Maîtrisez les outils et bonnes pratiques DevOps - DevOps Knowledge Hub Maîtrisez les outils et bonnes pratiques DevOps - DevOps Knowledge Hub

Utilisateurs locaux vs. authentification centralisée : choisir la bonne configuration Linux

Explorez la décision cruciale entre la gestion locale des utilisateurs via `/etc/passwd` et l'authentification centralisée avec LDAP ou Active Directory pour les environnements Linux. Ce guide détaille les avantages, les inconvénients, les défis de scalabilité et les implications de sécurité des deux configurations. Apprenez quand choisir la simplicité locale face à la cohérence obligatoire offerte par les services d'annuaire, y compris le rôle de SSSD.

Utilisateurs locaux vs. authentification centralisée : choisir la bonne configuration Linux

L'authentification Linux commence comme un petit problème. Un serveur, un administrateur, un compte local. Puis un deuxième serveur apparaît. Ensuite, un prestataire a besoin d'un accès temporaire. Puis quelqu'un quitte l'entreprise. À ce stade, la question n'est plus "puis-je ajouter un utilisateur avec useradd ?" La question est de savoir si vous pouvez prouver qui a accès, supprimer rapidement l'accès et maintenir des permissions cohérentes entre les machines.

Les utilisateurs locaux et l'authentification centralisée ont tous deux leur place. Les comptes locaux sont simples et fiables pour les systèmes isolés. L'authentification centralisée via LDAP, Active Directory, FreeIPA ou un service d'annuaire similaire est généralement la meilleure solution une fois que les serveurs Linux deviennent une infrastructure partagée.

Comprendre l'authentification locale (le modèle /etc/passwd)

La gestion locale des utilisateurs est la méthode par défaut et la plus simple pour gérer les comptes utilisateurs sur une machine Linux autonome. Toutes les informations sur les utilisateurs et les groupes sont stockées directement sur le système de fichiers local.

Comment fonctionne l'authentification locale

Les identifiants utilisateur, les identifiants utilisateur (UID), les identifiants de groupe (GID), les répertoires personnels et les shells par défaut sont gérés dans des fichiers système spécifiques :

  • /etc/passwd : Stocke les informations des comptes utilisateur telles que le nom d'utilisateur, l'UID, le GID principal, le répertoire personnel et le shell. Sur les systèmes modernes, il ne stocke normalement pas les hachages de mots de passe.
  • /etc/shadow : Stocke les hachages de mots de passe cryptés et les informations de vieillissement des mots de passe (ce fichier est uniquement lisible par root).
  • /etc/group : Stocke les informations de groupe.

Avantages de l'authentification locale

  1. Simplicité et rapidité : Extrêmement facile à configurer pour une ou deux machines. Ajouter un utilisateur est aussi simple que d'utiliser des outils comme useradd ou de modifier les fichiers manuellement (bien que les outils soient préférés).
  2. Disponibilité hors ligne : Les utilisateurs peuvent se connecter même si le réseau est hors service ou si le serveur d'authentification centralisé est inaccessible.
  3. Aucune dépendance externe : Ne nécessite aucune infrastructure supplémentaire, serveur dédié ou configuration réseau complexe.

Inconvénients de l'authentification locale

  1. Problème de scalabilité : Dans un environnement avec des dizaines ou des centaines de serveurs, maintenir la cohérence devient pénible. Si un utilisateur a besoin d'accéder à 20 serveurs, il peut avoir besoin de 20 comptes à moins d'automatiser le processus.
  2. Risque de sécurité : Révoquer l'accès nécessite de se connecter à chaque machine concernée individuellement. Oublier un serveur laisse un compte non autorisé actif.
  3. UID/GID incohérents : La gestion manuelle des UID sur plusieurs systèmes entraîne souvent des conflits, provoquant des problèmes de permissions lors du partage de systèmes de fichiers (comme NFS).

Le problème des UID est facile à sous-estimer. La propriété des fichiers Linux est stockée sous forme d'ID numériques, pas de noms. Si alice a l'UID 1001 sur un serveur et bob a l'UID 1001 sur un autre, un stockage partagé peut montrer des fichiers comme appartenant à la mauvaise personne selon l'endroit où vous regardez. C'est ennuyeux dans un laboratoire et dangereux en production.

