Recherche
Historique de la page
Cette page reprend tous les éléments essentiels pour l'administration et l'exploitation de Nuxeo par l'administrateur.
Les chapitres abordés sont:
| Sommaire | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|
|
Administration et exploitation du serveur
Manipulation courante
Le script jbossctl nuxeoctl présent dans <nuxeo.dir.parent>/nuxeo-dm-5.2.0/racine>/bin permet d'interagir avec le service. Ll ll suffit de lancer jbossctl sans arguments nuxeoctl help pour avoir la liste des possibilités.
...
Ils se trouvent par défaut sous <nuxeo.dir.parent>/nuxeo-dm-5.2.0/server/defaultracine>/log
Leur emplacement peut être redéfini par la valeur des paramètres : jboss.serverdu paramètre : nuxeo.log et jboss.console.log de build.properties.dir
La commande jbossctl permet de lire les logs du serveur jboss:
| Volet |
|---|
jbossctl tail |
| Volet |
|---|
jbossctl tailf |
.
Sauvegarde et restauration
| Remarque |
|---|
Le wiki Nuxeo à ce sujet : http://wwwdoc.nuxeo.orgcom/xwikidisplay/bin/view/FAQ/BackupVCS |
Stockage des documents
La version 5.2.0 stocke "en dur" les documents ici : <nuxeo.dir.parent>/nuxeo-dm-5.2.0/server/default/data/NXRuntime/binaries
Ce répertoire doit donc être sauvegardé .
Stockage des sites "webengine"
Les documents sont stockés dans le répertoire data/binaries (dont l'emplacement est paramétrable via nuxeo.conf en utilisant le paramètre nuxeo.data.dir).
Il convient également de sauvegarder la base de données utilisées (dump de la base,qui doit intervenir avant la sauvegarde des document en cas de sauvegarde à chaud pour maintenir la consistance des données).La version 5.2.0 stocke "en dur" les documents de type "sites web" ici : <nuxeo.dir.parent>/nuxeo-dm-5.2.0/server/default/data/NXRuntime/web
Ce répertoire doit donc être sauvegardé .
Groupes basés sur un filtre LDAP
| Avertissement | ||
|---|---|---|
| ||
ESUP-ECM Nuxeo dispose d'un bouton permettant de gérer les utilisateurs. Nous nous ne supportons recommandons pas son utilisation pour ajouter des groupes et/ou des utilisateurs dans le LDAP. Nous partons du principe que le LDAP est alimenté par le SI de l'établissement. Le but n'est pas que ESUP-ECM Nuxeo soit un outil de manipulation des données du LDAP. Nous nous sommes posés la question de laisser ou non l'accès à ce bouton de gestion des utilisateurs. Dans le mesure où il n'est accessible qu'à l'administrateur nous l'avons laissé en nous disant qu'il pouvait être pratique pour vérifier la configuration LDAP de ESUP-ECP en permettant quelques interrogations sur les users et les groupes. C'est très certainement possible (voir pratique pour une petite structure) mais pas souhaitable dans le cadre d'un outil qui trouve sa place dans le Système d'Information d'un établissement. |
Nuxeo reconnait les groupes LDAP (notion de groupOfUniqueNames ou groupOfNames).
Il peut aussi travailler sur des groupes basés sur des filtrages d'attributs LDAP.
...
Ce groupe pourra alors être utilisé dans la gestion des droits d'accès dans les interfaces de Nuxeo. Attention, cependant, l'utilisation de ce type de groupe avec de larges populations impactées peut avoir des répercussions sensibles sur les performances (requêtes très nombreuses à l'annuaire).
Administration de la plate-forme
...
Par défaut, Nuxeo utilise un groupe "members" qui correspond à tous les utilisateurs authentifiés de la plate-forme.
Dans un fonctionnement de Nuxeo indépendant du système d'information, les utilisateurs sont créés et gérés directement dans la plate-forme. Chaque utilisateur est donc associé au groupe "members" de manière automatique.
...
Cas 1: ldap.group.defaultGroup=members et le groupe "members" existe dans le LDAP
Dans ce cas, à chaque fois qu'un nouvel utilisateur se connectera à Nuxeo, il sera affecté y aura une vérification de l'appartenance au groupe "members" au sein de Nuxeo (et ce même si l'utilisateur n'est pas membre de ce groupe défini dans le LDAP).
Comme un droit de lecture est donné par défaut à "members" dans Nuxeo, tous les utilisateurs du grouper LDAP auront le droit de lire les espaces l'espace racine par défaut.
