Différences

Ci-dessous, les différences entre deux révisions de la page.

--- technique:adminserv:wiki:auth_acl [2021/01/19 22:23] – qduchemi
+++ technique:adminserv:wiki:auth_acl [2021/11/22 22:29] (Version actuelle) – ↷ Liens modifiés en raison d'un déplacement. qduchemi
@@ Ligne 10: / Ligne 10: @@
   - Veiller à ce que l'extension PHP LDAP soit installée (sous Debian-like : ''php7.0-ldap'')
-  - Activer le plugin LDAP (''Administrer -> Gestionnaire d'extensions -> LDAP Auth Plugin -> Activer''
+  - Activer le plugin LDAP (''Administrer -> Gestionnaire d'extensions -> LDAP Auth Plugin -> Activer'')
   - Changer les paramètres (''Administrer -> Paramètres de configuration''). Ci-dessous, on trouve un extrait de ''html/config/local.php'', présent à la racine du volume Dokuwiki et qui correspond aux paramètres personnalisés. Ces derniers peuvent être modifiés depuis l'interface d'administration, mais il est plus pratique de copier le fichier de configuration :
@@ Ligne 41: / Ligne 41: @@
 Tout devrait être bon. On pourra afficher les [[technique:adminserv:wiki:debug|informations de debug]] une fois connecté pour vérifier que l'on appartient bien aux bon groupes. Ensuite, on refera les ACL en fonction des nouveaux groupes LDAP.
+## Groupes d'utilisateur
+<bootnote question>Quels sont les groupes disponibles sur Dokuwiki ?</bootnote>
+<bootnote learn>Le serveur LDAP définit [[technique:adminsys:ldap:intro|trois groupes]] : `member`, `tech` et `admin`. Lorsqu'un utilisateur se connecte sur le wiki, son groupe est également récupéré.</bootnote>
+De plus, Dokuwiki propose :
+* Un pseudo-groupe `@ALL`, qui englobe tout le monde (y compris les utilisateurs non-authentifiés)
+* Un groupe attribué à tous les utilisateurs connectés (actuellement `@user`, défini dans [la configuration de la méthode d'authentification](https://wiki.picasoft.net/doku.php?id=start&do=admin&page=config#_authentication)).
+## Groupes et permissions
+Historiquement, il y avait des sections privées sur le wiki. Maintenant, toutes les pages sont publiques.
+* Tous les utilisateurs connectés peuvent éditer les pages.
+* Les membres du groupe `tech` ou `admin` peuvent administrer le wiki.
+La configuration se fait à deux endroits. Pour l'administration, on définit au niveau de la [méthode d'authentification](https://wiki.picasoft.net/doku.php?id=start&do=admin&page=config#_authentication) les groupes qui ont automatiquement tous les droits (`@admin,@tech`).
+<bootnote learn>Le `@` désigne un groupe dans Dokuwiki.</bootnote>
+Pour le contrôle d'accès (ACL), on se rend sur [cette page](https://wiki.picasoft.net/doku.php?id=start&do=admin&page=acl).
+L'arborescence à gauche permet de choisir une catégorie sur laquelle vont s'appliquer les restrictions. Pour l'ensemble du wiki, on cliquera sur la racine.
+{{ :technique:adminserv:wiki:wiki_acl_arb.png |}}
+Les contrôles d'accès actuels sont situés en bas. Ils peuvent évoluer au fil des besoins. Un exemple :
+{{ :technique:adminserv:wiki:wiki_acl_exemple.png |}}
+* Tous les utilisateurs connectés peuvent faire toutes les actions possibles sur les pages (groupe par défaut `user`)
+* Tout le monde peut lire l'ensemble des pages...
+* Sauf les pages de la section `:asso:prive`, relicat d'un ancien système.
+<bootnote>Dans ce cas, les membres de `tech` et `admin` peuvent quand même consulter la catégorie `:asso:prive`, car ils ont tous les droits quels que soient les contrôles d'accès.</bootnote>
+Pour ajouter une nouvelle règle, on choisit une catégorie et on recherche le groupe ou l'utilisateur concerné (en général, le groupe). Par exemple, pour ajouter des droits de lecture au groupe `tengo` sur la section `:technique` (à supposer que ce groupe existe dans le LDAP)...
+{{ :technique:adminserv:wiki:wiki_acl_add.png |}}
+<bootnote warning>Les ACL choisissent toujours l'option la plus restrictive : dans ce cas, **seuls** les utilisateurs du groupe `tengo` pourront lire la section concerné, malgré la règle autorisant `@ALL` à lire tout le wiki.</bootnote>