Exemple pratique : Ajout d'un utilisateur local

Pour ajouter un nouvel utilisateur nommé analyst1 localement :

sudo useradd -m -s /bin/bash analyst1
sudo passwd analyst1
# Définir le mot de passe lorsque demandé

Comprendre l'authentification centralisée

L'authentification centralisée délègue la responsabilité de vérifier l'identité de l'utilisateur à un service dédié accessible via le réseau. Lorsqu'un utilisateur tente de se connecter à une machine Linux, cette machine interroge le serveur d'annuaire central pour vérification.

Technologies centralisées clés

Deux technologies principales dominent le paysage de l'authentification centralisée pour les environnements Linux :

  1. LDAP (Lightweight Directory Access Protocol) : Un protocole d'accès à l'annuaire souvent implémenté avec OpenLDAP, 389 Directory Server, ou dans le cadre d'une plateforme d'identité plus large. Il est flexible, mais les environnements LDAP bruts nécessitent une conception minutieuse du schéma, TLS, de la réplication et du contrôle d'accès.
  2. Active Directory (AD) : Le service d'annuaire de Microsoft. Les machines Linux s'intègrent couramment avec AD en utilisant Kerberos pour l'authentification et SSSD ou Winbind pour la recherche d'identité et le mappage de groupes.
  3. FreeIPA/IdM : Une plateforme d'identité axée sur Linux qui combine LDAP, Kerberos, DNS, certificats et gestion des politiques. Elle mérite d'être envisagée lorsque l'environnement est principalement Linux et que vous ne dépendez pas déjà d'AD.

Avantages de l'authentification centralisée

  1. Source unique de vérité : La création, la modification et la suppression des utilisateurs se font en un seul endroit, garantissant une cohérence immédiate sur tous les systèmes connectés.
  2. Scalabilité : Évolue bien mieux que les comptes locaux gérés manuellement. Il y a encore du travail opérationnel, mais la gestion du cycle de vie des utilisateurs se fait de manière centralisée.
  3. Sécurité et conformité renforcées : La révocation d'accès peut prendre effet largement depuis un seul endroit, sous réserve des paramètres de cache et du comportement du service. Les systèmes centralisés s'intègrent également plus naturellement avec l'authentification multifacteur (MFA), les politiques de mots de passe, l'accès basé sur les groupes et les processus d'audit.
  4. Cohérence UID/GID : Les systèmes centralisés gèrent les attributs POSIX (UID, GID, répertoires personnels) de manière centralisée, éliminant les conflits lors de l'utilisation de stockage partagé.

Inconvénients de l'authentification centralisée

  1. Dépendance réseau : Si le serveur d'annuaire ou la connexion réseau tombe en panne, les utilisateurs dépendant uniquement des identifiants centralisés peuvent ne pas pouvoir se connecter (atténué par la mise en cache, voir SSSD ci-dessous).
  2. Complexité : La configuration initiale nécessite une infrastructure dédiée, une configuration réseau et des logiciels clients spécialisés (comme SSSD ou les bibliothèques Kerberos).
  3. Coût initial : Bien que LDAP puisse être open source, la mise en place et la maintenance d'un environnement AD robuste impliquent des licences et une expertise spécialisée.

Choisir la bonne stratégie : taille de l'environnement et besoins

Le choix optimal dépend fortement de la taille, de la complexité et des exigences de sécurité de votre organisation.

Fonctionnalité Authentification locale (/etc/passwd) Authentification centralisée (LDAP/AD)
Taille de l'environnement Quelques systèmes autonomes Flottes partagées, équipes ou environnements d'entreprise
Charge administrative Élevée (maintenance par serveur) Faible (point de contrôle unique)
Application des politiques de sécurité Difficile à appliquer de manière cohérente Excellente (politiques globales)
Accès hors ligne Excellent Nécessite une mise en cache (par exemple, SSSD)
Difficulté de configuration initiale Très faible Élevée

Quand utiliser l'authentification locale

L'authentification locale est idéale pour :

  • Petits laboratoires ou postes de travail personnels : Environnements où seulement une ou deux personnes de confiance ont besoin d'accès.
  • Systèmes isolés : Machines hors réseau ou appareils IoT où la connectivité réseau à un serveur d'annuaire est impossible ou indésirable.
  • Hôtes bastion temporaires : Systèmes utilisés brièvement où le déploiement d'une pile d'intégration d'annuaire complète est excessif.

