Gestion des rôles

Les rôles de l'EAD sont déclarés dans les fichiers : /usr/share/ead2/backend/config/perms/perm_*.ini

Ces fichiers au format INI[1] permettent d'associer des actions (permissions) à un ou plusieurs rôles.

Fichiers pris en compte

Sur un module EOLE, seuls les fichiers suivants sont pris en compte :

  • /usr/share/ead2/backend/config/perm.ini : rôles de base ;
  • /usr/share/ead2/backend/config/perm_<module>.ini : rôles spécifiques au module installé (ex : perm_scribe.ini) ;
  • /usr/share/ead2/backend/config/perm_local.ini : rôles déclarés localement (édition manuelle ou via l'EAD) ;
  • /usr/share/ead2/backend/config/perm_acad.ini : rôles déclarés au niveau académique (via Zéphir) ;
  • ainsi que tout les fichiers perm_*.ini présents dans le répertoire /usr/share/ead2/backend/config/perms.

Syntaxe des fichiers

Les permissions associent un rôle à une ou plusieurs actions.

Les fichiers perm*.ini doivent posséder une section [role] et une section [permissions].

Exemple

[role]

nom_du_role = libelle du role

[permissions]

action1 = nom_du_role

action2 = nom_du_role

Création de rôle via l'EAD

L'interface EAD permet de créer des rôles personnalisés.

Ces rôles ne sont, en fait, qu'une liste d'actions regroupées sous un intitulé et un libellé unique.

Il est possible, dans un deuxième temps d'associer ces rôles à des utilisateurs.

La fenêtre d'édition des rôles
La fenêtre d'édition des rôles

Pour créer un nouveau rôle cliquer sur :

  • Édition de rôles/Création de rôles

puis

  • Créer rôle

  • entrer l'intitulé (le nom) du rôle (sans caractère spécial, sans accent et sans espace) ;

  • entrer un libellé (courte description) du rôle ;

  • cocher les actions à autoriser ;

  • ajouter ;

  • créer.

Création d'un rôle
Création d'un rôle

Actions obligatoires

Certaines actions doivent être obligatoirement permises pour tous les utilisateurs :

  • help : utilisé notamment pour l'affichage d'aide  ;

  • main_status : page d'accueil appelée par défaut, elle gère un rôle prof (n'affiche pas les états de services) et un rôle admin ;

  • update_ead : outil de téléchargement des javascripts, CSS, images spécifiques au module.

Actions communes aux différents modules

  • lshw : listing matériel ;

  • maj : action de mise à jour ;

  • daemon : relancer des services (mode expert) ;

  • simple_services_editor : éditer des groupes de services pour le mode simplifié ;

  • simple_services : redémarrer/arrêter les services (mode simplifié) ;

  • server-configure/server-reboot/server-stop : redémarrer/arrêter/reconfigurer le serveur ;

  • role_editor : création de rôles ;

  • role_manager : association de rôle (appelée par d'autres actions).

Actions spécifiques au module Amon

La modification du système de filtrage sur le module Amon apporte de profondes modifications sur ce module.

Selon les choix effectués lors de la phase de configuration avec l'interface de configuration du module, vous pouvez choisir d'utiliser une ou deux zones de configuration pour le filtrage et les options du pare-feu.

La zone 1 correspond à la réseau admin et la zone 2 correspond au réseau pedago.

  • Gestion des postes

    • navigation_poste_admin (ou pedago) : action de gestion des postes à interdire ;
    • navigation_destination_admin (ou pedago) : interdire des destinations.
  • Gestion des groupes de machine

    • groupe_machine_admin (ou pedago) : action d'entrée pour la gestion des groupes de machine (gère des restrictions pour le rôle prof) ;
    • groupe_machine_create_admin (ou pedago) : action de création de groupe de machine (nécessite groupe_machine) ;
    • groupe_machine_horaire_admin (ou pedago) : action de gestion des horaires pour les groupes de machine.
  • Gestion des utilisateurs

    • navigation_banned_user_admin (ou pedago) : action de gestion des utilisateurs à interdire ;
    • navigation_moderateur_admin (ou pedago) : action de gestion des modérateurs ;
    • navigation_whitelist_admin (ou pedago) : action de gestion des utilisateurs en liste blanche ;
    • navigation_whitesitelist_admin (ou pedago) : action de gestion des sites en liste blanche.
  • Gestion des sites

    • opt_filters_admin (ou pedago) : gestion des filtres optionnels pour la zone de configuration 1 (ou 2) ;
    • filtrage_admin (ou pedago) : gestion du mode de filtrage syntaxique pour la zone de configuration 1 (ou 2) ;
    • sites_interdits_admin (ou pedago) : gestion des sites interdits pour la zone de configuration 1 (ou 2) ;
    • sites_autorises_admin (ou pedago) : gestion des sites autorisés pour la zone de configuration 1 (ou 2) ;
    • extensions_admin (ou pedago) : gestion des extensions interdites pour la zone de configuration 1 (ou 2) ;
    • mime_admin (ou pedago) : gestion des types mime interdits pour la zone de configuration 1 (ou 2).
  • Gestion des règles du pare-feu

    • regles : mode de fonctionnement du pare-feu ;
    • peertopeer : autorisation/interdiction du peer to peer ;
    • horaire : horaire de fonctionnement du pare-feu.
  • Autres actions

    • navigation_visit : action de consultation des logs ;
    • filtrage_bayes : action d'évaluation d'URL à l'aide du filtrage bayésien ;
    • bande_passante : outil de test de bande passante.

