Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Brukeradministrasjon 101

Liknende presentasjoner


Presentasjon om: "Brukeradministrasjon 101"— Utskrift av presentasjonen:

1 Brukeradministrasjon 101
Introduksjon til brukeradministrasjon og identitetsforvaltning med Cerebrum Monica Stamnes Gruppe for drift av grunntjenester Universitetets Senter for Informasjonsteknologi Universitetet i Oslo

2 Agenda Brukeradministrative systemer og identitetsforvaltning
Hva er identitetsforvaltning? Hva er et brukeradministrativt system? Identitetsforvaltning Brukeradministrasjon i praksis Praktisk brukeradministrasjon (BOFH) Personer, brukere, spreads og affiliations Grupper Karantener Studentautomatikk Fremtidige endringer Ny bofh-kommandoer Passordskiftevarslingstjeneste

3 Identitetsforvaltning
Forvalte informasjon om personer, deres identiteter og deres roller Identifisere individer og forvalte deres tilgang til ulike ressurser

4 Identitetsforvaltning - kildesystemer
Kildesystemer: FS, SAP, andre Import fra kildesystemer - personer Ansatte (SAP) Studenter (FS) ”Offisielle” gjester (SAP) Andre Import fra kildesystemer - organisasjonsstruktur Enheter og stedkoder Import fra kildesystem – affiliations/tilknytninger (personers tilhørighet til et sted) Studenters studierett på et studieprogram Ansattes tilsetting ved en organisatorisk enhet

5 Brukeradministrative systemer (1 av 2)
Et BAS er et system som Benyttes til innsamling av informasjon knyttet til personer, brukere, grupper, tilhørigheter, roller osv. Viderebringer informasjon om personer og brukere til resten av IT-systemet Et BAS består av En database Et sett med programmer som utfører: Innsamling av data Automatisk (og manuell) behandling av innsamlede data Oppdatering av IT-systemet

6 Brukeradministrative systemer (2 av 2)
Fordeler ved et BAS Datavask gir forbedret datakvalitet i kildesystemer Oppdatering av brukerinformasjon skjer på ett sted Bedre muligheter for automatisering av vanlige oppgaver Enklere å ta i bruk nye tjenester (mhp. autentisering og autorisasjon) Synkronisering av data på kryss og tvers

7 Cerebrum Brukeradministrativt system:
Python & RDBMS basert programvarepakke Kan bruke både PostgreSQL og Oracle XML/RPC basert klient GPL lisens Kan hentes fra SourceForge, mer informasjon finnes på Utviklet og tatt i bruk ved flere institusjoner i forbindelse med FEIDE-prosjektet, se

8 Praktisk brukeradministrasjon: bofh
Klientverktøyet til Cerebrum Brukerorganisering for hvermansen (bofh) Snakker kryptert med Cerebrum-databasen via et pythonbasert API Krever autentisering og autorisasjon Alle brukere ved institusjonen har tilgang til bofh Noen brukere ved institusjonen har mer tilgang til bofh enn andre Det finnes mange kommandoer i bofh, men du ser bare de kommandoene du får lov til å utføre (på deg selv eller andre)

9 Ymse tips (bofh) Hjelp Kommandogruppen ”help” er en bra start
”help person” vil f.eks. liste ut en oversikt over alle kommandoer i kommandogruppen ”person” samt en hjelpetekst for disse ”help glossary” vil gi en ordliste mer forklaringer på Cerebrumspesifikke begreper <tab> Bofh støtter tab-completion og korte kommandoformater For eksempel kan man skrive ”u i brukernavn” for å utføre bofh-kommandoen ”user info brukernavn” <tab> X 2 vil liste ut alle mulige (”person <tab> X 2”) vil gi en oversikt over alle tilgjengelige kommandoer i gruppen person

10 Ymse tips (bofh) ? I alle prompt-funksjoner i bofh kan man trykke ’?’ for å få en beskrivelse av input som kreves, for eksempel: jbofh> user create Person identification >? Identify account owner (person or group) by entering: Birthdate (YYYY-MM-DD) Norwegian fødselsnummer (11 digits) Export-ID (exp:exportid) External ID (idtype:idvalue) Entity ID (entity_id:value) Group name (group:name)

11 Tips & triks Dersom man vet hvilke parametere kommandoen forventer, kan man skrive hele kommandoen i en linje: user info <uname> Paranteser Hvis man har flere input som parameter til samme kommando, kan man gruppere disse med paranteser: group add (user1 … userN) gruppeX

