User rights management

The following discussion from !8 (merged) should be addressed:

• @cchaudier started a discussion: (+2 comments)

• ynh_users est la liste des utilisateurs à créés. Chaque champ est obligatoire. Certaines applications Yunohost nécessitent qu'un utilisateur soit administrateur de l'application. Il aura ensuite le droit de gérer l'application depuis l'interface l'administration du serveur. Vous pouvez en apprendre plus sur la gestion des utilisateurs Yunohost ici.

Créer des issues chez YNH

1. avoir plusieurs admin du panel
2. double authentification (2FA) pour les utilisateurs admin sur le panel

changed milestone to %0.2.0

added To Do version::0.2.0 labels

assigned to @arthur.boudreault

removed To Do label

I have decided to create this issue because some questions about general Ynh user management need to to be addressed.

@cchaudier asked:

Est-ce que l'on peu gérer les droits utilisateurs avec le rôle ?

Non en l'état il ne gère pas cela mais comme dit plus bas c'est contrôlable par la cli et donc automatisable avec ansible.

@thomas_michel asked:

Je demanderais même :

• 1) peut-on définir simplement un user comme administrateur dans toutes les apps ?
• 2) peut-on définir un user comme administrateur uniquement de certaines apps ?
• 3) cette définition des admins d'apps se gère-t-elle au niveau de la déclaration des users ou de la déclaration des apps ?
• 4) ce rôle permet-il de gérer les groupes d'utilisateurs ?

My answers:

1 et 2) On peut tout simplement rajouter une variable comme ynh_user_admin, lui donner comme valeur l'utilisateur admin des apps puis pour la variable ynh_apps.admin: "{{ ynh_user_admin }}". J'ai testé et ça fonctionne. A savoir que pour l'installation des apps, ynh en préfère plus que pas assez. Je m'explique : Certaines apps n'ont pas besoin d'administrateur cependant même si on renseigne ce champ dans les variables de l'app, ça ne va pas l'empêcher de s'installer. A contrario, si dans les variables on ne renseigne pas d'admin à une app qui en a besoin, ça va fail.

3. La définition des admins d'apps se gère au niveau de la déclaration des apps. Par exemple pour wordpress, lors de l'install j'ai désigné user1 comme admin et par conséquent je peux lui mettre une brique supplémentaire sur son interface utilisateur et c'est le seul à pouvoir se connecter à wp-admin. Il s'y connecte avec ses credentials ynh. Plusieurs users peuvent devenir admin de wp ou autre en créant un groupe.

4. Non le rôle ne permet pas de gérer les groupes d'utilisateurs. C'est une feature qui a pas mal évoluée dernièrement. Cependant étant donné que tout est unifié entre les actions depuis l'interface web et la cli il est tout à fait possible de gérer cela grâce à la cli et donc par extension c'est automatisable avec ansible.

changed the description

removed version::0.2.0 label

removed milestone %0.2.0

added To Do label

changed the description

marked the checklist item avoir plusieurs admin du panel as completed

marked the checklist item avoir plusieurs admin du panel as incomplete

changed the description

1. There is a discussion regarding this issue here So far it's seems that it's really not a concern for YNH core Team and it would contradict YNH main goal (make administration easy for simple users). However you can easily share YNH cli commands between multiple users because you need to be root to run ynh cli so with sudo you can allow user1 to execute yunohost install app for example but not user2...

2. Regarding 2FA there are discussions about that in YNH development (https://forum.yunohost.org/t/two-factor-authentication-2fa-support/591) but it's not linked to web panel but rather to openssh here. Web panel uses SSOwat which is a custom web sso for YNH and they are not really up for 2FA dev (https://github.com/YunoHost/SSOwat)

marked the checklist item @cchaudier started a discussion: (+2 comments) as completed

added enhancement label

On Github, some update regarding this issue : https://github.com/YunoHost/issues/issues/238 From a Yunohost core dev :

Not much to update ... I think the big picture is :

there are some slow progress made to try to get rid of the infamous "admin" special-user and instead have an "admins" group composed of regular yunohost user that would have access to the webadmin ... but still a lot of work to adapt some pieces of code (but imho is a prerequisites to start working on 2FA)
... and then we could add some sort of OTP or time-based 2FA thingies tokens to yunohost users, which could then be used when logging in the webadmin ...

I think we can let this issue open for the moment but that's it, can't do more.

removed To Do label

unassigned @arthur.boudreault