Comment installer Passbolt sur Linux avec Docker

Dans ce tutoriel, je vais vous expliquer comment installer le gestionnaire de mot de passe Passbolt sur Linux avec Docker et Docker Compose qui va nous permettre de le déployer facilement et rapidement.

Sommaire

Présentation de Passbolt

Passbolt est un gestionnaire de mots de passe open source spécialement conçu pour les équipes et les entreprises. Contrairement aux solutions grand public, il permet de partager des mots de passe de manière sécurisée, avec une gestion fine des droits et un chiffrement bout-en-bout basé sur OpenPGP.

L’interface web intuitive de Passbolt facilite l’organisation des identifiants, tandis que ses API permettent une intégration dans des workflows automatisés. Il est particulièrement apprécié par les administrateurs systèmes, les équipes DevOps et les structures soucieuses de conserver le contrôle total sur leurs données.

Passbolt peut être auto-hébergé facilement, et son code source est audité, garantissant transparence et sécurité. En combinant Docker à son installation, on bénéficie d’un déploiement rapide, isolé et reproductible, idéal pour les environnements de production comme de test.

Prérequis pour installer Passbolt avec Docker

Pour installer Passbolt avec Docker, vous aurez besoin d’un serveur Linux (Ubuntu) avec Docker d’installé.

Pour la publication de Passbolt, vous aurez également besoin d’un reverse proxy (Nginx), d’un nom DNS (URI) et pour finir d’un certificat SSL valide.

Pour ma part, je vais placer le fichier docker-compose.yml et les dossiers (volumes) dans le dossier : /containers/passbolt/.

Installer Passbolt avec Docker

Pour commencer, nous allons déployer Passbolt avec Docker pour qu’il soit accessible avec l’adresse IP du serveur.

Pour commencer télécharger le fichier docker-compose.yml disponible depuis le site Passbolt.

sudo wget https://download.passbolt.com/ce/docker/docker-compose-ce.yaml

Afin de simplifier les commandes docker, nous allons renommer le fichier :

sudo cp docker-compose-ce.yaml docker-compose.yml

Maintenant, nous allons éditer le fichier docker-compose.yml et l’adapter :

sudo nano docker-compose.yml

Voici mon fichier docker-compose.yml pour Passbolt :

services:
  db:
    image: mariadb:10.11
    restart: unless-stopped
    environment:
      MYSQL_RANDOM_ROOT_PASSWORD: "true"
      MYSQL_DATABASE: "passbolt"
      MYSQL_USER: "passbolt"
      MYSQL_PASSWORD: "P4ssb0lt"
    volumes:
      - ./database_volume:/var/lib/mysql

  passbolt:
    image: passbolt/passbolt:latest-ce
    #Alternatively you can use rootless:
    #image: passbolt/passbolt:latest-ce-non-root
    restart: unless-stopped
    depends_on:
      - db
    environment:
      APP_FULL_BASE_URL: https://A.B.C.D
      DATASOURCES_DEFAULT_HOST: "db"
      DATASOURCES_DEFAULT_USERNAME: "passbolt"
      DATASOURCES_DEFAULT_PASSWORD: "P4ssb0lt"
      DATASOURCES_DEFAULT_DATABASE: "passbolt"
      EMAIL_TRANSPORT_DEFAULT_HOST: "smtp.domain.tld"
    volumes:
      - ./gpg_volume:/etc/passbolt/gpg
      - ./jwt_volume:/etc/passbolt/jwt
    command:
      [
        "/usr/bin/wait-for.sh",
        "-t",
        "0",
        "db:3306",
        "--",
        "/docker-entrypoint.sh",
      ]
    ports:
      - 80:80
      - 443:443
    #Alternatively for non-root images:
    # - 80:8080
    # - 443:4433

#volumes:
#  database_volume:
#  gpg_volume:
#  jwt_volume:

Voici les modifications que j’ai apporté :

  • J’ai modifié les volumes pour les faire pointer dans un dossier au même niveau que le fichier docker-compose.yml en ajoutant ./ devant les déclarations des volumes. Ligne 11, 28 et 29
  • Modifier la variable APP_FULL_BASE_URL ligne 21 en mettant l’adresse de la machine
  • Ajouter la variable EMAIL_TRANSPORT_DEFAULT_HOST pour la déclaration du serveur SMTP ligne 26
  • Commenter la partie volumes en bas du fichier, ligne 46 à 49

