Scénario #31144
Mis à jour par Joël Cuissinat il y a plus de 3 ans
La reconnaissance des professeurs s'effectue historiquement avec l'attribut : *typeadmin* et celle des administratifs avec celui +certainement calculé+ : *user_groups*.
<pre>
root@scribe:~# cat /usr/share/ead2/backend/config/roles/roles_scribe.ini
[user_groups]
administratifs=administratif_scribe
[typeadmin]
0=prof
2=prof_admin
</pre>
Pour les personnels administratifs, il est tout à fait envisageable de remplacer la condition actuelle par *typeadmin=3* (cf. http://eole.ac-dijon.fr/documentations/2.8/completes/HTML/ModuleScribe/co/4-personnel.html#ltN12c).
Quoiqu'il en soit, en ajoutant déclarant explicitement l'attribut dans le dictionnaire (FIXME : à vérifier si OK dans la fonction *getSSOFilters()*), les professeurs ne sont pas reconnus comme tels par l'EAD.
<pre>
root@scribe:~# CreoleGet --list | grep typeadmin
casAttribute="typeadmin"
casLDAPAttribute="typeadmin"
</pre>
<pre>
root@scribe:~# tail -fn0 /var/log/rsyslog/local/ead-server/ead-server.info.log
2020-11-16T15:16:31.521458+01:00 scribe.domscribe.ac-test.fr ead-server[64165]: 2020-11-16T15:16:31+0100 [twisted.logger._global#warn] /usr/lib/python3/dist-packages/urllib3/connectionpool.py:999: urllib3.exceptions.InsecureRequestWarning: Unverified HTTPS request is being made to host 'auth.domscribe.ac-test.fr'. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
2020-11-16T15:16:31.582260+01:00 scribe.domscribe.ac-test.fr ead-server[64165]: 2020-11-16T15:16:31+0100 [stdout#info] {'email': ['prof1@ac-test.fr'], 'mail': ['prof1@ac-test.fr'], 'codecivilite': ['1'], 'sn': ['Prof1'], 'uid': ['prof1'], 'nom': ['Prof1'], 'cn': ['Prenom Prof1']}
2020-11-16T15:16:31.582408+01:00 scribe.domscribe.ac-test.fr ead-server[64165]: 2020-11-16T15:16:31+0100 [stdout#info] prof1
2020-11-16T15:16:31.586205+01:00 scribe.domscribe.ac-test.fr ead-server[64165]: 2020-11-16T15:16:31+0100 [_GenericHTTPChannelProtocol (TLSMemoryBIOProtocol),9,192.168.0.26] "!!! L'utilisateur set() n'a pas les droits sur l'action update_ead !!!"
2020-11-16T15:16:31.664024+01:00 scribe.domscribe.ac-test.fr ead-server[64165]: 2020-11-16T15:16:31+0100 [_GenericHTTPChannelProtocol (TLSMemoryBIOProtocol),10,192.168.0.26] '===> Erreur ---> get_menu le menu est vide'
2020-11-16T15:16:31.665960+01:00 scribe.domscribe.ac-test.fr ead-server[64165]: 2020-11-16T15:16:31+0100 [_GenericHTTPChannelProtocol (TLSMemoryBIOProtocol),10,192.168.0.26] '===> Erreur ---> get_menu le menu est vide'
</pre>
Le pas de test (n°11) est déjà préparé dans le test squash : https://dev-eole.ac-dijon.fr/squash/test-cases/7622/info (NB : il faut, au préalable, jouer test le précédant "LEMON-T01-001":https://dev-eole.ac-dijon.fr/squash/test-cases/7621/info).
h3. Solutions à mettre en œuvre
* EOLE >= 2.8.0
* Vérifier comment l'EAD récupère les attributs utilisés pour déterminer les rôles des utilisateurs authentifié
* Faire en sorte que les attributs nécessaires soient récupérés par l'EAD dans le cas "LemonLDAP::NG"
h3. Critères d'acceptation
* Le test squash est passant (l'adapter si nécessaire)
<pre>
root@scribe:~# cat /usr/share/ead2/backend/config/roles/roles_scribe.ini
[user_groups]
administratifs=administratif_scribe
[typeadmin]
0=prof
2=prof_admin
</pre>
Pour les personnels administratifs, il est tout à fait envisageable de remplacer la condition actuelle par *typeadmin=3* (cf. http://eole.ac-dijon.fr/documentations/2.8/completes/HTML/ModuleScribe/co/4-personnel.html#ltN12c).
