1 / 15

HY-LDAP

HY-LDAP. Tietotekniikkaosasto. Ismo Aulaskari 24.1.2005. HY:n LDAP-hakemisto . Keskitetty autentikointi, eroon järjestelmäkohtaisista käyttäjätunnuksista Henkilö- ja organisaatiotiedon hakemisto eri järjestelmien käyttöön (henkilöiden oikeudet, roolit, laitosten sähköpostilistat ym.)

apollo
Download Presentation

HY-LDAP

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. HY-LDAP Tietotekniikkaosasto Ismo Aulaskari 24.1.2005

  2. HY:n LDAP-hakemisto • Keskitetty autentikointi, eroon järjestelmäkohtaisista käyttäjätunnuksista • Henkilö- ja organisaatiotiedon hakemisto eri järjestelmien käyttöön (henkilöiden oikeudet, roolit, laitosten sähköpostilistat ym.) • Intranet-portaalin työryhmien säilytyspaikka • OpenLDAP-palvelin, koodia muokattu hyödyntämään olemassaolevaa Radius-autentikointipalvelinta

  3. Oliopuu • Pelkistetty hakemistopuun hierarkia Todellisuudessa kaksi erillistä tietokantaa! juuri laitokset henkilöt ryhmät

  4. Yhteensopiva tietosisältö • LDAP-hakemistototeutusten mukana standardi henkilöattribuutti-skeema • Laajennoksena oppilaitoksissa EduPerson-skeema (USA) • Suomessa lisänä FunetEduPerson-skeema • Helsingin yliopiston oma laajennos HyEduPerson

  5. Tietosisältö..jatkuu • HyEduPerson ”perii” kaiken aikaisempien skeemojen tietosisällön • Vastaavankaltainen (matalampi) hierarkia on olemassa myös organisaatioyksiköille ja ryhmille

  6. Henkilö-olion sisältöä Henkilökohtaisuudet: Roolit: Työ ja opinnot: Sijoitusyksiköt: Käyttöluvat:

  7. Tietolähteet dawa NDS … master oodi LDAP PROXY (ldap-internal) ??? yksittäiset tietojärjestelmät

  8. Tietolähteet - käyttölupakanta • Oracle-käyttölupatietokannasta (”master”) LDAP-skriptit saavat • henkilötiedot, mm. käyttäjätunnus, hetu, nimi • luvan voimassaolot, valtuuksia.. • Toimii pohjana muodostettaessa LDAP-muotoisia olioita

  9. Päivitysrutiinit • Tieto ”valuu” sidosryhmille LDAPin kautta. Henkilöhakemisto ja organisaatiotiedot päivitetään LDAPiin kerran vuorokaudessa (öisin) eri lähteistä • Tärkeimmät muuttuneet tiedot synkronoidaan 15 minuutin välein, esim. uusien kevyttunnusten luonti. • Ryhmät sen sijaan sijaitsevat vain LDAPissa • Ryhmien ylläpitoon mm. web-työkaluja

  10. Virtuaali- yliopiston portaali LiTu … HY-portaali Nelli-portaali tilavaraus/MRBS webCT webikioskit … mappi hy-ppp hupNet WebOodi liikuntavaraus www- lomakkeita … Nykyiset käyttäjät SHIBBOLETH LDAP PROXY RADIUS PROXY

  11. PERL-LDAP-synkronointiautomaatti • Net::LDAP-moduuli(t) • Suojattu yhteys • PERLin tiedostotietokannat välitalletuksiin • n. 50 000 synkronoitavaa henkilö-oliota

  12. Skriptien yhteistyö tietolähteet LDAP-muotoisten olioiden luonti levylle attribuuttimoduuli väliaikaistiedosto rajapintamoduuli olioiden vertailupäivitys LDAP-palvelimelle LDAP

  13. LDAP-olioiden muodostus • Tehdään tietokantahaut eri lähteistä muistiin -> n.150MB! • Generoidaan jokaiselle käyttäjätunnukselle LDAP-olio muuttaen tietolähteiden tiedot LDAP-syntaksin mukaisiksi • Talletetaan jokainen olio sitä mukaa väliaikaistiedostoon tietolähteet LDAP-muotoisten olioiden luonti levylle

  14. LDAP-palvelimelle kirjoittaminen • Väliaikaistiedoston valmistuttua käynnistetään uusi, pieni skripti (tai useampia) • Ajetaan oliot tiedostosta yksi kerrallaan LDAP-kyselyillä hakemistopalvelimelle • Säästetään muistia, LDAP-serveri pysyy koko ajan käynnissä olioiden vertailupäivitys LDAP-palvelimelle LDAP

  15. Synkronointi, madonluvut • Kummankin skriptin lopussa talletetaan tilastot lokiin ja kerätään virheilmoituksetlähetettäväksi ylläpitäjille • Aikaa 50 000 tunnukseen menee 1,5h - 7h ruuhkaisen LDAP-hakemiston totaalipäivitys ruuhkaiselta Oracle-palvelimelta(n. puolet ajasta menee LDAPiin kirjoittamiseen) • Samanlaiset rutiinit yliopiston organisaatiohierarkian luomiselle, sillä erollaettä käyttäjätunnus=yksikkökoodi ja kaikkia attribuutteja(päätoimittaja) ei päivitetä. • Aikaa menee yliopiston n. 240 yksikköön 1-5min

More Related