Actions spécifiques au module Scribe

  • Gestion des utilisateurs

    • scribe_user_create : action de création ;
    • scribe_user_list : renvoie le formulaire de recherche par critères qui appelle scribe_user_table pour la validation ;
    • scribe_user_table : action de listing d'utilisateur (gère les rôles prof_admin et admin) appelle scribe_user_modify, scribe_user_delete, scribe_user_modpassword ;
    • scribe_user_modify : action de modification d'utilisateur (utilisée par scribe_user_table gère les rôles prof_admin et admin) ;
    • scribe_user_delete : action de suppression d'utilisateur (gère les rôles prof_admin et admin) ;
    • scribe_user_modpassword : action de modification d'un mot de passe (gère les rôles prof_admin et admin).
  • Actions restreintes (créées pour les professeurs, les personnels administratifs et les professeurs admins, gère le rôle de prof et prof_admin)

    • scribe_prof_preference : préférences du professeur connecté (mot de passe, inscription aux groupes, mail) ;
    • scribe_prof_mod_mail : modifie le mail d'un professeur (nécessite scribe_prof_preference) ;
    • scribe_user_password : action de modification de son propre mot de passe (nécessite scribe_prof_preference) ;
    • scribe_prof_mod_groupe : Inscription du prof connecté aux groupes ;
    • scribe_prof_user : action d'entrée pour la gestion des utilisateurs par les profs lien vers scribe_prof_user_create et scribe_prof_user_modify ;
    • scribe_prof_user_create : action de création d'utilisateur (nécessite scribe_prof_user) ;
    • scribe_prof_user_modify : action d'entrée pour la modification des utilisateurs (nécessite scribe_prof_user) ;
    • scribe_grouped_edition : action d'entrée pour l'édition groupée d'utilisateur (appelle scribe_user_table).
  • Gestion des groupes

    • scribe_group_create : création de groupes, niveau, classe..., appelle scribe_group_list ;
    • scribe_group_list : liste les groupes, appelle scribe_group_delete, appelle scribe_group_create ;
    • scribe_group_modify : modification de groupe ;
    • scribe_group_delete : suppression de groupe ;
    • scribe_prof_group : entrée pour la gestion des groupes par un prof_admin ou un prof, appelle scribe_prof_user_modify et scribe_prof_group_create ;
    • scribe_prof_group_create : action de création de groupe par un prof_admin.
  • Gestion des partages

    • scribe_share : attribution de lettre de lecteur à un partage.
  • Gestion des stations et connexions

    • scribe_station : action de suppression forcée de station du domaine ;
    • scribe_extraction : action d'extraction sconet ;
    • scribe_connexion_index : page d'accueil des observations des connexions ;
    • scribe_connexion_machine : page d'affichage des machines connectées ;
    • scribe_connexion_quota : observation des quotas ;
    • scribe_connexion_virus : affiche la liste les virus repérés ;
    • scribe_connexion_history : affiche l'historique des connexions.
  • Autres actions

    • scribe_devoir_distribuer / scribe_devoir_ramasser / scribe_devoir_rendre / scribe_devoir_supprimer : gestion des devoirs ;
    • bacula : action de programmation de sauvegarde ;
    • bacula_config : action de configuration de sauvegarde ;
    • scribe_sympa : action renvoyant des liens pour l'interface de gestion de listes de diffusion ;
    • printers : action de gestion simplifiée des imprimantes.

Actions spécifiques au module Horus

  • Gestion des connexions

    • isis : action d'entrée pour l'interface d'observation des connexions, appelle les actions isis ;
    • isis_stop : action d'arrêt de toutes les connexions ;
    • isis_disconnect : action de déconnexion d'utilisateur connectés au domaine ;
    • isis_sendmsg : action d'envoi de message à des utilisateurs connectés ;
    • isis_machine : action de listing des machines connectées au domaine (client, maîtres explorateurs...) ;
    • isis_login : action d'autorisation des utilisateurs par login ;
    • isis_quota : action d'affichage des quotas ;
    • gestion_index : action d'entrée vers les gestions d'utilisateur, groupe, partage, appelle les actions gestion.
  • Gestion des utilisateurs

    • gestion_user_modify : action de modification d'utilisateur ;
    • gestion_user_create : action de création d'utilisateur ;
    • gestion_user_suppr : action de suppression d'utilisateur.
  • Gestion des partages

    • gestion_share_create : action de création de partage ;
    • gestion_share_modify : action de modification de partage ;
    • gestion_share_suppr : action de suppression de partage.
  • Gestion des groupes

    • gestion_group_create : action de création de groupe ;
    • gestion_group_modify : action de modification de groupe ;
    • gestion_group_suppr : action de suppression de groupe.
  • Autres actions

    • gestion_account_suppr : action de suppression forcée de compte ;
    • extraction_aaf : action pour l'extraction AAF ;
    • bacula : action programmation de sauvegarde ;
    • bacula_config : action de configuration de Bacula pour la sauvegarde ;
    • scripts_admin : action pour l'exécution de scripts d'administration ;
    • printers : action de gestion des imprimantes.

Actions spécifiques au module Seshat

  • Menu Messagerie

    • routes : gestion du routage des messages vers les établissements de l'Académie.

Modification et suppression de rôle via l'EAD

  • Pour modifier un rôle, il suffit de cliquer sur le nom voulu ;

  • pour le supprimer, cliquer sur la croix rouge associée.

Modification/suppression d'un rôle
Modification/suppression d'un rôle