LDAP – Gestion des utilisateurices


Attention : tout ça c’est bientôt obsolète !!! (août 2023)

Système de base

Le logiciel installé est OpenLDAP (sur galilée, bien sûr). Les fichiers de configurations sont situés dans /etc/ldap. Le super utilisateur s’appelle “admin”. Voir le mot de passe en réunion InterComCom.

Interface d’administration

Voici une technique pour utiliser un logiciel de visualisation du LDAP sur son PC :

Sur la machine locale :

  • Installer jxplorer
  • Ouvrir un tunnel du port LDAP via ssh :
  $ ssh -L 9389:localhost:389 -p 2222 root@galilee.eedf.fr
  • Se connecter au LDAP avec jxplorer :
  hote : localhost  port : 9389  base DN : dc=galilee,dc=eedf,dc=fr  niveau : utilisateur + mot de passe  utilisateur : cn=admin,dc=galilee,dc=eedf,dc=fr  mot de passe : ******

Sinon, il y a également shelldap installé sur Galilée, qui permet de se balader dans le LDAP comme dans un shell !

Récupération du fichier adhérent

Gaël a créé un script qui importe les données qui nous intéressent de la base des adhérents. Ce script se lance toutes les nuits et créée le fichier /root/entrecles/adherents_region.xlsx.

Un script python utilise ce fichier pour remplir (mettre à jour) la base LDAP de galilée. Voir /root/entrecles/README

La nouvelle version du code de gestion galilee-ldap se configure dans /etc/galilee_ldap/conf.py.

Utilisation

Ce système pourra être utilisé pour tous les services mis en place sur galilée, pour définir les droits de chaque utilisateur.

Pour le système

Voir la conf dans :

  • /etc/nsswitch.conf
  • /etc/pam.d/*
  • /etc/nslcd.conf

Pour le wiki

Voir la conf dans /var/www/wiki/wiki/config/wikifarm/mywiki.py

Structure

Le DN de base du LDAP est “dc=galilee,dc=eedf,dc=fr”

  dc=galilee,dc=eedf,dc=fr    ou=guests  # utilisateurices non adhérent·e·s    ou=midipy  # adhérent·e·s de midipy    ou=midipy-futuraaee  # ancien·ne·s adhérent·e·s de midipy    ou=ra  # adhérent·e·s de rhone-alpe    ou=ra-futuraaee  # ancien·ne·s adhérent·e·s de rhone-alpe    cn=admin   # permet la connexion d'administration du LDAP    uid=galilee    # permet la connexion en lecture du LDAP    ...

Créer des comptes pour des non-adhérent-e-s ou des adhérent-e-s à d’autres régions

Désormais, ça se passe par l’interface web : création de compte pour des non-adhérent·es.

Ajouter une nouvelle région

  • Demander à Gaël de créer le domaine nouvelleregion.eedf.fr, avec les mêmes enregistrements que les autres (A, AAAA, MX, SPF et DKIM), ainsi que le domaine listes.nouvelleregion.eedf.fr, avec les enregistrements A et AAAA.
  • Rajouter les domaines au certificat Let’s encrypt
  • Modifier /root/entrecles/conf.py pour rajouter les infos de connexion au portail de la nouvelle région.

  • Modifier /etc/galilee_ldap/conf.py pour rajouter les infos de la nouvelle région pour les services qui utilisent galilee-ldap (nouvelle version du code de gestion du portail)

  • Se connecter au LDAP avec Jxplorer ou shelldap (voir plus haut).
  • Copier une branche ou (par exemple guests), pour lui donner le nom de la nouvelle région (bien garder la même chose que le domaine en .eedf.fr).
    Avec shelldap :
    ~ > cp ou=midipy ou=nouvelleregion
  • Faire de même pour ajouter nomrégion-futuraaee pour les anciens adhérents.
    Avec shelldap :
    ~ > cp ou=midipy ou=nouvelleregion-futuraaee
  • Lancer le téléchargement de l’annuaire entrecles avec /root/entrecles/download_annuaire.sh nomrégion

  • Lancer la synchro avec /root/entrecles/synchro.py synchro nomrégion.

  • Pour les e-mails, ajouter le nom de domaine de la région dans postfix (/etc/postfix/main.cf) et DKIM (/etc/opendkim.conf, /etc/dkimkeys/signingtable, /etc/dkimkeys/trustedhosts)
  • Demander à Florence de rajouter le nom de domain dans la configuration de Tila.im (serveur mail secondaire)
  • Pour activer la création de compte, ajouter la région dans les fichiers suivant :
  /var/www/adherents/templates/region-liste.html  /var/www/adherents/settings.py  /root/entrecles/synchro.sh  /etc/intercomcom/regions.py
  • Il faut ensuit relancer l’application adhérents et l’application utilisateurices:
    supervisorctl restart adherentssupervisorctl restart utilisateurices
  • Enfin, on peut rajouter cette page d’accueil sur la page d’accueil globale de galilee
  • Pour mailman, il faut rajouter le domaine dans /etc/mailman/mm_cfg.py, et aussi dans /etc/nginx/sites-enabled/listes.region.eedf.fr