Index par titre

Configurer celeryd pour gérer les agents¶

Sous Debian configurer le fichier /etc/default/celeryd comme ceci :

# Edit the options in this file to match your projects environment.
# See http://ask.github.com/celery/cookbook/daemonizing.html for the complete
# documentation on the options.

# WARNING: This script is only designed to run the worker(s) for a single
# project. If you need to start workers for multiple projects you should
# consider using supervisor.
# Examples can be found in /usr/share/doc/python-celery/supervisord/

export HOBO_SETTINGS_FILE='/etc/hobo/agent.py'

# Change this to true when done to enable the init.d script.
# Default: false
ENABLED="true" 

# Name of nodes to start
# here we have a single node
CELERYD_NODES="hobo-agents" 
# or we could have three nodes:
#CELERYD_NODES="w1 w2 w3" 

# Where to chdir at start.
CELERYD_CHDIR="/" 

# Extra arguments to celeryd
CELERYD_OPTS="--time-limit=300 --concurrency=2 -A hobo.agent" 

# Name of the celery config module.
CELERY_CONFIG_MODULE="celeryconfig" 

# %n will be replaced with the nodename.
CELERYD_LOG_FILE="/var/log/celery/%n.log" 

# Workers should run as an unprivileged user.
CELERYD_USER="celery" 
CELERYD_GROUP="celery"

Relancer celeryd :

sudo /etc/init.d/celeryd restart

Configurer l'agent wcs¶

Rajouter wcs-au-quotidien dans le groupe hobo afin qu'il puisse lire le fichier /etc/hobo/secret

Configurer le serveur hobo dans /etc/hobo/server.py pour fournir des templates :

SERVICE_TEMPLATES = {
    'wcs': [('export.wcs', u'Montpellier agglo template')],
}

Configurer l'agent hobo wcs dans /etc/hobo/agent.py comme par exemple :

AGENT_HOST_PATTERNS = {
    'wcs': ['*-site.montpellier.entrouvert.org',],
}
AGENT_WCS_APP_DIR = '/var/lib/wcs-au-quotidien'
AGENT_WCS_COMMAND = 'sudo -u wcs-au-quotidien /usr/sbin/wcsctl -f /etc/wcs/wcs-au-quotidien.cfg check-hobos'

Donner les droits sudo à l'utilisateur celery pour qu'il puisse exécuter la commande ci-dessus :
- sudo /usr/sbin/visudo
- puis ajouter la ligne suivante :
```
celery  ALL=(wcs-au-quotidien)NOPASSWD:/usr/sbin/wcsctl -f /etc/wcs/wcs-au-quotidien.cfg check-hobos
```

From here to there¶

Hobo même
- Publier l'adresse des metadata SAML dans les infos de service (#4578) → F.

Agent de déploiement Passerelle (#6112) → F.
- Idéalement rien dans Passerelle
- Du côté de hobo, ça doit être
  - 0) création du tenant s'il n'existe pas (→ besoin d'une commande pour déterminer ça dans python-entrouvert)
  - 1) remplissage du /var/lib/passerelle/tenants/identifiant-du-tenant/ avec les paramètres d'authent (→ besoin d'une commande pour connaître le chemin (#6452))
    - → ajout des commandes de gestion nécessaires dans python-entrouvert → T.
    - utilité d'une commande dans django-mellon qui génère sa configuration à partir de l'URL vers les metadata d'un IdP ?
      - bdauvergne: ça me parait superflu, il suffit d'un template de config qui va chercher ces métadonnées dans un fichier toujours au même endroit, par contre ça peut être intéresse quand on charge le fichier de config d'un tenant de passe une variable qui indique le répertoire du tenant (genre execfile('/var/lib/combo/tenant1/config.py', settings, {'tenant_dir': '/var/lib/combo/tenant1/'})
- Besoin d'un modèle de déploiement multitenant (#6085) → T.
  - Multitenant et authentification via l'IdP

Agent de déploiement Authentic (#6111) → S.
- Finir Authentic en multitenant
- Besoins de commandes supplémentaires (ajout et mise à jour d'un SP via une URL)
  - Ou réutilisation de la commande sync-metadata, à voir.
- Besoin d'une commande de création d'un groupe (pour créer "Vendargues - Administrateur")
  - bdauvergne: pas besoin d'une commande le code c'est django.contrib.auth.models.Group.objects.create("Vendargues - Administrateur") à mettre dans l'agent de déploiement

