====== Gestion centralisée des mots de passe avec chiffrement GPG ======
Pour stocker les mots de passe et permettre aux admins d'y accéder sans pour autant les écrire en clair dans un ''/root''
===== Principe =====
Le client (l'utilisateur) appelle un script qui établit une connexion ssh vers le serveur de mots de passe, qui lui possède le script serveur. Le client demande un mot de passe, le serveur vérifie que l'uid qui l'a demandé est autorisé à accéder à ce mot de passe et lui envoie.
Les mots de passe sont stockés gpg-chiffrés avec les clés des gens qui ont le droit d'y accéder.
Le script client invoque donc ensuite gpg pour déchiffrer le fichier et afficher le mot de passe. Il faut pour cela que le client possède la clé GPG privée.
===== Origine =====
''federezpasswords'' est simplement une branche de ''cranspasswords'', dont la doc est [[https://wiki.crans.org/CransTechnique/ScriptsCrans/CransPasswords|ici]].
===== Installation =====
==== Client ====
git clone ssh://hexagon.federez.net/git/federezpasswords.git
cd federezpasswords
make install
Attention, cela place le script dans ''~/bin/federezpasswords'' et une configuration dans ''~/.config/federezpasswords/''.
On peut utiliser le fichier ''bash_completion'' fourni dans le dépôt, mais il faut activer manuellement la complétion.
Par exemple en exécutant dans le ''.bashrc'' :
complete -F _cranspasswords_completion federezpasswords
//(Cela permet d'appeler le script autrement, si on le désire)//
==== Serveur ====
Le serveur a également besoin d'être installé pour que tout fonctionne.
Il y a des variables définies au début du ''Makefile'' si on veut renommer la commande ou changer le groupe qui a le droit de faire le ''sudo'' (par défaut, ''sudoldap'').
git clone ssh://hexagon.federez.net/git/federezpasswords.git
cd federezpasswords
sudo make install-server
Le script serveur est alors installé dans ''/usr/local/bin/federezpasswords-server'', la config dans ''/etc/federezpasswords/'' et les mots de passes sont stockés dans ''/var/lib/federezpasswords/db''.
===== Utilisation =====
Vérifiez que vous avez ''~/bin'' dans votre ''$PATH''.
Obtenir la liste des mots de passe :
federezpasswords --list
Lire le mot de passe ''mdp'' :
federezpasswords mdp
Modifier le mot de passe ''mdp'' :
federezpasswords --edit mdp
Pour une liste complète des commandes :
federezpasswords --help
===== Clown =====
Il y a un serveur réplica en lecture seule des mots de passes stockés sur hexagon. Il s'agit de quigon.
La réplication fonctionne sur le même principe que la [[admin:services:dokuwiki##replication-sur-quigon|réplication du wiki]]((bon en vrai c'est surtout la réplication du wiki qui a été pompée sur celle de federezpasswords... //Zertrin//)).