v/Bård Henry Moum Jakobsen FEIDE, BAS, ureg2000, Katalog v/Bård Henry Moum Jakobsen
Agenda FEIDE BAS UREG2000 Katalog (LDAP) Brukeradministrasjon
FEIDE – Felles Elektronisk Identitet For tiden en Uninett/USIT prosjekt Primært 3 delprosjekter Brukeradministrativt system (BAS) Autentiseringstjener (AAT) Offentlig nøkkel infrastruktur (PKI) Se: http://www.uninett.no/prosjekt/feide/
FEIDE
BAS BAS AT (LDAP) SR (FS/MSTAS) Other HR
Hva er et Brukeradministrative system (BAS) Student register BAS Personer Brukere Vi ønsker å - redusere antall brukernavn/passord ved institusjonen - automatisere en del av arbeidet rundt administrering av brukere - synkronisere informasjon som må finnes flere steder - oppdatere kun ET sted - definere eiere (og ansvarlige) for informasjon. Som lim (mellomvare) ønsker vi ET system for å synkronisere opp dette, EN BAS Personal register
Hva er et Brukeradministrative system (BAS) Person Fødselsnummer Navn Adresse Tilknytning Type Bruker Brukernavn/ID Passord E-post adresse Type Gruppe Gruppenavn/ID Beskrivelse Medlemmer - Brukere - Grupper
LT FS BOFH Ureg2000 UA (Adgangskontroll) LDAP Notes Exim NT LMS (CF) ARS Tivoli PRISS NIS (UiO) NIS (IfI) AD (W2K) Radius (Oppringt)
Brukeradministrative system (BAS) Person Fødselsnummer Navn Adresse Tilknytning Type Bruker Brukernavn/ID Passord Mailadresse Type Gruppe Gruppenavn/ID Beskrivelse Medlemmer - Brukere - Grupper
Hva er UREG2000? En Oracle database Et API-sett skrevet i Perl5 En samling av programmer for oppdatering og vedlikehold av brukere, maskiner, grupper Rutiner for informasjonsutveksling mot LT og FS Rutiner for printerkvoter, med konto for den enkelte bruker.
Hva gjør UREG2000 Administrerer brukere Administrerer grupper bygger, endrer og sletter brukere autentisering OS – unix, NT, W2K, osv Systemer – Lotus Notes, ClassFronter, Oracle, osv rettigheter printerkvoter Administrerer grupper Skal administrere meta-info om maskiner
Hvorfor UREG2000? Ønsker synkronisert brukernavn + passord. Ønsker kun ETT sted å oppdatere informasjon om brukere, uansett hvilket system/OS brukeren bruker. Ønsker ETT kontaktpunkt for eksterne som ønsker autentiserings- og autorisasjons-informasjon. Ønsker ETT utgangspunkt for levering av informasjon til nye tjenester (Katalog, LMS, osv.)
Hva er BOFH? BrukerOrganisering For Hvermansen Andre kan se: http://members.iinet.net.au/~bofh/ http://www.theregister.co.uk/content/30/index.html Tekstbasert klient inn mot UREG2000 Kan brukes til det meste når det gjelder brukere ved UiO
LT – Lønn og Trekksystem er UiO sitt eneste personalsystem gir UREG: steder SKO - StedKOde Navn Katalogmerke Kontaktadresser personer: Ansatte (med tilsetting) persontype = A Bilagslønnet persontype = M Jobbsted og privatadresse er autoritativt for steddata i UREG
FS – Felles Studentsystemer er UIO sitt eneste studentregister gir UREG: Studenter, persontype = S Navn Semesteradresse Studium Emner Opptak Aktivt studieprogram Studienivå Er autoritativt, dvs. skriver over persondata i UREG
Tall 12. november 2001 Fakultet : Ansatte : Ansatt/student : Student : Eksterne/Andre : Total TF : 63 : 30 : 312 : 29 : 434 JUS : 288 : 185 : 2810 : 73 : 3356 Med : 1342 : 213 : 2092 : 1488 : 5135 HF : 809 : 331 : 4550 : 395 : 6085 MN : 1163 : 732 : 6217 : 1152 : 9264 Odont : 476 : 94 : 480 : 53 : 1103 SV : 485 : 286 : 4048 : 148 : 4967 UV : 343 : 81 : 2084 : 102 : 2610 UKM : 125 : 12 : 6 : 13 : 156 UNM : 155 : 11 : 26 : 32 : 224 UiO sentralt : 994 : 227 : 234 : 531 : 1986 Andre : 15 : 8 : 64 : 121 : 208 --------------------------------------------------------------------------- Total : 6258 : 2210 : 22923 : 4137 : 35528
LDAP – Lightweight Directory Access protocol En protokoll for hvorledes komunisere med en katalog En forenkling av DAP, som er X.500 sin måte å komunisere med kataloger. Standard: V3: RFC2251 V2: RFC1777
Søking Ved filter i en LDAP-klient (rfc2254) URL-søk (rfc2255) Eks: (&(sn=Oftedal)(givenName=Lars*)) URL-søk (rfc2255) ldap://ldap.uio.no/o=Universitetet i Oslo, c=no??sub? (&(sn=Oftedal)(givenName=Lars*)) ldap://ldap.uio.no/ou=Fagseksjonen TF, ou=Teologiske fakultet, o=Universitetet i Oslo, c=no?uid?sub
Mere URL-søking ldap://<host>:<port>/<root> ? → attributter ? → Scop Base – Søk kun i rot-noden for søket One – Søk kun i noder rett under roten for søket Sub – Søk i hele subtreet (inkl. rot) under rotnoden ? → Filter ! – NOT & - AND | - OR
Hva har UiO idag? ldap.uio.no (alias: x500.uio.no) Inneholder (Objekter) Enheter ved UiO hentet fra LT Personer ved UiO, hentet fra LT Dvs Ansatte + bilagslønn (løsarbeidere) Studenter? Kun hvis de har gitt oss lov via semesterregistreringen
Gjest eller gjesteforsker Bygge bruker – howto Cr.user I LT? Ja Ansatt A Ja a Nei Nei Ja I FS Student Manuelt ? Ja Ja ’user screate’ *KONTO Hovedbudskap: Man finner ikke på fake-personnummer… Nei Nei Nei Andre Registrer m/adekvat subtype Ja Fødselsnr? Ja Gjest eller gjesteforsker Nei
Sletting av brukere Studenter Ansatte Eksterne Autostud Sperret 1. Semester uten lovlig registrering Slettet semesteret efter Andre: Opp til lokal IT-ansvarlig Ansatte IT-reglementet: 3 månder etter oppsigelse av stilling. I praksis: Opp til lokal IT-ansvarlig. Eksterne Opp til lokal IT-ansvarlig. Kommer: 6 månders varighet, og mulighet til fornying av konto for eksterne. Fra IT-reglementet: Ved opphør av ansettelses-, studie- eller brukerforhold er brukeren ansvarlig for at kopier av data, programmer m.v. som eies/disponeres av universitetet sikres for den lokale IT-ansvarlige eller USIT. Andre filer m.v. som er lagret under brukerens navn eller lignende skal brukeren selv slette. Skjer dette ikke innen rimelig tid, og senest innen 3 måneder, kan lokal IT-ansvarlig eller USIT slette slike filer
Dødsfall Hva skjer med konto: Student Rapporter til SFA/SSA Sperres Web-område sperres Kun tilgang for dødsboet, attesteres av bobestyrer. Student Rapporter til SFA/SSA Unix-drift Ansatt Personalavdelingen Andre