Gestion des accès

Cette page recense l’ensemble des accès techniques fournis à chaque profil dans les équipes TeDomum.

Les profils employés sont les suivants, ils sont mentionnés explicitement dans la page d’équipe :

animateur·ice communauté (coma), contribuant sur le volet modération, au sein de l’équipe communauté ;
opérateur·ice technique (tech), contribuant sur le développement des services et de l’infrastructure ;
administrateur·ice de services (admin), disposant de droits étendus sur l’ensemble des services ;
administrateur·ice d’infrastructure (root), disposant de droits étendus sur l’infrastructure ;
bureau de l’association (bureau), disposant des accès administratifs associés.

Les rôles coma et tech sont confiés à tous les contributeur·ices montrant leur souhait de participer à la vie de TeDomum. Les rôles tech et admin leurs correspondent respectivement et sont confiés à des contributeur·ices réguliers et de confiance. Le rôle bureau est confié sur vote de l’AG. Les accès de type coma et tech sont fournis progressivement dès les premières contributions. Les accès admin, root et bureau sont fournis intégralement.

Les accès privilégiés aux services se font, par ordre de préférence :

par un mode type sudo si l’application le permet ;
lorsque l’application supporte, Hiboo, un 2FA ou si l’accès n’est pas critique, en élevant les privilèges d’un compte personnel ;
à défaut avec un compte administrateur générique dont le mot de passe est partagé par Vaultwarden.

Accès aux services

La règle générale est :

pour les accès aux services, le rôle coma dispose des accès pour animer et répondre aux questions, aux données des comptes hors des données personnelles en masse, réservés au rôle admin ;
pour les accès techniques, le rôle tech dispose des accès pour contribuer au déploiement de services et à la configuration d’infrastructure, mais sans accès immédiat à l’ensemble des données, réservés au rôle root (et par définition, tous hébergeur de noeud pour l’association est root).

Périmètre	`coma`	`tech`	`admin`	`root`	`bureau`	Type d’accès
Wordpress	Administrateur	Administrateur	Administrateur	Administrateur	-	Compte personnel
TTRSS	Administrateur	-	Administrateur	-	-	Compte personnel
Gitlab	-	-	Administrateur	-	-	Compte Hiboo
Images	-	-	-	-	-	Aucune gestion d’accès
Jitsi	-	-	-	-	-	Aucune gestion d’accès
Translate	-	-	-	-	-	Aucune gestion d’accès
Lemmy	Modérateur	-	Administrateur	-	-	Compte personnel
Mailu	-	-	Administrateur	-	-	Compte générique
Mastodon	Modérateur	-	Administrateur	Administrateur	-	Compte Hiboo
Matrix	-	-	Administrateur	Administrateur	-	Compte Hiboo
Nextcloud	Gestionnaire utilisateurs	-	Administrateur	Administrateur	-	Compte Hiboo
DNS	-	-	Administrateur	-	-	Compte Hiboo
Pads	-	-	Administrateur	-	-	Compte générique
PeerTube	Modérateur	-	Administrateur	-	-	Compte personnel
Pixelfed	Administrateur	-	Administrateur	-	-	Compte personnel
Vaultwarden	Administrateur	-	Administrateur	-	-	Compte générique
Writefreely	Administrateur	-	Administrateur	-	-	Compte générique

Accès aux outils internes

Périmètre	`coma`	`tech`	`admin`	`root`	`bureau`	Type d’accès
Gitlab	Team TeDomum	Team TeDomum	Manager team TeDomum	Owner team TeDomum	-	Compte Hiboo
Mails	`team@`	`team@`	`team@`	`team@`	`team@`	`bureau@`
Hiboo	-	-	Administrateur	Administrateur	-	Compte Hiboo
#home:tedomum.net	Voice	Voice	Op	Op	Op	Compte Matrix
#tech:tedomum.net	-	Voice	-	Op	-	Compte Matrix
#coma:tedomum.net	Voice	-	Op	-	-	Compte Matrix
DNS	`toutcasser.net`	`toutcasser.net`	`tedomum.*`	`tedomum.*`	-	Compte Hiboo

Accès à l’infrastructure

Périmètre	`coma`	`tech`	`admin`	`root`	`bureau`	Type d’accès
aegir	-	-	SSH	SSH	-	Clé personnelle
japet	-	SSH	SSH	SSH	-	Clé personnelle
kity/tedomum-tests	-	Full	-	Full	-	Compte Hiboo
kity	-	Manager	-	Full	-	Compte Hiboo, profils distincts
Chiffrement disques	-	-	-	Oui	-	Mot de passe

Accès administratifs

Périmètre	`coma`	`tech`	`admin`	`root`	`bureau`	Type d’accès
Compte asso	-	-	-	-	Oui	Mot de passe
Compte bancaire	-	-	-	-	Signature + 2FA	Mot de passe
Compte OVH	-	-	-	Oui	Oui	Mot de passe