12 Ymse tips (bofh) Gjøre mange ting på en gang Ctrl-d
Bofh-kommandoen ”source” jbofh> source minfil Ctrl-d Avslutter bofh Avslutter prompt-funksjoner uten å avslutte bofh

13 Personer Registrering av personer Navneendringer
Skal gjøres i kildesystemene Importeres fra kildesystemene til Cerebrum via importskript Navneendringer Skal for personer registrert i et kildesystem gjøres i kildesystemet For manuelt registrerte personer kan navn oppdateres ved hjelp av bofh

14 Affiliations Affiliations (tilknytninger) importeres fra kildesystemene (SAP/FS). Og er bygget opp på formen Følgende varianter av affiliation/affiliation_status finnes: ANSATT tekadm, vitenskapelig STUDENT aktiv, evu, privatist, tilbud TILKNYTTET bilag, fagperson, gjest, gjesteforsker, pensjonist, timelønnet MANUELL ekstern, gjest, pensjonist

15 Brukere Hva er en bruker? Hvor kommer brukere fra? Krav til brukernavn
Ordinær bruker (brukernavn + passord) Utvidet brukerbegrep (AD-bruker, e-postbruker, LDAP-bruker) Primærbruker Hvor kommer brukere fra? Automatikk (studenter) Manuell brukerbygging (ansatte) Krav til brukernavn Begrensning i antall tegn Skal være unike innenfor BAS Norske bokstaver (’æøå ÆØÅ’) og bindestrek er ikke tillatt Spesialtegn er ikke heldig Ellers kan man velge nesten hva man vil av brukernavn, men ikke alt er like lurt

16 Spreads Brukes til å angi hvilke tjenester et gitt objekt skal eksporteres (”spres”) til, for eksempel AD, NIS, imap Kan tilordnes brukere og grupper ved hjelp av kommandoen spread add i bofh

17 Eksport av brukere til AD
For at en bruker skal eksporteres til AD, må brukeren: Ha et spread som avgjør hvilket AD-domene brukeren havner i Gyldige domener er: ad_adm, ad_fag, ad_stud Ha en gyldig affiliation på person og bruker affiliation og affiliation_status bestemmer OU, home og profile_path for brukeren

18 Ny funksjonalitet: Endring av AD-attributter
Ny funksjonalitet for oppdatering av AD-attributtene OU, Profile Path og Homedir: Før synkronisering av brukere til AD, blir verdien for AD-attributtene OU, Profile Path og Homedir for brukeren beregnet Dersom det allerede finnes verdier for dette for brukeren, sammenlignes resultatet med de eksisterende verdiene Dersom gamle og nye verdier ikke stemmer overens, sendes det informasjon om dette til HIOF IT-ansvarlige på HIOF går gjennom listen, og dersom det stemmer at endringene skal gjennomføres, kjører han/hun nye bofh-kommandoer for å oppdatere AD-attributtene

19 Ny funksjonalitet: Endring av AD-attributter, bofh-kommandoer
Man kan liste opp eksisterende AD-attributter ved hjelp av kommandoen user list_ad_attrs <uname> i bofh, f.eks. test_bofh> user list_ad_attrs camilla Spread AD attribute Value ad_profile_path \\fag.hiof.no\profile\SF\camilla ad_account_ou OU=SF,OU=Halden,OU=Ansatte ad_homedir \\fag.hiof.no\home\SF\camilla Dersom AD-attributtene skal endres, sletter man dem ved hjelp av kommandoen user delete_ad_attrs <uname> <spread> i bofh, for eksempel: test_bofh> user delete_ad_attrs camilla OK, removed AD-traits for camilla Når AD-attributtene har blitt slettet, vil de nye beregnede verdiene for brukeren settes i Cerebrum og oppdateres i AD

20 Eksport av brukere til LDAP
Person-treet (FEIDE-treet) For å eksporteres til person-treet i LDAP, må man: Ha en aktiv bruker, og Ha en av følgende affiliations på sin person i Cerebrum: Fra SAP: ANSATT/<tekadm, vitenskapelig> Fra SAP: TILKNYTTET/<gjesteforsker, pensjonist> Fra FS: STUDENT/<aktiv, evu, privatist> Bruker-treet (radius) For å eksporteres til brukertreet i LDAP, må man: Ha et av følgende spreads på brukeren i Cerebrum:

