## page was renamed from Projet/SemaineTech2011/Ateliers/AuthentificationCentralisée/Conversation
## page was renamed from Projet/SemaineTech/Ateliers/AuthentificationCentralisée/Conversation
{{{#!highlight irc
(14:03:11) willy: ----------------- DEBUT ATELIER : authentification centralisée -------------
(14:03:19) willy: bonjour à toutes et à tous
(14:03:32) ***willy va commencer sans le modérateur
(14:04:01) willy: si tout le monde est bien devant son poste, je vous prie de mettre un "." dans le salon tech@ svp
(14:04:55) willy: hum... un peu timide là
(14:05:03) ***willy va pinguer certains
(14:08:37) willy: 
je vous invite à ouvrir cette page https://wiki.auf.org/wikiteki/Projet/SemaineTech/Ateliers/AuthentificationCentralis%C3%A9e
(14:09:09) willy: le but de cet atelier est de revoir certains aspects de l'installation
(14:09:43) willy: 
https://wiki.auf.org/wikiteki/Projet/SemaineTech/Ateliers/AuthentificationCentralis%C3%A9e#Pr.2BAOk--requis
(14:10:14) willy: en gros, il faut lire la page présentant l'authentification et celle à propos de son logiciel de gestion
(14:10:40) willy: installer virtualbox pour les tests avec deux machines virtuelles
(14:10:50) willy: une sous lenny et une autre sous lucid
(14:11:13) willy: j'aimerais savoir s'il y en a qui ont suivi cela ?
(14:11:28) ***willy rappelle que c'est dans tech@ que tout le monde peut parler
(14:12:55) willy: claudine.mosozi: ok, c'est noté . je suppose que tu auras des questions.. on y reviendra
(14:13:32) willy: frumence.boroto: dommage parce que je ne pourrais peut être pas t'aider mais j'espère que tu as des questions
(14:13:43) willy: d'autres personnes ?
(14:13:53) willy: victor.bruneau: ok, noté
(14:14:10) willy: ok.. je vais donc passer en revue les différentes étapes
(14:14:32) willy: et quand vous avez des questions: posez la dans tech@ en suivant la consigne usuelle
(14:15:09) willy: l'authentification centralisée épargne de gérer des comptes locaux à chaque poste des implantations
(14:15:29) willy: patrick.mwamba: il faudrait déjà avoir commencé ton installation dans ce cas ;)
(14:15:54) willy: il y a une partie serveur et une autre à déployer chez chaque client
(14:16:38) willy: concernant la partie serveur; c'est dans la machine hébergeant lenny que vous allez le faire
(14:17:08) willy: 
en gros il faut installer une base de données MySQL et créez un schéma qui correspond à ceci https://wiki.auf.org/wikiteki/AuthentificationCentralis%C3%A9e/NssMysql
(14:17:50) willy: il s'agit de 3 tables: users,groups et grouplist à créer
(14:18:11) willy: le tout dans une base que vous pourrez nommer 'nss'
(14:18:36) willy: ensuite, vous devrez créer des utilisateurs
(14:19:16) willy: un pour l'accès en lecture seule pour votre réseau
(14:19:33) willy: un autre pour l'accès en lecture des données d'authentification
(14:20:52) willy: un troisième qui aura le droit sur tout mais qui ne pourra se connecter que depuis le poste local
(14:21:32) willy: 
ça vous donne quelque chose comme ça pour les droits des utilisateurs http://paste.pocoo.org/show/467130/
(14:22:15) willy: dans mon cas par exemple j'ai 3 utilisateurs: nssread, nssreads et nsscreate 
(14:22:42) willy: ah oui, j'ai aussi rajouté 'nssadmin' pour être plus précis sur ses droits
(14:23:02) willy: le but avec ces restrictions est de limiter les problèmes de sécurité
(14:23:23) willy: bien que, jusque là, nos données circulent en clair... Mais ça c'est un autre débat :P
(14:23:42) willy: petit rappel !
