880 likes | 1.07k Views
FEIDE, BAS, ureg2000, Katalog. v/Bård Henry Moum Jakobsen. Agenda. FEIDE BAS UREG2000 Katalog (LDAP) Brukeradministrasjon. FEIDE – Felles Elektronisk Identitet. For tiden en Uninett/USIT prosjekt Primært 3 delprosjekter Brukeradministrativt system (BAS) Autentiseringstjener (AAT)
E N D
FEIDE, BAS, ureg2000, Katalog v/Bård Henry Moum Jakobsen
Agenda • FEIDE • BAS • UREG2000 • Katalog (LDAP) • Brukeradministrasjon
FEIDE – Felles Elektronisk Identitet • For tiden en Uninett/USIT prosjekt • Primært 3 delprosjekter • Brukeradministrativt system (BAS) • Autentiseringstjener (AAT) • Offentlig nøkkel infrastruktur (PKI) • Se: http://www.uninett.no/prosjekt/feide/
BAS BAS AT (LDAP) SR (FS/MSTAS) Other HR
Hva er et Brukeradministrative system (BAS) Student register BAS Personer Brukere Personal register
Hva er et Brukeradministrative system (BAS) • Person • Fødselsnummer • Navn • Adresse • Tilknytning • Type • Bruker • Brukernavn/ID • Passord • E-post adresse • Type • Gruppe • Gruppenavn/ID • Beskrivelse • Medlemmer • - Brukere • - Grupper
LT FS BOFH Ureg2000 UA (Adgangskontroll) LDAP Notes Exim NT LMS (CF) ARS Tivoli PRISS NIS (UiO) NIS (IfI) AD (W2K) Radius (Oppringt)
Brukeradministrative system (BAS) • Person • Fødselsnummer • Navn • Adresse • Tilknytning • Type • Bruker • Brukernavn/ID • Passord • Mailadresse • Type • Gruppe • Gruppenavn/ID • Beskrivelse • Medlemmer • - Brukere • - Grupper
Hva er UREG2000? • En Oracle database • Et API-sett skrevet i Perl5 • En samling av programmer for oppdatering og vedlikehold av brukere, maskiner, grupper • Rutiner for informasjonsutveksling mot LT og FS • Rutiner for printerkvoter, med konto for den enkelte bruker.
Hva gjør UREG2000 • Administrerer brukere • bygger, endrer og sletter brukere • autentisering • OS – unix, NT, W2K, osv • Systemer – Lotus Notes, ClassFronter, Oracle, osv • rettigheter • printerkvoter • Administrerer grupper • Skal administrere meta-info om maskiner
Hvorfor UREG2000? • Ønsker synkronisert brukernavn + passord. • Ønsker kun ETT sted å oppdatere informasjon om brukere, uansett hvilket system/OS brukeren bruker. • Ønsker ETT kontaktpunkt for eksterne som ønsker autentiserings- og autorisasjons-informasjon. • Ønsker ETT utgangspunkt for levering av informasjon til nye tjenester (Katalog, LMS, osv.)
Hva er BOFH? • BrukerOrganisering For Hvermansen • Andre kan se: http://members.iinet.net.au/~bofh/http://www.theregister.co.uk/content/30/index.html • Tekstbasert klient inn mot UREG2000 • Kan brukes til det meste når det gjelder brukere ved UiO
LT – Lønn og Trekksystem • er UiO sitt eneste personalsystem • gir UREG: • steder • SKO - StedKOde • Navn • Katalogmerke • Kontaktadresser • personer: • Ansatte (med tilsetting) persontype = A • Bilagslønnet persontype = M • Jobbsted og privatadresse • er autoritativt for steddata i UREG
FS – Felles Studentsystemer • er UIO sitt eneste studentregister • gir UREG: • Studenter, persontype = S • Navn • Semesteradresse • Studium • Emner • Opptak • Aktivt studieprogram • Studienivå • Er autoritativt, dvs. skriver over persondata i UREG
Tall 12. november 2001 Fakultet : Ansatte : Ansatt/student : Student : Eksterne/Andre : Total TF : 63 : 30 : 312 : 29 : 434 JUS : 288 : 185 : 2810 : 73 : 3356 Med : 1342 : 213 : 2092 : 1488 : 5135 HF : 809 : 331 : 4550 : 395 : 6085 MN : 1163 : 732 : 6217 : 1152 : 9264 Odont : 476 : 94 : 480 : 53 : 1103 SV : 485 : 286 : 4048 : 148 : 4967 UV : 343 : 81 : 2084 : 102 : 2610 UKM : 125 : 12 : 6 : 13 : 156 UNM : 155 : 11 : 26 : 32 : 224 UiO sentralt : 994 : 227 : 234 : 531 : 1986 Andre : 15 : 8 : 64 : 121 : 208 --------------------------------------------------------------------------- Total : 6258 : 2210 : 22923 : 4137 : 35528
