Derniers messages
Dernier message par Lyne - 06 Décembre 2024 à 21:56:10
Cliquez pour afficher le message
Compte-rendu du point hebdo du 05/12/2024
Zatalyz
De mon côté j'ai bossé sur LDAP (comme le forum le montre) et c'est pas une grande réussite encore, mais ça va venir
et j'espère avoir quelques réponses concrètes sur les groupes utiles à Khaganat.
https://khaganat.net/forum/index.php/topic,804.0.html
Lyne
J'ai mis à jour la page de l'UM1 sur l'âge. Ce qui signifie que, en fait, j'ai créé deux autres pages en plus pour répartir le contenu
K'Deed
Bon, nous avons changé 2 serveurs.
On a arrêté Destroyer qui est tombé en panne pour Drakkar.
Et comme les serveurs étaient moins chers en ce moment , nous avons changé aussi Corvette pour Sampan .
Alcyone
J'ai posté ma nouvelle du mois et relancé pour le mois suivant sur le thème "Spadzura"
aleajactaest
De mon côté toujours sur mes test
Zatalyz
De mon côté j'ai bossé sur LDAP (comme le forum le montre) et c'est pas une grande réussite encore, mais ça va venir
et j'espère avoir quelques réponses concrètes sur les groupes utiles à Khaganat.
https://khaganat.net/forum/index.php/topic,804.0.html
Lyne
J'ai mis à jour la page de l'UM1 sur l'âge. Ce qui signifie que, en fait, j'ai créé deux autres pages en plus pour répartir le contenu
K'Deed
Bon, nous avons changé 2 serveurs.
On a arrêté Destroyer qui est tombé en panne pour Drakkar.
Et comme les serveurs étaient moins chers en ce moment , nous avons changé aussi Corvette pour Sampan .
Alcyone
J'ai posté ma nouvelle du mois et relancé pour le mois suivant sur le thème "Spadzura"
aleajactaest
De mon côté toujours sur mes test
Dernier message par YannK - 05 Décembre 2024 à 21:39:50
Cliquez pour afficher le message
Personnellement je serais pour:
- les infos minimum nécessaires pour mettre en place les outils (donc ce que tu as listé comme obligatoire). Si jamais le reste s'avérait utile à l'avenir, ça pourra être ajouté. Pas la peine de s'ouvrir une porte inutile et d'ajouter du taf genre RGPD en plus si ce n'est pas utile.
- pour les groupes au sein de khaganat, je verrais assez bien de décliner en fonction des accès aux outils, par exemple :
- membre du collège associatif
- membre de l'association
- contributrice simple : accès sans privilèges à tous les outils (ou les plus bas accordés à chaque fois)
- contributrice développeuse : accès avec privilèges DEV sur la forge
- contributrice mainteneuse : accès avec privilèges Maintainer sur la forge
- contributrice éditrice : accès avec privilèges avancés sur les wikis
- contributrice adminsys : accès avec privilèges avancés sur les wikis adminsys
- contributrice modératrice : accès avec privilèges avancés sur le forum
Dernier message par Zatalyz - 05 Décembre 2024 à 21:16:52
Cliquez pour afficher le message
CitationEn y réfléchissant, et après visionnage de la vidéo que tu as liée, je me demande si OAuth est vraiment adapté à ce schéma.
Tu as raison, il faut peut-être que je veille à ça. Après, Oauth, OpenID, SAML... ça se vaut (même si ça ne demande pas les mêmes choses). Et malheureusement je ne saurais quel système est "bon" qu'une fois que j'aurais testé... Je sens que je vais m'amuser.
Après, attention, y'a une différence entre le backend, où je suis pour le moment (avec très peu de choix, quand on élimine certaines techno...) et le frontend. LemonLDAP, FreeIPA, Kadnim etc c'est du frontend et à ce stade "je m'en fous", je ne suis que sur LDAP brut... Et vu les limitations de LLDAP et ce que Shepeng pointe, je vais devoir retourner à OpenLDAP. Et bon c'était pas pour partir dans une discussion de tech, je demandais juste des trucs basiques comme "vous voulez quoi comme groupes et arborescence" et autre "et mettre votre bio dans le profil ?"
