Gestion des droits

Gestion des droits utilisateurs

La gestion des droits a été modifiée pour permettre d'affecter des droits de façon bien plus précise aux utilisateurs. Il est maintenant possible de donner un/plusieurs droits à un utilisateur/groupe d'utilisateur sur le domaine ou sur un parc de machines. Le mécanisme est simple, on va créer un profil de droits, puis on choisira un utilisateur/groupe, et on affectera ce profil à l'utilisateur/groupe sur le domaine, ou un parc du domaine.

Les droits historiques hérités de se3 comme "computer_is_admin" sont maintenant obsolètes et non pris en compte.

Par exemple, on va pouvoir donner des droits d'installation automatique à un technicien d'SVT sur le parc de machine de SVT, donner l'accès distant guacamole à un user/groupe sur un parc, donner des droits d'admin local à un user sur plusieurs parcs...

Création d'un profil de droits.

Ici, on va créer pour l'exemple un droit pour l'accès distant aux machines via guacamole, on donnera aux enseignants du groupe Prof l'accès aux 2 salles des professeurs.

On va cliquer sur "Gestion des profils utilisateurs" 1.png

On va créer un profil en laissant "Nouveau" puis afficher. 2.png

ATTENTION: pas d'espace dans les noms de profils de droits. Ici on a choisi "acces_distant" et non "accès distant".

Dans la liste, on va indiquer les droits que l'on souhaite activer.

3.png

Le profil de droit est maintenant créé et peut être affecté à un utilisateur ou un groupe.

Affectation à un utilisateur ou à un groupe du domaine.

On recher le public concerné, par exemple le groupe professeurs

4.png

Une fois le groupe trouvé, on va cliquer sur "gérer les droits". Il ne reste plus qu'à choisir le profil à ajouter.

5.png

Il y a alors 2 possibilités. Si on ajoute les droits dans le premier tableau, alors ces droits vont s'appliquer sur tout le domaine. Si on souhaite affiner ces droits et ne les appliquer que sur un parc, alors on choisira d'ajouter ce profil uniquement sur le/les parcs souhaités.

Dans l'exemple précédent, les enseignants du groupe Profs ne pourront que se connecter à distance sur les ordinateurs des parcs sdp1 et sdp2.

Une fois ajouté, il est pour l'instant nécéssaire de redémarrer le service php8.2-fpm pour vider le cache .

On tape sur le se4fs:

service php8.2-fpm restart

Autre exemple, permettre à un utilisateur de faire des installations automatiques.

On va créer à nouveau un profil de droits "install_auto"

6.png

On applique ce droit à un utilisateur, par exemple à un compte créé pour un.e technicien.ne de collectivité.

7.png

Le compte choisi peut maintenant démarrer une machine par IPXE et se connecter sur l'interface admin IPXE pour nommer/installer une machine neuve.