|
Taille: 4845
Commentaire:
|
Taille: 3910
Commentaire:
|
| Texte supprimé. | Texte ajouté. |
| Ligne 1: | Ligne 1: |
| Voici mes (ThomasNoël) idées et propositions pour le système de gestion des utilisateurs. = Rappels = . '''Objectifs du projet''' : unifier nos systèmes d'authentification et nos outils de suivi des utilisateurs des CNF. . '''Résultats attendus''' : simplifier le travail de tous en factorisant les soucis : les problèmes ne seront plus locaux, ils seront plus simples à résoudre si tout le monde fonctionne un peu de la même façon au départ. . '''Contraintes''' : l'existant est très fort (NIS, passwd, LDAP, Samba, ...) et il faut prévoir toute sorte de particularités locales (services purement locaux, campus intégré, etc.) = Idées générales = Le système se décompose en trois parties : Une base de données:: elle décrit l'ensemble des utilisateurs et des abonnements associés. Elle doit avoir un schéma simple mais permettant de multiples extensions. Voir ci-dessous pour ma proposition de structure. Des logiciels de gestion de la base de données:: de quoi remplir et gérer la base de données, notamment : 1. une interface Web, rapide et ergonomique 1. une interface en ligne de commande pour permettre une gestion "système" 1. plus tard, un application native pour Gnome ou KDE Des systèmes d'extraction vers le système:: tout ce qu'il faut pour extraire les données systèmes, pas exemple: 1. les fichiers {{{/etc/passwd}}} et {{{/etc/shadow}}} pour être utilisés sur un serveur NIS 1. les fichiers {{{/etc/aliases}}}, {{{/etc/postfix/virtual}}}, etc, pour la messagerie 1. une base de données d'authentification MySQL 1. une base de données MySQL pour la messagerie 1. un arbre LDAP 1. etc. : tout autre système actuellement utilisé pour la gestion des services utilisateurs = Le logiciel de gestion de la base = En utilisant un système comme Django, on simplifie la programmation. Le mode objet devrait permettre de proposer des extensisons assez facilement. En outre, l'API de gestion étant disponible en Python, on peut l'utiliser directement pour écrire les outils en ligne de commande sans ré-inventer la roue. L'idée est donc d'avoir un système Django/Python qui proposer toute l'API de gestion : ensuite au niveau des applications on n'aura qu'à appeler l'API, sans jamais toucher directement à la base de données (pas de requête SQL directe). = Les systèmes d'extraction = A partir d'un système comme Django, on peut extraire les données assez facilement via des ''templates''. Pour la plupart des extractions il ne sera pas nécessaire à l'administrateur système de savoir programmer en Python. = Schéma de la base de données = == Idées générales == * des utilisateurs, des groupes et des abonnements qui permettent de dire que tel utilisateur est dans tel groupe de telle à telle date * la base n'est pas destinée à être utilisée telle quelle pour l'authentification ou la gestion système : des ''backends'' sont disponibles pour créer, à partir de cette base, les données système nécessaires (fichiers ''passwd+shadow'', base MySQL-auth, arbre LDAP, htpasswd, etc). * par défaut la base ne contient pas de données purement "système" : ces données (comme le shell, la homedir, etc) sont calculées par les backend, éventuellement en fonction de conditions locales (exemple: homedir du type /home/a/n/antoine). * un mecanisme de champ "extra" permet d'étendre les tables en associant des variables à un utilisateur, un groupe ou autre (merci JérômeSantini pour cette chouette idée) * la gestion des organismes d'appartenance est hierarchisée (par exemple université->faculté->département). Ainsi, si une personne est de tel département, on sait qu'elle est aussi de telle fac et de telle université. |
Voici ma (ThomasNoël) proposition pour le schéma de la BD de gestion des utilisateurs. |
| Ligne 61: | Ligne 15: |
| * '''id_organisme''' | * '''id_organisme''' <!> plusieurs organismes, ça serait mieux non ? (faire une table de correspondance ''1,n'' à part) |
| Ligne 64: | Ligne 18: |
. CédricProtière : oui amha pour plusieurs organismes (donc ajouter tables '''organismes''' et '''utilisateurs_organismes''') Je crois qu'il en est de même pour la fonction (on peut par exemple être enseignant chercheur et étudiant foad en même temps...) => il faut alors aussi créer les tables '''fonction''' et '''utilisateur_fonction''' . Thomas : s'il y a plusieurs organismes possible on peut effectivement imaginer une fonction pour chaque organisme. Ensuite, pour la notion d'étudiant FOAD, c'est pas pareil (ça sera vu au niveau que le gars est dans le groupe "FOAD", par exemple) . Cédric : mon exemple était mauvais. Certains utilisateurs ont plusieurs fonctions (vice-recteur de l'université, enseignant de telle faculté...) qu'il serait bon je trouve d'avoir dans nos bases, afin de profiter de cet outil pour mettre en place un annuaire informatisé des universités (quitte à ce que ça fasse doublon avec le SI de l'université : dans ce cas c'est à l'admin sys du CNF de savoir quel SI privilégier ou promouvoir...) |