Pour poursuivre, créer les dossiers :

sudo mkdir gpg_volume
sudo mkdir jwt_volume

Modifier le propriétaire :

sudo chown www-data:www-data gpg_volume
sudo chown www-data:www-data jwt_volume

Télécharger les images des conteneurs :

sudo docker compose pull

Démarrer les conteneurs :

sudo docker compose up -d

Vérifier les logs des conteneurs :

docker compose logs -f

Si tout est bon vous devez avoir quelque chose comme sur la capture ci-dessous :

Passbolt log container

Tester l’accès à l’interface Web, pour cela aller sur l’URL https://A.B.C.D, passer l’erreur de certificat et vous devriez arriver sur le formulaire de connexion.

Passbolt form login

Passbolt est installé, il reste maintenant à créer le premier compte administrateur et configurer le gestionnaire de mot de passe.

Créer le premier administrateur dans Passbolt

Le premier doit être créé en ligne de commande, entrer le commande ci-dessous :

sudo docker compose exec passbolt su -m -c "/usr/share/php/passbolt/bin/cake passbolt register_user -u [email protected] -f Prenom -l NOM -r admin" -s /bin/sh www-data

La commande va retourner un lien, copier le et l’ouvrir dans le navigateur :

En cliquant sur le lien, on arrive sur une page qui demande l’installation de l’extension Passbolt dans le navigateur, celle-ci est obligatoire, cliquer sur Télécharger l’extension 1.

Sur la page de l’extension, cliquer sur Ajouter à XXXX 1.

L’extension Passbolt installée, retourner le page, cliquer sur le bouton Suivant 1.

Entrer une phrase passe (mot de passe) 1 qui va permettre l’accès au gestionnaire de mot de passe et cliquer sur Suivant 2.

Enregistrer le fichier qui va permettre la récupération de votre compte, une fois cela fait, cocher la case : J’ai stocké mon de récupération … 1 et cliquer sur Suivant 2.

Ce fichier doit être sauvegarder dans un endroit sécurisé et durable, son contenu permet de récupérer votre coffre fort en cas de changement de navigateur et/ou ordinateur, sans celui-ci l’accès sera perdu et non récupérable.

Configurer le jeton de sécurité 1, celui-ci à pour but de s’assurer que la demande saisir du mot de passe maitre vient bien de Passbolt, cliquer sur Suivant 2.

Le compte est créé et vous êtes maintenant connecté à votre coffre-fort de mot de passe Passbolt.

Créer un mot de passe dans Passbolt

Pour commencer l’utilisation de Passbolt, on va voir comment créer un mot de passe dans Passbolt. Depuis l’interface Web, cliquer sur Créer 1 puis sur Mot de passe 2.

Entrer un nom/titre 1 pour le mot de passe, entrer l’URI 2 si celui-ci est lié à un site Web, cela permet au plugin de suggérer et remplir le formulaire, entrer ensuite l’identifiant 3 et le mot de passe 4 et cliquer sur le bouton Créer 5.

Lors de l’enregistrement du mot de passe, vous pouvez avoir une alerte de mot de passe faible, il est aussi possible que l’on vous demande de saisir le mot de passe maitre.

Le mot de passe est ajouté dans Passbolt.

Activer l’Auto-inscription dans Passbolt

L’Auto-inscription dans Passbolt va permettre aux utilisateurs de votre entreprise de créer leur compte automatiquement dans le logiciel en se basant sur le ou les domaines de messagerie qui auront été autorisé.

Cette fonctionnalité évite de devoir invité les utilisateurs, ils peuvent le faire en toute autonomie.

Cliquer sur l’engrenage 1 puis sur Paramètres de l’organisation 2.

Cliquer sur Auto-inscription 1 pour accéder à la configuration.

Par défaut l’auto-inscription n’est pas activé, cliquer sur le sélecteur 1.

Lors de l’activation, le domaine de votre utilisateur est ajouté 1, il est possible d’en ajouter plusieurs en appuyant sur le bouton Ajouter, terminer en cliquant sur le bouton Enregistrer 2.

Confirmer l’enregistrement des domaines en cliquant de nouveau sur Enregistrer 1.

Les paramètres d’auto-inscription sont configurés.