Agent de déploiement Portail citoyen
- En attente de Combo

Agent de déploiement w.c.s.
- Un patch mineur en attente (#5939)

Plus tard¶

Support OAuth2 pour le proxy de web-service Authentic en utilisant un attribut SAML 2.0 pour la transmission de l'access-token
- ajout d'un fournisseur d'attribute de type access-token pour pouvoir fournir des access token dans un attribut SAML (#....)
- ajout du support d'un access token issue de la session django-mellon dans cmsplugin-blurp (#....)

Partage des attributs définissant un profil utilisateur.

Partage des informations sur les webservices qui sont offerts

Jupiter and Beyond the Infinite¶

Faire en sorte que hobo couvre le déploiement des tenants.

On intègre du code dans hobo¶

les composants de déploiement des applications (y compris les détails pour chaque type de composant) [sauf peut-être pour w.c.s. qui a déjà sa mécanique, mais bon, on verra]

la gestion entr'ouvert des multitenants, basée sur django-tenant-schema mais avec stockage de configuration dans le filesystem (= on retire ça de python-entrouvert), avec les commandes :
- create_tenant www.example.net
- migrate_tenants
- list_tenants
- tenant_command --domain www.example.net command

les middleware de configuration selon les tenants, par exemple :
- hobo.middleware.settings.mellon (config des idp dans un sp mellonisé)
- hobo.middleware.settings.authentic2 (config des clés SAML dans un A2)
le middleware pour les templatesvars :
- hobo.middleware.context.vars (création des templatesvars)

Ça donnerait ça :¶

hobo

le serveur de déploiement : gestion de l'environnement dans le /manage et envoi du hobo.json correspondant dans celery

hobo.multitenant

reprendre entrouvert.djommon.multitenant (fait avec conservation de l'historique, dans la branche wip/merging-multitenant de hobo, #6468)

hobo.agent

réception du hobo.json dans le celery, déploiement de tous les services correspondant via l'appel de commandes de ce genre :
sudo -u service /usr/lib/service/manage.py hobo_deploy www.example.net < hobo.json

hobo.agent.authentic2

ne contient que la commande de management hobo_deploy dédiée au déploiement d'un tenant authentic2 :

create_tenant

création de la bi-clé SAML dans le tenant (saml.crt, saml.key)

copie du hobo.json reçu dans tenant/www.example.net/hobo.json

ajout des policies par défaut

download des metadonnées dans federation.xml

sync-metadata de federation.xml
Cette application est à ajouter dans le INSTALLED_APPS (ou SHARED_APPS) d'authentic2 pour lui donner cette commande hobo_deploy

hobo.agent.common

ne contient que la commande de management hobo_deploy dédiée au déploiement d'un SP mellonisé :

create_tenant

copie du hobo.json reçu dans tenant/www.example.net/hobo.json

download des metadonnées de l'idp dans tenant/www.example.net/metadata_idp_0.xml
Cette application est à ajouter dans le INSTALLED_APPS (ou SHARED_APPS) du SP cible (combo, passerelle, ...) pour lui donner la commande hobo_deploy

hobo.middleware.settings.mellon

configuration des settings.MELLON* depuis les données de tenant/www.example.net/metadata_idp_0.xml et le hobo.json si besoin

hobo.middleware.settings.authentic2

configuration des settings.SAML* depuis saml.crt et saml.key

hobo.middleware.context.vars

création des templatesvars depuis le hobo.json du tenant

Processus de création d'un tenant¶

Le celery client reçoit un environnement hobo.json. Pour chaque tenant de chaque service listé dans cet environnement, il lance la commande de déploiement du service. Pour un service djangoisé, c'est typiquement :

sudo -u service /usr/lib/service/manage.py hobo_deploy www.example.net < hobo.json

Ce "hobo_deploy" va lancer la commande de management programmée dans hobo/agent/<service>/management/commands/hobo_deploy.py

Processus de mise à jour d'un tenant¶

Le processus de création est configurer pour gérer un tenant qui existe déjà, et ne rien faire dans ce cas, juste mettre à jour le hobo.json, et s'il est différent mettre à jour les métadonnées, etc. Ces mises à jour sont prises en compte aussitôt par le tenant via les middlewares.