Cas 2: ldap.group.defaultGroup=members et le groupe "members" N'existe PAS dans le LDAP
Dans ce cas, à chaque fois qu'un utilisateur se connectera à Nuxeo, il sera automatiquement rattaché au pseudo groupe "members" par nuxeo.
Comme un droit de lecture est bien donné par défaut à "members" dans Nuxeo.
En revanche, comme le groupe n'existe pas dans le LDAP, Nuxeo ne pourra pas associer l'utilisateur connecté à ce groupe. Le groupe "members" ne contient donc aucun membre et le droit de lecture positionné n'est pas valide. Aucun droit n'est donc positionné par défaut.
Le groupe "members" n'est pas utilisable dans les interfaces de gestion des droits et n'a donc aucune utilité., tous les utilisateurs authentifiés auront le droit de lire l'espace racine par défaut.
Cas 3: ldap.group.defaultGroup=mon_groupe et le groupe "mon_groupe" existe dans le LDAP
C'est comme le cas 1 mais le groupe members est vide et seulement les utilisateurs de mom_groupe dans LDAP sont membre de mom_groupe dans nuxeo.
Comme un droit de lecture est donné par défaut à "members" dans Nuxeo, aucun utilisateur n'aura le droit de lire l'espace racine par défaut. Pour donner accès il faut donner un droit de lecture à mom_groupe
Cas 3: ldap.group.defaultGroup=mon_groupe et le groupe "mon_groupe" N'existe PAS dans le LDAP A chaque fois qu'un nouvel utilisateur se connectera à Nuxeo, il sera affecté au groupe "mon_groupe" au sein de Nuxeo (et ce même si l'utilisateur n'est pas membre de ce groupe dans le LDAP).
Mais dans ce cas, aucun droit par défaut n'est mis sur les espaces racine pour le groupe "mon_groupe". Ces droits seront donc à positionner par l'administrateur après installation de ESUP-ECM. Le groupe "mon_groupe" peut être utilisé dans les interfaces de gestion des droits de Nuxeo.
C'est comme le cas 2 mais le groupe members est vide et les utilisateurs authentifiés sont automatiquement rattachés à mom_groupe
Comme un droit de lecture est donné par défaut à "members" dans Nuxeo, aucun utilisateur n'aura le droit de lire l'espace racine par défaut. Pour donner accès il faut donner un droit de lecture à mom_groupe
En résumé
Le stockage des documents dans Nuxeo se fait de manière arborescente. Les espaces par défaut sont:
---- root (Domaines du serveur default)
-------- Default domain
------------ Sections
------------ Templates
------------ Workspaces
Dans certains cas, un droit de lecture totale sur l'espace "root" est donné à tous les utilisateurs. Ce droit est hérité par défaut dans les sous-espaces (Default domain, Sections, Templates, etc.)
Les seuls cas où ces droits de lecture à tous les membres sont définis par défaut sont lorsque :
- ldap.group.defaultGroup=members et "members" existe dans le LDAP
Dans les autres cas, aucun droit n'est défini sur ces espaces sauf pour l'administrateur (ou le groupe des administrateurs, cf. paragraphe suivant).
Le groupe "administrators" dans Nuxeo
...
Comme vu précédemment, des droits par défaut peuvent être positionnés sur l'espace 'root' de Nuxeo si ldap.group.defaultGroup=members et "members" existe dans le LDAP.
Dans ce cas, il tous les utilisateurs authentifiés auront par défaut une visibilité totale sur tous les espaces de Nuxeo.
Il est donc recommandé de bloquer l'héritage des droits sur l'espace 'Templates' à tous les utilisateurs. Il faudra laisser le droit de Lire au groupe "members" sur les racines 'Sections' et 'Workspaces'.
...
| Volet | ||
|---|---|---|
./nxshell.sh -h 127.0.0.1
127.0.0.1> script \ --file <rep_src_esup_ecm>/nuxeo-shell-scripts/modifyPermissions.js <UID> \[ ajoute le droit ReadWrite sur le document pour tous <UID> [ ajoute le droit ReadWrite sur le document pour tous ("members") \ ]
|
Importer des données
| Volet | ||
|---|---|---|
./nxshell.sh -h 127.0.0.1
127.0.0.1>fsimport </path_to_docs> . \[On importe à partir du sytème de fichiers\]docs> . [On importe à partir du sytème de fichiers]
|
Passer en mode debug
| Volet |
|---|
./nxshell.sh -h 127.0.0.1 > log debug |
Vue d'ensemble
Gestion des contenus