Ajout d'un compte utilisateur
Cette page suppose que vous êtes connecté au serveur LDAP avec le compte d'administration.
Toutes les personnes autorisées à accéder aux services ou aux machines se trouvent sous ou=People
.
La manière la plus simple d’ajouter une personne est de créer une copie d’une personne déjà existante (clic droit puis « Copy Entry/DN »). Pensez à vérifier chaque attribut et le mettre à jour si besoin !
uidNumber/gidNumber
Ils représentent les ids POSIX de l’utilisateur et de son groupe. Pour l’uidNumber
, nous avons commencé à 2000 et nous incrémentons de 1 pour chaque nouvelle personne.
L’uidNumber
doit impérativement être unique. Une astuce pour trouver un UID non-utilisé est de lister les UID utilisés avec la commande suivante :
- snippet.bash
ldapsearch -H ldaps://ldap.picasoft.net:636 -b dc=picasoft,dc=net -D cn=admin,dc=picasoft,dc=net -W | grep uidNumber | cut -d ':' -f 2 | sort
Puis de choisir le prochain UID non-utilisé.
Le gidNumber
est choisi en fonction des permissions à donner à l’utilisateur :
- 502 (
member
) : à utiliser par défaut, donne un accès basique aux machines et aux services privés (e.g. Cloud) - 500 (
tech
): donne accès au groupedocker
sur les VMs, permet d’administrer les conteneurs - 501 (
admin
): donne accès aux groupesdocker
etsudo
sur les VMs
Date d'expiration
Le champ shadowExpire
représente la date à laquelle le compte va expirer. Il est donné en jours depuis le 1er janvier 1970.
Pour avoir ce nombre de jours, on peut utiliser les commandes suivantes:
# Remplacer par la date au format AAAAMMDD DATE=20200930 DATE_SECONDS=`date -d "$DATE" +%s` let "DATE_DAYS=DATE_SECONDS/(24*3600)" echo $DATE_DAYS
Il convient de prendre des dates environ un mois après le début du semestre suivant, pour avoir le temps de renouveler les accès si la personne souhaite continuer à s’investir.
Un valeur de -1
indique que le compte n’expire jamais.
Champs informatifs :
cn
etuid
: même valeur, servira de login. On le calque en général sur le login UTC.givenName
: Prénomsn
: Nom de famillemail
: Adresse mail
Mot de passe
Via l’attribut userPassword
. La méthode hash sélectionnée doit être SSHA
. Soit l’utilisateur entre directement son mot de passe, soit on génère un mot de passe sécurisé et on lui envoie en lui demandant de le changer.
Les personnes ayant accès aux machines peuvent mettre à jour leur mot de passe via la commande passwd
. Les personnes n’ayant pas accès aux machines peuvent utiliser le wiki ou le Cloud pour pouvoir mettre à jour leur mot de passe.
Accès aux machines
Pour que le compte puisse se connecter aux machines (en SSH), il faut rajouter quelques attributs.
L’attribut host
peut être spécifié plusieurs fois, et contiendra l’une des valeurs suivantes :
pica01
pica02
pica01-test
monitoring
*
, ce qui est un raccourci pour donner l’accès à toutes les machines.
L’attribut sshPublicKey
, qui peut également être dupliqué, contiendra les clés publiques SSH de l’utilisateur qui sont autorisées à établir une connexion. Il s’agit en général du contenu du fichier ~/.ssh/id_rsa.pub
sur la machine de l’utilisateur.
Enfin, on ajoutera l’attribut homeDirectory
, qui vaut par convention /home/users/<uid>
, et qui correspond au $HOME
de l’utilisateur.
Accès aux services reliés au LDAP
Le simple fait d’avoir une entrée sous ou=People
permet généralement d’accéder aux services reliés au LDAP (comme le wiki ou le Cloud). Tout ceci dépend de la configuration du service en question, donc on ne peut pas faire de généralités.
Les services nécessitant une autorisation spéciale utilisent l’attribut authorizedService
, qui peut être dupliqué autant de fois que nécessaire et contient une valeur arbitraire utilisée par le service (e.g. cloud
ou wiki
- ce ne sont que des exemples, le wiki n’a pas besoin d’autorisation spéciale).
On peut aussi utiliser la valeur *
, qui indique que l’utilisateur a accès à tous les services nécessitant une autorisation spéciale.
Notez bien que cet attribut ne donne en soi accès à rien : c’est aux services eux-mêmes de vérifier la valeur de cet attribut lors de la connexion, et de l’accepter ou non.