summaryrefslogtreecommitdiffstats
path: root/documentation/exploitation-idp-authentic.md
blob: 2e8ebe41ca15aee38906ade2e6debc35a2dde37d (plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
% Gestion d'identités PSL -- Exploitation IdP Authentic
% Entr'ouvert SCOP -- http://www.entrouvert.com


Intégration à la fédération
===========================

Le choix de la fédération dans laquelle enregistrer l'IdP est fait dans le
fichier `/etc/authentic2/supann.conf` (se référer au manuel d'installation pour
plus d'information).

**Une mise à jour des meta-données de la fédération est effectuée chaque
heure**, voir `/etc/cron.d/authentic2-supann`.

Lors de l'installation d'une ressource dans la fédération, il peut être utile
de mettre à jour aussitôt les méta-données au niveau de l'IdP sans attendre une
heure. Pour cela, utiliser la commande suivante :

~~~
# su -s /bin/sh -c /usr/lib/authentic2-supann/update-renater-meta.sh authentic
~~~

Gabarits (_templates_ pour charte graphique)
============================================

Pour définir la charte graphique du site, il faut créer des _templates_,
c'est-à-dire des gabaris ou modèles de pages qui seront utilisés par Authentic
pour construire les pages HTML.

Ces fichiers sont des gabartis gérés par le moteur de rendu de Django. Pour
savoir les utiliser, il faut connaitre leur langage de programmation, documenté
ici : [https://docs.djangoproject.com/fr/1.7/topics/templates/](https://docs.djangoproject.com/fr/1.7/topics/templates/)

Les gabarits par défaut sont installés dans le répertoire
`/usr/share/pyshared/authentic2/templates/`.

Pour remplacer un des gabarits par défaut, il faut créer un fichier avec le
même nom, et éventuellement dans le même sous-répertoire, à l'intérieur de
`/var/lib/authentic2/templates/`. Par exemple:

* s'il faut remplacer `/usr/share/pyshared/authentic2/templates/base.html` alors
  il faut créer un fichier `/var/lib/authentic2/templates/base.html`
* s'il faut remplacer `/usr/share/pyshared/authentic2/templates/idp/homepage.html`
  il faut utiliser `/var/lib/authentic2/templates/idp/homepage.html`

Un **gabarit de base** défini le style général du site, il est la base de
toutes les autres pages. Il est écrit sur
`/usr/share/pyshared/authentic2/templates/base.html`.

**Pour modifier le style général du site**, il est donc conseillé de partir de
ce `base.html`, c'est-à-dire :

~~~
# cp /usr/share/pyshared/authentic2/templates/base.html /var/lib/authentic2/templates/base.html
# chmod 644 /var/lib/authentic2/templates/base.html
~~~

Puis travailler sur le fichier:

~~~
# nano /var/lib/authentic2/templates/base.html
~~~

Les modifications opérées sur le gabarit sont immédiatement visibles sur le
site. Cependant il se peut que différents systèmes de _cache_ interviennent,
auquel cas il peut être utile, entre autre, de redémarrer Authentic (`service
authentic2 restart`).

Interface d'administration
==========================

L'intégration à la fédération Renater «fixe» la configuration de l'IdP. Il peut
cependant être parfois utile d'aller vérifier que la configuration est
correcte. Pour cela, se rendre sur:

> `https://idp.quelquechose.fr/admin`

et se connecter avec un compte administrateur, par exemple l'identifiant
`admin` et le mot de passe choisi lors du `newdb` sur le serveur LDAP.

Attention 1 : ne pas modifier ces configurations si vous ne savez pas ce que vous
faîtes !

Attention 2 : l'intégration à la fédération remets obligatoirement un
certain de nombre de configuration en place chaque heure -- par exemple les
réglements d'attributs obligatoires.


Arrêt et démarrage
==================

Authentic est démarré lors du boot de la machine et arrêté lors d'un
_shutdown_.  En dehors de ces moments, les commandes suivantes sont
disponibles:

* `service authentic2 status` : état du service
* `service authentic2 stop` : arrêt du service
* `service authentic2 start` : démarrage du service
* `service authentic2 restart` : arrêt puis redémarrage du service

Logs
====

Authentic est, techniquement, un processus géré par `gunicorn`, celui-ci
enregistre ses logs dans:

* `/var/log/authentic2/gunicorn-access.log`: accès au service
* `/var/log/authentic2/gunicorn-error.log`: autres messages qui, malgré le nom
  du fichier, ne sont pas que les erreurs mais aussi des informations sur le
  démarrage et l'arrêt, par exemple.

Apache enregistre également les logs d'accès au service via HTTPS, dans
deux fichiers :

* `/var/log/apache2/authentic2-supann_access.log` : logs d'accès
* `/var/log/apache2/authentic2-supann_error.log` : logs d'erreurs


Mise à jour
===========

La mise à jour du système doit être effectuée aussi fréquement que possible,
typiquement une fois par jour (mises à jour de sécurité Debian). Entr'ouvert
informera aussi le projet en cas de mise à jour urgente de sécurité à
effectuer sur les composants mis en jeu par la solution.

La procédure de mise à jour est la suivante, en **deux étapes**.

Mise à jour de la liste des logiciels disponibles sur les dépôts de la solution
(Debian et Entr'ouvert):

> `# apt-get update`

Mise à jour des paquets qui ont une version plus récente que celle installée :

> `# apt-get upgrade`


Il est possible que des versions futures de la solution nécessitent
l'installation de nouveaux paquets, dans ce cas Entr'ouvert mettra à jour les
dépendances de ses paquets et il faudra utiliser la commande `apt-get
dist-upgrade`.


-----

Historique du document
======================

> 20150217 tnoel -- première version