Utilisateurs spéciaux
Le compte d'administration
L'administrateur LDAP[1] de l'application (rootdn) est l'utilisateur spécial :
cn=admin,o=gouv,c=fr
Pour des raisons pratiques et de sécurité, le mot de passe de cet utilisateur est changé régulièrement (mise à jour et reconfiguration du module).
Il est possible de récupérer ce mot de passe "en clair" dans certains fichiers présents sur le système :
/etc/smbldap-tools/smbldap_bind.conf
ou de le modifier "manuellement" à l'aide du script :
/usr/share/eole/annuaire/ldap_pwd.py
Attention
Ne pas confondre l'utilisateur admin
de l'annuaire LDAP avec l'utilisateur admin
du module Scribe ou Horus. Celui-ci est considéré dans l'annuaire comme étant un enseignant.
Le compte en lecture seule
Afin de répondre à certains besoins applicatifs, le compte en lecture seule reader
a été ajouté :
cn=reader,o=gouv,c=fr
L'utilisation de ce compte par les applications leurs permettent d'accéder aux attributs LDAP protégés par des ACL[2]. Ces attributs ne sont pas accessibles par des requêtes anonymes et l'utilisation d'un compte en lecture seule permet de préserver la sécurité de l'annuaire.
Pour faciliter la mise en œuvre d'applications distantes, le mot de passe de cet utilisateur n'est jamais modifié après avoir été généré.
Le mot de passe de cet utilisateur est stocké dans le fichier /root/.reader
Truc & astuce
La validité du mot de passe de l'utilisateur reader
peut être testée avec la commande suivante :
ldapsearch -x -D cn=reader,o=gouv,c=fr -w `cat /root/.reader` uid=admin uid