Gestion d`identités PSL – Exploitation IdP Authentic
Contents
1. 2 supann_access log logs d acc s e var log apache2 authentic2 supann_error log logs d erreurs 7 2 Echanges SAML Authentic est un IdP qui utilise le protocole SAML 2 0 pour ses changes sur la f d ration Renater La majeure partie du d bogage se passe en g n ral via l coute des changes SAML 2 0 dans un navigateur client Nous conseillons l utilisation du navigateur Firefox avec l extension SAML tracer https addons mozilla org fr firefox addon saml tracer 7 3 Mode DEBUG Si le d boguage doit se faire dans Le logiciel lui m me il est possible d activer le mode DEBUG dans etc authentic2 supann conf extrait de etc authentic2 supann conf export DEBUG 1 puis relancer Le service service authentic2 restart De nombreuses informations de d bogage sont alors pr sentes dans var log syslog qui peuvent s av rer importantes en cas de probl me lourd Elles peuvent tre demand es en cas d appel au support de la solution Par ailleurs en cas d erreur HTTP 400 ou 500 des messages d erreur syst me complets et d taill s traceback sont affich s sur Le navigateur Attention ne jamais fonctionner en production avec Le mode DEBUG En effet dans ce mode le service peut afficher des traces d erreurs qui divulguent des informations sensibles sur le navigateur des utilisateurs 8 Historique du document 20150611 tnoel restructuration adaptations Authentic 2 1 20 20150217 tnoel premi re ve2. Gestion d identit s PSL Exploitation IdP Authentic Entr ouvert SCOP http www entrouvert com Table des mati res 1 Arr t et d marrage 2 Configuration 2 1 Int gration la f d ration ie res een Me Se ne SR Sn 2 2 Mise jour forc e des donn es de la f d ration 3 Charte graphique 3 1 Gabarits HTML g n ralit s 3 2 Gabarit g n ral base html 4 5 44 4 4 da a ue nas s 8 3 3 Fichiers statiques images css jS 2e Ve net at ah alt tata ti 4 Interfaces de gestion 4 1 Interface d administration 0 4 2 Interface simplifi e 2 ot RU a a a 5 Donn es sauvegarder 6 Mise jour du logiciel 7 D bogage PA A Journaux logs it e D a e o e a e E e E o a wa 7 2 Echanges SAML a Ma a Ta Mode DEBUG 2 8 00e ae tie he e aie ae e eae e a e Ua 8 Historique du document 1 Arr t et d marrage Authentic est d marr lors du boot de la machine et arr t Lors d un shutdown En dehors de ces moments Les commandes suivantes sont disponibles e service authentic2 status tat du service e service authentic2 stop arr t du service e service authentic2 start d marrage du service e service authentic2 restart arr t puis red marrage du service 2 Configuration 2 1 Int gration la f d ration Le choix de la f d ration dans laquelle enregistrer l IdP est fait dans le fichier et
3. c authentic2 supann conf se r f rer au manuel d installation pour plus d information Une mise jour des meta donn es de la f d ration est effectu e chaque heure XXh30 voir etc cron d authentic2 supann Cela signifie que l ensemble de la configuration de tous les services fournisseurs SAML est faite dans Les fichiers XML diffus s par la f d ration meta donn es et filtre d attributs Si une modification locale de configuration est effectu e dans Authentic elle sera cras e par la mise jour suivante 2 2 Mise jour forc e des donn es de la f d ration Lors de l installation d une nouvelle ressource dans la f d ration il peut tre utile de mettre jour aussit t les m ta donn es au niveau de l IdP sans attendre une heure Pour cela utiliser La commande suivante su s bin sh c usr lib authentic2 supann update renater meta sh authentic Explication cette commande lance le script usr lib authentic2 supann update renater meta sh en tant qu utilisateur authentic Il s agit de la commande qui est lanc e chaque heure par cron comme indiqu dans etc cron d authentic2 supann 3 Charte graphique 3 1 Gabarits HTML g n ralit s Pour d finir La charte graphique du site il faut cr er des templates c est dire des gabaris ou mod les de pages qui seront utilis s par Authentic pour construire Les pages HTML Ces fichiers sont g r s par Le moteur de rendu de Django Pour savoir Les utili
4. emple fr admin et se connecter avec un compte administrateur par exemple l identifiant admin et le mot de passe choisi Lors du newdb sur Le serveur LDAP Attention cette interface est une vue quasi directe de la configuration des services et utilisa teurs Il ne faut pas modifier ces configurations L interface d administration est activ e unique ment des fins de v rification et ou d boguage Attention l int gration la f d ration remets la configuration de chaque service z ro chaque heure par exemple les r glements d attributs 4 2 Interface simplifi e Une interface de gestion simplifi e est galement disponible l adresse https idp exemple fr manage Ici encore cette interface n est pr sente qu des fins de v rification Elle est pr vue pour une instance d Authentic qui g re elle m me ses utilisateurs et ses services ce qui n est pas le cas ici Les utilisateurs sont g r s dans l annuaire LDAP Le services sont configur s via Les donn es de La f d ration 5 Donn es sauvegarder Configuration e etc complet e sinon au moins etc authentic2 e sinon au moins la bi cl etc authentic2 key pemet etc authentic2 cert pem e var lib authentic2 complet surtout si les gabarits ont t adapt s sous r pertoire templates et static Donn es base PostgreSQL Il est inutile de dupliquer la base de donn es elle n est utilis e par Authentic que pour enregis trer Les c