LDAP – Lightweight Directory Access protocol • En protokoll for hvorledes komunisere med en katalog • En forenkling av DAP, som er X.500 sin måte å komunisere med kataloger. • Standard: • V3: RFC2251 • V2: RFC1777
Søking • Ved filter i en LDAP-klient (rfc2254) • Eks: (&(sn=Oftedal)(givenName=Lars*)) • URL-søk (rfc2255) • ldap://ldap.uio.no/o=Universitetet i Oslo, c=no??sub? (&(sn=Oftedal)(givenName=Lars*)) • ldap://ldap.uio.no/ou=Fagseksjonen TF, ou=Teologiske fakultet, o=Universitetet i Oslo, c=no?uid?sub
Mere URL-søking • ldap://<host>:<port>/<root> • ? → attributter • ? → Scop • Base – Søk kun i rot-noden for søket • One – Søk kun i noder rett under roten for søket • Sub – Søk i hele subtreet (inkl. rot) under rotnoden • ? → Filter • ! – NOT • & - AND • | - OR
Hva har UiO idag? • ldap.uio.no (alias: x500.uio.no) • Inneholder (Objekter) • Enheter ved UiO hentet fra LT • Personer ved UiO, hentet fra LT • Dvs Ansatte + bilagslønn (løsarbeidere) • Studenter? • Kun hvis de har gitt oss lov via semesterregistreringen
Bygge bruker – howto Cr.user I LT? Ja A Ansatt Ja a Nei Nei Ja I FS Student Manuelt ? Ja Ja ’user screate’ *KONTO Nei Nei Nei Andre Registrer m/adekvat subtype Ja Fødselsnr? Ja Gjest eller gjesteforsker Nei
Sletting av brukere • Studenter • Autostud • Sperret 1. Semester uten lovlig registrering • Slettet semesteret efter • Andre: Opp til lokal IT-ansvarlig • Ansatte • IT-reglementet: 3 månder etter oppsigelse av stilling. • I praksis: Opp til lokal IT-ansvarlig. • Eksterne • Opp til lokal IT-ansvarlig. • Kommer: 6 månders varighet, og mulighet til fornying av konto for eksterne.
Student Rapporter til SFA/SSA Unix-drift Ansatt Personalavdelingen Unix-drift Andre Unix-drift Hva skjer med konto: Sperres Web-område sperres Kun tilgang for dødsboet, attesteres av bobestyrer. Dødsfall
UREG2000 UiO sitt brukeradministrative system (BAS) v/Harald Meland & Bård Henry Moum Jakobsen SYDR/USIT/UiO
Agenda • Litt om mye • Ureg2000 og FS/LT • IT-grupper • BOFH • Student-IT (autostud.pm)
Brukeradministrative system (BAS) • Person • Fødselsnummer • Navn • Adresse • Tilknytning • Type • Bruker • Brukernavn/ID • Passord • Mailadresse • Type • Gruppe • Gruppenavn/ID • Beskrivelse • Medlemmer • - Brukere • - Grupper
LT FS Ureg2000 BOFH LDAP UA (Adgangskontroll) Notes NT Exim Tivoli PRISS LMS (CF) ARS AD (W2K) NIS (IfI) NIS (UiO) Oppringt
Hva er UREG2000? • En Oracle database • Et API-sett skrevet i Perl5 • En samling av programmer for oppdatering og vedlikehold av brukere, maskiner, grupper • Rutiner for informasjonsutveksling (import og eksport) mot LT (UiO sitt egenutviklede lønnssystem) og mot FS • Rutiner for printerkvoter, med konto for den enkelte bruker.
Hva gjør UREG2000 • Administrerer brukere • Bygger, endrer og sletter brukere • autentisering • OS – unix, NT, W2K, osv • Systemer – Lotus Notes, ClassFronter, Oracle, osv • rettigheter • Printerkvoter • Administrerer meta-info om maskiner • Administrerer grupper
Hvorfor? • Ønsker ’single sign-on’. • Ønsker kun ETT sted å oppdatere informasjon om brukere, uansett hvilket system/OS brukeren bruker. • Ønsker ETT kontaktpunkt for eksterne som ønsker autentiserings- og autorisasjons-informasjon. • Ønsker ETT utgangspunkt for levering av informasjon til nye tjenester (Katalog, LMS, osv.)