Quoiqu'il en soit, en ajoutant déclarant explicitement l'attribut dans le dictionnaire (FIXME : à vérifier si OK dans la fonction *getSSOFilters()*), les professeurs ne sont pas reconnus comme tels par l'EAD.
<pre>
root@scribe:~# CreoleGet --list | grep typeadmin
casAttribute="typeadmin"
casLDAPAttribute="typeadmin"
</pre>
<pre>
root@scribe:~# tail -fn0 /var/log/rsyslog/local/ead-server/ead-server.info.log
2020-11-16T15:16:31.521458+01:00 scribe.domscribe.ac-test.fr ead-server[64165]: 2020-11-16T15:16:31+0100 [twisted.logger._global#warn] /usr/lib/python3/dist-packages/urllib3/connectionpool.py:999: urllib3.exceptions.InsecureRequestWarning: Unverified HTTPS request is being made to host 'auth.domscribe.ac-test.fr'. Adding certificate verification is strongly advised. See: https://urllib3.readthedocs.io/en/latest/advanced-usage.html#ssl-warnings
2020-11-16T15:16:31.582260+01:00 scribe.domscribe.ac-test.fr ead-server[64165]: 2020-11-16T15:16:31+0100 [stdout#info] {'email': ['prof1@ac-test.fr'], 'mail': ['prof1@ac-test.fr'], 'codecivilite': ['1'], 'sn': ['Prof1'], 'uid': ['prof1'], 'nom': ['Prof1'], 'cn': ['Prenom Prof1']}
2020-11-16T15:16:31.582408+01:00 scribe.domscribe.ac-test.fr ead-server[64165]: 2020-11-16T15:16:31+0100 [stdout#info] prof1
2020-11-16T15:16:31.586205+01:00 scribe.domscribe.ac-test.fr ead-server[64165]: 2020-11-16T15:16:31+0100 [_GenericHTTPChannelProtocol (TLSMemoryBIOProtocol),9,192.168.0.26] "!!! L'utilisateur set() n'a pas les droits sur l'action update_ead !!!"
2020-11-16T15:16:31.664024+01:00 scribe.domscribe.ac-test.fr ead-server[64165]: 2020-11-16T15:16:31+0100 [_GenericHTTPChannelProtocol (TLSMemoryBIOProtocol),10,192.168.0.26] '===> Erreur ---> get_menu le menu est vide'
2020-11-16T15:16:31.665960+01:00 scribe.domscribe.ac-test.fr ead-server[64165]: 2020-11-16T15:16:31+0100 [_GenericHTTPChannelProtocol (TLSMemoryBIOProtocol),10,192.168.0.26] '===> Erreur ---> get_menu le menu est vide'
</pre>
Le pas de test (n°11) est déjà préparé dans le test squash : https://dev-eole.ac-dijon.fr/squash/test-cases/7622/info (NB : il faut, au préalable, jouer test le précédant "LEMON-T01-001":https://dev-eole.ac-dijon.fr/squash/test-cases/7621/info).
h3. Solutions à mettre en œuvre
* EOLE >= 2.8.0
* Vérifier comment l'EAD récupère les attributs utilisés pour déterminer les rôles des utilisateurs authentifié
* Faire en sorte que les attributs nécessaires soient récupérés par l'EAD dans le cas "LemonLDAP::NG"
h3. Critères d'acceptation
* Le test squash est passant (l'adapter si nécessaire)