5. onfigurations des services providers celles ci tant obtenues via La f d ration 6 Mise jour du logiciel La mise jour du syst me doit tre effectu e aussi fr quement que possible typiquement une fois par jour mises jour de s curit Debian Entr ouvert informera aussi Le projet en cas de mise jour urgente de s curit effectuer sur les composants mis en jeu par la solution La proc dure de mise jour est la suivante en deux tapes Mise jour de la liste des logiciels disponibles sur Les d p ts de la solution Debian et Entr ou vert apt get update Mise jour des paquets qui ont une version plus r cente que celle install e apt get upgrade IL est possible que des versions futures de la solution n cessitent l installation de nouveaux paquets dans ce cas Entr ouvert mettra jour les d pendances de ses paquets et il faudra utiliser la commande suivante apt get dist upgrade 7 D bogage 7 1 Journaux logs Authentic est techniquement un processus g r par gunicorn celui ci enregistre ses logs dans e var log authentic2 gunicorn access log acc s au service e var log authentic2 gunicorn error log autres messages qui malgr Le nom du fichier ne sont pas que Les erreurs mais aussi des informations sur Le d marrage et l arr t par exemple Apache enregistre galement Les logs d acc s au service via HTTPS dans deux fichiers e var log apache2 authentic
6. rsion
7. ser il faut connaitre leur langage de programmation document ici https docs djangoproject com fr 1 7 topics templates Les gabarits par d faut sont install s dans le r pertoire usr share pyshared authentic2 templates Ils ne doivent pas tre modifi s mais peuvent tre replac s surcharg s Pour surcharger remplacer un des gabarits par d faut il faut cr er un fichier avec Le m me nom et dans le m me sous r pertoire l int rieur de var lib authentic2 templates Par exemple s il faut surcharger usr share pyshared authentic2 templates authentic2 base html alors il faut cr er un fichier var lib authentic2 templates authentic2 base html 3 2 Gabarit g n ral base html Un gabarit de base d fini Le style g n ral du site il est La base de toutes Les autres pages IL est crit sur usr share pyshared authentic2 templates authentic2 base html Pour modifier Le style g n ral du site il suffit de partir de ce fichier base html donc d abord en faire une copie de travail cp usr share pyshared authentic2 templates authentic2 base html var lib authentic2 templates authentic2 base html chmod 644 var lib authentic2 templates authentic2 base html Puis travailler sur Le fichier obtenu var lib authentic2 templates authentic2 base html Les modifications op r es sur le gabarit sont imm diatement visibles sur le site Cependant il se peut que diff rents syst mes de cache interviennent auquel cas il pe
8. ut tre plus rapide de red marrer Authentic service authentic2 restart 3 3 Fichiers statiques images css js Les garabits HTML peuvent faire appel des fichiers statiques avec deux syntaxes possibles lt link rel stylesheet href STATIC URL psl css style css gt ou la syntaxe plus actuelle load staticfiles lt au tout d but du fichier HTML gt lt img src static psl img logo png gt Le fichier correspondant doit tre pr sent dans le r pertoire var 1ib authentic2 static c est dire avec Les deux exemples ci dessus e var lib authentic2 static psl css style css e var lib authentic2 static psl img logo png Une fois Les fichiers copi s dans ces r pertoires il faut utiliser l outil de d ploiement des fichiers statiques de Django pour qu il Les place dans un r pertoire g r par le serveur Web Apache ici Pour cela il suffit de relancer l IdP son d marrage int gre le d ploiement des statics service authentic2 restart Pour en savoir plus lire la documentation de r f rence sur la gestion des fichiers statiques par un logiciel Django https docs djangoproject com en 1 7 howto static files 4 Interfaces de gestion 4 1 Interface d administration L int gration la f d ration Renater fixe la configuration de l IdP IL peut cependant tre parfois utile d aller v rifier que la configuration est correcte Pour cela se rendre sur https idp ex
Download Pdf Manuals
Related Search