CitationEst-ce que le périmètre s'applique uniquement au services web ou aussi au machines (container LXC, machines virtuelles, Hyperviseurs) ?
C'est du LDAP. Donc, ça s'interface avec ce qu'on veut, pour peu que le truc en question supporte le protocole LDAP. Et si ça ne supporte pas LDAP mais qu'on veut l'interfacer, ben on fera le lien avec une autre techno. Le gros intérêt de LDAP c'est que c'est un truc assez primaire qui sert facilement de liant à "plein de trucs". Mais je n'ai pas prévu qu'on se connecte en tant que sysadmin aux serveurs avec ça, là je préfère séparer un peu, et ssh me va très bien. Proxmox... on verra.
Maintenant concernant les besoins, ils sont déjà décrit dans le wikhan, et à mon niveau si j'arrive à avoir le forum et les wikis avec un seul coin pour les identifiants, je serais déjà contente. L'objectif c'est de mettre en place le système, puis d'y connecter petit à petit le maximum de chose. Sachant que certains services web demanderont peut-être du développement.
Dernier message par shepeng - 05 Décembre 2024 à 13:59:59
Cliquez pour afficher le message
En y réfléchissant, et après visionnage de la vidéo que tu as liée, je me demande si OAuth est vraiment adapté à ce schéma.
D'ailleurs sur la doc de lemonLDAP OAuth n'est pas cité.
Du coup : regarder plutôt SAML ou OpenID Connect.
D'ailleurs sur la doc de lemonLDAP OAuth n'est pas cité.
Du coup : regarder plutôt SAML ou OpenID Connect.
Dernier message par Rollniak - 03 Décembre 2024 à 10:24:53
Cliquez pour afficher le message
Bonjour tout le monde
@Shepeng me fait penser que l'on doit bien définir nos besoins pour choisir par la suite le bon outil.
Est-ce que le périmètre s'applique uniquement au services web ou aussi au machines (container LXC, machines virtuelles, Hyperviseurs) ?
Il est question de multi-domaine, donc ça exclut FreeIPA que je connais le mieux pour l'avoir utilisé (Non administré) en entreprise.
Concernant les profiles, j'imagine que les informations suivantes sont importantes :
Pour le mail, je pense que ça dépends, la seul utilité que je voie c'est pour des applications qui ne supporte que l'authentification avec un é-mails ou si un serveur é-mail utilise LDAP pour l'authentification et obtenir la liste des é-mails valides.
Pour les groupes on pourrais réfléchir au accès en suivant le principe de de moindre privilège. Les admins on certains accès, les devs on des accès plus restreint suivant leurs besoins est ainsi de suite.
Je pense que 0auth peut être vue plus tard une fois que la configuration LDAP est terminé.
@Shepeng me fait penser que l'on doit bien définir nos besoins pour choisir par la suite le bon outil.
Est-ce que le périmètre s'applique uniquement au services web ou aussi au machines (container LXC, machines virtuelles, Hyperviseurs) ?
Il est question de multi-domaine, donc ça exclut FreeIPA que je connais le mieux pour l'avoir utilisé (Non administré) en entreprise.
Concernant les profiles, j'imagine que les informations suivantes sont importantes :
- Nom Affiché
- mot de passe
- identifiant
- uid (Je crois que la valeurs de départ doit être haute pour pas empiéter sur des comptes existant dans le cas ou le LDAP est utilisé pour s'authentifier sur des machines)
- L'avatar est un plus optionnel
- Les préférences dépendes du support des applications utilisé par nos services, ça peut être vue au cas par cas.
Pour le mail, je pense que ça dépends, la seul utilité que je voie c'est pour des applications qui ne supporte que l'authentification avec un é-mails ou si un serveur é-mail utilise LDAP pour l'authentification et obtenir la liste des é-mails valides.
Pour les groupes on pourrais réfléchir au accès en suivant le principe de de moindre privilège. Les admins on certains accès, les devs on des accès plus restreint suivant leurs besoins est ainsi de suite.
Je pense que 0auth peut être vue plus tard une fois que la configuration LDAP est terminé.
Dernier message par shepeng - 03 Décembre 2024 à 09:24:52
Cliquez pour afficher le message
Mes premières idées en vrac.
