====== Authentification ======

===== Machines physiques, VM, LXC =====

  * SSH : **authentification par clé uniquement**.
  * Système : 
    * **Root : mdp commun** connu de tous les admins. Sert uniquement en cas de secours. Configuré sur toutes les machines par Puppet ;
    * **User + sudo : chaque admin a son mdp perso**. mdp et clé SSH configurés sur toutes les machines de l'asso par Puppet.


===== Équipements =====

Exemples : switch, PDUs, BMCs, etc.

L'authentification se fait via un **mdp commun**.


===== Services web internes =====

Exemples : site web (arn-fai.net) et le présent wiki.

Chaque admin et contributeur-rice a **son compte perso avec son mdp perso**. Deux services font exception, **le dépôt de document et mailman : le mdp d'admin est commun**.

**Il n'y a pas d'authentification centralisée** (CAS) entre toutes nos applications web internes, il faut un compte par application. Ça a été testé et abandonné au début de l'asso (voir [[benevoles:technique:generique:ldap|technique:generique:ldap]], par exemple) : trop chiant pour un gain pas évident : peu de contributeur-rice-s qui changent peu souvent (peu de turn-over, TMTC), pas d'admins volontaire pour maintenir une usine comme OpenLDAP, etc.

===== Services web externes =====

Exemples : bureau d'enregistrement de notre nom de domaine, transitaires, RIPE db, etc.

Authentification avec **un mdp commun**.



===== Comment sont partagés les mdps communs entre les admins ? =====

Pour éviter les discussions sans fin sur le meilleur outil (passbolt, pass, etc.) qu'on devrait trop utiliser, **on envoie le trousseau de mdps aux nouveaux admins, au format texte, par mail chiffré** (OpenPGP, après vérification de l'identité et de l'empreinte, of course). Ainsi, chacun peut utiliser l'outil de stockage de son choix (pass, keepassX, conteneur LUKS + txt , etc.).