====== Authentification ====== ===== Machines physiques, VM, LXC ===== * SSH : **authentification par clé uniquement**. * Système : * **Root : mdp commun** connu de tous les admins. Sert uniquement en cas de secours. Configuré sur toutes les machines par Puppet ; * **User + sudo : chaque admin a son mdp perso**. mdp et clé SSH configurés sur toutes les machines de l'asso par Puppet. ===== Équipements ===== Exemples : switch, PDUs, BMCs, etc. L'authentification se fait via un **mdp commun**. ===== Services web internes ===== Exemples : site web (arn-fai.net) et le présent wiki. Chaque admin et contributeur-rice a **son compte perso avec son mdp perso**. Deux services font exception, **le dépôt de document et mailman : le mdp d'admin est commun**. **Il n'y a pas d'authentification centralisée** (CAS) entre toutes nos applications web internes, il faut un compte par application. Ça a été testé et abandonné au début de l'asso (voir [[benevoles:technique:generique:ldap|technique:generique:ldap]], par exemple) : trop chiant pour un gain pas évident : peu de contributeur-rice-s qui changent peu souvent (peu de turn-over, TMTC), pas d'admins volontaire pour maintenir une usine comme OpenLDAP, etc. ===== Services web externes ===== Exemples : bureau d'enregistrement de notre nom de domaine, transitaires, RIPE db, etc. Authentification avec **un mdp commun**. ===== Comment sont partagés les mdps communs entre les admins ? ===== Pour éviter les discussions sans fin sur le meilleur outil (passbolt, pass, etc.) qu'on devrait trop utiliser, **on envoie le trousseau de mdps aux nouveaux admins, au format texte, par mail chiffré** (OpenPGP, après vérification de l'identité et de l'empreinte, of course). Ainsi, chacun peut utiliser l'outil de stockage de son choix (pass, keepassX, conteneur LUKS + txt , etc.).