Project

General

Profile

Development #60493

pouvoir marquer un annuaire LDAP comme désactivé

Added by Frédéric Péters 5 months ago. Updated 5 months ago.

Status:
En cours
Priority:
Normal
Category:
-
Target version:
-
Start date:
11 Jan 2022
Due date:
% Done:

0%

Estimated time:
Patch proposed:
Yes
Planning:
No

Description

Aujourd'hui si on veut temporairement retirer un annuaire LDAP de la configuration il faut le retirer totalement de LDAP_AUTH_SETTINGS; ça serait pratique de pouvoir y mettre une ligne "enabled": false.


Files

History

#1

Updated by Paul Marillonnet 5 months ago

  • Assignee set to Paul Marillonnet

Ok, fair enough, je regarde.

#3

Updated by Benjamin Dauvergne 5 months ago

  • Status changed from Solution proposée to Solution validée

Ok, en un seul commit.

#4

Updated by Benjamin Dauvergne 5 months ago

  • Status changed from Solution validée to En cours

Il manque la partie sur le provisionning; donc je pense que le plus simple ce serait de faire ça dans get_config() plutôt que dans les méthoddes qui appellent get_config().

#5

Updated by Paul Marillonnet 5 months ago

D’ac, je regarde.

#6

Updated by Paul Marillonnet 5 months ago

J’avoue avoir du mal à saisir le lien entre les deux sujets.

Dans le code d’agent authentic de provisionning, on n’a pas de logique relative à l’origine des comptes.
On pourrait imaginer tester la provenance du compte, si celle-ci est relative à un LDAP, tenter de retrouver la config de cet annuaire et voir s’il est désactivé ou non.

Mais j’ai l’impression que ça va plus loin qui est nécessaire dans ce ticket, je ne suis pas certain qu’il faille toucher au provisionning; et de la même manière je n’ai pas touché au code de deactivate-orphaned-users. À mon avis ce n’est pas parce qu’un annuaire est désactivé (probablement très temporairement à des fins de débogage) qu’il faut interrompre le provisionning des usagers qui en proviennent, ou même les considérer comme orphelins.

Bref, pas convaincu.

#7

Updated by Benjamin Dauvergne 5 months ago

Paul Marillonnet a écrit :

J’avoue avoir du mal à saisir le lien entre les deux sujets.

Dans le code d’agent authentic de provisionning, on n’a pas de logique relative à l’origine des comptes.
On pourrait imaginer tester la provenance du compte, si celle-ci est relative à un LDAP, tenter de retrouver la config de cet annuaire et voir s’il est désactivé ou non.

Mais j’ai l’impression que ça va plus loin qui est nécessaire dans ce ticket, je ne suis pas certain qu’il faille toucher au provisionning; et de la même manière je n’ai pas touché au code de deactivate-orphaned-users. À mon avis ce n’est pas parce qu’un annuaire est désactivé (probablement très temporairement à des fins de débogage) qu’il faut interrompre le provisionning des usagers qui en proviennent, ou même les considérer comme orphelins.

Pour moi désactiver ça veut dire, ne pas y accéder point, donc on désactive tout. Pour dire qu'on ne veut faire que du provisionning il y a une option qui vient d'être introduite, on pourrait en introduire une pour dire authentification seulement sans provisionning (ça devrait être deux options booléenne, par défaut authenticaton:true, provisionning:true).

Bref, pas convaincu.

Je ne comprends pas vraiment les questions que tu te poses.

Also available in: Atom PDF