1 (14:03:11) willy: ----------------- DEBUT ATELIER : authentification centralisée -------------
2 (14:03:19) willy: bonjour à toutes et à tous
3 (14:03:32) ***willy
4 (14:04:01) willy: si tout le monde est bien devant son poste, je vous prie de mettre un "." dans le salon tech@ svp
5 (14:04:55) willy: hum... un peu timide là
6 (14:05:03) ***willy
7 (14:08:37) willy:
8 je vous invite à ouvrir cette page https://wiki.auf.org/wikiteki/Projet/SemaineTech/Ateliers/AuthentificationCentralis%C3%A9e
9 (14:09:09) willy: le but de cet atelier est de revoir certains aspects de l'installation
10 (14:09:43) willy:
11 https://wiki.auf.org/wikiteki/Projet/SemaineTech/Ateliers/AuthentificationCentralis%C3%A9e#Pr.2BAOk--requis
12 (14:10:14) willy: en gros, il faut lire la page présentant l'authentification et celle à propos de son logiciel de gestion
13 (14:10:40) willy: installer virtualbox pour les tests avec deux machines virtuelles
14 (14:10:50) willy: une sous lenny et une autre sous lucid
15 (14:11:13) willy: j'aimerais savoir s'il y en a qui ont suivi cela ?
16 (14:11:28) ***willy
17 (14:12:55) willy: claudine.mosozi: ok, c'est noté . je suppose que tu auras des questions.. on y reviendra
18 (14:13:32) willy: frumence.boroto: dommage parce que je ne pourrais peut être pas t'aider mais j'espère que tu as des questions
19 (14:13:43) willy: d'autres personnes ?
20 (14:13:53) willy: victor.bruneau: ok, noté
21 (14:14:10) willy: ok.. je vais donc passer en revue les différentes étapes
22 (14:14:32) willy: et quand vous avez des questions: posez la dans tech@ en suivant la consigne usuelle
23 (14:15:09) willy: l'authentification centralisée épargne de gérer des comptes locaux à chaque poste des implantations
24 (14:15:29) willy: patrick.mwamba: il faudrait déjà avoir commencé ton installation dans ce cas ;)
25 (14:15:54) willy: il y a une partie serveur et une autre à déployer chez chaque client
26 (14:16:38) willy: concernant la partie serveur; c'est dans la machine hébergeant lenny que vous allez le faire
27 (14:17:08) willy:
28 en gros il faut installer une base de données MySQL et créez un schéma qui correspond à ceci https://wiki.auf.org/wikiteki/AuthentificationCentralis%C3%A9e/NssMysql
29 (14:17:50) willy: il s'agit de 3 tables: users,groups et grouplist à créer
30 (14:18:11) willy: le tout dans une base que vous pourrez nommer 'nss'
31 (14:18:36) willy: ensuite, vous devrez créer des utilisateurs
32 (14:19:16) willy: un pour l'accès en lecture seule pour votre réseau
33 (14:19:33) willy: un autre pour l'accès en lecture des données d'authentification
34 (14:20:52) willy: un troisième qui aura le droit sur tout mais qui ne pourra se connecter que depuis le poste local
35 (14:21:32) willy:
36 ça vous donne quelque chose comme ça pour les droits des utilisateurs http://paste.pocoo.org/show/467130/
37 (14:22:15) willy: dans mon cas par exemple j'ai 3 utilisateurs: nssread, nssreads et nsscreate
38 (14:22:42) willy: ah oui, j'ai aussi rajouté 'nssadmin' pour être plus précis sur ses droits
39 (14:23:02) willy: le but avec ces restrictions est de limiter les problèmes de sécurité
40 (14:23:23) willy: bien que, jusque là, nos données circulent en clair... Mais ça c'est un autre débat :P
41 (14:23:42) willy: petit rappel !
