summaryrefslogtreecommitdiffstats
diff options
context:
space:
mode:
authorThomas NOEL <tnoel@entrouvert.com>2015-02-23 14:10:05 (GMT)
committerThomas NOEL <tnoel@entrouvert.com>2015-02-23 14:10:05 (GMT)
commitcc3e8f02e942d4fa26eb4f514d0d28756120a913 (patch)
tree56a0886b10953f9551158ade177acda3f7fe6a08
parentba9766b7fa4a346865a891de6618a4b938cdff0c (diff)
downloadgi-psl-cc3e8f02e942d4fa26eb4f514d0d28756120a913.zip
gi-psl-cc3e8f02e942d4fa26eb4f514d0d28756120a913.tar.gz
gi-psl-cc3e8f02e942d4fa26eb4f514d0d28756120a913.tar.bz2
exploitation idp
-rw-r--r--documentation/exploitation-idp-authentic.md151
1 files changed, 151 insertions, 0 deletions
diff --git a/documentation/exploitation-idp-authentic.md b/documentation/exploitation-idp-authentic.md
new file mode 100644
index 0000000..2e8ebe4
--- /dev/null
+++ b/documentation/exploitation-idp-authentic.md
@@ -0,0 +1,151 @@
+% Gestion d'identités PSL -- Exploitation IdP Authentic
+% Entr'ouvert SCOP -- http://www.entrouvert.com
+
+
+Intégration à la fédération
+===========================
+
+Le choix de la fédération dans laquelle enregistrer l'IdP est fait dans le
+fichier `/etc/authentic2/supann.conf` (se référer au manuel d'installation pour
+plus d'information).
+
+**Une mise à jour des meta-données de la fédération est effectuée chaque
+heure**, voir `/etc/cron.d/authentic2-supann`.
+
+Lors de l'installation d'une ressource dans la fédération, il peut être utile
+de mettre à jour aussitôt les méta-données au niveau de l'IdP sans attendre une
+heure. Pour cela, utiliser la commande suivante :
+
+~~~
+# su -s /bin/sh -c /usr/lib/authentic2-supann/update-renater-meta.sh authentic
+~~~
+
+Gabarits (_templates_ pour charte graphique)
+============================================
+
+Pour définir la charte graphique du site, il faut créer des _templates_,
+c'est-à-dire des gabaris ou modèles de pages qui seront utilisés par Authentic
+pour construire les pages HTML.
+
+Ces fichiers sont des gabartis gérés par le moteur de rendu de Django. Pour
+savoir les utiliser, il faut connaitre leur langage de programmation, documenté
+ici : [https://docs.djangoproject.com/fr/1.7/topics/templates/](https://docs.djangoproject.com/fr/1.7/topics/templates/)
+
+Les gabarits par défaut sont installés dans le répertoire
+`/usr/share/pyshared/authentic2/templates/`.
+
+Pour remplacer un des gabarits par défaut, il faut créer un fichier avec le
+même nom, et éventuellement dans le même sous-répertoire, à l'intérieur de
+`/var/lib/authentic2/templates/`. Par exemple:
+
+* s'il faut remplacer `/usr/share/pyshared/authentic2/templates/base.html` alors
+ il faut créer un fichier `/var/lib/authentic2/templates/base.html`
+* s'il faut remplacer `/usr/share/pyshared/authentic2/templates/idp/homepage.html`
+ il faut utiliser `/var/lib/authentic2/templates/idp/homepage.html`
+
+Un **gabarit de base** défini le style général du site, il est la base de
+toutes les autres pages. Il est écrit sur
+`/usr/share/pyshared/authentic2/templates/base.html`.
+
+**Pour modifier le style général du site**, il est donc conseillé de partir de
+ce `base.html`, c'est-à-dire :
+
+~~~
+# cp /usr/share/pyshared/authentic2/templates/base.html /var/lib/authentic2/templates/base.html
+# chmod 644 /var/lib/authentic2/templates/base.html
+~~~
+
+Puis travailler sur le fichier:
+
+~~~
+# nano /var/lib/authentic2/templates/base.html
+~~~
+
+Les modifications opérées sur le gabarit sont immédiatement visibles sur le
+site. Cependant il se peut que différents systèmes de _cache_ interviennent,
+auquel cas il peut être utile, entre autre, de redémarrer Authentic (`service
+authentic2 restart`).
+
+Interface d'administration
+==========================
+
+L'intégration à la fédération Renater «fixe» la configuration de l'IdP. Il peut
+cependant être parfois utile d'aller vérifier que la configuration est
+correcte. Pour cela, se rendre sur:
+
+> `https://idp.quelquechose.fr/admin`
+
+et se connecter avec un compte administrateur, par exemple l'identifiant
+`admin` et le mot de passe choisi lors du `newdb` sur le serveur LDAP.
+
+Attention 1 : ne pas modifier ces configurations si vous ne savez pas ce que vous
+faîtes !
+
+Attention 2 : l'intégration à la fédération remets obligatoirement un
+certain de nombre de configuration en place chaque heure -- par exemple les
+réglements d'attributs obligatoires.
+
+
+Arrêt et démarrage
+==================
+
+Authentic est démarré lors du boot de la machine et arrêté lors d'un
+_shutdown_. En dehors de ces moments, les commandes suivantes sont
+disponibles:
+
+* `service authentic2 status` : état du service
+* `service authentic2 stop` : arrêt du service
+* `service authentic2 start` : démarrage du service
+* `service authentic2 restart` : arrêt puis redémarrage du service
+
+Logs
+====
+
+Authentic est, techniquement, un processus géré par `gunicorn`, celui-ci
+enregistre ses logs dans:
+
+* `/var/log/authentic2/gunicorn-access.log`: accès au service
+* `/var/log/authentic2/gunicorn-error.log`: autres messages qui, malgré le nom
+ du fichier, ne sont pas que les erreurs mais aussi des informations sur le
+ démarrage et l'arrêt, par exemple.
+
+Apache enregistre également les logs d'accès au service via HTTPS, dans
+deux fichiers :
+
+* `/var/log/apache2/authentic2-supann_access.log` : logs d'accès
+* `/var/log/apache2/authentic2-supann_error.log` : logs d'erreurs
+
+
+Mise à jour
+===========
+
+La mise à jour du système doit être effectuée aussi fréquement que possible,
+typiquement une fois par jour (mises à jour de sécurité Debian). Entr'ouvert
+informera aussi le projet en cas de mise à jour urgente de sécurité à
+effectuer sur les composants mis en jeu par la solution.
+
+La procédure de mise à jour est la suivante, en **deux étapes**.
+
+Mise à jour de la liste des logiciels disponibles sur les dépôts de la solution
+(Debian et Entr'ouvert):
+
+> `# apt-get update`
+
+Mise à jour des paquets qui ont une version plus récente que celle installée :
+
+> `# apt-get upgrade`
+
+
+Il est possible que des versions futures de la solution nécessitent
+l'installation de nouveaux paquets, dans ce cas Entr'ouvert mettra à jour les
+dépendances de ses paquets et il faudra utiliser la commande `apt-get
+dist-upgrade`.
+
+
+-----
+
+Historique du document
+======================
+
+> 20150217 tnoel -- première version
+