Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
technique:adminsys:ldap:intro [2020/09/08 19:37] – qduchemi | technique:adminsys:ldap:intro [2022/05/24 21:10] (Version actuelle) – ppom | ||
---|---|---|---|
Ligne 3: | Ligne 3: | ||
# Structure et clarification du LDAP | # Structure et clarification du LDAP | ||
- | Cette page présente la structure de l' | + | Cette page présente la structure de l' |
Cette page tente d' | Cette page tente d' | ||
Ligne 21: | Ligne 21: | ||
Pris dans son ensemble, un annuaire LDAP **ne fait rien**. Ce n'est pas parce qu'on indique avec des attributs LDAP qu'un utilisateur a le droit de se connecter à `pica02` qu'il pourra le faire. C'est ensuite aux **clients** de l' | Pris dans son ensemble, un annuaire LDAP **ne fait rien**. Ce n'est pas parce qu'on indique avec des attributs LDAP qu'un utilisateur a le droit de se connecter à `pica02` qu'il pourra le faire. C'est ensuite aux **clients** de l' | ||
- | En gros, l' | + | En gros, l' |
Cette page donne donc la structure qu'on a choisie pour les besoins de Picasoft, mais ce n'est qu'une description sémantique : un annuaire LDAP avec cette structure ne fera **rien** sans paramétrage des clients. Quand on dit : | Cette page donne donc la structure qu'on a choisie pour les besoins de Picasoft, mais ce n'est qu'une description sémantique : un annuaire LDAP avec cette structure ne fera **rien** sans paramétrage des clients. Quand on dit : | ||
Ligne 54: | Ligne 54: | ||
* `admin` (`501`) : ce groupe sera mappé sur le groupe `sudo` des machines. Tout compte de `People` ayant un GID de `501` sera donc `sudoer` sur les machines auxquelles il a accès. | * `admin` (`501`) : ce groupe sera mappé sur le groupe `sudo` des machines. Tout compte de `People` ayant un GID de `501` sera donc `sudoer` sur les machines auxquelles il a accès. | ||
* `member` (`502`) : membre de l' | * `member` (`502`) : membre de l' | ||
+ | |||
+ | < | ||
Notez que les groupes `tech`, `admin` et `member` sont prévus pour être mutuellement exclusifs : on est l'un des trois. | Notez que les groupes `tech`, `admin` et `member` sont prévus pour être mutuellement exclusifs : on est l'un des trois. | ||
Ligne 100: | Ligne 102: | ||
### authorizedServiceObject | ### authorizedServiceObject | ||
- | Permet d' | + | Permet d' |
## Services | ## Services | ||
Ligne 106: | Ligne 108: | ||
Les entrées sous l'OU `Services` permettent de créer des comptes pour les services de Picasoft (e.g. Mattermost, Wekan, Wiki...) | Les entrées sous l'OU `Services` permettent de créer des comptes pour les services de Picasoft (e.g. Mattermost, Wekan, Wiki...) | ||
- | Elles sont de trois types : | + | Elles sont de deux types : |
#### Pour interroger le LDAP | #### Pour interroger le LDAP | ||
Ligne 114: | Ligne 116: | ||
Les classes de ce genre d' | Les classes de ce genre d' | ||
- | #### Pour gérer les permissions | + | #### Pour avoir un compte (permissions, mail) |
Un service qui ne tourne pas en tant que `root`, comme Mattermost, doit bien avoir un compte POSIX disponible pour créer des fichiers. C'est fait dans le LDAP, pour éviter de le faire sur chaque machine susceptible de faire tourner Mattermost. | Un service qui ne tourne pas en tant que `root`, comme Mattermost, doit bien avoir un compte POSIX disponible pour créer des fichiers. C'est fait dans le LDAP, pour éviter de le faire sur chaque machine susceptible de faire tourner Mattermost. | ||
Ligne 120: | Ligne 122: | ||
On utilise les classes `organizationRole` et `posixAccount`, | On utilise les classes `organizationRole` et `posixAccount`, | ||
- | #### Pour envoyer des mails | + | Aussi, certains services, comme le mail, imposent que chaque adresse mail (e.g. `mattermost@picasoft.net`) soit associé |
- | + | ||
- | C'est la même logique que pour les permissions : il faut un compte POSIX pour envoyer et stocker les mails sur la machine. Il peut s'agir de mails de notifications, de confirmation d' | + | |
- | + | ||
- | On utilise les mêmes classes que pour les services ayant besoin de créer des fichiers, et on ajoute la classe | + |