42 (14:24:02) willy: pour votre serveur MySQL n'oubliez pas de bien le configurer
43 (14:24:18) willy:
44 notamment ce qui concerne unicode https://wiki.auf.org/wikiteki/Etude/Unicode
45 (14:24:59) willy: vos tables créés, vous pouvez passer au logiciel de gestion des comptes
46 (14:25:23) willy: actuellement à l'AUF, il s'agit de l'application nommée: auf-django-users
47 (14:25:27) willy:
48 https://wiki.auf.org/wikiteki/AuthentificationCentralis%C3%A9e/AufDjangoUsers
49 (14:26:08) willy: à noter que ce paquet vous pouvez l'installer aussi sur votre poste client pour tester
50 (14:26:19) willy:
51 claudine.mosozi: QUESTION: j'ai d'abord un pbm, impossible de me connecter sur mon serveur à partir de phpmyadmin
52 (14:26:56) willy: claudine.mosozi: il faudrait connaitre le message d'erreur
53 (14:27:22) willy:
54 claudine.mosozi: un msg d'erreur : #1045 Connexion au serveur MySQL non permise
55 (14:27:35) willy: faudrait que tu vérifies si ton serveur est bien démarré
56 (14:27:58) willy: netstat -tlnp pour voir les port TCP en écoute
57 (14:28:05) willy: pour rappel MySQL c'est 3306
58 (14:28:41) willy: et ton serveur doit écouter sur une interface réseau autre que 127.0.0.1 sinon les autres postes n'y auront pas accès
59 (14:29:07) willy: si tu as perdu ton mot de passe root ... et ben, c'est une autre histoire :P ; on pourra aborder cela après l'atelier :)
60 (14:29:50) willy: et aussi... il faut essayer d'utiliser le client 'mysql' en console; phpMyAdmin n'est pas trop conseillé
61 (14:30:15) ***willy
62 (14:31:29) willy: installer auf-django-users ne devrait pas causer de soucis
63 (14:32:05) willy: il vous faut modifier les paramètres de configuration dans /etc/auf-django-users
64 (14:32:27) willy: je pense surtout au fichier conf.py
65 (14:32:40) willy: avec le nom de votre base de données
66 (14:33:30) willy: le nom d'utilisateur et le mot de passe de l'utilisateur qui a eu les droits sur tout dans la base de données
67 (14:33:48) willy:
68 dans mon cas par exemple il s'agit nsscreate ( http://paste.pocoo.org/show/467130/ )
69 (14:34:16) willy: en fonction de votre configuration dans apache
70 (14:34:31) willy: vous devrez adapter un virtualhost
71 (14:35:14) willy: il faudra vous servir du fichier /etc/auf-django-users/apache.conf et l'insérer à l'endroit approprié
72 (14:36:21) willy:
73 je vous ferais remarquer également qu'il y a une bonne documentation dans /usr/share/doc/auf-django-users/html/index.html
74 (14:36:35) willy: le processus d'installation est clairement présenté
75 (14:37:57) willy: à partir de là, si votre conf.py est ok et votre serveur apache correctement configuré (avec libapache2-mod-wsgi) vous devriez pouvoir accéder à votre interface web d'administration
76 (14:38:25) willy: le reste se faisant depuis le menu d'administration
77 (14:38:41) willy: à noter que vous pouvez bien sur accèder à votre système django depuis un interpréteur python
78 (14:38:57) willy: ok.
79 (14:39:02) willy: des questions ?
80 (14:41:07) progfou: [20:31:59] frumence.boroto: QUESTION: existe t il une variante en dehors de auf-django-users qu'on peut utiliser en dehors de l'auf?
81 (14:41:56) willy: frumence.boroto: il y avait eu à ma connaissance des outils exploitant NIS ; je crois que serge parfait pourrait t'en parler
82 (14:43:06) willy: mais c'est dépassé
83 (14:43:13) progfou: QUESTION: chitsaya: (08:32:22 PM) willy: à noter que vous pouvez bien sur accèder à votre système django depuis un interpréteur python
84 Comment faire depuis un interpréteur python? peux-tu detailler un peu?
85 (14:43:28) willy:
86 pour info, les discussions sur la gestion des utilisateurs se font ici https://redmine.auf.org/projects/guia
87 (14:44:10) willy: chanesakhone.chitsaya: il s'agit de démarrer l'interpréteur python
88 (14:44:19) willy: et d'importer un module principalement
89 (14:45:04) willy: 'aufusers' qu'il s'appelle ;)
90 (14:45:34) progfou: pas d'autre question pour le moment
91 (14:45:46) willy: ok..
