup il faut ajouter à la mano ce que l'on veut pour remplacer "cn=compat" par "cn=accounts" :

(|(memberof=cn=nomdugroup,cn=groups,cn=accounts,dc=ipazeus,dc=local))

Sans doute que des noms de "champs" ne sont pas tous compatible. J'avance petit à petit, mais surtout je n’oublie plus de faire des sauvegardes de la DB de NextCloud ou de FreeIPA (commande : ipa-backup) entre temps.


AMD R7 5800x, MSI Pro Carbon X470, 32Go DDR4 3200@3400Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC SSD: 1x970 EVO 500Go + 1xPNY LXR8 NVME 1To + 2x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, Purepower 1000W 80+ plat, dans un BeQuiet Dark 900
AMD R5 2600, Asus A320, 24Go DDR4 2133Mhz, 1x250GO SSD, 3x 2To RAID 5 WD Blue / AMD R7 2700x + 16Go DDR4 2933Mhz+1 NVME Sandisk XLR8, 2x1To QVO / dans des boitier Cubes Chieftec
AMD A6 9500, 8Go, 250Go SSD

Hors ligne

#2 20/05/2021 14:22:20

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 428
Site Web

Re : [Résolu] Nextcloud et FreeIPA (Identity Management), problèmes avec les comptes

Bon il n'y a pas eu de retour sur cette question qu'est l'usage en // des comptes internes<->ldap sur nextcloud. C'est un peu particulier comme système niveau "grand public", mais bien pratique dans pas mal de cas.

Coté NextCloud :
Il y a une option pour rattacher les données à un autre compte. Cependant je n'ai pas trouvé comment migrer un compte à un autre.
Donc étape 1 : données rattaché sur nouveau compte,
étape 2 refaire toutes la chaine agendas/Deck et autres modifications.

C'est un peu pénible à expliquer quand cela fait un moment que l'on utilise l'outil.

Il semble être possible de modifier directement dans la DB l'UUID des utilisateurs, je vais en faire le test avec deux utilisateurs équivalent pour voir si cela suffit pour basculer de la gestion "interne" vers "LDAP".

Coté FreeIPA :
Je vais rajouter un "Replica" sur l'un des deux autres serveurs avec soit un "container", soit directement dans une machine virtuel... Cela devrait pouvoir évité d'avoir le IPA primaire physique allumé en permanence pour le moment.

Je pense par la suite voir pour "clusteriser" l'ensemble (IP, services FreeIPA) avec PaceMaker...


AMD R7 5800x, MSI Pro Carbon X470, 32Go DDR4 3200@3400Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC SSD: 1x970 EVO 500Go + 1xPNY LXR8 NVME 1To + 2x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, Purepower 1000W 80+ plat, dans un BeQuiet Dark 900
AMD R5 2600, Asus A320, 24Go DDR4 2133Mhz, 1x250GO SSD, 3x 2To RAID 5 WD Blue / AMD R7 2700x + 16Go DDR4 2933Mhz+1 NVME Sandisk XLR8, 2x1To QVO / dans des boitier Cubes Chieftec
AMD A6 9500, 8Go, 250Go SSD

Hors ligne

#3 23/05/2021 11:37:22

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 428
Site Web

Re : [Résolu] Nextcloud et FreeIPA (Identity Management), problèmes avec les comptes

Je dois tester la solution de modifier l'UUID dans la base de données de NextCloud directement pour utiliser la gestion des comptes par LDAP.

J'ai terminé le serveur de réplication de FreeIPA non sans mal. J'avais un souci coté reverse DNS (IP vers url) qui n'a pas été mis en place lors de la création du serveur primaire.
Je maitrise mieux la chose maintenant.

Pour info voici les commandes que j'ai utilisé sur le serveur primaire pour corriger ce problème après coups.
Il faut bien sur l'adapter selon vos préférences.
Sur le serveur primaire :
Initialisation du compte ayant les droits administrateur :
kinit admin
Création d'une zone inverse ici pour le réseaux 192.168.1.0

ipa dnszone-add 1.168.192.in-addr.arpa

Ajout de l'url lié à l'IP 192.168.1.1

ipa dnsrecord-add 1.168.192.in-addr.arpa 1 --ptr-rec servername1.ipa.ext.

Ajout du serveur de réplication (correspondance de l'ip 192.168.1.2):

ipa dnsrecord-add 1.168.192.in-addr.arpa 2 --ptr-rec servername2.ipa.ext.

