diff --git a/documentation/exploitation-idp-authentic.md b/documentation/exploitation-idp-authentic.md new file mode 100644 index 0000000..2e8ebe4 --- /dev/null +++ b/documentation/exploitation-idp-authentic.md @@ -0,0 +1,151 @@ +% Gestion d'identités PSL -- Exploitation IdP Authentic +% Entr'ouvert SCOP -- http://www.entrouvert.com + + +Intégration à la fédération +=========================== + +Le choix de la fédération dans laquelle enregistrer l'IdP est fait dans le +fichier `/etc/authentic2/supann.conf` (se référer au manuel d'installation pour +plus d'information). + +**Une mise à jour des meta-données de la fédération est effectuée chaque +heure**, voir `/etc/cron.d/authentic2-supann`. + +Lors de l'installation d'une ressource dans la fédération, il peut être utile +de mettre à jour aussitôt les méta-données au niveau de l'IdP sans attendre une +heure. Pour cela, utiliser la commande suivante : + +~~~ +# su -s /bin/sh -c /usr/lib/authentic2-supann/update-renater-meta.sh authentic +~~~ + +Gabarits (_templates_ pour charte graphique) +============================================ + +Pour définir la charte graphique du site, il faut créer des _templates_, +c'est-à-dire des gabaris ou modèles de pages qui seront utilisés par Authentic +pour construire les pages HTML. + +Ces fichiers sont des gabartis gérés par le moteur de rendu de Django. Pour +savoir les utiliser, il faut connaitre leur langage de programmation, documenté +ici : [https://docs.djangoproject.com/fr/1.7/topics/templates/](https://docs.djangoproject.com/fr/1.7/topics/templates/) + +Les gabarits par défaut sont installés dans le répertoire +`/usr/share/pyshared/authentic2/templates/`. + +Pour remplacer un des gabarits par défaut, il faut créer un fichier avec le +même nom, et éventuellement dans le même sous-répertoire, à l'intérieur de +`/var/lib/authentic2/templates/`. Par exemple: + +* s'il faut remplacer `/usr/share/pyshared/authentic2/templates/base.html` alors + il faut créer un fichier `/var/lib/authentic2/templates/base.html` +* s'il faut remplacer `/usr/share/pyshared/authentic2/templates/idp/homepage.html` + il faut utiliser `/var/lib/authentic2/templates/idp/homepage.html` + +Un **gabarit de base** défini le style général du site, il est la base de +toutes les autres pages. Il est écrit sur +`/usr/share/pyshared/authentic2/templates/base.html`. + +**Pour modifier le style général du site**, il est donc conseillé de partir de +ce `base.html`, c'est-à-dire : + +~~~ +# cp /usr/share/pyshared/authentic2/templates/base.html /var/lib/authentic2/templates/base.html +# chmod 644 /var/lib/authentic2/templates/base.html +~~~ + +Puis travailler sur le fichier: + +~~~ +# nano /var/lib/authentic2/templates/base.html +~~~ + +Les modifications opérées sur le gabarit sont immédiatement visibles sur le +site. Cependant il se peut que différents systèmes de _cache_ interviennent, +auquel cas il peut être utile, entre autre, de redémarrer Authentic (`service +authentic2 restart`). + +Interface d'administration +========================== + +L'intégration à la fédération Renater «fixe» la configuration de l'IdP. Il peut +cependant être parfois utile d'aller vérifier que la configuration est +correcte. Pour cela, se rendre sur: + +> `https://idp.quelquechose.fr/admin` + +et se connecter avec un compte administrateur, par exemple l'identifiant +`admin` et le mot de passe choisi lors du `newdb` sur le serveur LDAP. + +Attention 1 : ne pas modifier ces configurations si vous ne savez pas ce que vous +faîtes ! + +Attention 2 : l'intégration à la fédération remets obligatoirement un +certain de nombre de configuration en place chaque heure -- par exemple les +réglements d'attributs obligatoires. + + +Arrêt et démarrage +================== + +Authentic est démarré lors du boot de la machine et arrêté lors d'un +_shutdown_. En dehors de ces moments, les commandes suivantes sont +disponibles: + +* `service authentic2 status` : état du service +* `service authentic2 stop` : arrêt du service +* `service authentic2 start` : démarrage du service +* `service authentic2 restart` : arrêt puis redémarrage du service + +Logs +==== + +Authentic est, techniquement, un processus géré par `gunicorn`, celui-ci +enregistre ses logs dans: + +* `/var/log/authentic2/gunicorn-access.log`: accès au service +* `/var/log/authentic2/gunicorn-error.log`: autres messages qui, malgré le nom + du fichier, ne sont pas que les erreurs mais aussi des informations sur le + démarrage et l'arrêt, par exemple. + +Apache enregistre également les logs d'accès au service via HTTPS, dans +deux fichiers : + +* `/var/log/apache2/authentic2-supann_access.log` : logs d'accès +* `/var/log/apache2/authentic2-supann_error.log` : logs d'erreurs + + +Mise à jour +=========== + +La mise à jour du système doit être effectuée aussi fréquement que possible, +typiquement une fois par jour (mises à jour de sécurité Debian). Entr'ouvert +informera aussi le projet en cas de mise à jour urgente de sécurité à +effectuer sur les composants mis en jeu par la solution. + +La procédure de mise à jour est la suivante, en **deux étapes**. + +Mise à jour de la liste des logiciels disponibles sur les dépôts de la solution +(Debian et Entr'ouvert): + +> `# apt-get update` + +Mise à jour des paquets qui ont une version plus récente que celle installée : + +> `# apt-get upgrade` + + +Il est possible que des versions futures de la solution nécessitent +l'installation de nouveaux paquets, dans ce cas Entr'ouvert mettra à jour les +dépendances de ses paquets et il faudra utiliser la commande `apt-get +dist-upgrade`. + + +----- + +Historique du document +====================== + +> 20150217 tnoel -- première version +