Bug #6767
hobo_deploy devrait utiliser le rôle admin:: et non Admin::
0%
Description
Actuellement le hobo agent d'Authentic crée des groupes Admin::slug et non admin::slug. Ca serait bien que w.c.s. utilise le même nom de groupe pour faire le mapping des admins.
Fichiers
Historique
Mis à jour par Jérôme Schneider il y a environ 9 ans
- Fichier 0001-hobo_deploy-use-Admin-slug-instead-of-admin-slug-676.patch 0001-hobo_deploy-use-Admin-slug-instead-of-admin-slug-676.patch ajouté
- Patch proposed changé de Non à Oui
Mis à jour par Frédéric Péters il y a environ 9 ans
- Statut changé de En cours à Rejeté
Pour les déploiements actuels (demo. et imio.) on utilise en fait simplement is_superuser; pour un truc plus fin, on attend la gestion d'accès.
Mis à jour par Jérôme Schneider il y a environ 9 ans
- Statut changé de Rejeté à Nouveau
Je le ré-ouvre car c'est problématique à Montpellier. Je pense que le mieux est tout simplement de supprimer cette configuration : pub.cfg['idp'][key_provider_id]['admin-attributes'] = {'role': 'admin::%s' % str(service.get('slug'))}
Le soucis c'est qu'elle écrase la configuration actuelle et ça pose régulièrement des problèmes.
Mis à jour par Frédéric Péters il y a environ 9 ans
- Fichier 0001-agent-create-group-using-admin-slug-format-6767.patch 0001-agent-create-group-using-admin-slug-format-6767.patch ajouté
- Projet changé de w.c.s. à Hobo
- Statut changé de Nouveau à En cours
Je ne pense pas que l'option d'exiger de la config manuelle à chaque déploiement soit appropriée.
Et comme je ne vois pas pourquoi wcs serait changé alors qu'il est venu avant l'agent authentic; voici donc un patch pour l'agent authentic.
Mis à jour par Benjamin Dauvergne il y a environ 9 ans
Dans tous les cas un patch me semble nécessaire puisque la clé is_superuser
est aussi placé dans le dico admin-attributes
et sera donc aussi écrasée. Il faut supprimer cette ligne ou la remplacer par
pub.cfg['idp'][key_provider_id]['admin-attributes'] = {'is_superuser': 'true'}
Mis à jour par Jérôme Schneider il y a environ 9 ans
Je le tourne autrement mon but ce n'est plus que ça marche avec admin:: ou Admin:: Mon but c'est que ça n'écrase pas cette configuration afin entre autre de conserver l'existant. L'idée c'est également de virer la création du groupe Admin:: de l'agent authentic. Je suis en train de préparer une série de patch dessus ça en fera partie. (Pour ce qui est de l'antériorité le Admin:: vient de l'idp Montpellier qui était la avant le check_hobos mais franchement je m'en fous complètement je veux juste que ça soit utilisable).
Donc soit on vire cette ligne soit on continue dans la même logique en migrant sur is_superuser mais dans ce cas il faudrait gérer l'antériorité.
Mis à jour par Frédéric Péters il y a environ 9 ans
- Statut changé de En cours à Nouveau
- Assigné à
Jérôme Schneidersupprimé - Patch proposed changé de Oui à Non
Ok; c'est un peu trop le bordel pour un vendredi soir, tout ça.
On a toute une série d'applications qui se basent sur is_superuser (passerelle/combo/hobo).
On ne peut pas faire pareil pour wcs parce qu'on est déjà à Montpellier à devoir déployer plusieurs wcs pour un seul authentic.
La bonne solution c'est la gestion d'accès depuis Authentic.
Mis à jour par Frédéric Péters il y a environ 9 ans
Donc soit on vire cette ligne soit on continue dans la même logique en migrant sur is_superuser mais dans ce cas il faudrait gérer l'antériorité.
À Montpellier on est sur des "Nom de la commune - Administrateurs", ce n'est de toute façon pas la direction que ça prend.
Mis à jour par Frédéric Péters il y a environ 9 ans
De Benjamin :
pour montpellier je rendrai bien la construction du nom du groupe superadmin dépendante d'une variable hobo (qu'on puisse y mettre Nom de la commun - Administrateur. En cas d'absence on met ce qu'on veut (admin:: ou is_superuser) histoire de conserver l'existant et de simplifier la vie de jérôme,
ensuite lors du déploiement de la nouvelle gestion des accès ce groupe deviendra un rôle du même nom produisant le même effet "role" = "Nom de la commune - Administrateur" et/ou on en profitera pour changer la configuration des 5 wcs pour que ce rôle génère un attribut "is_superuser" ayant pour valeur "true". (pour ne pas mélanger role et flag super-utilisateur dans un même attribut)
Dans cette idée le patch attaché regarde pour une variable admin-attribute qui devra à Montpellier être défini, sous la forme "role=Nom de la commune - Administrateur".
Mis à jour par Frédéric Péters il y a environ 9 ans
- Fichier 0001-hobo-look-in-service-variables-for-admin-attributes-.patch 0001-hobo-look-in-service-variables-for-admin-attributes-.patch ajouté
Le voici…
Mis à jour par Benjamin Dauvergne il y a environ 9 ans
Ok. Je m'occupe du patch coté hobo-deploy d'authentic.
Mis à jour par Benjamin Dauvergne il y a environ 9 ans
Bon après avoir regardé il n'y a rien à faire.
Mis à jour par Frédéric Péters il y a environ 9 ans
- Statut changé de Nouveau à Résolu (à déployer)
Côté Authentic il y aurait à rendre ça configurable et créer des "Foobar - Administrateurs" si on voulait se conformer au modèle Montpellier actuel, mais passons.
commit cfbc30470bd4ce74ec2adc7ded38fcc5796b5907 Author: Frédéric Péters <fpeters@entrouvert.com> Date: Fri Apr 17 19:20:12 2015 +0200 hobo: look in service variables for admin-attributes content (#6767)
Mis à jour par Benjamin Dauvergne il y a environ 9 ans
- Fichier 0001-hobo-keep-existing-admin-attributes-content-6767.patch 0001-hobo-keep-existing-admin-attributes-content-6767.patch ajouté
Un nouveau patch qui ajoute la valeur de admin-attribute aux valeurs existantes de admin-attributes plutôt que de les écraser.
Mis à jour par Benjamin Dauvergne il y a environ 9 ans
- Statut changé de Résolu (à déployer) à Nouveau
- Priorité changé de Normal à Haut
Mis à jour par Jérôme Schneider il y a environ 9 ans
- Statut changé de Nouveau à En cours
Ack pour moi
Mis à jour par Benjamin Dauvergne il y a presque 9 ans
- Assigné à changé de Benjamin Dauvergne à Jérôme Schneider