89 lines
2.9 KiB
Nix
89 lines
2.9 KiB
Nix
# Copyright :
|
|
# - Tom Hubrecht <tom.hubrecht@dgnum.eu> 2023
|
|
#
|
|
# Ce logiciel est un programme informatique servant à déployer des
|
|
# configurations de serveurs via NixOS.
|
|
#
|
|
# Ce logiciel est régi par la licence CeCILL soumise au droit français et
|
|
# respectant les principes de diffusion des logiciels libres. Vous pouvez
|
|
# utiliser, modifier et/ou redistribuer ce programme sous les conditions
|
|
# de la licence CeCILL telle que diffusée par le CEA, le CNRS et l'INRIA
|
|
# sur le site "http://www.cecill.info".
|
|
#
|
|
# En contrepartie de l'accessibilité au code source et des droits de copie,
|
|
# de modification et de redistribution accordés par cette licence, il n'est
|
|
# offert aux utilisateurs qu'une garantie limitée. Pour les mêmes raisons,
|
|
# seule une responsabilité restreinte pèse sur l'auteur du programme, le
|
|
# titulaire des droits patrimoniaux et les concédants successifs.
|
|
#
|
|
# A cet égard l'attention de l'utilisateur est attirée sur les risques
|
|
# associés au chargement, à l'utilisation, à la modification et/ou au
|
|
# développement et à la reproduction du logiciel par l'utilisateur étant
|
|
# donné sa spécificité de logiciel libre, qui peut le rendre complexe à
|
|
# manipuler et qui le réserve donc à des développeurs et des professionnels
|
|
# avertis possédant des connaissances informatiques approfondies. Les
|
|
# utilisateurs sont donc invités à charger et tester l'adéquation du
|
|
# logiciel à leurs besoins dans des conditions permettant d'assurer la
|
|
# sécurité de leurs systèmes et ou de leurs données et, plus généralement,
|
|
# à l'utiliser et l'exploiter dans les mêmes conditions de sécurité.
|
|
#
|
|
# Le fait que vous puissiez accéder à cet en-tête signifie que vous avez
|
|
# pris connaissance de la licence CeCILL, et que vous en avez accepté les
|
|
# termes.
|
|
|
|
{
|
|
config,
|
|
lib,
|
|
meta,
|
|
nodeMeta,
|
|
...
|
|
}:
|
|
|
|
let
|
|
inherit (lib)
|
|
mkDefault
|
|
mkEnableOption
|
|
mkIf
|
|
mkOption
|
|
|
|
types
|
|
;
|
|
|
|
admins =
|
|
meta.organization.groups.root
|
|
++ nodeMeta.admins
|
|
++ (builtins.concatMap (g: meta.organization.groups.${g}) nodeMeta.adminGroups);
|
|
|
|
cfg = config.dgn-access-control;
|
|
in
|
|
|
|
{
|
|
options.dgn-access-control = {
|
|
enable = mkEnableOption "DGNum access control." // {
|
|
default = true;
|
|
};
|
|
|
|
users = mkOption {
|
|
type = with types; attrsOf (listOf str);
|
|
default = { };
|
|
description = ''
|
|
Attribute set describing which member has access to which user on the node.
|
|
Members must be declared in `meta/members.nix`.
|
|
'';
|
|
example = ''
|
|
{
|
|
user1 = [ "member1" "member2" ];
|
|
}
|
|
'';
|
|
};
|
|
};
|
|
|
|
config = mkIf cfg.enable {
|
|
# Admins have root access to the node
|
|
dgn-access-control.users.root = mkDefault admins;
|
|
|
|
users.users = builtins.mapAttrs (_: members: {
|
|
openssh.authorizedKeys.keys = lib.extra.getAllKeys members;
|
|
}) cfg.users;
|
|
};
|
|
}
|