technique:old:password_store:give_access

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
technique:adminsys:secu:password_store:give_access [2021/11/22 22:35] – ↷ Page déplacée de technique:tips:password_store:give_access à technique:adminsys:secu:password_store:give_access qduchemitechnique:adminsys:secu:password_store:give_access [2021/11/22 22:35] (Version actuelle) – ↷ Liens modifiés en raison d'un déplacement. qduchemi
Ligne 1: Ligne 1:
 +{{indexmenu_n>30}}
 +## Donner accès à un dossier
 +
 +Cette page s'adresse aux représentant·e·s qui auraient besoin de chiffrer un dossier pour la clé d'une nouvelle personne.
 +
 +<bootnote>On suppose que cette personne est répertoriée dans le fichier `gpg_keys.txt`, comme indiqué sur la [[technique:adminsys:secu:password_store:get_access|documentation de demande d'accès]].</bootnote>
 +
 +<bootnote warning>Ne pas oublier d'exécuter le script `picaimport`, puisque la nouvelle clé n'est pas encore récupérée dans votre dépôt local de clés. :)</bootnote>
 +
 +### Ajouter la clé au dossier
 +
 +Chaque dossier de la racine est chiffré pour un **ensemble de clés**, listées dans son fichier `.gpg-id`. Lorsque l'on veut rajouter une identité, c'est-à-dire donner accès à une catégorie d'identifiants à une personne :
 +
 +* On rajoute le fingerprint de sa clé sur une nouvelle ligne du fichier `.gpg-id` ;
 +* On chiffre les identifiants pour la nouvelle identité.
 +
 +Exemple :
 +
 +```bash
 +# La clé associée au fingerprint aura accès aux identifiants techniques
 +$ echo <fingerprint> >> Tech/.gpg-id
 +# Chiffre les identifiants techniques pour l'ensemble des identités du fichier .gpg-id du dossier Tech.
 +$ picapass init -p Tech $(cat Tech/.gpg-id)
 +```
 +
 +<bootnote warning>Attention à bien recopier la commande d'initialisation, elle est un peu bizarre... Mais oublier `-p` pourrait avoir des conséquences inattendues. :p</bootnote>
 +
 +### Note sur l'héritage des clés pour les sous-dossiers
 +
 +Cela rajoute un peu de complexité, mais notez bien le fonctionnement du chiffrement des identifiants lorsque vous utilisez plusieurs fichiers `.gpg-id` dans des sous-dossiers.
 +
 +Par exemple, soit l'aborescence suivante :
 +```
 +.
 +├── A
 +│   └── B
 +│       └── .gpg-id
 +├── C
 +└── .gpg-id
 +```
 +
 +Si vous lancez la commande `pass init -p . $(cat .gpg-id)` :
 +
 +* Les identifiants dans `A` et `C` seront chiffrés avec les clés spécifiées dans `.gpg-id`
 +* Les identifiants dans `A/B` seront chiffrés **uniquement** avec les clés spécifiée dans `./A/B/.gpg-id` !
 +
 +En d'autres termes, il n'y a pas d'héritage. La syntaxe de la commande prête à confusion car on dirait vraiment qu'on lui dit de chiffrer tout le dossier Tech avec les clés racines. Mais `pass` intègre cette substitution dans son fonctionnement.
  
  • technique/old/password_store/give_access.txt
  • de qduchemi