Это старая версия документа!
Инвентаризация: DEV: Security
Сейчас большинство API запросов не требуют авторизации, надо сделать чтобы требовали (при включенном RBAC)
С точки зрения безопасности у нас есть одна большая проблема: скрипт сбора информации с конечных ОС:
- он раскидан везде / доступен отовсюду
- работает от имени пользователя
- имеет права на запись в Инвентори
Если все остальные полномочия мы можем закрыть паролем, то в этом случае мы светим в скрипте пароль с правами чтения/записи в БД, что есть плохо
Тогда:
- Перестаем читать БД, просто бросаем сырые данные через API и возвращаем текст ошибки если таковая есть и ID ос
- Создаем отдельную роль «comp-pusher», который может создавать/обновлять OS
- Заводим служебного пользователя, с этой ролью
- Хардкодим его в скрипт
- Обновляем puppet-модуль puppet-inventory
Возможность/необходимость авторизации должна быть учтена в
- Скрипты инвентаризации ОС Windows - rest/domains, rest/comps
- Скрипты инвентаризации ОС Linux - rest/domains, rest/comps
- Скрипты инвентаризации ОС через PowerCLI - rest/techs,comps,domains
- Скрипты синхронизации пользователей с АД -rest/users,partners,org-struct
- Плагин интеграции DokuWiki с Inventory - rest не используется, используются пользовательские маршруты
- Скрипт определителя номера для Asterisk - rest/techs,users
- Скрипт определения дежурного техподдержки rest/schedules,rest-users
- Скрипты генерации OpenVPN конфигов - rest/users,net-ips
- Скрипты выдачи лицензий ПО (Офис, Siemens NX)