Quand implémenter l'authentification centralisée

L'authentification centralisée est généralement le meilleur choix pour :

  • Environnements d'entreprise : Tout environnement où les utilisateurs ont besoin d'accéder à plusieurs serveurs, partages réseau ou services.
  • Besoins de conformité : Environnements soumis à un audit ou à une conformité stricte qui imposent des contrôles d'accès et des pistes d'audit cohérents.
  • Grands déploiements : Lorsque l'intégration et le départ des utilisateurs doivent être rapides, reproductibles et audités.

Il n'y a pas de nombre magique de serveurs où la réponse change pour tout le monde. Cinq serveurs avec un administrateur dans un laboratoire peuvent survivre avec des utilisateurs locaux. Trois serveurs de production contenant des données réglementées peuvent nécessiter un contrôle centralisé immédiatement. Le moteur n'est pas seulement la taille ; c'est le risque, le roulement, la conformité, le stockage partagé et la fréquence à laquelle les accès changent.

Implémenter l'authentification centralisée : outils clés

Pour de nombreux systèmes Linux modernes s'intégrant avec AD, LDAP ou FreeIPA, sssd (System Security Services Daemon) est le client courant. Des outils plus anciens comme nss_ldap et pam_ldap existent encore dans certains environnements, mais SSSD est généralement le meilleur choix par défaut pour la mise en cache et l'intégration des fournisseurs.

Le rôle de SSSD

SSSD agit comme un pont entre les services système locaux et les fournisseurs d'annuaire distants (LDAP ou AD). Ses principales fonctionnalités incluent :

  1. Mise en cache : SSSD met en cache les données d'authentification localement. Si la connexion au serveur d'annuaire est perdue, les utilisateurs qui se sont connectés récemment peuvent toujours s'authentifier localement pendant une période configurée, répondant ainsi à l'inconvénient de l'accès hors ligne.
  2. Intégration PAM/NSS : Il s'intègre de manière transparente avec les modules d'authentification enfichables (PAM) et le commutateur de service de noms (NSS), permettant aux commandes Linux standard (login, ssh) de fonctionner de manière transparente avec les comptes distants.

Exemple pratique : Extrait de configuration SSSD (conceptuel)

L'intégration avec Active Directory implique souvent de rejoindre le domaine avec un outil tel que realm ou adcli, puis de laisser SSSD gérer l'identité et l'authentification. Une configuration réelle dépend de la politique de domaine, du DNS, de TLS, des règles d'accès et des valeurs par défaut de la distribution. Cet extrait simplifié ne montre que la forme générale :

# Extrait de /etc/sssd/sssd.conf pour l'intégration AD
[domain/example.com]
cache_credentials = True
ldap_search_base = dc=example,dc=com

[sssd]
services = nss, pam
domains = example.com

Ne copiez pas un petit extrait en production en vous attendant à ce qu'il soit complet. SSSD nécessite des permissions de fichier correctes sur /etc/sssd/sssd.conf, un DNS fonctionnel, une synchronisation temporelle pour Kerberos et des paramètres spécifiques au fournisseur. Testez les connexions avec un compte non administrateur avant de le déployer sur une flotte.

Les configurations hybrides sont courantes

Même lorsque l'authentification centralisée est la norme, la plupart des systèmes Linux conservent encore quelques comptes locaux. Le compte root existe. Les images cloud peuvent avoir un utilisateur de bootstrap local. Des comptes de secours peuvent être nécessaires en cas d'urgence lorsque le fournisseur d'identité est inaccessible.

C'est acceptable, mais les exceptions locales nécessitent de la discipline :

  • Gardez le nombre de comptes humains locaux faible.
  • Utilisez des clés SSH ou des mots de passe verrouillés lorsque cela est approprié.
  • Auditez régulièrement les comptes locaux.
  • Documentez l'utilisation des comptes de secours et faites pivoter les identifiants après utilisation.
  • Évitez de donner à chaque administrateur un compte local non géré distinct sur chaque serveur.

