Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
technique:adminsys:ldap:gestion [2020/09/07 14:09] – qduchemi | technique:adminsys:ldap:add_people [2021/11/22 22:29] (Version actuelle) – ↷ Liens modifiés en raison d'un déplacement. qduchemi | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | {{indexmenu_n> | ||
+ | # Ajout d'un compte utilisateur | ||
+ | |||
+ | Cette page suppose que vous êtes [[technique: | ||
+ | |||
+ | Toutes les personnes autorisées à accéder aux services ou aux machines se trouvent sous `ou=People`. | ||
+ | |||
+ | La manière la plus simple d' | ||
+ | |||
+ | ## uidNumber/ | ||
+ | |||
+ | Ils représentent les ids POSIX de l' | ||
+ | |||
+ | L' | ||
+ | |||
+ | ```bash | ||
+ | ldapsearch -H ldaps:// | ||
+ | ``` | ||
+ | |||
+ | Puis de choisir le prochain UID non-utilisé. | ||
+ | |||
+ | Le `gidNumber` est choisi en fonction des permissions à donner à l' | ||
+ | |||
+ | * 502 (`member`) : à utiliser par défaut, donne un accès basique aux machines et aux services privés (e.g. Cloud) | ||
+ | * 500 (`tech`): donne accès au groupe `docker` sur les VMs, permet d' | ||
+ | * 501 (`admin`): donne accès aux groupes `docker` et `sudo` sur les VMs | ||
+ | |||
+ | ## Date d' | ||
+ | |||
+ | Le champ `shadowExpire` représente la date à laquelle le compte va expirer. Il est donné en jours depuis le 1er janvier 1970. | ||
+ | |||
+ | Pour avoir ce nombre de jours, on peut utiliser les commandes suivantes: | ||
+ | <code bash> | ||
+ | # Remplacer par la date au format AAAAMMDD | ||
+ | DATE=20200930 | ||
+ | DATE_SECONDS=`date -d " | ||
+ | let " | ||
+ | echo $DATE_DAYS | ||
+ | </ | ||
+ | |||
+ | Il convient de prendre des dates environ un mois après le début du semestre suivant, pour avoir le temps de renouveler les accès si la personne souhaite continuer à s' | ||
+ | |||
+ | Un valeur de `-1` indique que le compte n' | ||
+ | |||
+ | ## Champs informatifs : | ||
+ | |||
+ | * `cn` et `uid` : même valeur, servira de login. On le calque en général sur le login UTC. | ||
+ | * `givenName` : Prénom | ||
+ | * `sn` : Nom de famille | ||
+ | * `mail` : Adresse mail | ||
+ | |||
+ | ## Mot de passe | ||
+ | |||
+ | Via l' | ||
+ | |||
+ | Les personnes ayant accès aux machines peuvent mettre à jour leur mot de passe via la commande `passwd`. Les personnes n' | ||
+ | |||
+ | ## Accès aux machines | ||
+ | |||
+ | Pour que le compte puisse se connecter aux machines (en SSH), il faut rajouter quelques attributs. | ||
+ | |||
+ | L' | ||
+ | |||
+ | * `pica01` | ||
+ | * `pica02` | ||
+ | * `pica01-test` | ||
+ | * `monitoring` | ||
+ | * `*`, ce qui est un raccourci pour donner l' | ||
+ | |||
+ | L' | ||
+ | |||
+ | Enfin, on ajoutera l' | ||
+ | |||
+ | ## Accès aux services reliés au LDAP | ||
+ | |||
+ | Le simple fait d' | ||
+ | |||
+ | Les services nécessitant une autorisation spéciale utilisent l' | ||
+ | |||
+ | On peut aussi utiliser la valeur `*`, qui indique que l' | ||
+ | |||
+ | Notez bien que cet attribut ne donne en soi accès à rien : c'est aux services eux-mêmes de vérifier la valeur de cet attribut lors de la connexion, et de l' |