proj-esup-grouper

Raccourcis espace

Arborescence des pages

Comparaison des versions

Ancienne version 43

changes.mady.by.user Henri Jacob

Sauvegardée le

comparé à

Nouvelle version 44

changes.mady.by.user Henri Jacob

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.

...

Les groupes institutionnels de l'établissement

 

    

Image RemovedImage Added

Les principes suivants sont adoptés pour construire les arborescences des groupes des personnels et des étudiants:

  • chaque niveau (une structure, une composante, un laboratoire, une étape, etc...) contient
    au dernier niveau (la feuille) , le groupe  "Tout_<code_SI>" a pour membres direct les personnes
    • un ou plusieurs sous-dossiers ayant pour ID <code_SI> et de nom <libelle_SI>
    • le groupe d'ID "tous" et de nom "Tout_<code_SI>" ayant pour membres directs les sous-groupes de niveau inférieur

avec :

  • <code_SI> : code Harpege ou Apogee du niveau courant
  • <libelle_SI> : libellé Harpege ou Apogee du niveau courant
Les groupes des Personnels

Ils sont issus d'Harpege et reflètent les différents niveaux des structures:

  • Services : les groupes des personnels des services centraux et communs
  • Ufr,instituts, écoles : les groupes des personnels des composantes d'enseignement
  • Laboratoires : les groupes des personnels des laboratoires

L'identifiant des dossiers : ser, ufr, lab

Les groupes des Etudiants

Ils sont issus d'Apogee et sont classés par inscription administrative selon le plan de classemement suivant

année > “Inscription Administrative” > composante > type de diplôme > version de diplôme > version d'étape

...

Ces groupes peuvent être gérés par un administrateur délégué.

Image Added

 

Ils sont classés selon leur type :

 

profils applicatifs  ("Applications et services")

...

    • ce sont des groupes transversaux de nature organisationnelle (projet, communication, collaboration,...) et  fonctionnelle (correspondants téléphonie, correspondants techniques de la DSI, ...) 
    • ils sont internes à une structure ("Recherche", "Services", "Ufr,instituts,écoles") mais peuvent aussi êtres communs à plusieurs structures ("Communs", "Projets UdR", "Partages")

      exemple : les correspondants de la DSI

 

Image Removed 

 

Les règles de nommage des groupes et dossiers non-institutionnels

 Image Removed

Les dossiers

Image RemovedImage Added

  

Les groupes

Image Added

 

Correspondance des champs dans Grouper et des attributs ldap

...

Chaque groupe est géré par son administrateur designé.désigné.

 

Délégation à un administrateur désigné

Les règles adoptées

L'"administrateur délégué" peut :

  • créer des sous-dossiers et des groupes dans le dossier qu'il administre,
  • administrer les groupes du dossier qu'il administre,
  • voir les groupes du dossier qu'il administre
  • ajouter/supprimer des membres (personnes et/ou groupes) de ces groupes,
  • voir la liste des membres de ces groupes,
  • créer des groupes (ouverts ou fermés, fermés par défaut),
  • attribuer tous les privilèges à d'autres personnes/groupes,
  • voir tous les groupes institutionnels,
  • voir les membres des groupes institutionnels,
  • les droits d'administration « suivent »  dans la sous-arborescence

Le  "gestionnaire délégué" peut :

  • voir les groupes du dossier qu'il accède,
  • ajouter/supprimer des membres (personnes et/ou groupes) de ces groupes, sauf celui des administrateurs délégués,
  • voir la liste des membres de ces groupes,
  • voir tous les groupes institutionnels (personnels et étudiants),
  • voir les membres des groupes institutionnels,
  • les droits de modification « suivent »  dans la sous-arborescence

Le "gestionnaire délégué"  ne peut pas :

  • administrer/créer des groupes
  • créer des dossiers

Le « lecteur » peut seulement :

  • lire les membres des groupes délégués
  • voir les autres groupes délégués
  • les droits de lecture « suivent »  dans la sous-arborescence

Le membre d'un groupe délégué peut :

  • lire les autres membres du groupe

 

Le modèle de délégation proposé

La DSI a souhaité garder le controle sur les délégation. 

Le demandeur soumet sa requête écrite par ticket. A la réception la DSI lance un script gsh de génération du dossier qui aura les propriétés suivantes :

  • les administrateurs Grouper administrent le groupe « Administrateurs »
  • le groupe « Administrateurs »
    • administre les groupes « Gestionnaires » et « Lecteurs »
    • peut créer des groupes et des sous-dossiers dans le dossier délégué 
    • contient un seul membre : le demandeur de la délégation
  • le groupe « Gestionnaires »
    • peut  voir, lire et mettre à jour les membres du groupe « Lecteurs »
    • Il est vide
  • Le groupe « Lecteurs » est vide

Image Added

L'administrateur délégué peut alors créer son arborescence :

  • lors de la création d'un sous-dossier par l'administrateur délégué, les privilèges de création de groupes et de sous-dossiers est donné au  groupe « Administrateurs »
  • lors de la  création, par l'administrateur délégué, d'un groupe dans un sous-dossier :
    • le privilège d'administration de groupes est donné au groupe « Administrateurs »
    • le privilège de mise à jour des membres est donné au groupe « Gestionnaires »
    • le privilège de lecture des membres du groupe est donné au groupe « Lecteurs »
  • et ainsi de suite … (délégation totale sur toute l'arborescence) .

Exemple

Délégation pour la prise en main des partages de l'IUT sur le NAS de l'université

Image Added

Le groupes des administrateurs Grouper a le droit d'administration  sur tous les dossiers et groupes existants et futurs.

Le groupe "Administrateurs NAS DSI" a le droit d'administration sur tous les dossiers et groupes existants et futurs du dossier "NAS DSI" .

Le groupe "Administrateurs IUT de Rennes" a le droit d'administration sur tous les dossiers et groupes existants et futurs du dossier "IUT de Rennes"

Le groupe "Gestionnaires NAS DSI" a le droit de mise à jour sur tous les groupes existants et futurs du dossier "NAS DSI" .

Le groupe "Gestionnaires IUT de Rennes" a le droit de mise à jour sur tous les groupes existants et futurs du dossier "IUT de Rennes" .

Le groupe "Lecterus NAS DSI" a le droit de voir les membres des groupes existants et futurs du dossier "NAS DSI" .

Le groupe "Lecteurs IUT de Rennes" a le droit devoir les membres des groupes existants et futurs du dossier "IUT de Rennes" .

 

Le code du script gsh est basé sur les règles d'héritage :

 

Synchronisation Grouper - Services d'annuaires

...

La synchronisation se fait avec l'outil "LDAPPCPSP"

Les groupes sont placés dans une branche "groupsou=groupes", à plat (pas d'arborescence)

Les appartenances indirectes sont traduites en appartenances indiciduelles individuelles directes

La synchronisation met aussi à jour l'attribut "memberOf" de chaque personne

Configuration ldappc :

...

La configuration de PSP est conforme à psp-example-openldap:

Grouper - annuaire active directory

L'annuaire est utilisé pour la gestion des droits sur des espaces de stockage partagés, pour la configuration des postes de travail , pour la définition des autorisations aux imprimantes

La synchronisation se fait avec l'outil "LDAPPCPSP"

Les groupes sont placés dans une unité organisationnelle "groupesougroupes", en conservant l'arborescence de la base grouper

L'attribut sAMAccountName reçoit la valeur de l'id_path grouper avec conversion des ":" en "_"

Configuration ldappc :

...

(obsolète)

Configuration PSP:

Résolution des correspondances d'attributs :

...

...

 

...