Auto-inscription des utilisateurs

Le fonctionnement de l’auto-inscription des utilisateurs est similaire à la création du premier utilisateur.

Il faut aller sur la page d’accueil de Passbolt : https://A.B.C.D ou https://passbolt.domain.tdl, sur la page de connexion, l’utilisateur entrer son adresse e-mail 1, coche la case : J’accepte les conditions générales 2 puis cliquer sur le bouton Suivant 3.

Ensuite, l’utilisateur saisie son prénom 1 puis son nom 2 et cliquer sur Inscription 3.

A la suite de cela, un e-mail est envoyé…

L’utilisateur reçoit un e-mail, il clique sur le lien Get started 1.

Ensuite, il faut suivre la même procédure, installer l’extension dans le navigateur, configurer le passe phrase (mot de passe maitre), stocker le kit de récupération puis configurer le jeton de sécurité.

Utiliser les groupes dans Passbolt

Une fonctionnalité intéressante de Passbolt qui est disponible dans la version gratuite, c’est l’utilisation de groupes qui va permettre le partage de mot de passe entre les membres du groupe, ce qui peut être pratique pour l’accès à des portails prestataire où l’on possède un seul compte, où le partage de mot de passe pour des serveurs qui ont seulement des comptes génériques.

Les groupes sont créé par les administrateurs de Passbolt, il est ensuite possible de gérer des rôles au sein du groupe pour déléguer certains droits.

Pour accéder à la gestion des groupes, cliquer sur l’engrenage 1 puis sur Gérer les utilisateurs et les groupes 2.

On arrive sur la liste des utilisateurs, les groupes sont affichés dans la partie de gauche, qui est pour le moment vide, cliquer sur le bouton Créer 1 puis sur Groupe 2.

Entrer le nom du groupe 1, comme on peut le voir, mon utilisateur est ajouté au groupe en tant que Responsable, dès la création du groupe, vous pouvez ajouter des utilisateurs 2 en entrant leur nom et en sélectionnant le rôle, pour finir cliquer sur Enregistrer 3.

Le groupe est créé.

Pour partager un mot de passe dans un groupe, sélectionner le mot de passe 1 et cliquer sur Partager 2.

Rechercher le groupe et cliquer dessus 1.

Sélectionner le droit du partage 1 et cliquer sur Enregistrer 2.

Une fois enregistrer le mot de passe sera partagé avec le groupe.

FAQ Passbolt

Pour finir ce tutoriel, voici quelques questions / réponses sur Passbolt.

Est il possible de partager un mot de passe avec un utilisateur ?

Oui cela est possible de partager un mot de passe avec un ou plusieurs utilisateurs sans passer par un groupe. Cela se passe comme pour le partage avec un groupe, il suffit de sélectionner un utilisateur à la place d’un groupe.

Que se passe t il quand on supprime un utilisateur avec des mot de passes partagés

Lors de la suppression de l’utilisateur, l’assistant va vous faire la liste des mots de passe partagé, et va proposer de changer le rôle dans les partages afin qu’ils soient conservés.

Passbolt est il gratuite ?

Oui passbolt est gratuit dans sa version communautaire, il existe aussi des licences payantes qui offrent plus de fonctionnalités comme la liaison LDAP (Active Directory)

L’utilisation de l’extension du navigateur est elle obligatoire ?

Oui sans l’extension, il n’est pas possible d’accéder à Passbolt

Peut on organiser des mots de passe dans des dossiers ?

Passbolt permet de créer des dossiers (virtuels) dans l’interface Web pour organiser les mots de passe, de plus il est possible de partager un dossier avec un utilisateur ou un groupe.

Vous savez maintenant comment déployer Passbolt avec Docker qui est un gestionnaire de mot de passe « simple » ert facilement à administrer.

Si vous souhaitez une solution plus « évoluer », vous pouvez déployer Vaultwarden.

Logiciels
CoffreDockerMot de passePassbolt
Soutenir
LinkedInReddit

📚 Articles similaires

Romain Drouche
Architecte Système | MCSE: Core Infrastructure
Expert en infrastructures IT avec plus de 15 ans d’expérience sur le terrain. Actuellement Chef de projet Systèmes et Réseaux et Référent SSI (Sécurité des Systèmes d’Information), je mets mon expertise au service de la fiabilité et de la sécurité des environnements technologiques.

Laisser un commentaire