Est-ce que LLDAP permet de faire plusieurs arborescences, d'avoir plusieurs racines ?
Si oui, ton problème de sous groupes est réglé. Si non, et si tu veux vraiment séparer les entités, il faut passer à autre chose, pour avoir une racine par entité.
Ce qui donne les fonctionnalités à LDAP, ce sont les schémas que l'on ajoute. Il faut à mon avis déjà penser à l'implémentation 0Auth ou autre mécanisme de connexion internet et voir quels schémas sobnt nécessaires.
Si tu veux intégrer les avatars, il faudra également trouver un schéma le contenant. Le schéma posix contient une éventuelle photo, mais ce n'est pas vraiment le même chose.
Est-ce que LLDAP permet de faire plusieurs arborescences, d'avoir plusieurs racines ?
Si oui, ton problème de sous groupes est réglé. Si non, et si tu veux vraiment séparer les entités, il faut passer à autre chose, pour avoir une racine par entité.
Ce qui donne les fonctionnalités à LDAP, ce sont les schémas que l'on ajoute. Il faut à mon avis déjà penser à l'implémentation 0Auth ou autre mécanisme de connexion internet et voir quels schémas sobnt nécessaires.
Si tu veux intégrer les avatars, il faudra également trouver un schéma le contenant. Le schéma posix contient une éventuelle photo, mais ce n'est pas vraiment le même chose.
Dernier message par Zatalyz - 03 Décembre 2024 à 08:52:47
Cliquez pour afficher le message
Pendant que j'y suis (et que je suis plus réveillée), je me questionne un peu sur le logiciel que j'utilise, LLDAP, qui est hyper basique, peut-être trop. En gros il n'y a que les utilisatrices, et les groupes, sans possibilité de faire des sous-groupes. Et je me dis que quand j'aurais 10 asso/organisations ça va être lourd de ne pas pouvoir juste cibler les groupes d'une asso. Mais ce n'est peut-être pas si grave, suffit que je préfixe par le nom de l'asso. L'autre solution est de passer à OpenLDAP, qui est assez effrayant mais plus complet.
Votre avis ?
Votre avis ?
Dernier message par Zatalyz - 02 Décembre 2024 à 22:50:56
Cliquez pour afficher le message
J'ai oublié de poser clairement ma demande...
Donc :
- donnez votre avis sur ce que vous voulez voir dans "profil" (et si ça doit être vu juste par vous et les personnes avec assez de droits, ou si tous les membres connectés peuvent le voir)
- listez-moi les divers groupes qui vous semblent utiles.
- et pour les groupes, listez aussi si au delà du nom et de la description, vous voyez d'autres infos utiles à afficher.
Donc :
- donnez votre avis sur ce que vous voulez voir dans "profil" (et si ça doit être vu juste par vous et les personnes avec assez de droits, ou si tous les membres connectés peuvent le voir)
- listez-moi les divers groupes qui vous semblent utiles.
- et pour les groupes, listez aussi si au delà du nom et de la description, vous voyez d'autres infos utiles à afficher.
Dernier message par Zatalyz - 02 Décembre 2024 à 22:46:44
Cliquez pour afficher le message
Salut
Je suis en train de me replonger dans l'authentification unifiée. Et je me questionne un peu sur l'organisation à donner à ça. Je vais essayer d'expliquer, mais 1) c'est pas un sujet trivial et 2) vu que personne n'est expert, vous êtes toutes aptes à me donner votre avis.
Cette affaire d'authentification unifiée passe par deux étapes : primo, avoir un seul identifiant/mot de passe pour l'ensemble de nos services. Histoire que quand on change son mot de passe, on n'aie pas besoin de le faire 10 fois de suite (sur le wiki, le forum, le cloud, etc...). Secundo, que quand on se connecte, on le soit partout (sans devoir se connecter une fois sur le wiki, une autre sur le forum, une autre sur... enfin vous avez l'idée).
