Développement #60493
pouvoir marquer un annuaire LDAP comme désactivé
0%
Description
Aujourd'hui si on veut temporairement retirer un annuaire LDAP de la configuration il faut le retirer totalement de LDAP_AUTH_SETTINGS; ça serait pratique de pouvoir y mettre une ligne "enabled": false.
Files
History
Updated by Paul Marillonnet over 3 years ago
- Assignee set to Paul Marillonnet
Ok, fair enough, je regarde.
Updated by Paul Marillonnet over 3 years ago
- File 0002-ldap-discard-de-activated-directories-from-password-.patch 0002-ldap-discard-de-activated-directories-from-password-.patch added
- File 0001-ldap-add-an-enabled-option-60493.patch 0001-ldap-add-an-enabled-option-60493.patch added
- Status changed from Nouveau to Solution proposée
- Patch proposed changed from No to Yes
Updated by Benjamin Dauvergne over 3 years ago
- Status changed from Solution proposée to Solution validée
Ok, en un seul commit.
Updated by Benjamin Dauvergne over 3 years ago
- Status changed from Solution validée to En cours
Il manque la partie sur le provisionning; donc je pense que le plus simple ce serait de faire ça dans get_config() plutôt que dans les méthoddes qui appellent get_config().
Updated by Paul Marillonnet over 3 years ago
J’avoue avoir du mal à saisir le lien entre les deux sujets.
Dans le code d’agent authentic de provisionning, on n’a pas de logique relative à l’origine des comptes.
On pourrait imaginer tester la provenance du compte, si celle-ci est relative à un LDAP, tenter de retrouver la config de cet annuaire et voir s’il est désactivé ou non.
Mais j’ai l’impression que ça va plus loin qui est nécessaire dans ce ticket, je ne suis pas certain qu’il faille toucher au provisionning; et de la même manière je n’ai pas touché au code de deactivate-orphaned-users. À mon avis ce n’est pas parce qu’un annuaire est désactivé (probablement très temporairement à des fins de débogage) qu’il faut interrompre le provisionning des usagers qui en proviennent, ou même les considérer comme orphelins.
Bref, pas convaincu.
Updated by Benjamin Dauvergne over 3 years ago
Paul Marillonnet a écrit :
J’avoue avoir du mal à saisir le lien entre les deux sujets.
Dans le code d’agent authentic de provisionning, on n’a pas de logique relative à l’origine des comptes.
On pourrait imaginer tester la provenance du compte, si celle-ci est relative à un LDAP, tenter de retrouver la config de cet annuaire et voir s’il est désactivé ou non.Mais j’ai l’impression que ça va plus loin qui est nécessaire dans ce ticket, je ne suis pas certain qu’il faille toucher au provisionning; et de la même manière je n’ai pas touché au code de
deactivate-orphaned-users. À mon avis ce n’est pas parce qu’un annuaire est désactivé (probablement très temporairement à des fins de débogage) qu’il faut interrompre le provisionning des usagers qui en proviennent, ou même les considérer comme orphelins.
Pour moi désactiver ça veut dire, ne pas y accéder point, donc on désactive tout. Pour dire qu'on ne veut faire que du provisionning il y a une option qui vient d'être introduite, on pourrait en introduire une pour dire authentification seulement sans provisionning (ça devrait être deux options booléenne, par défaut authenticaton:true, provisionning:true).
Bref, pas convaincu.
Je ne comprends pas vraiment les questions que tu te poses.