21 E-post Brukere med spread ’account@imap’ er e-postbrukere ved HIOF
E-postadresser er bygget opp på formen Domene er satt til ’hiof.no’ med unntak av Fremmedspråksenteret der domenet er satt til ’fremmedspraksenteret.no’ Alle e-postbrukere på hiof får to e-postadresser der den ene adressen regnes som primæradressen til brukeren Den primære e-postadressen har localpart som er basert på fullt navn til personen som eier brukeren Tilleggsadressen har brukernavnet som localpart ”Per Person” med brukernavn ’perp’ vil dermed få som primæradresse, og som en gyldig tilleggsadresse

22 ABC-eksport To ganger i døgnet produserer Cerebrum en fil på abc-format, med informasjon om: Stedkode-struktur Personer (navn, id-er, brukernavn, e-post) Kull Undervisningsenheter Personer tilknyttet de ulike enhetene (stedkodene, via affiliations på person) Personer som har betalt semesteravgift Kriterier for å bli eksportert som person: Må være registrert med fullt navn i Cerebrum Må ha et gyldig fødselsnummer Må ha minst en gyldig affiliation

23 Grupper Hva er en gruppe? Hvor kommer grupper fra?
Standard gruppe i Cerebrum Utvidet gruppebegrep (rettighetsgruppe, AD-gruppe) Hvor kommer grupper fra? Automatikk Manuelt opprettede grupper Hva bruker vi grupper til? Diverse rettigheter og tilganger i IT-systemet Rettighetstildeling i bofh Annet

24 Karantener (1 av 2) Karantener benyttes til å stenge et objekt midlertidig ute fra gitte tjenester Ved HIOF benyttes følgende karantener: Automatiske karantener: auto_inaktiv, auto_kunepost, autopassord Disse vedlikeholdes av diverse automatiske rutiner i Cerebrum Manuelle karantener: generell, teppe, system Disse vedlikeholdes av lokale IT-ansvarlige

25 Karantener (2 av 2) Karantener settes ved hjelp av kommandoen quarantine set account Karantener kan settes med startdato frem i tid Man kan se på en karantene på en gitt bruker ved hjelp av kommandoen quarantine show account Dersom en bruker har karantene, vil dette også være synlig når man kjører user info på brukeren Man kan disable en karantene ved hjelp av kommandoen quarantine disable account Man kan slette en karantene ved hjelp av kommandoen quarantine remove Karantener bør ikke slettes uten videre, sjekk derfor alltid først hvorfor karantenen er satt Automatiske karantener skal ikke slettes manuelt

26 Studentautomatikk (1 av 2)
Oppretter og vedlikeholder alle studentbrukere basert på informasjon fra FS og konfigurasjonsfil Kjøres hver natt, etter import av data fra FS til Cerebrum Genererer blant annet brev med brukernavn og passord til nye studentbrukere

27 Studentautomatikk (2 av 2)
Hva gjør automagien med en typisk studentbruker? Ved påtruffet aktiviseringskriterium skjer følgende i Cerebrum: Det blir opprettet en bruker til studenten i Cerebrum. Informasjon om denne brukeren blir eksportert til IT-systemet Det genereres et brev med brukernavn og passord til den nye studenten Brevene med brukernavn og passord blir overført til et passende område på filutvekslingstjeneren Institusjonen har ansvaret for å skrive ut og sende/dele ut passordbrevene til nye studenter

28 Passord Alle brukere i Cerebrum har et passord som sammen med brukernavnet gir tilgang til de ulike IT-systemene Passordet må oppfylle visse kriterier for å være gyldig Passordskifte Gjøres på passord.hiof.no (kan også gjøres direkte i bofh) Endringene sprer seg videre til resten av IT-systemet (det gamle passordet fungerer da inntil det nye blir tatt i bruk)

29 Fremtidig tjeneste: Passordskiftevarsling
USIT arbeider med å utvikle en generell løsning for utsending av varsel om passordskifte Tjenesten vil settes opp til å kjøre i gitte intervaller, for eksempel ukentlig Tjenesten kan konfigureres slik at man kan utarbeide sine egne brevmaler, og angi tidspunkt for hvor ofte brukerne må skifte passord Dersom en bruker ikke har skiftet passord fem uker innen fristen for passordskifte, sendes det ut et varsel per e-post om at brukeren vil bli sperret dersom passordskifte ikke utføres Dersom en bruker fortsatt ikke har skiftet passord to uker senere, sendes det en påminnelse per e-post om at man må skifte passord Dersom passordet fortsatt ikke er skiftet innen fristen, settes brukeren i autopassord-karantene og mister således tilgang til IT-tjenestene


Laste ned ppt "Brukeradministrasjon 101"

Liknende presentasjoner


Annonser fra Google