Recherche
Cette page reprend tous les éléments essentiels pour l'administration et l'exploitation de Nuxeo par l'administrateur.
Les chapitres abordés sont:
Administration et exploitation du serveur
Manipulation courante
Le script jbossctl présent dans <nuxeo.dir.parent>/nuxeo-dm-5.2.0/bin permet d'interagir avec le service. Ll suffit de lancer jbossctl sans arguments pour avoir la liste des possibilités.
Les logs
Ils se trouvent par défaut sous <nuxeo.dir.parent>/nuxeo-dm-5.2.0/server/default/log
Leur emplacement peut être redéfini par la valeur des paramètres : jboss.server.log et jboss.console.log de build.properties
La commande jbossctl permet de lire les logs du serveur jboss:
jbossctl tail
jbossctl tailf
Sauvegarde et restauration
Stockage des documents
La version 5.2.0 stocke "en dur" les documents ici : <nuxeo.dir.parent>/nuxeo-dm-5.2.0/server/default/data/NXRuntime/binaries
Ce répertoire doit donc être sauvegardé .
Stockage des sites "webengine"
La version 5.2.0 stocke "en dur" les documents de type "sites web" ici : <nuxeo.dir.parent>/nuxeo-dm-5.2.0/server/default/data/NXRuntime/web
Ce répertoire doit donc être sauvegardé .
Groupes basés sur un filtre LDAP
Nuxeo reconnait les groupes LDAP (notion de groupOfUniqueNames).
Il peut aussi travailler sur des groupes basés sur des filtrages d'attributs LDAP.
Pour cela :
- on doit définir dans LDAP un groupe d'objectClass groupofurls.
- ensuite, on déclare un attribut memberURL contenant une url de la forme ldap:///ou=people,dc=univ,dc=fr??sub?(&(att1=truc)(ett2=machin)(departmentnumber=57))
Ce groupe pourra alors être utilisé dans la gestion des droits d'accès dans les interfaces de Nuxeo.
Administration de la plate-forme
Gestion des droits dans Nuxeo
Le groupe "members" dans Nuxeo
Par défaut, Nuxeo utilise un groupe "members" qui correspond à tous les utilisateurs de la plate-forme.
Dans un fonctionnement de Nuxeo indépendant du système d'information, les utilisateurs sont créés et gérés directement dans la plate-forme. Chaque utilisateur est donc associé au groupe "members" de manière automatique.
Dans ESUP-ECM, Nuxeo a été branché sur un annuaire LDAP, mais la notion du groupe "members" existe toujours. En effet, dès la création de la base de données, un droit en lecture à tous les espaces par défaut est donné au groupe members.
Le problème est de savoir si ce groupe est réel ou non ?
Lors de l'installation, il vous a été demandé de renseigner le paramètre ldap.group.defaultGroup.
Cas 1: ldap.group.defaultGroup=members et le groupe "members" existe dans le LDAP
Dans ce cas, à chaque fois qu'un nouvel utilisateur se connectera à Nuxeo, il sera affecté au groupe "members" au sein de Nuxeo (et ce même si l'utilisateur n'est pas membre de ce groupe dans le LDAP).
Comme un droit de lecture est donné par défaut à "members" dans Nuxeo, tous les utilisateurs auront le droit de lire les espaces racine par défaut.
Cas 2: ldap.group.defaultGroup=members et le groupe "members" N'existe PAS dans le LDAP
Dans ce cas, un droit de lecture est bien donné par défaut à "members" dans Nuxeo.
En revanche, comme le groupe n'existe pas dans le LDAP, Nuxeo ne pourra pas associé l'utilisateur connecté à ce groupe. Le groupe "members" ne contient donc aucun membre et le droit de lecture positionné n'est pas valide. Aucun droit n'est donc positionné par défaut.
Le groupe "members" n'est pas utilisable dans les interfaces de gestion des droits et n'a donc aucune utilité.
Cas 3: ldap.group.defaultGroup=mon_groupe et le groupe "mon_groupe" existe dans le LDAP
A chaque fois qu'un nouvel utilisateur se connectera à Nuxeo, il sera affecté au groupe "mon_groupe" au sein de Nuxeo (et ce même si l'utilisateur n'est pas membre de ce groupe dans le LDAP).
Mais dans ce cas, aucun droit par défaut n'est mis sur les espaces racine pour le groupe "mon_groupe". Ces droits seront donc à positionner par l'administrateur après installation de ESUP-ECM. Le groupe "mon_groupe" peut être utilisé dans les interfaces de gestion des droits de Nuxeo.
En résumé
Le stockage des documents dans Nuxeo se fait de manière arborescente. Les espaces par défaut sont:
---- root (Domaines du serveur default)
-------- Default domain
------------ Sections
------------ Templates
------------ Workspaces
Dans certains cas, un droit de lecture totale sur l'espace "root" est donné à tous les utilisateurs. Ce droit est hérité par défaut dans les sous-espaces (Default domain, Sections, Templates, etc.)
Les seuls cas où ces droits de lecture à tous les membres sont définis par défaut sont lorsque :
- ldap.group.defaultGroup=members et "members" existe dans le LDAP
Dans les autres cas, aucun droit n'est défini sur ces espaces sauf pour l'administrateur (ou le groupe des administrateurs, cf. paragraphe suivant).
Le groupe "administrators" dans Nuxeo
Le groupe "administrators" a un fonctionnement assez proche du groupe "members" dans Nuxeo. Ce groupe existe par défaut dans Nuxeo et correspond aux administrateurs de la plate-forme.
