Utilisateurs spéciaux

Le compte d'administration

L'administrateur LDAP[1] de l'application (rootdn) est l'utilisateur spécial :

cn=admin,o=gouv,c=fr

Pour des raisons pratiques et de sécurité, le mot de passe de cet utilisateur est changé régulièrement (mise à jour et reconfiguration du module).

Il est possible de récupérer ce mot de passe "en clair" dans certains fichiers présents sur le système :

/etc/smbldap-tools/smbldap_bind.conf

ou de le modifier "manuellement" à l'aide du script ldap_pwd.py .

Attention

Ne pas confondre l'utilisateur admin de l'annuaire LDAP avec l'utilisateur admin du module Scribe ou Horus. Celui-ci est considéré dans l'annuaire comme étant un enseignant.

Le compte en lecture seule

Afin de répondre à certains besoins applicatifs, le compte en lecture seule reader a été ajouté :

cn=reader,o=gouv,c=fr

L'utilisation de ce compte par les applications leurs permettent d'accéder aux attributs LDAP protégés par des ACL[2]. Ces attributs ne sont pas accessibles par des requêtes anonymes et l'utilisation d'un compte en lecture seule permet de préserver la sécurité de l'annuaire.

Pour faciliter la mise en œuvre d'applications distantes, le mot de passe de cet utilisateur n'est jamais modifié après avoir été généré.

Le mot de passe de cet utilisateur est stocké dans le fichier /root/.reader

Truc & astuce

La validité du mot de passe de l'utilisateur reader peut être testée avec la commande suivante :

ldapsearch -x -D cn=reader,o=gouv,c=fr -w `cat /root/.reader` uid=admin uid