Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédenteDernière révisionLes deux révisions suivantes |
technique:adminsys:ldap:gestion [2020/09/08 18:53] – qduchemi | technique:adminsys:ldap:add_people [2021/11/22 22:29] – ↷ Page déplacée de technique:internal_serv:ldap:add_people à technique:adminsys:ldap:add_people qduchemi |
---|
{{indexmenu_n>20}} | {{indexmenu_n>20}} |
| |
# Ajout d'une personne | # Ajout d'un compte utilisateur |
| |
Cette page suppose que vous êtes [[technique:adminsys:ldap:utilisation|connecté au serveur LDAP avec le compte d'administration]]. | Cette page suppose que vous êtes [[technique:internal_serv:ldap:utilisation|connecté au serveur LDAP avec le compte d'administration]]. |
| |
Toutes les personnes autorisées à accéder aux services ou aux machines se trouvent sous `ou=People`. | Toutes les personnes autorisées à accéder aux services ou aux machines se trouvent sous `ou=People`. |
| |
La manière la plus simple d'ajouter une personne est de créer une copie d'une personne déjà existante (clic droit puis «Copy Entry/DN»). Pensez à vérifier chaque attribut et le mettre à jour si besoin ! | La manière la plus simple d'ajouter une personne est de créer une copie d'une personne déjà existante (clic droit puis « Copy Entry/DN »). Pensez à vérifier chaque attribut et le mettre à jour si besoin ! |
| |
## uidNumber/gidNumber | ## uidNumber/gidNumber |
| |
```bash | ```bash |
ldapsearch -H ldaps://ldap.picasoft.net:637 -b dc=picasoft,dc=net -D cn=admin,dc=picasoft,dc=net -W | grep uidNumber | cut -d ':' -f 2 | sort | ldapsearch -H ldaps://ldap.picasoft.net:636 -b dc=picasoft,dc=net -D cn=admin,dc=picasoft,dc=net -W | grep uidNumber | cut -d ':' -f 2 | sort |
``` | ``` |
| |
* 500 (`tech`): donne accès au groupe `docker` sur les VMs, permet d'administrer les conteneurs | * 500 (`tech`): donne accès au groupe `docker` sur les VMs, permet d'administrer les conteneurs |
* 501 (`admin`): donne accès aux groupes `docker` et `sudo` sur les VMs | * 501 (`admin`): donne accès aux groupes `docker` et `sudo` sur les VMs |
| |
Si la personne est un représentant de l'association (voir [[asso:administratif:registre|les statuts]]), on ajoutera un attribut `uidNumber` à l'entrée `ou=Groups,cn=representant`, qui vaut son UID (e.g. `amaldona`). Cette manipulation donne quelque chose comme : | |
| |
{{ :technique:adminsys:ldap:2020-09-08_18-22-13.png?nolink&600 |}} | |
| |
Le groupe `representant` est utilisé par certains services, comme le Wiki, pour donner accès aux section privées. | |
| |
## Date d'expiration | ## Date d'expiration |
## Accès aux machines | ## Accès aux machines |
| |
Pour que le compte puisse se connecter aux machines (en SSH), il faut rajouter quelques attributs : | Pour que le compte puisse se connecter aux machines (en SSH), il faut rajouter quelques attributs. |
L'attribut `host` peut être spécifié plusieurs fois, et contiendra l'une des valeurs suivantes : | L'attribut `host` peut être spécifié plusieurs fois, et contiendra l'une des valeurs suivantes : |
| |
| |
L'attribut `sshPublicKey`, qui peut également être dupliqué, contiendra les clés publiques SSH de l'utilisateur qui sont autorisées à établir une connexion. Il s'agit en général du contenu du fichier `~/.ssh/id_rsa.pub` sur la machine de l'utilisateur. | L'attribut `sshPublicKey`, qui peut également être dupliqué, contiendra les clés publiques SSH de l'utilisateur qui sont autorisées à établir une connexion. Il s'agit en général du contenu du fichier `~/.ssh/id_rsa.pub` sur la machine de l'utilisateur. |
| |
| Enfin, on ajoutera l'attribut `homeDirectory`, qui vaut par convention `/home/users/<uid>`, et qui correspond au `$HOME` de l'utilisateur. |
| |
## Accès aux services reliés au LDAP | ## Accès aux services reliés au LDAP |
Le simple fait d'avoir une entrée sous `ou=People` permet généralement d'accéder aux services reliés au LDAP (comme le wiki ou le Cloud). Tout ceci dépend de la configuration du service en question, donc on ne peut pas faire de généralités. | Le simple fait d'avoir une entrée sous `ou=People` permet généralement d'accéder aux services reliés au LDAP (comme le wiki ou le Cloud). Tout ceci dépend de la configuration du service en question, donc on ne peut pas faire de généralités. |
| |
Les services nécessitant une autorisation spéciale utilisent l'attribut `authorizedService`, qui peut être dupliqué autant de fois que nécessaire. | Les services nécessitant une autorisation spéciale utilisent l'attribut `authorizedService`, qui peut être dupliqué autant de fois que nécessaire et contient une valeur arbitraire utilisée par le service (e.g. `cloud` ou `wiki` - ce ne sont que des exemples, le wiki n'a pas besoin d'autorisation spéciale). |
| |
On peut aussi utiliser la valeur `*`, qui indique que l'utilisateur a accès à tous les services nécessitant une autorisation spéciale. | On peut aussi utiliser la valeur `*`, qui indique que l'utilisateur a accès à tous les services nécessitant une autorisation spéciale. |
| |
Notez bien que cet attribut ne donne en soi accès à rien : c'est aux services eux-mêmes de vérifier la valeur de cet attribut lors de la connexion, et de l'accepter ou non. | Notez bien que cet attribut ne donne en soi accès à rien : c'est aux services eux-mêmes de vérifier la valeur de cet attribut lors de la connexion, et de l'accepter ou non. |