(14:24:02) willy: pour votre serveur MySQL n'oubliez pas de bien le configurer
(14:24:18) willy: 
notamment ce qui concerne unicode https://wiki.auf.org/wikiteki/Etude/Unicode
(14:24:59) willy: vos tables créés, vous pouvez passer au logiciel de gestion des comptes
(14:25:23) willy: actuellement à l'AUF, il s'agit de l'application nommée: auf-django-users
(14:25:27) willy: 
https://wiki.auf.org/wikiteki/AuthentificationCentralis%C3%A9e/AufDjangoUsers 
(14:26:08) willy: à noter que ce paquet vous pouvez l'installer aussi sur votre poste client pour tester
(14:26:19) willy: 
claudine.mosozi: QUESTION: j'ai d'abord un pbm, impossible de me connecter sur mon serveur à partir de phpmyadmin
(14:26:56) willy: claudine.mosozi: il faudrait connaitre le message d'erreur
(14:27:22) willy: 
claudine.mosozi: un msg d'erreur : #1045 Connexion au serveur MySQL non permise
(14:27:35) willy: faudrait que tu vérifies si ton serveur est bien démarré
(14:27:58) willy: netstat -tlnp pour voir les port TCP en écoute
(14:28:05) willy: pour rappel MySQL c'est 3306
(14:28:41) willy: et ton serveur doit écouter sur une interface réseau autre que 127.0.0.1 sinon les autres postes n'y auront pas accès
(14:29:07) willy: si tu as perdu ton mot de passe root ... et ben, c'est une autre histoire :P ; on pourra aborder cela après l'atelier :)
(14:29:50) willy: et aussi... il faut essayer d'utiliser le client 'mysql' en console; phpMyAdmin n'est pas trop conseillé
(14:30:15) ***willy continue
(14:31:29) willy: installer auf-django-users ne devrait pas causer de soucis
(14:32:05) willy: il vous faut modifier les paramètres de configuration dans /etc/auf-django-users
(14:32:27) willy: je pense surtout au fichier conf.py
(14:32:40) willy: avec le nom de votre base de données
(14:33:30) willy: le nom d'utilisateur et le mot de passe de l'utilisateur qui a eu les droits sur tout dans la base de données
(14:33:48) willy: 
dans mon cas par exemple il s'agit nsscreate ( http://paste.pocoo.org/show/467130/ )
(14:34:16) willy: en fonction de votre configuration dans apache
(14:34:31) willy: vous devrez adapter un virtualhost
(14:35:14) willy: il faudra vous servir du fichier /etc/auf-django-users/apache.conf et l'insérer à l'endroit approprié
(14:36:21) willy: 
je vous ferais remarquer également qu'il y a une bonne documentation dans /usr/share/doc/auf-django-users/html/index.html 
(14:36:35) willy: le processus d'installation est clairement présenté
(14:37:57) willy: à partir de là, si votre conf.py est ok et votre serveur apache correctement configuré (avec libapache2-mod-wsgi) vous devriez pouvoir accéder à votre interface web d'administration
(14:38:25) willy: le reste se faisant depuis le menu d'administration
(14:38:41) willy: à noter que vous pouvez bien sur accèder à votre système django depuis un interpréteur python
(14:38:57) willy: ok.
(14:39:02) willy: des questions ?
(14:41:07) progfou: [20:31:59] frumence.boroto: QUESTION: existe t il une variante en dehors de auf-django-users qu'on peut utiliser en dehors de l'auf?
(14:41:56) willy: frumence.boroto: il y avait eu à ma connaissance des outils exploitant NIS ; je crois que serge parfait pourrait t'en parler
(14:43:06) willy: mais c'est dépassé
(14:43:13) progfou: QUESTION: chitsaya: (08:32:22 PM) willy: à noter que vous pouvez bien sur accèder à votre système django depuis un interpréteur python
Comment faire depuis un interpréteur python? peux-tu detailler un peu?
