[Feature request] Faire de YunoHost un véritable annuaire utilisateur pour un réseau domestique

Discuss
,
1

Bonjour à tous,

Suite à plusieurs échanges sur le forum (et à la fermeture de mon précédent sujet), je souhaite reformuler cette demande sous forme de proposition d’évolution plutôt que de question de support.

Contexte

YunoHost est déjà, de fait, un point central d’identité :

  • Gestion des utilisateurs et groupes

  • SSO pour les applications

  • Base OpenLDAP existante

  • Intégration avec de nombreuses applications auto-hébergées

Dans un contexte de réseau domestique ou petit homelab, YunoHost est souvent le cœur de l’infrastructure. Il me semble donc naturel de se poser la question suivante :

YunoHost pourrait-il évoluer pour devenir un véritable annuaire utilisateur central pour un réseau maison, et pas uniquement pour les applications web ?

Cas d’usage visé

Sans chercher à concurrencer Active Directory ou FreeIPA dans des contextes professionnels, l’objectif serait de couvrir des besoins simples et domestiques :

  • Un compte utilisateur unique pour :

    • Les applications YunoHost

    • Des services tiers compatibles LDAP

    • Des postes de travail Linux (authentification système)

  • Une gestion centralisée des utilisateurs et groupes

  • Un périmètre clair : réseau local / VPN uniquement

Cible prioritaire :

  • Une intégration propre côté Linux

  • Une base saine et documentée pour l’authentification LDAP

Note : L’idée n’est pas de viser en priorité Windows (qui nécessite un vrai domaine AD).

Problèmes actuels

Aujourd’hui :

  • L’annuaire LDAP de YunoHost n’est pas documenté comme annuaire généraliste.

  • Il ne fournit pas clairement un schéma POSIX exploitable pour PAM/NSS/SSSD.

  • Toute tentative d’usage “système” est perçue comme hors-périmètre.

  • Il n’existe pas de position officielle sur l’exposition sécurisée du LDAP.

Résultat : YunoHost fait déjà de l’identity management, mais sans cadre clair pour un usage réseau.

Proposition d’évolution

Voici des pistes concrètes (à discuter) :

1. Positionnement officiel

  • Clarifier si YunoHost peut (ou non) être un annuaire LDAP générique en LAN/VPN.

  • Définir un périmètre supporté (ex : authentification Linux, pas Windows).

2. Schéma et attributs

  • Fournir un schéma POSIX optionnel et documenté.

  • Gestion explicite des UID/GID.

  • Groupes exploitables côté système.

3. Sécurité

  • LDAP exposé uniquement en local/VPN.

  • TLS obligatoire.

  • Compte de bind en lecture seule.

4. Documentation

  • Guide officiel : “Utiliser YunoHost comme annuaire LDAP”.

  • Exemple d’intégration Ubuntu (SSSD/PAM).

  • Cas d’usage supportés / non supportés.

5. Optionnel (long terme)

  • Synchronisation ou fédération avec un AD/FreeIPA externe.

  • Ou, au minimum, compatibilité propre avec des services LDAP tiers.

Pourquoi c’est pertinent pour YunoHost ?

  • Cohérent avec la philosophie “serveur personnel”.

  • Évite aux utilisateurs de déployer un second annuaire juste pour l’authentification.

  • Répond à un besoin fréquent dans les homelabs.

  • Renforce la place de YunoHost comme cœur du SI personnel.

Ce que cette demande n’est pas

:cross_mark: Une demande de support Windows/AD
:cross_mark: Une volonté de transformer YunoHost en produit entreprise
:cross_mark: Une demande immédiate, mais une discussion de roadmap

Conclusion

YunoHost est déjà un point d’identité central. L’objectif de cette proposition est de savoir s’il est souhaitable et envisageable de structurer et officialiser cet usage, au moins pour des environnements domestiques et maîtrisés.

Je suis bien entendu preneur des retours de l’équipe et de la communauté, que ce soit sur :

  • La faisabilité technique

  • La pertinence du besoin

  • Les limites à poser

Merci pour votre travail et pour les échanges à venir !

2

Bonjour @Issa

Proposition intéressante…

Ce qui plaide en faveur

La logique est là — YunoHost fait déjà de la gestion d’identité avec son LDAP. Formaliser cet usage pour le réseau local serait cohérent avec la philosophie “serveur personnel tout-en-un”. Ça éviterait aux utilisateurs de monter un LLDAP/Kanidm à côté juste pour authentifier leurs machines Linux.

Le besoin existe — Dans les homelabs, c’est un cas d’usage récurrent : la multiplication des comptes utilisateurs à travers différents services auto-hébergés devient vite un casse-tête. Avoir un seul compte pour ses apps web ET ses postes Linux, c’est du confort réel.

Ce qui peut poser question

La charge de maintenance — YunoHost est développé et maintenu par des bénévoles sur leur temps libre. Ajouter un périmètre “annuaire réseau” signifie documenter, supporter, et potentiellement débugger des configs SSSD/PAM. C’est un engagement conséquent pour une équipe qui ne donne pas de timelines et avance selon l’énergie disponible.

Le risque de fragmentation — Si c’est mal cadré, ça peut créer des attentes floues et des tickets de support pour des usages “entre deux chaises”.

L’existant fonctionne — Des outils légers comme LLDAP, Kanidm (mon Dieu, mais Rust est partout :smiling_face_with_three_hearts:) existent justement pour ce créneau. YunoHost doit-il tout faire, ou rester focalisé sur les apps web ?

Mon sentiment

La proposition est bien formulée et raisonnable dans son périmètre (mais pas bien formaté :wink: un effort sur la mise en forme aiderait le lecteur à mon avis). Mais la vraie question, c’est : est-ce que l’équipe YunoHost a la bande passante pour ça ?

1 Like