Tall 2. Januar 2001 Fakultet : Ansatte : Ansatt/student : Student : Eksterne/Andre : Total TF : 94 : 36 : 397 : 37 : 564 JUS : 379 : 138 : 2494 : 90 : 3101 Med : 1239 : 249 : 2204 : 1913 : 5605 HF : 966 : 328 : 4254 : 538 : 6086 MN : 1584 : 681 : 5577 : 1552 : 9394 Odont : 488 : 85 : 466 : 73 : 1112 SV : 697 : 259 : 3464 : 159 : 4579 UV : 354 : 111 : 1850 : 115 : 2430 UiO sentralt : 1157 : 226 : 201 : 923 : 2507 Andre : 28 : 5 : 64 : 193 : 290 Total : 6986 : 2118 : 20971 : 5593 : 35668
LT – Lønn og Trekksystem • Er UiO sitt eneste personalsystem • Gir UREG: • Steder • SKO - StedKOden • Navn • Katalogmerke • Kontaktadresser • Personer (Ansatte Type = ’A’ og Bilagslønnet Type = ’M’) • Faste ansatte og bilagslønnet • Jobbsted og privatadresse • Er autoritativt, dvs. Skriver over sted- og personer-data i UREG
FS – Felles Studentsystemer • Er UIO sitt eneste Studentregisteret • Gir UREG: • Personer (Studenter Type = ’S’) • Navn • Semesteradresse • Studium • Emner • Opptak • Aktivt studieprogram • Studienivå • Er autoritativt, dvs. Skriver over personer-data i UREG
Bygge brukere • UiO har tre typer brukere • Ansatte • Studenter • Eksterne
Bygge brukere (II) • En må ’eie’ disken brukerene skal bygges på • Disker er alle på følgende format: /<fak./inst>/<maskin>/<u#, el >/<brukernavn> • En må være moderator for primærgruppen • En må være moderator for eventuelle nettgrupper
Bygge brukere, Ansatte • Skal finnes i LT • Har persontype: • ’A’ - Ansatt • ’B’ - Ansatt og Student • ’M’ - Bilagslønnet • ’b’ - Bilagslønnet og Student • Skal ha brukertype ’A’ • Hvis ikke finnes i LT, registrer som persontype ’a’
Bygge brukere, Studenter • 3 metoder er i bruk • Med/Odont - Automatikk v/Per Grøttum (per@ifi.uio.no) • HF - Manuelt v/Student-IT HF, Øystein Ekvik • Alle andre: • Via registrering til kurs i FS (TFKONTO, JUSKONTO, JUTACCOUNT, MNKONTO, SVKONTO, SVACCOUNT, UVKONTO) • Konto bygges påfølgende natt • Kontoark via sokrates: kursbruker & nybruker • Bygges efter definerte profiler (filegruppe, nettgruppe, SKO og homedir • Skal ha brukertype ’S’ (Student).
Bygge brukere: Eksterne • Med eksterne mener vi personer som ikke finnes i LT eller FS • Og ikke-personlige brukere • Programvare • Drift-relaterte brukere • Fellesbrukere (normalt tillater vi ikke slike) • Har type ’X’ og i tillegg en sub-type
Subtyper D Felles-kontoer E Eksterne personer F Test-brukere G Gjesteforskere J Spesialavtale, godkjent av IT-direktør K Kurs-kontoer L Programvarekonti N EMBnet/Biotek-personer O SIO - Studentsamskipnaden i Oslo P Terminalstuemaskiner/printere (SV) R Sykehusansatte (godkjent av UiO-ansatt) T HPC/Tungregneranlegget - Eksterne W Gjeste-personer Z Sivilarbeidarar c Bibliotek - fellesbrukere e Professor emeritus f UiO-foreninger h Studenter ved den internasjonale sommerskole j KAJA-kontrakt k Konsulenter - eksterne n Notam - Norsk nettverk for Teknologi, Akustikk og Musikk p Eksterne stipendiater r Sykehusansatte (venter p} avtale) t Timeansatte/Bilagsl|nnede u Personer fra andre universiteter v SVs interne sommerskoletilbud z Frisch (Frischsenteret for samfunns}konomisk forskning)
Eksterne brukere • Disse er midlertidige, med normalt en varighet på 6 måneder. • Annen varighet kan settes i de tilfeller der finnes egen avtale for slikt. • Dette siste er desverre ikke satt i produksjon enda.
Modifisering av brukere • Hva: • Filegruppe (default, ++) • Nettgruppe • shell • SKO • Home • Spread • Printerkvote • Type (Bruker og person) • ’Gecos’ • Fødselsnummer
Modifisering grupper • grupper • add • rem • create • info • ls • lall • spread • Nett- og Filegrupper (i bofh ng og fg) • samme som for grupper.
Modifisering • shell - unix innlogings shell (eks: bash, csh, tcsh mfl) • SKO - stedkode, 6 siffer defineres av OF/LT • Gir domene-delen av mail-adressen til brukeren: • denne gir så hvorledes local-part (det til venstre for ’@’) skal se ut. • Home - Disken brukeren ligger på, endring av denne betyr flytting • ’user move (batch|now|platon|request - confirm|cancel)
Modifisering - Er der enda mer? • Spread • u - UiO sitt NIS • i - IFI sitt NIS • n - Domino Directory • Flere kommer nok
Sperring ’Splatting’ av brukere • Gjøres ved å sette ’*’ inn som første tegn i passord-feltet (NIS) og disable konto i NT/W2K. • Må angi en begrunnelse. • ’user splatt/unsplatt’ • Det er vanlig å sette et ’nologin’-shell også • Vi har et sett med forskjellige ’nologin’-shell som brukes i forskjellige sammenhenger.
Sletting • ’user delete’ • Vi tar vare på filene i 5 år, • kan restore bruker innen 4 måneder. • efter dette kan ikke brukeren regne med å få tilbake sitt brukernavn
Foiler mm. • Foiler: • http://www.uio.no/~baardj/pres/UiB-V2001.ppt • Stedkoder • http://www.uio.no/~baardj/pres/hierarki.txt • Spørsmål?
Harald neste... • FS og LT integrasjon (Teknisk) • Detaljer