Development #60493
pouvoir marquer un annuaire LDAP comme désactivé
0%
Description
Aujourd'hui si on veut temporairement retirer un annuaire LDAP de la configuration il faut le retirer totalement de LDAP_AUTH_SETTINGS; ça serait pratique de pouvoir y mettre une ligne "enabled": false.
Fichiers
Historique
Mis à jour par Paul Marillonnet il y a plus de 2 ans
- Assigné à mis à Paul Marillonnet
Ok, fair enough, je regarde.
Mis à jour par Paul Marillonnet il y a plus de 2 ans
- Fichier 0002-ldap-discard-de-activated-directories-from-password-.patch 0002-ldap-discard-de-activated-directories-from-password-.patch ajouté
- Fichier 0001-ldap-add-an-enabled-option-60493.patch 0001-ldap-add-an-enabled-option-60493.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Mis à jour par Benjamin Dauvergne il y a plus de 2 ans
- Statut changé de Solution proposée à Solution validée
Ok, en un seul commit.
Mis à jour par Benjamin Dauvergne il y a plus de 2 ans
- Statut changé de Solution validée à En cours
Il manque la partie sur le provisionning; donc je pense que le plus simple ce serait de faire ça dans get_config() plutôt que dans les méthoddes qui appellent get_config().
Mis à jour par Paul Marillonnet il y a plus de 2 ans
J’avoue avoir du mal à saisir le lien entre les deux sujets.
Dans le code d’agent authentic de provisionning, on n’a pas de logique relative à l’origine des comptes.
On pourrait imaginer tester la provenance du compte, si celle-ci est relative à un LDAP, tenter de retrouver la config de cet annuaire et voir s’il est désactivé ou non.
Mais j’ai l’impression que ça va plus loin qui est nécessaire dans ce ticket, je ne suis pas certain qu’il faille toucher au provisionning; et de la même manière je n’ai pas touché au code de deactivate-orphaned-users
. À mon avis ce n’est pas parce qu’un annuaire est désactivé (probablement très temporairement à des fins de débogage) qu’il faut interrompre le provisionning des usagers qui en proviennent, ou même les considérer comme orphelins.
Bref, pas convaincu.
Mis à jour par Benjamin Dauvergne il y a plus de 2 ans
Paul Marillonnet a écrit :
J’avoue avoir du mal à saisir le lien entre les deux sujets.
Dans le code d’agent authentic de provisionning, on n’a pas de logique relative à l’origine des comptes.
On pourrait imaginer tester la provenance du compte, si celle-ci est relative à un LDAP, tenter de retrouver la config de cet annuaire et voir s’il est désactivé ou non.Mais j’ai l’impression que ça va plus loin qui est nécessaire dans ce ticket, je ne suis pas certain qu’il faille toucher au provisionning; et de la même manière je n’ai pas touché au code de
deactivate-orphaned-users
. À mon avis ce n’est pas parce qu’un annuaire est désactivé (probablement très temporairement à des fins de débogage) qu’il faut interrompre le provisionning des usagers qui en proviennent, ou même les considérer comme orphelins.
Pour moi désactiver ça veut dire, ne pas y accéder point, donc on désactive tout. Pour dire qu'on ne veut faire que du provisionning il y a une option qui vient d'être introduite, on pourrait en introduire une pour dire authentification seulement sans provisionning (ça devrait être deux options booléenne, par défaut authenticaton:true, provisionning:true).
Bref, pas convaincu.
Je ne comprends pas vraiment les questions que tu te poses.