technique:adminsys:ldap:add_people

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision		 Révision précédente
Prochaine révisionLes deux révisions suivantes
technique:adminsys:ldap:gestion [2020/09/08 18:58] – [Accès aux machines] qduchemitechnique:internal_serv:ldap:add_people [2021/01/20 17:52] – ↷ Liens modifiés en raison d'un déplacement. qduchemi
Ligne 1: Ligne 1:
 {{indexmenu_n>20}} {{indexmenu_n>20}}
  
-# Ajout d'une personne+# Ajout d'un compte utilisateur
  
-Cette page suppose que vous êtes [[technique:adminsys:ldap:utilisation|connecté au serveur LDAP avec le compte d'administration]].+Cette page suppose que vous êtes [[technique:internal_serv:ldap:utilisation|connecté au serveur LDAP avec le compte d'administration]].
  
 Toutes les personnes autorisées à accéder aux services ou aux machines se trouvent sous `ou=People`. Toutes les personnes autorisées à accéder aux services ou aux machines se trouvent sous `ou=People`.
Ligne 16: Ligne 16:
  
 ```bash ```bash
-ldapsearch -H ldaps://ldap.picasoft.net:637 -b dc=picasoft,dc=net -D cn=admin,dc=picasoft,dc=net -W | grep uidNumber | cut -d ':' -f 2 | sort+ldapsearch -H ldaps://ldap.picasoft.net:636 -b dc=picasoft,dc=net -D cn=admin,dc=picasoft,dc=net -W | grep uidNumber | cut -d ':' -f 2 | sort
 ``` ```
  
Ligne 26: Ligne 26:
 * 500 (`tech`): donne accès au groupe `docker` sur les VMs, permet d'administrer les conteneurs * 500 (`tech`): donne accès au groupe `docker` sur les VMs, permet d'administrer les conteneurs
 * 501 (`admin`): donne accès aux groupes `docker` et `sudo` sur les VMs * 501 (`admin`): donne accès aux groupes `docker` et `sudo` sur les VMs
- 
-Si la personne est un représentant de l'association (voir [[asso:administratif:registre|les statuts]]), on ajoutera un attribut `uidNumber` à l'entrée `ou=Groups,cn=representant`, qui vaut son UID (e.g. `amaldona`). Cette manipulation donne quelque chose comme : 
- 
-{{ :technique:adminsys:ldap:2020-09-08_18-22-13.png?nolink&600 |}} 
- 
-Le groupe `representant` est utilisé par certains services, comme le Wiki, pour donner accès aux section privées. 
  
 ## Date d'expiration ## Date d'expiration
Ligne 83: Ligne 77:
 Le simple fait d'avoir une entrée sous `ou=People` permet généralement d'accéder aux services reliés au LDAP (comme le wiki ou le Cloud). Tout ceci dépend de la configuration du service en question, donc on ne peut pas faire de généralités. Le simple fait d'avoir une entrée sous `ou=People` permet généralement d'accéder aux services reliés au LDAP (comme le wiki ou le Cloud). Tout ceci dépend de la configuration du service en question, donc on ne peut pas faire de généralités.
  
-Les services nécessitant une autorisation spéciale utilisent l'attribut `authorizedService`, qui peut être dupliqué autant de fois que nécessaire.+Les services nécessitant une autorisation spéciale utilisent l'attribut `authorizedService`, qui peut être dupliqué autant de fois que nécessaire et contient une valeur arbitraire utilisée par le service (e.g. `cloud` ou `wiki` - ce ne sont que des exemples, le wiki n'a pas besoin d'autorisation spéciale).
  
 On peut aussi utiliser la valeur `*`, qui indique que l'utilisateur a accès à tous les services nécessitant une autorisation spéciale. On peut aussi utiliser la valeur `*`, qui indique que l'utilisateur a accès à tous les services nécessitant une autorisation spéciale.
  
 Notez bien que cet attribut ne donne en soi accès à rien : c'est aux services eux-mêmes de vérifier la valeur de cet attribut lors de la connexion, et de l'accepter ou non. Notez bien que cet attribut ne donne en soi accès à rien : c'est aux services eux-mêmes de vérifier la valeur de cet attribut lors de la connexion, et de l'accepter ou non.
  • technique/adminsys/ldap/add_people.txt
  • de qduchemi