Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
technique:adminsys:ldap:intro [2020/09/16 11:24] – modification externe 127.0.0.1technique:adminsys:ldap:intro [2022/05/24 21:10] (Version actuelle) ppom
Ligne 3: Ligne 3:
 # Structure et clarification du LDAP # Structure et clarification du LDAP
  
-Cette page présente la structure de l'annuaire LDAP. Techniquement, cette structure se retrouve [ici](https://gitlab.utc.fr/picasoft/projets/dockerfiles/-/tree/master/pica-openldap/bootstrap).+Cette page présente la structure de l'annuaire LDAP. Techniquement, cette structure se retrouve [ici](https://gitlab.utc.fr/picasoft/projets/services/openldap/-/tree/master/bootstrap).
  
 Cette page tente d'expliquer le pourquoi du comment du LDAP. Pour créer des utilisateurs ou des services et avoir plus de détails, consultez les pages dédiées du wiki. Cette page tente d'expliquer le pourquoi du comment du LDAP. Pour créer des utilisateurs ou des services et avoir plus de détails, consultez les pages dédiées du wiki.
Ligne 21: Ligne 21:
 Pris dans son ensemble, un annuaire LDAP **ne fait rien**. Ce n'est pas parce qu'on indique avec des attributs LDAP qu'un utilisateur a le droit de se connecter à `pica02` qu'il pourra le faire. C'est ensuite aux **clients** de l'annuaire de regarder le bon attribut, de l'interpréter et de donner l'autorisation. Pris dans son ensemble, un annuaire LDAP **ne fait rien**. Ce n'est pas parce qu'on indique avec des attributs LDAP qu'un utilisateur a le droit de se connecter à `pica02` qu'il pourra le faire. C'est ensuite aux **clients** de l'annuaire de regarder le bon attribut, de l'interpréter et de donner l'autorisation.
  
-En gros, l'ajout d'attributs dans le LDAP ne change rien si le client n'a pas été paramétré pour prendre en compte ces attributs. On pourra voir la page [[technique:adminsys:ldap:installation|authentification LDAP sur les machines]] ou [[technique:adminsys:wiki#changement_de_methode_d_authentification|authentification sur le Wiki avec LDAP]] pour un exemple.+En gros, l'ajout d'attributs dans le LDAP ne change rien si le client n'a pas été paramétré pour prendre en compte ces attributs. On pourra voir la page [[technique:adminsys:tips:auth_ldap|authentification LDAP sur les machines]] ou [[technique:adminserv:wiki#changement_de_methode_d_authentification|authentification sur le Wiki avec LDAP]] pour un exemple.
  
 Cette page donne donc la structure qu'on a choisie pour les besoins de Picasoft, mais ce n'est qu'une description sémantique : un annuaire LDAP avec cette structure ne fera **rien** sans paramétrage des clients. Quand on dit : Cette page donne donc la structure qu'on a choisie pour les besoins de Picasoft, mais ce n'est qu'une description sémantique : un annuaire LDAP avec cette structure ne fera **rien** sans paramétrage des clients. Quand on dit :
Ligne 54: Ligne 54:
 * `admin` (`501`) : ce groupe sera mappé sur le groupe `sudo` des machines. Tout compte de `People` ayant un GID de `501` sera donc `sudoer` sur les machines auxquelles il a accès. * `admin` (`501`) : ce groupe sera mappé sur le groupe `sudo` des machines. Tout compte de `People` ayant un GID de `501` sera donc `sudoer` sur les machines auxquelles il a accès.
 * `member` (`502`) : membre de l'association. Accès basique aux machines (pas de possibilité d'utiliser Docker, par exemple). Permet de se connecter aux services réservés aux membres (Cloud, édition du Wiki...). * `member` (`502`) : membre de l'association. Accès basique aux machines (pas de possibilité d'utiliser Docker, par exemple). Permet de se connecter aux services réservés aux membres (Cloud, édition du Wiki...).
 +
 +<bootnote>`admin` est aussi utilisé pour les services avec authentification LDAP pour distribuer les droits d'administration.</bootnote>
  
 Notez que les groupes `tech`, `admin` et `member` sont prévus pour être mutuellement exclusifs : on est l'un des trois. Notez que les groupes `tech`, `admin` et `member` sont prévus pour être mutuellement exclusifs : on est l'un des trois.
  • technique/adminsys/ldap/intro.1600248268.txt.gz
  • de 127.0.0.1