Un modèle courant est une connexion centralisée pour l'administration normale, des règles sudo basées sur les groupes d'annuaire et un chemin d'urgence étroitement contrôlé. Cela vous donne une auditabilité au quotidien sans rendre la récupération impossible lors d'une panne d'identité.

Détails opérationnels qui déterminent le succès

L'authentification centralisée échoue le plus souvent pour des raisons banales : DNS, temps, certificats et mise en cache.

Kerberos est sensible au décalage horaire. Si les horloges des serveurs dérivent, les connexions peuvent échouer même si les mots de passe sont corrects. Utilisez NTP ou chrony et surveillez-le.

Les recherches dans l'annuaire dépendent du DNS. Si les clients Linux ne trouvent pas les contrôleurs de domaine ou les serveurs LDAP de manière fiable, l'authentification semblera instable. Coder en dur un seul serveur peut fonctionner jusqu'au jour de la maintenance. Utilisez le mécanisme de découverte recommandé pour votre service d'annuaire.

TLS est important pour LDAP. Envoyer des identifiants ou des données d'annuaire sans sécurité de transport appropriée est une mauvaise habitude, en particulier sur des réseaux que vous ne contrôlez pas entièrement. Validez les certificats au lieu de désactiver les vérifications pour "faire fonctionner les choses".

La mise en cache nécessite une politique réfléchie. SSSD peut permettre aux utilisateurs récemment authentifiés de se connecter pendant une panne, ce qui est utile. Mais des durées de vie de cache longues peuvent retarder la révocation. Des durées de vie de cache courtes améliorent le contrôle mais rendent les pannes plus douloureuses. Choisissez en fonction du risque de l'environnement.

Meilleures pratiques pour la gestion des utilisateurs

Quelle que soit la voie choisie, respectez ces meilleures pratiques :

  • Évitez l'utilisation de root : N'utilisez jamais les comptes root locaux pour les tâches administratives quotidiennes. Utilisez des comptes centralisés et le mécanisme sudo.
  • Audit régulier : Si vous utilisez des comptes locaux, auditez régulièrement /etc/passwd et /etc/shadow pour détecter les entrées non autorisées ou obsolètes.
  • Principe du moindre privilège : Assurez-vous que les utilisateurs ne reçoivent que les permissions minimales nécessaires à leurs rôles. Les systèmes centralisés facilitent l'application de ce principe via les appartenances aux groupes.
  • Standardisation des UID : Si vous devez utiliser des comptes locaux en parallèle de comptes centralisés, assurez-vous que les UID locaux ne chevauchent pas la plage utilisée pour les utilisateurs de l'annuaire. Les plages exactes varient selon la distribution et la configuration de l'identité, alors documentez votre convention locale.

Conseils de migration

Si vous passez des utilisateurs locaux à l'authentification centralisée, ne basculez pas tous les serveurs à la fois. Commencez par un hôte non critique. Confirmez que les utilisateurs se résolvent avec id nom_utilisateur, que les groupes apparaissent correctement, que les règles sudo fonctionnent, que la connexion SSH se comporte comme prévu et que la connexion en cache fonctionne selon la politique.

Ensuite, gérez la propriété des fichiers. Si les UID locaux diffèrent des UID de l'annuaire, les fichiers peuvent nécessiter des changements de propriétaire. Les répertoires personnels partagés et les montages NFS méritent une attention particulière. Sauvegardez avant d'effectuer des modifications en masse avec chown et testez avec des workflows utilisateur réels.

Enfin, supprimez ou verrouillez les comptes locaux obsolètes une fois que le chemin d'annuaire fonctionne. Laisser les deux systèmes actifs pour toujours peut effacer une grande partie des avantages de sécurité que vous cherchiez à obtenir.

Vérification finale

Les utilisateurs locaux sont les meilleurs lorsque la machine est vraiment autonome, que les accès changent rarement et que le rayon d'explosion est faible. L'authentification centralisée est meilleure lorsque les personnes, les serveurs et les permissions changent assez souvent pour que la gestion manuelle des comptes devienne un risque. Gardez un accès local de secours, mais faites en sorte que le chemin normal soit centralisé, auditable et basé sur les groupes. C'est la configuration que la plupart des équipes peuvent gérer sans perdre la trace de qui peut se connecter où.