Une fois fait vous pouvez rattacher votre replica au domaine.
Sur les autres nœuds servant de replica :
On rattache le nœud au domaine :

ipa-client-install --mkhomedir --force-join

Et on lance la réplication :

ipa-replica-install --setup-ca --setup-dns --no-forwarders

Ne pas oublier d'ouvrir les services sur le firewall :

firewall-cmd --add-service={freeipa-ldap,freeipa-ldaps,dns,ntp,freeipa-replication} --permanent && firewall-cmd --reload 

J'ai aussi ajouté la prise en charge du KRA (KRA est utilisé pour le stockage et la récupération des clés..), à voir si c'est nécessaire ou non.

ipa-kra-install

J'ai ajouté ce replica dans les options "Onglet Avancé" LDAP de NextCloud en tant que serveur de "backup". Reste plus qu'à programmer une "panne" du serveur primaire et de voir le comportement.


AMD R7 5800x, MSI Pro Carbon X470, 32Go DDR4 3200@3400Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC SSD: 1x970 EVO 500Go + 1xPNY LXR8 NVME 1To + 2x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, Purepower 1000W 80+ plat, dans un BeQuiet Dark 900
AMD R5 2600, Asus A320, 24Go DDR4 2133Mhz, 1x250GO SSD, 3x 2To RAID 5 WD Blue / AMD R7 2700x + 16Go DDR4 2933Mhz+1 NVME Sandisk XLR8, 2x1To QVO / dans des boitier Cubes Chieftec
AMD A6 9500, 8Go, 250Go SSD

Hors ligne

#4 25/05/2021 15:07:05

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 428
Site Web

Re : [Résolu] Nextcloud et FreeIPA (Identity Management), problèmes avec les comptes

Bon mon souci de compte interne/LDAP n'en n'ai plus un.
Je ne sais pas ce qui a modifié le comportement (peut être la mise à jour vers 21.0.2), mais les nouveaux comptes interne fonctionnent sans devoir passer par le LDAP.

Du coup j'ai retrouvé un fonctionnement standard.

Prochaine étape migrer les comptes en totalité gérés par le LDAP et non plus gérés en interne.

Mais là cela semble être une autre histoire...


AMD R7 5800x, MSI Pro Carbon X470, 32Go DDR4 3200@3400Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC SSD: 1x970 EVO 500Go + 1xPNY LXR8 NVME 1To + 2x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, Purepower 1000W 80+ plat, dans un BeQuiet Dark 900
AMD R5 2600, Asus A320, 24Go DDR4 2133Mhz, 1x250GO SSD, 3x 2To RAID 5 WD Blue / AMD R7 2700x + 16Go DDR4 2933Mhz+1 NVME Sandisk XLR8, 2x1To QVO / dans des boitier Cubes Chieftec
AMD A6 9500, 8Go, 250Go SSD

Hors ligne

#5 25/05/2021 16:11:33

Nicosss
Rédacteur Wiki
Rédacteur Wiki
Lieu : Isère
Inscription : 05/03/2007
Messages : 6 671
Site Web

Re : [Résolu] Nextcloud et FreeIPA (Identity Management), problèmes avec les comptes

Merci en tout cas pour tous tes retours détaillés.


F34_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5750 Fanless - 16Go RAM /&/ F33_64 Gnome-Shell - Toshiba Satellite C660D-19X - 8Go RAM
F33_64 - ASRock 960GC-GS FX - AMD FX(tm)-8300 - 16Go RAM

Hors ligne

#6 25/05/2021 17:40:13

VINDICATORs
RédactWikix and the graphicatorix!
Modérateur
Lieu : Toulouse(31) France
Inscription : 23/11/2004
Messages : 18 428
Site Web

Re : [Résolu] Nextcloud et FreeIPA (Identity Management), problèmes avec les comptes

De rien, reste aussi le souci avec la prise en charge des DNS des serveurs FreeIPA avec les périphériques réseaux, mais j'ai aussi trouvé la solution par moi même : https://forums.fedora-fr.org/viewtopic.php?id=72589


AMD R7 5800x, MSI Pro Carbon X470, 32Go DDR4 3200@3400Mhz Gskill TridentZ CL14, RX 5700XT MSI Watercooling OC SSD: 1x970 EVO 500Go + 1xPNY LXR8 NVME 1To + 2x500Go 860 EVO, 3x1To 860 Evo, HDD 1x2To WD black, 1x4to WD Black, 1x3To WD Red, Purepower 1000W 80+ plat, dans un BeQuiet Dark 900
AMD R5 2600, Asus A320, 24Go DDR4 2133Mhz, 1x250GO SSD, 3x 2To RAID 5 WD Blue / AMD R7 2700x + 16Go DDR4 2933Mhz+1 NVME Sandisk XLR8, 2x1To QVO / dans des boitier Cubes Chieftec
AMD A6 9500, 8Go, 250Go SSD

Hors ligne

Pied de page des forums