Pages enfant
  • Montage d'espaces Windows

En cours de rédaction

Nous tentons ici de lister et décrire les différentes possibilités de monter les espaces windows dans esup-filemanager pour présenter à l'utilisateur son "HomeDir" windows.

Une des problématiques est notamment de permettre à l'utilisateur un montage transparent, c'est à dire sans ressaisi de son nom d'utilisateur et mot de passe. Cela avec la contrainte que nous ne pouvons pas (à l'heure actuelle en tout cas) cassifier un serveur Windows.

Plusieurs solutions sont alors possibles, certaines fonctionnent d'autres sont à l'état de pistes ... aussi n'hésitez pas à contribuer et commenter cette page en fonction de vos expériences dans vos établissements.

Montage Windows (CIFS) avec ressaisi du username/password

Simple, facile, mais pose le problème ergonomique de demander à l'utilisateur de raissir soin username/password, dans un formulaire web non CAS qui plus est.

Montage Windows (CIFS) sans ressaisi du username/password mais avec un compte "administrateur" générique

La solution la plus simple et qu'on peut "recommander" aujourd'hui pour les homedir (pour les groupdir cette solution n'est pas forcément exploitable) : le fonctionnement/héritage des droits d'accès aux répertoires/fichiers windows fait que cela ne pose pas de problème de fonctionnement pour l'utilisateur.

Côté windows cependant, on perd l'information de qui a modifié/créé/supprimé tel ou tel répertoire/fichier. Pour un homedir accessible par le seul propriétaire du homedir, cela n'est pas si problématique. Il faudra cependant en tenir compte et utiliser par exemple des quotas de répertoire au lieu de quotas utilisateurs basés sur le propriétaire des fichiers.

Un conseil supplémentaire également est d'utiliser un compte générique "administraeur" dédié à cet usage, un nom de compte type "esup-admin" par exemple ; afin de conserver ainsi l'info que le fichier/répertoire a été modifié/créé/supprimé depuis un accès par l'ENT.

Montage de l'espace stockage utilisée par Windows sans ressaisi du username/password avec (s)ftp cassifié sur un linux + montage linux NFS (à vérifier)

TODO ...

Montage Windows (CIFS) sans ressaisi du username/password avec proxyCas + clearPass CAS

Cette solution est plus complexe à mettre en oeuvre que l'utilisation d'un compte "administrateur" générique. Cependant elle est plus élégante et permet d'intégrer effectivement les groupdir : le montage cifs étant fait au nom de l'utilisateur, les permissions et droits d'accès sont ainsi gérés corrextement de fait.

Esup-filemanager le supporte de fait, uPortal également, ainsi que le serveur CAS. 

Le fonctionnement est le suivant : esup-filemanager demande au socle Esup-uPortal le password de l'utilisateur, tout comme il demande son login/username/uid.

Pour effectivement fournir le mot de passe de l'utilisateur en clair à la portlet, uPortal le demande à CAS. La mise en place de clearPass sur le CAS et uPortal permet ce fonctionnement.

Ainsi, côté esup-filemanager, la configuration est simple. On aura ainsi un bean d'authentification de la sorte dans drives.xml : 

<bean id="clearPassAuth" class="org.esupportail.portlet.filemanager.services.auth.UserPasswordAuthenticatorService"
        scope="session">
  <property name="userInfo4Username" value="uid"/>
  <property name="userInfo4Password" value="password"/>
  <property name="domain" value="ur"/>
</bean>
 

Il faudra aussi s'assurer que via portlet.xml, esup-filemanager est bien configuré pour demander les attributs utilisateurs uid (ici) et password à uPortal : 

<user-attribute>
  <description>User Password from CAS</description>
  <name>password</name>
</user-attribute>
<user-attribute>
  <description>uid</description>
  <name>uid</name>
</user-attribute>

C'est tout.

Les configurations les plus délicates à effectuer se situent au niveau d'uPortal et du serveur  CAS, voir la page CAS clearPass dans ce même wiki EsupPortail (espace Esup-uPortal).

Montage Windows (CIFS) sans ressaisi du username/password avec (s)ftp cassifié sur un linux + montage cifs Kerberos et S4U Windows Active Directory Server (piste)

TODO ... [compliqué ...]

 

Pistes non exploitées (ou envisagées ?) actuellement

  • Kerberisation de l'ENT, esup-filemanager, CAS ...
  • Utilisation de SAML (avec ENT shibbolethisée) et SAML Delegation-> a priori une fausse piste car Windows ne supporterait pas SAML sur CIFS
  • ... 

 

 

 

  • Aucune étiquette