(14:43:28) willy: 
pour info, les discussions sur la gestion des utilisateurs se font ici https://redmine.auf.org/projects/guia 
(14:44:10) willy: chanesakhone.chitsaya: il s'agit de démarrer l'interpréteur python
(14:44:19) willy: et d'importer un module principalement
(14:45:04) willy: 'aufusers' qu'il s'appelle ;)
(14:45:34) progfou: pas d'autre question pour le moment
(14:45:46) willy: ok..
(14:46:03) ***willy attendra les questions pendant qu'il prépare le prochain atelier
(14:47:33) progfou: de mon côté je souhaite compléter un peu si tu le permets Willy
(14:47:47) willy: bien sur
(14:48:07) progfou: je vais parler moins technique et plus historique
(14:48:27) progfou: la gestion des utilisateurs a toujours été un grand sujet à l'AuF
(14:48:48) progfou: c'était avant tout un gros besoin, surtout pour les CNF, mais finalement aussi pour toutes les implantations en général
(14:49:03) progfou: il y a donc eu beaucoup de discussions autour de ce sujet
(14:49:08) progfou: que vous retrouverez un peu partout sur le wiki
(14:49:25) progfou: beaucoup de ces pages sont maintenant dépassées, voire obsolètes
(14:49:59) progfou: par exemple tout ce qui est sous GUIA concerne une première mouture, qui se voulait très complète et qui n'a finalement pas vu le jour
(14:50:48) progfou: donc finalement on s'est dit qu'il valait mieux commencer par une première brique, le besoin de base commun à toutes les implantations : la gestion des comptes systèmes
(14:51:06) progfou: Thomas Noël a donc développé cette partie et l'a nommée a-d-u
(14:51:28) progfou: mais il faut bien garder à l'esprit que ce n'est que la première pierre !
(14:51:39) progfou: l'objectif étant de gérer beaucoup plus
(14:52:13) progfou: par exemple les comptes pour les boîtes aux lettres, pour les accès VoIP, les alias de courriels, les abonnements aux listes de diffusions, etc
(14:53:06) progfou: voir même faire des modules pour la gestion de caisse ou encore du suivi de commandes de documents primaires
(14:54:20) progfou: de même il y a un gros besoins de statistiques sur l'usage de nos services et il faudrait donc compléter l'interface pour saisir des informations plus larges concernant les utilisateurs, tels que leur genre, leur profession, leur spécialité, etc
(14:55:24) progfou: donc voilà, a-d-u n'est pas une fin en soi, mais le début d'un grand projet, et vous êtes tou(te)s invité(e)s à y participer
(14:56:59) progfou: victor.bruneau: REMARQUE : (à donner vers la fin de l'Atelier) Concernant l'évolution de django-auf-users, Chanesakhone CHITSAYA le RTL du LAOS va faire un stage de 6 mois, sous la supervision de Davin Baragiotta pour développer le paquet
(14:57:03) progfou: victor.bruneau: REMARQUE (suite) L'objectif du stage au niveau SI est de créer un compte unique d'accès utlisateur à nos SI (Savoirs en partage, Sigma..) à des fins de reporting. Des améliorations IT pourront être aussi ajoutées
(14:57:43) progfou: REMARQUE : JC est [aussi] dans le coup de la supervision pour IT
(14:57:54) progfou: QUESTION : tout est ok, mais impossible de s'authentifier à partir du poste client 
(14:58:09) progfou: willy, c'est pour toi ;)
(14:58:21) willy: ok..;
(14:58:34) progfou: (la remarque était de Davin, la dernière question de Claudine)
(14:58:56) willy: QUESTION : tout est ok, mais impossible de s'authentifier à partir du poste client 
(14:59:45) willy: claudine.mosozi: il faudrait t'assurer des permissions au niveau de la base de données, des règles du parefeu,...
(15:00:21) willy: si vous avez d'autres questions, vous pourrez toujours les poser dans tech@
(15:00:42) willy: -------------- FIN atelier : authentification centralisée ------------
}}}