Si on créée un groupe "administrators" dans le LDAP, un droit de gestion totale sera donné aux membres de ce groupe. Sinon, seul l'utilisateur défini par ldap.user.defaultAdministratorId dans la configuration au moment de l'installation aura ce droit à la création de la base de données.
En effet, Nuxeo définit "en dur" un droit de gestion totale pour le groupe "administrators". Si ce groupe existe dans le LDAP, tous les membres seront administrateurs.
Le "groupe" "Everyone" dans Nuxeo
Dans l'interface de gestion des droits, il est possible de "Bloquer l'héritage des droits" sur un espace. Dans ce cas, on voit apparaître une "Permission interdite" au groupe "Everyone" dans tous les sous-espaces.
Il est important de comprendre que ce groupe "Everyone" est une notion abstraite dans Nuxeo. En effet, le groupe "Everyone" n'existe pas en tant que tel et n'est donc pas utilisable dans les interfaces de sélection des groupes.
Cette notion permet simplement de signaler à l'utilisateur que tous les droits hérités sont coupés à partir de cet espace.
Modifier les droits sur l'espace 'root'
Des droits existent par défaut
Comme vu précédemment, des droits par défaut peuvent être positionnés sur l'espace 'root' de Nuxeo si ldap.group.defaultGroup=members et "members" existe dans le LDAP.
Dans ce cas, il tous les utilisateurs auront par défaut une visibilité totale sur tous les espaces de Nuxeo.
Il est donc recommandé de bloquer l'héritage des droits sur l'espace 'Templates' à tous les utilisateurs. Il faudra laisser le droit de Lire au groupe "members" sur les racines 'Sections' et 'Workspaces'.
En revanche, il faudra "Bloquer l'héritage des droits" sur les sous-espaces de 'Sections' et 'Workspaces' en fonction des besoins exprimés par votre établissement.
Les utilisateurs devront dans la majorité des cas avoir accès en lecture sur 'Sections' et 'Workspaces' et le filtrage plus fin devra se faire sur les sous-espaces.
Aucun droit par défaut
Dans les cas où aucun droit n'est défini par défaut à la racine, il sera nécessaire de les définir manuellement.
Pour cela, un droit de lecture devra être positionné au groupe correspondant à tous les utilisateurs depuis les espaces :
---- root (Domaines du serveur default)
-------- Default domain
------------ Sections
------------ Workspaces
Ce droit de lecture est nécessaire pour que l'utilisateur puisse se déplacer dans l'arborescence des espaces.
Ensuite, comme vu dans le paragraphe précédent, il sera nécessaire d'affiner les droits dans les sous-espaces de 'Sections' et 'Workspaces'.
Les multi-fichiers
La version 1.0 de ESUP-ECM ne permet pas réellement le dépôt de fichiers multiples. Pour déposer un ensemble de fichiers (exemple: mini site web composé de pages web, images, etc.), ceux-ci devront être déposés sous la forme d'un fichier ZIP.
Lors de l'accès à ce fichier après un référencement dans ORI-OAI par exemple, il sera dézippé et montré à l'utilisateur sous forme d'un mini site web si un fichier index.htm ou index.html est trouvé à la racine.
Dans le cas contraire, on proposera à l'utilisateur de télécharger le fichier ZIP.
Utilisation de nuxeo-shell : quelques exemples
HENRI :: Parler ici de l''utilisation des script de nuxeo-shell-scripts et notamment modifyPermissions.js
cd <nuxeo.dir.parent>/nuxeo-dm-5.2.0/nuxeo-shell/ export JAVA_HOME=<repInstallationJava> export PATH=$JAVA_HOME/bin:$PATH
Reconstruire les index applicatifs
Les index applicatifs nuxeo sont reconstruits en utilisant la commande index de shell nuxeo :
./nxshell.sh -h 127.0.0.1 127.0.0.1> index 127.0.0.1> quit
Modifier les permissions sur les espaces
./nxshell.sh -h 127.0.0.1
127.0.0.1> cd default-domain/workspaces
127.0.0.1> view tmp
127.0.0.1> script --file <rep_esup_ecm>/nuxeo-shell-scripts/modifyPermissions.js 4cb62b5b-7b6e-432a-8d46-76271d125ea1 //ajouter les droits ReadWrite sur le document pour tous ("members")
127.0.0.1> script --file <rep_esup_ecm>/nuxeo-shell-scripts/modifyPermissions.js 4cb62b5b-7b6e-432a-8d46-76271d125ea1 admin Everything // ajouter les droits Everything (gérer) sur le document pour l' administrateur ("admin")
./nxshell.sh -h 127.0.0.1
127.0.0.1> cd default-domain/workspaces
127.0.0.1> view tmp
127.0.0.1> script --file <rep_esup_ecm>/nuxeo-shell-scripts/modifyPermissions.js 4cb62b5b-7b6e-432a-8d46-76271d125ea1 //ajouter les droits ReadWrite sur le document pour tous ("members")
127.0.0.1> script --file <rep_esup_ecm>/nuxeo-shell-scripts/modifyPermissions.js 4cb62b5b-7b6e-432a-8d46-76271d125ea1 admin Everything // ajouter les droits Everything (gérer) sur le document pour l' administrateur ("admin")
Exporter / importer des données
Passer en mode debug
./nxshell.sh -h 127.0.0.1 127.0.0.1> log debug 127.0.0.1> quit
Vue d'ensemble
Gestion des contenus