|
| Ligne 105: | Ligne 64: |
= La suite ne fait pas partie de la proposition de Thomas ;) = . CédricProtière : Nous pourrions créer des règles de gestion pour les défauts (par exemple : email = identifiant@pays.refer.org par défaut), ces règles pouvant être stockées dans le code ou mieux en base. D'autres défauts seraient statiques (ne dépendent pas de règles, mais du choix de la personne qui a créé un groupe) je propose de créer les tables '''defaut''' pour certaines tables ci-dessus, par exemple les tables suivantes : . Thomas : mon idée, c'est que les config du systèmes seront dans des fichiers de config. Je ne suis pas partisan de "tout" mettre dans la base. . Cédric : oui ! on pourrait même faire des fichiers de configuration comme dans le paquet auf-asterisk, qui prennent les dates de fin de chaque formation et qu'on met à jour à chaque dist-upgrade. OK pour les sortir de la base, donc == Table defauts_groupes == * '''id_defaut''' * '''fin_abonnement''' ''date de fin de l'abonnement prérenseignée par défaut lors de l'abonnement d'un utilisateur à ce groupe'' == Table defauts_groupes_extra == * '''id_groupe''' * '''id_variable''' * '''id_defaut''' (ou : on pourrait ajouter cette colonne dans la table '''groupes_extra''') Si on est forts, on peut même créer une syntaxe pour les règles (pourquoi pas type balises SPIP), qui permettraient de faire des tables du type : == Table defauts_utilisateurs == * '''id_utilisateur''' * '''regle_courriel''' ''pourrait contenir : ''#IDENTIFIANT@#PAYS.refer.org'' * '''defaut_fonction''' ''etudiant'' |
Voici ma (ThomasNoël) proposition pour le schéma de la BD de gestion des utilisateurs.
Table utilisateurs
id
login
mot_de_passe
courriel
nom
prénom
genre
date_naissance
adresses
téléphones
id_organisme
plusieurs organismes, ça serait mieux non ? (faire une table de correspondance 1,n à part) fonction
commentaires
CédricProtière : oui amha pour plusieurs organismes (donc ajouter tables organismes et utilisateurs_organismes)
Je crois qu'il en est de même pour la fonction (on peut par exemple être enseignant chercheur et étudiant foad en même temps...) => il faut alors aussi créer les tables fonction et utilisateur_fonction
- Thomas : s'il y a plusieurs organismes possible on peut effectivement imaginer une fonction pour chaque organisme. Ensuite, pour la notion d'étudiant FOAD, c'est pas pareil (ça sera vu au niveau que le gars est dans le groupe "FOAD", par exemple)
- Cédric : mon exemple était mauvais. Certains utilisateurs ont plusieurs fonctions (vice-recteur de l'université, enseignant de telle faculté...) qu'il serait bon je trouve d'avoir dans nos bases, afin de profiter de cet outil pour mettre en place un annuaire informatisé des universités (quitte à ce que ça fasse doublon avec le SI de l'université : dans ce cas c'est à l'admin sys du CNF de savoir quel SI privilégier ou promouvoir...)
Table utilisateurs_extra
id_utilisateur : utilisateur concerné
variable : nom de la variable (par exemple : courriel_alias, homedir)
valeur
Table groupes
id
nom
commentaires
Table groupes_extra
id_groupe
variable
valeur
Table abonnements
id_utilisateur
id_groupe
date_debut
date_fin
commentaires
Table organismes
id
nom
adresses
telephones
id_parent : pointe vers un id_organisme (0 pour la racine)
commentaires
Table organismes_extra
id_organisme
variable
valeur
La suite ne fait pas partie de la proposition de Thomas ;)
CédricProtière : Nous pourrions créer des règles de gestion pour les défauts (par exemple : email = identifiant@pays.refer.org par défaut), ces règles pouvant être stockées dans le code ou mieux en base.
D'autres défauts seraient statiques (ne dépendent pas de règles, mais du choix de la personne qui a créé un groupe) je propose de créer les tables defaut pour certaines tables ci-dessus, par exemple les tables suivantes :
- Thomas : mon idée, c'est que les config du systèmes seront dans des fichiers de config. Je ne suis pas partisan de "tout" mettre dans la base.
- Cédric : oui ! on pourrait même faire des fichiers de configuration comme dans le paquet auf-asterisk, qui prennent les dates de fin de chaque formation et qu'on met à jour à chaque dist-upgrade. OK pour les sortir de la base, donc
Table defauts_groupes
id_defaut
fin_abonnement date de fin de l'abonnement prérenseignée par défaut lors de l'abonnement d'un utilisateur à ce groupe
Table defauts_groupes_extra
id_groupe
id_variable
id_defaut (ou : on pourrait ajouter cette colonne dans la table groupes_extra)
Si on est forts, on peut même créer une syntaxe pour les règles (pourquoi pas type balises SPIP), qui permettraient de faire des tables du type :
Table defauts_utilisateurs
id_utilisateur
regle_courriel pourrait contenir : #IDENTIFIANT@#PAYS.refer.org
defaut_fonction etudiant