2023-06-30 18:39:38 +02:00
|
|
|
# Copyright :
|
|
|
|
# - Tom Hubrecht <tom.hubrecht@dgnum.eu> 2023
|
|
|
|
#
|
|
|
|
# Ce logiciel est un programme informatique servant à déployer des
|
|
|
|
# configurations de serveurs via NixOS.
|
|
|
|
#
|
|
|
|
# Ce logiciel est régi par la licence CeCILL soumise au droit français et
|
|
|
|
# respectant les principes de diffusion des logiciels libres. Vous pouvez
|
|
|
|
# utiliser, modifier et/ou redistribuer ce programme sous les conditions
|
|
|
|
# de la licence CeCILL telle que diffusée par le CEA, le CNRS et l'INRIA
|
|
|
|
# sur le site "http://www.cecill.info".
|
|
|
|
#
|
|
|
|
# En contrepartie de l'accessibilité au code source et des droits de copie,
|
|
|
|
# de modification et de redistribution accordés par cette licence, il n'est
|
|
|
|
# offert aux utilisateurs qu'une garantie limitée. Pour les mêmes raisons,
|
|
|
|
# seule une responsabilité restreinte pèse sur l'auteur du programme, le
|
|
|
|
# titulaire des droits patrimoniaux et les concédants successifs.
|
|
|
|
#
|
|
|
|
# A cet égard l'attention de l'utilisateur est attirée sur les risques
|
|
|
|
# associés au chargement, à l'utilisation, à la modification et/ou au
|
|
|
|
# développement et à la reproduction du logiciel par l'utilisateur étant
|
|
|
|
# donné sa spécificité de logiciel libre, qui peut le rendre complexe à
|
|
|
|
# manipuler et qui le réserve donc à des développeurs et des professionnels
|
|
|
|
# avertis possédant des connaissances informatiques approfondies. Les
|
|
|
|
# utilisateurs sont donc invités à charger et tester l'adéquation du
|
|
|
|
# logiciel à leurs besoins dans des conditions permettant d'assurer la
|
|
|
|
# sécurité de leurs systèmes et ou de leurs données et, plus généralement,
|
|
|
|
# à l'utiliser et l'exploiter dans les mêmes conditions de sécurité.
|
|
|
|
#
|
|
|
|
# Le fait que vous puissiez accéder à cet en-tête signifie que vous avez
|
|
|
|
# pris connaissance de la licence CeCILL, et que vous en avez accepté les
|
|
|
|
# termes.
|
|
|
|
|
2023-05-22 15:07:03 +02:00
|
|
|
{ config, lib, dgn-lib, meta, name, ... }:
|
|
|
|
|
|
|
|
let
|
|
|
|
nodeMeta = meta.nodes.${name};
|
|
|
|
admins = meta.members.groups.root ++ nodeMeta.admins
|
|
|
|
++ (builtins.concatMap (g: meta.members.groups.${g}) nodeMeta.adminGroups);
|
|
|
|
|
|
|
|
cfg = config.dgn-access-control;
|
|
|
|
in
|
|
|
|
|
|
|
|
with lib;
|
|
|
|
|
|
|
|
{
|
|
|
|
options.dgn-access-control = {
|
|
|
|
enable = mkEnableOption "DGNum access control." // { default = true; };
|
|
|
|
|
|
|
|
users = mkOption {
|
|
|
|
type = with types; attrsOf (listOf str);
|
|
|
|
default = { };
|
|
|
|
description = ''
|
|
|
|
Attribute set describing which member has access to which user on the node.
|
2023-05-22 17:24:42 +02:00
|
|
|
Members must be declared in `meta/members.nix`.
|
|
|
|
'';
|
|
|
|
example = ''
|
|
|
|
{
|
|
|
|
user1 = [ "member1" "member2" ];
|
|
|
|
}
|
2023-05-22 15:07:03 +02:00
|
|
|
'';
|
|
|
|
};
|
|
|
|
};
|
|
|
|
|
|
|
|
config = mkIf cfg.enable {
|
|
|
|
# Admins have root access to the node
|
|
|
|
dgn-access-control.users.root = mkDefault admins;
|
|
|
|
|
|
|
|
users.users = builtins.mapAttrs
|
2023-05-22 16:28:18 +02:00
|
|
|
(u: members: { openssh.authorizedKeys.keys = dgn-lib.getAllKeys members; })
|
2023-05-22 15:07:03 +02:00
|
|
|
cfg.users;
|
|
|
|
};
|
|
|
|
}
|