92 (14:46:03) ***willy
93 (14:47:33) progfou: de mon côté je souhaite compléter un peu si tu le permets Willy
94 (14:47:47) willy: bien sur
95 (14:48:07) progfou: je vais parler moins technique et plus historique
96 (14:48:27) progfou: la gestion des utilisateurs a toujours été un grand sujet à l'AuF
97 (14:48:48) progfou: c'était avant tout un gros besoin, surtout pour les CNF, mais finalement aussi pour toutes les implantations en général
98 (14:49:03) progfou: il y a donc eu beaucoup de discussions autour de ce sujet
99 (14:49:08) progfou: que vous retrouverez un peu partout sur le wiki
100 (14:49:25) progfou: beaucoup de ces pages sont maintenant dépassées, voire obsolètes
101 (14:49:59) progfou: par exemple tout ce qui est sous GUIA concerne une première mouture, qui se voulait très complète et qui n'a finalement pas vu le jour
102 (14:50:48) progfou: donc finalement on s'est dit qu'il valait mieux commencer par une première brique, le besoin de base commun à toutes les implantations : la gestion des comptes systèmes
103 (14:51:06) progfou: Thomas Noël a donc développé cette partie et l'a nommée a-d-u
104 (14:51:28) progfou: mais il faut bien garder à l'esprit que ce n'est que la première pierre !
105 (14:51:39) progfou: l'objectif étant de gérer beaucoup plus
106 (14:52:13) progfou: par exemple les comptes pour les boîtes aux lettres, pour les accès VoIP, les alias de courriels, les abonnements aux listes de diffusions, etc
107 (14:53:06) progfou: voir même faire des modules pour la gestion de caisse ou encore du suivi de commandes de documents primaires
108 (14:54:20) progfou: de même il y a un gros besoins de statistiques sur l'usage de nos services et il faudrait donc compléter l'interface pour saisir des informations plus larges concernant les utilisateurs, tels que leur genre, leur profession, leur spécialité, etc
109 (14:55:24) progfou: donc voilà, a-d-u n'est pas une fin en soi, mais le début d'un grand projet, et vous êtes tou(te)s invité(e)s à y participer
110 (14:56:59) progfou: victor.bruneau: REMARQUE : (à donner vers la fin de l'Atelier) Concernant l'évolution de django-auf-users, Chanesakhone CHITSAYA le RTL du LAOS va faire un stage de 6 mois, sous la supervision de Davin Baragiotta pour développer le paquet
111 (14:57:03) progfou: victor.bruneau: REMARQUE (suite) L'objectif du stage au niveau SI est de créer un compte unique d'accès utlisateur à nos SI (Savoirs en partage, Sigma..) à des fins de reporting. Des améliorations IT pourront être aussi ajoutées
112 (14:57:43) progfou: REMARQUE : JC est [aussi] dans le coup de la supervision pour IT
113 (14:57:54) progfou: QUESTION : tout est ok, mais impossible de s'authentifier à partir du poste client
114 (14:58:09) progfou: willy, c'est pour toi ;)
115 (14:58:21) willy: ok..;
116 (14:58:34) progfou: (la remarque était de Davin, la dernière question de Claudine)
117 (14:58:56) willy: QUESTION : tout est ok, mais impossible de s'authentifier à partir du poste client
118 (14:59:45) willy: claudine.mosozi: il faudrait t'assurer des permissions au niveau de la base de données, des règles du parefeu,...
119 (15:00:21) willy: si vous avez d'autres questions, vous pourrez toujours les poser dans tech@
120 (15:00:42) willy: -------------- FIN atelier : authentification centralisée ------------