Development #60492
pouvoir marquer un annuaire LDAP comme servant uniquement au provisionning
0%
Description
On a des configurations avec un annuaire LDAP pour le provisionning des agents, et les agents qui se connectent via un IdP.
Dans cette situation il me semble qu'on paie inutilement le coût d'un lookup dans le LDAP lors de l'authentification des usagers.
Fichiers
Révisions associées
Historique
Mis à jour par Paul Marillonnet il y a plus de 2 ans
- Fichier 0001-ldap-add-an-option-to-indicate-provisionning-only-pu.patch 0001-ldap-add-an-option-to-indicate-provisionning-only-pu.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Assigné à mis à Paul Marillonnet
- Patch proposed changé de Non à Oui
Mis à jour par Benjamin Dauvergne il y a plus de 2 ans
- Statut changé de Solution proposée à En cours
C'est rouge.
Mis à jour par Paul Marillonnet il y a plus de 2 ans
- Fichier 0001-ldap-add-an-option-to-indicate-provisionning-only-pu.patch 0001-ldap-add-an-option-to-indicate-provisionning-only-pu.patch ajouté
- Statut changé de En cours à Solution proposée
Oui, un coup de black manquant, j’avais corrigé dans la branche mais Jenkins n’a pas lancé un nouveau build, étrange.
Mis à jour par Benjamin Dauvergne il y a plus de 2 ans
- Statut changé de Solution proposée à En cours
provisionning_only c'est pas bien clair, je verrai plutôt deux options booléenne, authentication:true, provisionning:true, pour avoir provisionning_only on met authentication:false.
Mis à jour par Emmanuel Cazenave il y a presque 2 ans
- Assigné à changé de Paul Marillonnet à Emmanuel Cazenave
Mis à jour par Thomas Noël il y a presque 2 ans
Comme le besoin s'exprime encore (principalement pour que les choses soient clarifiées et qu'un agent ne puisse pas se logguer autrement que via SSO), je vote pour « authentication:true » par défaut bien sûr, et que ce ticket couvre juste la gestion d'une configuration « authentication:false »
(ie le besoin de gérer « provisionning:false » est tout autre, si on peut le mettre dehors de ce ticket, c'est cool)
Mis à jour par Emmanuel Cazenave il y a presque 2 ans
- Fichier 0001-ldap-add-options-to-control-authentiction-and-cron-p.patch 0001-ldap-add-options-to-control-authentiction-and-cron-p.patch ajouté
- Statut changé de En cours à Solution proposée
J'ai aussi le besoin de pouvoir "désactiver" le cron de provisionning, je l'ai inclus c'est vraiment pas cher.
Mis à jour par Thomas Noël il y a presque 2 ans
Je comprends l'idée du « 'cron_provisionning': True » mais je trouve qu'on pourrait rester sur un « 'sync_ldap_users': True » plus compréhensible dans l'état actuel des paramètre. Sous-entendu que ça s'étendrait aussi à tout ce qui tourne autour du provisionning (deactivate-orphaned-ldap-users).
Mais ne devrait-on pas quand même désactiver les comptes qui ne sont plus dans le LDAP ?... ça serait préférable à mon avis (ça nous sera demandé le lendemain de l'activation d'un LDAP sans sync-ldap-users). Quitte à ajouter une option « deactivate-orphaned-ldap-users » qui sera à False si on ne veut/peut pas jouer ça non plus.
Mis à jour par Emmanuel Cazenave il y a presque 2 ans
- Fichier 0001-ldap-add-options-to-control-authentiction-and-cron-p.patch 0001-ldap-add-options-to-control-authentiction-and-cron-p.patch ajouté
Thomas Noël a écrit :
mais je trouve qu'on pourrait rester sur un « 'sync_ldap_users': True » plus compréhensible dans l'état actuel des paramètre.
Renommé ainsi.
Sous-entendu que ça s'étendrait aussi à tout ce qui tourne autour du provisionning (deactivate-orphaned-ldap-users).
Mais ne devrait-on pas quand même désactiver les comptes qui ne sont plus dans le LDAP ?... ça serait préférable à mon avis (ça nous sera demandé le lendemain de l'activation d'un LDAP sans sync-ldap-users). Quitte à ajouter une option « deactivate-orphaned-ldap-users » qui sera à False si on ne veut/peut pas jouer ça non plus.
Test à l'appui inclus dans ce patch, rien ne change dans le comportement de deactivate-orphaned-ldap-users qui continuera à faire son taf avec un sync_ldap_users: False.
Du coup je trouve que 'provisionning' était un nom de paramètre mieux ciblé, mais je ne vais pas me battre.
Mis à jour par Benjamin Dauvergne il y a presque 2 ans
- Statut changé de Solution proposée à Solution validée
Je préfère aussi provisionning (sans le cron_), tu peux remettre ça; sync-ldap-users disparaîtra à un moment.
Mis à jour par Emmanuel Cazenave il y a presque 2 ans
- Statut changé de Solution validée à Résolu (à déployer)
Va pour provisionning.
commit de17a869b9a218d5a998cb43bb4a805fb3d3ea5c
Author: Emmanuel Cazenave <ecazenave@entrouvert.com>
Date: Tue Jun 21 14:13:28 2022 +0200
ldap: add options to control authentication and cron provisionning (#60492)
Mis à jour par Transition automatique il y a presque 2 ans
- Statut changé de Résolu (à déployer) à Solution déployée
ldap: add options to control authentication and cron provisionning (#60492)