1 / 18

HY-LDAP ja OODI

HY-LDAP ja OODI. Tietotekniikkaosasto. Ismo Aulaskari 14.9.2004. HY:n LDAP-hakemisto . Keskitetty autentikointi, eroon järjestelmäkohtaisista käyttäjätunnuksista Henkilö- ja organisaatiotiedon hakemisto eri järjestelmien käyttöön Intranet-portaalin työryhmien säilytyspaikka

dinh
Download Presentation

HY-LDAP ja OODI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. HY-LDAP ja OODI Tietotekniikkaosasto Ismo Aulaskari 14.9.2004

  2. HY:n LDAP-hakemisto • Keskitetty autentikointi, eroon järjestelmäkohtaisista käyttäjätunnuksista • Henkilö- ja organisaatiotiedon hakemisto eri järjestelmien käyttöön • Intranet-portaalin työryhmien säilytyspaikka • OpenLDAP-palvelin, koodia muokattu hyödyntämään olemassaolevaa Radius-autentikointipalvelinta

  3. Oliopuu • Pelkistetty hakemistopuun hierarkia juuri laitokset henkilöt ryhmät

  4. Yhteensopiva tietosisältö • LDAP-hakemistototeutusten mukana standardi henkilöattribuutti-skeema • Laajennoksena oppilaitoksissa EduPerson-skeema (USA) • Suomessa lisänä FunetEduPerson-skeema • Helsingin yliopiston oma laajennos HyEduPerson

  5. Tietosisältö..jatkuu • HyEduPerson ”perii” kaiken aikaisempien skeemojen tietosisällön • Vastaavankaltainen hierarkia on olemassa myös organisaatioyksiköille ja ryhmille

  6. Henkilö-olion sisältöä

  7. Tietolähteet dawa NDS … master oodi LDAP PROXY (ldap-internal) ??? yksittäiset tietojärjestelmät

  8. Päivitysrutiinit • Tieto ”valuu” sidosryhmille LDAPin kautta. Henkilöhakemisto ja organisaatiotiedot päivitetään tällä hetkellä kerran vuorokaudessa eri lähteistä • Jatkossa tärkeimmät muuttuneet tiedot tullaan synkronoimaan 15 minuutin välein • Ryhmät sen sijaan sijaitsevat vain LDAPissa • Ryhmien ylläpitoon mm. web-työkaluja

  9. Virtuaali- yliopiston portaali … HY-portaali Nelli-portaali tilavaraus/MRBS webCT webikioskit eLomake … mappi hy-ppp hupNet WebOodi liikuntavaraus www- lomakkeita … Nykyiset käyttäjät SHIBBOLETH LDAP PROXY RADIUS PROXY

  10. PERL-LDAP-synkronointiautomaatti • Net::LDAP-moduuli(t) • Suojattu yhteys • PERLin tiedostotietokannat välitalletuksiin • n. 50 000 synkronoitavaa henkilö-oliota

  11. Skriptien yhteistyö tietolähteet LDAP-muotoisten olioiden luonti levylle attribuuttimoduuli väliaikaistiedosto rajapintamoduuli olioiden vertailupäivitys LDAP-palvelimelle LDAP

  12. LDAP-olioiden muodostus • Tehdään tietokantahaut eri lähteistä muistiin -> 145MB! • Generoidaan jokaiselle käyttäjätunnukselle ldap-olio muuttaen tietolähteiden tiedot ldap-syntaksin mukaisiksi • Talletetaan jokainen olio sitä mukaa väliaikaistiedostoon tietolähteet LDAP-muotoisten olioiden luonti levylle

  13. LDAP-palvelimelle kirjoittaminen • Väliaikaistiedoston valmistuttua käynnistetään uusi, pieni skripti (tai useampia) • Ajetaan oliot tiedostosta yksi kerrallaan LDAP-kyselyillä hakemistopalvelimelle • Säästetään muistia, LDAP-serveri pysyy koko ajan käynnissä olioiden vertailupäivitys LDAP-palvelimelle LDAP

  14. Synkronointi, madonluvut • Kummankin skriptin lopussa talletetaan tilastot lokiin ja kerätään virheilmoituksetlähetettäväksi ylläpitäjille • Aikaa 50 000 tunnukseen menee 1,5h - 7h ruuhkaisen hakemiston totaalipäivitys(optimoinnit jatkuvat;) • Samanlaiset rutiinit yliopiston organisaatiohierarkian luomiselle, sillä erollaettä käyttäjätunnus=yksikkökoodi ja kaikkia attribuutteja(päätoimittaja) ei päivitetä. • Aikaa menee yliopiston n. 240 yksikköön 1-5min

  15. Tietolähteet - käyttölupakanta • Oracle-käyttölupatietokannasta (”master”) LDAP-skriptit saavat • henkilötiedot, mm. käyttäjätunnus, hetu, nimi • luvan voimassaolot, valtuuksia.. • Toimii pohjana muodostettaessa LDAP-muotoisia olioita

  16. Tietolähteet - OODI • Haetaan opiskelutiedot tilastokeskuksen koodeina ”pieninä” kyselyinä eri näkymistä • Voimassaolevat opiskelijoiden opintokoodit: pää-aineet, koulutusohjelmat vs. valintakiintiöt, suuntautumisvaihtoehdot • esim. haetaan kaikki suuntautumisvaihtoehdot ja niihin liittyvät henkilötunnukset • Yhdistetään muistissa hetun perusteella kunkin opiskelijan opintotiedoiksi ldap-olioihin

  17. OODI–tiedon hienosäätö • Tarvittaessa(joskus oodissa ei ollut kaikille opinnoille tilastokeskuksen koodeja) konvertoidaanHY:n koodeja tk-koodeiksi • Käsitellään saadut arvot (duplikaatit pois, lisätään tk-koodeihin etunollia ym.) funetEduPerson-skeeman moniarvoisiksi attribuuteiksi

  18. Lopputulos

More Related