Là j'en suis à l'étape alpha 1. C'est à dire que je met en place de quoi avoir un seul identifiant partout, mais on n'en est même pas encore à ce que vous puissiez créer un compte et changer le mot de passe
Pour la petite histoire de Mage, j'utilise LDAP. Et LDAP c'est un peu comme le croisement entre les entités du subespace et l'enfer de Bosch. Mais j'ai mes raisons, promis. Osef de la technologie, ce qui compte c'est : comment je structure mes données. Et LDAP a une réponse digne du Necronomicon là-dessus: "c'est comme tu veux, ou presque". Je peux me charger du "presque", mais "comme je veux", c'est hyper difficile.
Breeeef. LDAP ne sert pas qu'à Khaganat, mais aussi à Numenaute et aux diverses assos et groupes hébergés par Numenaute. Et c'est l'asso Rapaton qui héberge Numenaute. Mais du coup j'imagine que tout va être sous le nom "numenaute" (dont Rapaton). Là déjà on a commencé à penser en géométrie non-euclidienne
En gros : quand on se connectera à Khaganat, cela demanderais de le faire sur auth.numenaute.org. J'imagine qu'à l'étape 2 je pourrais peut-être le cacher un peu, mais sans certitude, et pour celles d'entre vous qui regardent les noms de domaines appelés, ça voudra dire qu'à un moment "numenaute" sera appelé façon CDN sur Khaganat.
Je ne vois pas trop comment faire autrement, je ne vais pas maintenir un annuaire par asso...
Ensuite au niveau de l'arbre, ça va être presque sans douleur. Il y aura le groupe des utilisatrices, qui aura touuuut le monde. Et des groupes variés, j'y reviens plus tard.
Concernant les utilisatrices, en dehors des groupes dont elles font partie, quelles informations voulez-vous avoir de base dans le profil ? Je pense mettre ce qui suit, et je le soumet à vos avis.
Obligatoire :
- Pseudo (nom affiché)
- mail
- mot de passe, logique...
- identifiant (qui peut être différent du nom affiché, parce que c'est plus rapide de se connecter avec "zatalyz" qu'avec "Prêtresse de la Propagande".
- uid, ça c'est pour la machine, elle se débrouille toute seule.
Pas obligatoire mais peut être utile ?
- Avatar
- Nom et prénom (pour celles qui sont membres des assos)
- sans doute que je pourrais permettre là de sélectionner ses préférences en terme de langue et de thème (sombre/clair) mais je doute que les cms supportent vraiment ça.
En vrai je ne sais même pas si stocker les noms et prénoms est une bonne idée ; chaque asso peut se débrouiller pour faire le lien entre pseudo et nom civil (chacun son rgpd !). Et sinon il y a peut-être d'autres champs que vous aimeriez avoir dans un profil générique, qui pourra (au choix) être visible par la suite aux autres, suivant leurs droits (genre : vos sites web ?).
La partie qui suit me questionne aussi pas mal, ce sont les groupes, et là on est plus propre à Khaganat (chaque structure va devoir le faire...). Je précise : les groupes qui vont donner accès à des droits différents. Par exemple sur Khaganat il me semble logique d'avoir les groupes suivants : collège, membre sauf comment on appelle les membres de Khaganat mais pas de l'asso ? et comment on différencie de ceux de l'asso ? Et après il y a des groupes déjà sur le forum, les dokuwiki, la forge etc... haaaaargh. Aidez moi à faire cette liste
Je ne sais pas du tout si tous nos cms vont prendre ces groupes en compte pour les accès aux droits de lecture/écriture, mais je crois qu'il faut partir dans l'optique que "ouais". Et je sens que je vais bien rigoler quand je vais interfacer les trucs.
Je suis en train de me replonger dans l'authentification unifiée. Et je me questionne un peu sur l'organisation à donner à ça. Je vais essayer d'expliquer, mais 1) c'est pas un sujet trivial et 2) vu que personne n'est expert, vous êtes toutes aptes à me donner votre avis.
Cette affaire d'authentification unifiée passe par deux étapes : primo, avoir un seul identifiant/mot de passe pour l'ensemble de nos services. Histoire que quand on change son mot de passe, on n'aie pas besoin de le faire 10 fois de suite (sur le wiki, le forum, le cloud, etc...). Secundo, que quand on se connecte, on le soit partout (sans devoir se connecter une fois sur le wiki, une autre sur le forum, une autre sur... enfin vous avez l'idée).
