Utilisateurs et identités

Les utilisateurs sont déclarés une fois dans etc/config.yaml, puis rattachés aux hôtes où ils doivent ouvrir une session. Le même compte peut exister sur plusieurs machines.

Déclarer un utilisateur

etc/config.yaml

users:
  alice:
    uid: 1000
    name: "Alice Martin"
    email: "alice@domain.tld"
    profile: "advanced"
    groups: ["global", "idm-devs"]

Champ	Rôle
(clé)	Login du compte (ex. alice)
uid	Identifiant numérique stable
name	Nom affiché
email	Adresse (sert aussi à l’identité SSO)
profile	Profil utilisateur (environnement)
groups	Groupes (accès réseau et services)

Rattacher à un hôte

Sous un hôte, users liste les logins existants autorisés à s’y connecter :

etc/config.yaml

hosts:
  poste-alice:
    profile: "desktop"
    users: ["alice"]

Déployer les modifications

Toute modification de etc/config.yaml suit le même cycle : décrire, régénérer, valider dans git, puis déployer.

1. Décrire le changement

   Créer ou modifier l’utilisateur et ses postes dans etc/config.yaml.

2. Régénérer et nettoyer le code

   just clean       # generate + fix + format

3. Valider dans git

   just commit "user(new): alice"

4. Déployer

   just apply poste-alice     # crée le compte sur l'hôte

Toujours committer avant de déployer

just generate réécrit var/generated/. Sans clean + commit, le déploiement part d’un état incohérent ou non versionné.

Définir le mot de passe

1. Définir l’empreinte

   just passwd alice

2. Valider dans git

   just commit "user(passwd): alice"

3. Déployer

   just apply @user-alice

Mot de passe par défaut

À la création, un compte utilise le mot de passe par défaut du parc (just passwd-default). Voir Secrets.

Identités et SSO

Au-delà du compte système, l’utilisateur dispose d’une identité unique (Kanidm) qui ouvre les services du réseau.

• Les groups pilotent l’accès aux services.
• idm-admins / idm-devs sont les groupes d’administration et de développement.
• Le détail : SSO et identités.

Créer un compte de bout en bout

Le parcours complet (compte + identité + premier mot de passe) est décrit dans Créer un compte utilisateur. Pour réinitialiser : Réinitialiser un mot de passe.

Désactiver un compte

• Sur un hôte : retirer le login de la liste users de l’hôte.
• Partout : retirer l’entrée sous users:.
• Accès services : retirer l’utilisateur des groups coupe l’accès SSO.

Dans tous les cas, appliquer ensuite le cycle just clean → just commit → just apply sur les hôtes concernés.