Bug #86317
ne pas avoir d'alertes comptes inactifs sur un lien LDAP désactivé
0%
Description
Quand on a un lien LDAP en cours, on exclus les utilisateurs concernés du système clean-unused-accounts :
realms = [block['realm'] for block in LDAPBackend.get_config() if block.get('realm')]
self.user_qs = get_user_queryset().exclude(userexternalid__source__in=realms)
Problème : si on modifie le realm, ou si on le retire temporairement de la configuration, tous les utilisateurs liés risquent de recevoir une alerte de compte à supprimer.
Sur un site avec un LDAP agent configuré depuis des années, on se retrouve à envoyer des centaines (milliers) de mail... y compris depuis des systèmes en test où on testait le lien LDAP.
Je propose d'avoir un filtre plus fort : exclusion de tous les utilisateurs qui ont une userexternalid, même si elle est désactivée. Ca évitera ces erreurs d'inattention.
Autrement dit, remplacer les deux lignes ci-dessus par
User.objects.exclude(userexternalid__isnull=False)
(Cependant je ne sais pas très bien l'usage de userexternalid qui déborde peut-être de LDAP ?)
Historique
Mis à jour par Benjamin Dauvergne il y a 3 mois
- Statut changé de Nouveau à Rejeté
- Assigné à mis à Thomas Noël
Thomas Noël a écrit :
Autrement dit, remplacer les deux lignes ci-dessus par
Je ne suis pas super fan, de se retrouver avec des comptes qui ne disparaissent jamais. Je préférerai qu'une tentative de débrancher une LDAP soit vu comme une opération critique à étudier, surtout qu'ici il fallait surtout ne rien faire.
(Cependant je ne sais pas très bien l'usage de userexternalid qui déborde peut-être de LDAP ?)
Utilisé que par le ldap.
(Je rejette, on peut toujours ré-ouvrir avec de meilleurs arguments)