Aller au menu du forum Aller au contenu du forum Aller à la recherche dans le forum
Logo Khaganat
Menu principal

Besoin de votre avis sur l'organisation dans LDAP (pas juste les Maj)

En bas Pages1
Imprimer
« précédent - suivant »
Actions de l'utilisateur

Zatalyz

(02 Décembre 2024 à 22:46:44)
Salut  :ola:

Je suis en train de me replonger dans l'authentification unifiée. Et je me questionne un peu sur l'organisation à donner à ça. Je vais essayer d'expliquer, mais 1) c'est pas un sujet trivial et 2) vu que personne n'est expert, vous êtes toutes aptes à me donner votre avis.

Cette affaire d'authentification unifiée passe par deux étapes : primo, avoir un seul identifiant/mot de passe pour l'ensemble de nos services. Histoire que quand on change son mot de passe, on n'aie pas besoin de le faire 10 fois de suite (sur le wiki, le forum, le cloud, etc...). Secundo, que quand on se connecte, on le soit partout (sans devoir se connecter une fois sur le wiki, une autre sur le forum, une autre sur... enfin vous avez l'idée).

Là j'en suis à l'étape alpha 1. C'est à dire que je met en place de quoi avoir un seul identifiant partout, mais on n'en est même pas encore à ce que vous puissiez créer un compte et changer le mot de passe ;)

Pour la petite histoire de Mage, j'utilise LDAP. Et LDAP c'est un peu comme le croisement entre les entités du subespace et l'enfer de Bosch. Mais j'ai mes raisons, promis. Osef de la technologie, ce qui compte c'est : comment je structure mes données. Et LDAP a une réponse digne du Necronomicon là-dessus: "c'est comme tu veux, ou presque". Je peux me charger du "presque", mais "comme je veux", c'est hyper difficile.

Breeeef. LDAP ne sert pas qu'à Khaganat, mais aussi à Numenaute et aux diverses assos et groupes hébergés par Numenaute. Et c'est l'asso Rapaton qui héberge Numenaute. Mais du coup j'imagine que tout va être sous le nom "numenaute" (dont Rapaton). Là déjà on a commencé à penser en géométrie non-euclidienne :P

En gros : quand on se connectera à Khaganat, cela demanderais de le faire sur auth.numenaute.org. J'imagine qu'à l'étape 2 je pourrais peut-être le cacher un peu, mais sans certitude, et pour celles d'entre vous qui regardent les noms de domaines appelés, ça voudra dire qu'à un moment "numenaute" sera appelé façon CDN sur Khaganat.

Je ne vois pas trop comment faire autrement, je ne vais pas maintenir un annuaire par asso...

Ensuite au niveau de l'arbre, ça va être presque sans douleur. Il y aura le groupe des utilisatrices, qui aura touuuut le monde. Et des groupes variés, j'y reviens plus tard.

Concernant les utilisatrices, en dehors des groupes dont elles font partie, quelles informations voulez-vous avoir de base dans le profil ? Je pense mettre ce qui suit, et je le soumet à vos avis.
Obligatoire :
- Pseudo (nom affiché)
- mail
- mot de passe, logique...
- identifiant (qui peut être différent du nom affiché, parce que c'est plus rapide de se connecter avec "zatalyz" qu'avec "Prêtresse de la Propagande".
- uid, ça c'est pour la machine, elle se débrouille toute seule.
Pas obligatoire mais peut être utile ?
- Avatar
- Nom et prénom (pour celles qui sont membres des assos)
- sans doute que je pourrais permettre là de sélectionner ses préférences en terme de langue et de thème (sombre/clair) mais je doute que les cms supportent vraiment ça.

En vrai je ne sais même pas si stocker les noms et prénoms est une bonne idée ; chaque asso peut se débrouiller pour faire le lien entre pseudo et nom civil (chacun son rgpd !). Et sinon il y a peut-être d'autres champs que vous aimeriez avoir dans un profil générique, qui pourra (au choix) être visible par la suite aux autres, suivant leurs droits (genre : vos sites web ?).