Là j'en suis à l'étape alpha 1. C'est à dire que je met en place de quoi avoir un seul identifiant partout, mais on n'en est même pas encore à ce que vous puissiez créer un compte et changer le mot de passe
Pour la petite histoire de Mage, j'utilise LDAP. Et LDAP c'est un peu comme le croisement entre les entités du subespace et l'enfer de Bosch. Mais j'ai mes raisons, promis. Osef de la technologie, ce qui compte c'est : comment je structure mes données. Et LDAP a une réponse digne du Necronomicon là-dessus: "c'est comme tu veux, ou presque". Je peux me charger du "presque", mais "comme je veux", c'est hyper difficile.
Breeeef. LDAP ne sert pas qu'à Khaganat, mais aussi à Numenaute et aux diverses assos et groupes hébergés par Numenaute. Et c'est l'asso Rapaton qui héberge Numenaute. Mais du coup j'imagine que tout va être sous le nom "numenaute" (dont Rapaton). Là déjà on a commencé à penser en géométrie non-euclidienne
En gros : quand on se connectera à Khaganat, cela demanderais de le faire sur auth.numenaute.org. J'imagine qu'à l'étape 2 je pourrais peut-être le cacher un peu, mais sans certitude, et pour celles d'entre vous qui regardent les noms de domaines appelés, ça voudra dire qu'à un moment "numenaute" sera appelé façon CDN sur Khaganat.
Je ne vois pas trop comment faire autrement, je ne vais pas maintenir un annuaire par asso...
Ensuite au niveau de l'arbre, ça va être presque sans douleur. Il y aura le groupe des utilisatrices, qui aura touuuut le monde. Et des groupes variés, j'y reviens plus tard.
Concernant les utilisatrices, en dehors des groupes dont elles font partie, quelles informations voulez-vous avoir de base dans le profil ? Je pense mettre ce qui suit, et je le soumet à vos avis.
Obligatoire :
- Pseudo (nom affiché)
- mot de passe, logique...
- identifiant (qui peut être différent du nom affiché, parce que c'est plus rapide de se connecter avec "zatalyz" qu'avec "Prêtresse de la Propagande".
- uid, ça c'est pour la machine, elle se débrouille toute seule.
Pas obligatoire mais peut être utile ?
- Avatar
- Nom et prénom (pour celles qui sont membres des assos)
- sans doute que je pourrais permettre là de sélectionner ses préférences en terme de langue et de thème (sombre/clair) mais je doute que les cms supportent vraiment ça.
En vrai je ne sais même pas si stocker les noms et prénoms est une bonne idée ; chaque asso peut se débrouiller pour faire le lien entre pseudo et nom civil (chacun son rgpd !). Et sinon il y a peut-être d'autres champs que vous aimeriez avoir dans un profil générique, qui pourra (au choix) être visible par la suite aux autres, suivant leurs droits (genre : vos sites web ?).
La partie qui suit me questionne aussi pas mal, ce sont les groupes, et là on est plus propre à Khaganat (chaque structure va devoir le faire...). Je précise : les groupes qui vont donner accès à des droits différents. Par exemple sur Khaganat il me semble logique d'avoir les groupes suivants : collège, membre sauf comment on appelle les membres de Khaganat mais pas de l'asso ? et comment on différencie de ceux de l'asso ? Et après il y a des groupes déjà sur le forum, les dokuwiki, la forge etc... haaaaargh. Aidez moi à faire cette liste
Je ne sais pas du tout si tous nos cms vont prendre ces groupes en compte pour les accès aux droits de lecture/écriture, mais je crois qu'il faut partir dans l'optique que "ouais". Et je sens que je vais bien rigoler quand je vais interfacer les trucs.
Dernier message par alcyone - 01 Décembre 2024 à 20:50:55
Cliquez pour afficher le message
Réussi pour Locynaeh (moi, toujours pas changé mon pseudo ici).
Je relance pour décembre et comme je suis le dernier à avoir publié, je propose le thème/contrainte optionnel suivant : Spadzura.
Bon courage à toutes !
Je relance pour décembre et comme je suis le dernier à avoir publié, je propose le thème/contrainte optionnel suivant : Spadzura.
Bon courage à toutes !