150 likes | 342 Views
HY-LDAP. Tietotekniikkaosasto. Ismo Aulaskari 24.1.2005. HY:n LDAP-hakemisto . Keskitetty autentikointi, eroon järjestelmäkohtaisista käyttäjätunnuksista Henkilö- ja organisaatiotiedon hakemisto eri järjestelmien käyttöön (henkilöiden oikeudet, roolit, laitosten sähköpostilistat ym.)
E N D
HY-LDAP Tietotekniikkaosasto Ismo Aulaskari 24.1.2005
HY:n LDAP-hakemisto • Keskitetty autentikointi, eroon järjestelmäkohtaisista käyttäjätunnuksista • Henkilö- ja organisaatiotiedon hakemisto eri järjestelmien käyttöön (henkilöiden oikeudet, roolit, laitosten sähköpostilistat ym.) • Intranet-portaalin työryhmien säilytyspaikka • OpenLDAP-palvelin, koodia muokattu hyödyntämään olemassaolevaa Radius-autentikointipalvelinta
Oliopuu • Pelkistetty hakemistopuun hierarkia Todellisuudessa kaksi erillistä tietokantaa! juuri laitokset henkilöt ryhmät
Yhteensopiva tietosisältö • LDAP-hakemistototeutusten mukana standardi henkilöattribuutti-skeema • Laajennoksena oppilaitoksissa EduPerson-skeema (USA) • Suomessa lisänä FunetEduPerson-skeema • Helsingin yliopiston oma laajennos HyEduPerson
Tietosisältö..jatkuu • HyEduPerson ”perii” kaiken aikaisempien skeemojen tietosisällön • Vastaavankaltainen (matalampi) hierarkia on olemassa myös organisaatioyksiköille ja ryhmille
Henkilö-olion sisältöä Henkilökohtaisuudet: Roolit: Työ ja opinnot: Sijoitusyksiköt: Käyttöluvat:
Tietolähteet dawa NDS … master oodi LDAP PROXY (ldap-internal) ??? yksittäiset tietojärjestelmät
Tietolähteet - käyttölupakanta • Oracle-käyttölupatietokannasta (”master”) LDAP-skriptit saavat • henkilötiedot, mm. käyttäjätunnus, hetu, nimi • luvan voimassaolot, valtuuksia.. • Toimii pohjana muodostettaessa LDAP-muotoisia olioita
Päivitysrutiinit • Tieto ”valuu” sidosryhmille LDAPin kautta. Henkilöhakemisto ja organisaatiotiedot päivitetään LDAPiin kerran vuorokaudessa (öisin) eri lähteistä • Tärkeimmät muuttuneet tiedot synkronoidaan 15 minuutin välein, esim. uusien kevyttunnusten luonti. • Ryhmät sen sijaan sijaitsevat vain LDAPissa • Ryhmien ylläpitoon mm. web-työkaluja
Virtuaali- yliopiston portaali LiTu … HY-portaali Nelli-portaali tilavaraus/MRBS webCT webikioskit … mappi hy-ppp hupNet WebOodi liikuntavaraus www- lomakkeita … Nykyiset käyttäjät SHIBBOLETH LDAP PROXY RADIUS PROXY
PERL-LDAP-synkronointiautomaatti • Net::LDAP-moduuli(t) • Suojattu yhteys • PERLin tiedostotietokannat välitalletuksiin • n. 50 000 synkronoitavaa henkilö-oliota
Skriptien yhteistyö tietolähteet LDAP-muotoisten olioiden luonti levylle attribuuttimoduuli väliaikaistiedosto rajapintamoduuli olioiden vertailupäivitys LDAP-palvelimelle LDAP
LDAP-olioiden muodostus • Tehdään tietokantahaut eri lähteistä muistiin -> n.150MB! • Generoidaan jokaiselle käyttäjätunnukselle LDAP-olio muuttaen tietolähteiden tiedot LDAP-syntaksin mukaisiksi • Talletetaan jokainen olio sitä mukaa väliaikaistiedostoon tietolähteet LDAP-muotoisten olioiden luonti levylle
LDAP-palvelimelle kirjoittaminen • Väliaikaistiedoston valmistuttua käynnistetään uusi, pieni skripti (tai useampia) • Ajetaan oliot tiedostosta yksi kerrallaan LDAP-kyselyillä hakemistopalvelimelle • Säästetään muistia, LDAP-serveri pysyy koko ajan käynnissä olioiden vertailupäivitys LDAP-palvelimelle LDAP
Synkronointi, madonluvut • Kummankin skriptin lopussa talletetaan tilastot lokiin ja kerätään virheilmoituksetlähetettäväksi ylläpitäjille • Aikaa 50 000 tunnukseen menee 1,5h - 7h ruuhkaisen LDAP-hakemiston totaalipäivitys ruuhkaiselta Oracle-palvelimelta(n. puolet ajasta menee LDAPiin kirjoittamiseen) • Samanlaiset rutiinit yliopiston organisaatiohierarkian luomiselle, sillä erollaettä käyttäjätunnus=yksikkökoodi ja kaikkia attribuutteja(päätoimittaja) ei päivitetä. • Aikaa menee yliopiston n. 240 yksikköön 1-5min