(Courriels de diversion: <retreindre@balayerez-patte.com> <rimeur@amertume-tacheriez.com> <perseveraient@oppressants-admissions.com> <sechee@barbouillant-desequilibrees.com> <fouettant@ramona-kilometrer.com> <lamentiez@anticonstitutionnelles-promontoires.com> <betonneuse@mineur-ebranlez.com> <candidat@interesserent-dementirons.com> <audiovisuels@mithridatiser-trairions.com> <centenaire@voyagerent-demoliront.com> )
Salut la jeunesse, A la demande générale de Jean-Daniel, je réexplique le système de contrôle que j'envisageais pour l'accès à l'Internet depuis la salle. Depuis ma première exposition de la chose, le vocabulaire a évolué, mais c'est bien toujours la même chose. Les principes sous-jacents : - administration humaine minimale de notre côté ; - responsabilité maximale des autres acteurs ; - octroi des mêmes avantages aux autres acteurs ; - traçabilté des responsabilités maximale (i.e. on sait dire qui a autorisé un accès). Dans la suite, notez que les aspects purement techniques sont indicatifs (par exemple, à la place d'une authentification par le biais d'une page ouaibe, on peut imaginer une appli spécialisée.) Un accès à l'Internet est soumis à une authentification suivant des droits d'utilisation de l'Internet. Ces derniers précisent la plage horaire pendant laquelle cet accès est valide (par exemple tous les jeudi de 15h30 à 17h30, ou samedi 22/1/2005 de 14h à 18h, ou tout le temps, etc). Ce droit d'utilisation est créé par un délégué authentifié. Un délégué a une durée de validité (de telle date à telle date). Un délégué possède plusieurs droits parmi ceux possibles : - possibilité de créer d'autres délégués ; - possibilté de créer des droits d'utilisation ; Un délégué est créé par un autre délégué. Il existe un délégué special, c'est l'autorité racine, qui possède tous les droits. Un délégué créé voit sa possibilité de créer d'autres entités restreinte lors de sa création. Par exemple, les sous-délégués créés peuvent ne pas avoir le droit de créer d'autres délégués, mais uniquement des droits d'utilisation. De même, les droits d'utilisation créés par un sous-délégués peuvent être restreints par le délégué créateur. En aucun cas, un droit d'utilisation ou un délegué ne peut être considéré comme valide si le délagué qui les a créé ne l'est plus. (On assure ainsi qu'il ne peut y avoir d'action qui dépasse la durée de confiance initialement attribuée). Le cas d'utilisation : - une asso demande à pouvoir utiliser l'Internet depuis la salle ; - l'autorité racine (la mairie [service culture, sans doute, ou le CULTe sur requête de ce dernier] crée un délégué pour cette asso et lui communique son authentification ; - là, soit la prez de l'asso sait manipuler la chose et crée les droits d'utilisation suivant ses règles propres (qui ne nous regardent pas), soit elle désigne une ou plusieurs personnes et crée des délégués pour elles (et c'est son pb de garder trace de quels délégués elle a créé ; le système, lui, saura que tel délégué a été créé par tel autre ; les personnes correspondant aux délégués créés ne sont pas de notre ressort) ; - le droit d'utilisation est exercé : le système enregistre que tel droit, créé par tel délégué, lui-même créé par tel délégué, etc jusqu'à la racine, a été utilisé tel jour de telle heure à telle heure). Bon voilà. De notre côté, nous n'avons au pire qu'à intervenir qu'une fois par asso. La prez de l'asso est *responsable* (à rendre très clair) des droits d'utilisation et/ou délagations accordés. Aucune confiance accordée ne dépasse la durée de la confiance accordante. Voilà. Comme toi, je ne précise pas la forme de l'authentification. Une simple chaîen de caractères peut faire l'affaire, ou, si l'on trouve cela plus simple (affaire de convention), cela peut prendre la forme d'un couple (login, mot de passe). -- Marc Thirion | Ramonville Saint-Agne, France Projet Internet et Citoyenneté : http://www.le-pic.org/