La partie qui suit me questionne aussi pas mal, ce sont les groupes, et là on est plus propre à Khaganat (chaque structure va devoir le faire...). Je précise : les groupes qui vont donner accès à des droits différents. Par exemple sur Khaganat il me semble logique d'avoir les groupes suivants : collège, membre sauf comment on appelle les membres de Khaganat mais pas de l'asso ? et comment on différencie de ceux de l'asso ? Et après il y a des groupes déjà sur le forum, les dokuwiki, la forge etc... haaaaargh. Aidez moi à faire cette liste ;)

Je ne sais pas du tout si tous nos cms vont prendre ces groupes en compte pour les accès aux droits de lecture/écriture, mais je crois qu'il faut partir dans l'optique que "ouais". Et je sens que je vais bien rigoler quand je vais interfacer les trucs.


Zatalyz

#1 (02 Décembre 2024 à 22:50:56)
J'ai oublié de poser clairement ma demande...

Donc :
- donnez votre avis sur ce que vous voulez voir dans "profil" (et si ça doit être vu juste par vous et les personnes avec assez de droits, ou si tous les membres connectés peuvent le voir)
- listez-moi les divers groupes qui vous semblent utiles.
- et pour les groupes, listez aussi si au delà du nom et de la description, vous voyez d'autres infos utiles à afficher.

Zatalyz

#2 (Hier à 08:52:47)
Pendant que j'y suis (et que je suis plus réveillée), je me questionne un peu sur le logiciel que j'utilise, LLDAP, qui est hyper basique, peut-être trop. En gros il n'y a que les utilisatrices, et les groupes, sans possibilité de faire des sous-groupes. Et je me dis que quand j'aurais 10 asso/organisations ça va être lourd de ne pas pouvoir juste cibler les groupes d'une asso. Mais ce n'est peut-être pas si grave, suffit que je préfixe par le nom de l'asso. L'autre solution est de passer à OpenLDAP, qui est assez effrayant mais plus complet.

Votre avis ?

shepeng

#3 (Hier à 09:24:52)
Mes premières idées en vrac.

Est-ce que LLDAP permet de faire plusieurs arborescences, d'avoir plusieurs racines ?

Si oui, ton problème de sous groupes est réglé. Si non, et si tu veux vraiment séparer les entités, il faut passer à autre chose, pour avoir une racine par entité.

Ce qui donne les fonctionnalités à LDAP, ce sont les schémas que l'on ajoute. Il faut à mon avis déjà penser à l'implémentation 0Auth ou autre mécanisme de connexion internet et voir quels schémas sobnt nécessaires.
Si tu veux intégrer les avatars, il faudra également trouver un schéma le contenant. Le schéma posix contient une éventuelle photo, mais ce n'est pas vraiment le même chose.

Rollniak

#4 (Hier à 10:24:53)
Bonjour tout le monde  ^^

@Shepeng me fait penser que l'on doit bien définir nos besoins pour choisir par la suite le bon outil.

Est-ce que le périmètre s'applique uniquement au services web ou aussi au machines (container LXC, machines virtuelles, Hyperviseurs) ?

Il est question de multi-domaine, donc ça exclut FreeIPA que je connais le mieux pour l'avoir utilisé (Non administré) en entreprise.

Concernant les profiles, j'imagine que les informations suivantes sont importantes :

  • Nom Affiché
  • mot de passe
  • identifiant
  • uid (Je crois que la valeurs de départ doit être haute pour pas empiéter sur des comptes existant dans le cas ou le LDAP est utilisé pour s'authentifier sur des machines)
  • L'avatar est un plus optionnel :D
  • Les préférences dépendes du support des applications utilisé par nos services, ça peut être vue au cas par cas.

Pour le mail, je pense que ça dépends, la seul utilité que je voie c'est pour des applications qui ne supporte que l'authentification avec un é-mails ou si un serveur é-mail utilise LDAP pour l'authentification et obtenir la liste des é-mails valides.

Pour les groupes on pourrais réfléchir au accès en suivant le principe de de moindre privilège. Les admins on certains accès, les devs on des accès plus restreint suivant leurs besoins est ainsi de suite.

Je pense que 0auth peut être vue plus tard une fois que la configuration LDAP est terminé.
Système d'exploitation : [url=https://www.opensuse.org/]OpenSuSE[/url], [url=https://www.freebsd.org]FreeBSD[/url]
Éditeur de texte : [url=https://vim.org/]NeoVim[/url]
En haut Pages1
Imprimer
Actions de l'utilisateur
En haut ▲
Licences Mentions légales Accueil du site Contact