Notes de RER que bof¶

hobo pourrait fournir: from hobo.helper.settings.mellon import * # config de base MELLON ouaip bon bofff

Profil utilisateur¶

Cette page reprend les différents endroits où la définition des champs d'un profil utilisateur s'établit.

(infos tirées de Vincennes)

Authentic¶

first_name, last_name et email sont des champs standards, définis dans les sources.

Les autres sont définis dans l'admin, /admin/authentic2/attribute/ (correct ?)

Les types des attributs sont définis dans les settings (sinon il n'y a qu'un seul type "chaîne"):

A2_ATTRIBUTE_KINDS = [
        {
            'label': u'Civilité',
            'name': 'title',
            'field_class': forms.ChoiceField,
            'kwargs': {
                'choices': [
                    ('monsieur', u'Monsieur'),
                    ('madame', u'Madame'),
                ],
            }
         },
        {
            'label': u'Date de naissance jj/mm/aaaa',
            'name': 'birthdate',
            'field_class': forms.RegexField,
            'kwargs': {
                'regex': r'^\d\d/\d\d/\d\d\d\d$'
            }
         }
 ]

Dans la config, il y a aussi des infos pour la page d'édition et d'enregistrement de compte:

    "A2_PROFILE_FIELDS": [ "username", "email", "civilite", "first_name",
        "last_name", "date_de_naissance", "telephone", "mobile", "adresse_numero_voie", "adresse_type_voie",
        "adresse_nom_voie", "adresse_complement", "code_postal", "ville", "pays" ],
    "A2_REGISTRATION_FIELDS": [ "username", "email", "civilite", "first_name",
        "last_name", "date_de_naissance", "telephone", "mobile", "adresse_numero_voie", "adresse_type_voie",
        "adresse_nom_voie", "adresse_complement", "code_postal", "ville", "pays" ],
    "A2_REGISTRATION_REQUIRED_FIELDS": [ "first_name", "last_name" ],

Cela permet de définir l'ordre, la présence et la nécessité (pour la page d'enregistrement) des champs.

Des attributs peuvent aussi venir d'un serveur LDAP si une authentification LDAP est configurée:

LDAP_AUTH_SETTINGS = [
        {
            'url': 'ldapi:///',
            'basedn': 'dc=entrouvert,dc=org',
            'transient': False,
            'username_template': '{uid[0]}@{realm}',
            'external_id_tuples': (('dn:noquote',), ('uid','entryUUID'), ),
            'lookups': ('external_id',),
            'update_username': False,
            'attributes': ['uid', 'cn'],
        }
]

Ici seront extraits les attributs uid, cn et entryUUID. Les champs qui définissent les attributs à extraire sont attributes, external_id_tuples, email_field (valeur par défaut email), fname_field (valeur par défaut givenName) et lname_field (valeur par défaut sn).

SAML2¶

Les attributs à partager doivent être définis dans la page de configuration du fournisseur SAML, ne pas oublier de transférer la liste des noms de groupe dans l'attribut 'role' pour les droits d'administration dans les applications.

OAuth2¶

Les attributs à partager doivent être définis dans la page de configuration du client OAuth2, ne pas oublier de transférer la liste des noms de groupe dans l'attribut 'role' pour les droits d'administration dans les applications.

Portail citoyen¶

Quatre attributs sont attendus du web-service user_info de l'IdP:

username
email
first_name
last_name
role

Ils sont utilisés tel quels pour retrouver l'utilisateur ou le créer (via username) et le pré-remplir.

Pour provisionner les super administrateur on définir le paramètre ALLAUTH_A2_ADMIN_ROLE qui devra être une valeur reçue via l'attribut role.

w.c.s.¶

Fiche d'un utilisateur, /admin/settings/users/fields/

Correspondance des attributs, /admin/settings/identification/idp/idp/https-connexion.vincennes.fr-idp-saml2-metadata/edit

Dans la page de correspondance il faut aussi définir les attributs qui donne les droits d'administration, par exemple role -> Administrateur.

Wiki¶

Profil utilisateur
Configurer celeryd pour gérer les agents
From here to there