© USIT/SAPP/GT UNIVERSITETET I OSLO Brukeradministrasjon ved UiO v/Bård Jakobsen (Senioringeniør), Gruppeleder, Gruppe for drift av grunntjenester (GT) Seksjon for system- og applikasjonsdrift (SAPP) Samboer med Elisabeth... osv
© USIT/SAPP/GT UNIVERSITETET I OSLO Agenda Hva er UREG2000 og hva er BOFH Litt UREGs historie Synkronisering Kataloger En person sin kontos liv og levnet Student-it
© USIT/SAPP/GT UNIVERSITETET I OSLO ITPersonellØk. Forsk.Studie Info. Sentralt Fakultet Institutt Styringspyramiden
© USIT/SAPP/GT UNIVERSITETET I OSLO Hva er et Brukeradministrative system (BAS) Student register Student register Personal register BAS Personer Brukere
© USIT/SAPP/GT UNIVERSITETET I OSLO Brukeradministrative system (BAS) Person - Fødselsnummer - Navn - Adresse - Tilknytning - Type Gruppe - Gruppenavn/ID - Beskrivelse - Medlemmer - Brukere - Grupper Bruker - Brukernavn/ID - Passord - e-postadresse - Type
© USIT/SAPP/GT UNIVERSITETET I OSLO I begynnelsen var... Pre UREG –Flate filer, manuell registrering, mange filer å oppdatere UREG –Oracle DB, bofh UREG2000 –Mere automatikk –Synkronisering mot LT og FS –Fortsatt mye utvikling, nye moduler Cerebrum –Ny ureg. I produksjon sommer 2003.
© USIT/SAPP/GT UNIVERSITETET I OSLO Hva er UREG2000? En Oracle database (Cerebrum er enten Oracle eller PostgreSQL) Et API-sett skrevet i Perl5 (Cerebrum er Python) En samling av programmer for oppdatering og vedlikehold av brukere, maskiner, grupper Rutiner for informasjonsutveksling mot LT og FS mfl. Rutiner for printerkvoter, med konto for den enkelte bruker.
© USIT/SAPP/GT UNIVERSITETET I OSLO Hva gjør UREG2000 Administrerer brukere –bygger, endrer og sletter brukere –autentisering »OS – unix, NT, W2K, osv »Systemer – Lotus Notes, ClassFronter, Oracle, osv –rettigheter –printerkvoter Administrerer grupper Skal administrere meta-info om maskiner
© USIT/SAPP/GT UNIVERSITETET I OSLO Hvorfor UREG2000? Ønsker synkronisert brukernavn + passord. Ønsker kun ETT sted å oppdatere informasjon om brukere, uansett hvilket system/OS brukeren bruker. Ønsker ETT kontaktpunkt for eksterne som ønsker autentiserings- og autorisasjons-informasjon. Ønsker ETT utgangspunkt for levering av informasjon til nye tjenester (Katalog, LMS, osv.)
© USIT/SAPP/GT UNIVERSITETET I OSLO Hva er BOFH? BrukerOrganisering For Hvermansen –Andre kan se: Tekstbasert klient inn mot UREG2000 Kan brukes til det meste når det gjelder brukere ved UiO
© USIT/SAPP/GT UNIVERSITETET I OSLO Vi leker litt med bofh Hva er bruker, person? Hva er filegruppe, nettgruppe, IT-gruppe Hva er disk
© USIT/SAPP/GT UNIVERSITETET I OSLO bofh – itgroup user ls Prøv: itgroup user –Hva får du? itgroup ls
© USIT/SAPP/GT UNIVERSITETET I OSLO bofh – user info passwd create fnr sadd splatt unsplatt history sko
© USIT/SAPP/GT UNIVERSITETET I OSLO bofh – fg/ng lall ls add rem create spread
© USIT/SAPP/GT UNIVERSITETET I OSLO Ureg2000 FSLT NIS (UiO) NT AD (W2K) Notes ARS Tivoli BOFH Oppringt UA (Adgangskontroll) PRISS Exim NIS (IfI) LDAP LMS (CF) FDS
© USIT/SAPP/GT UNIVERSITETET I OSLO LT – Lønn og Trekksystem er UiO sitt eneste personalsystem gir UREG: –steder »SKO – StedKOde (8 siffer + 3 * 2 siffer) »Navn (Ymse varianter) »Katalogmerke »Kontaktadresser –personer: »Ansatte (med tilsetting) persontype = A »Bilagslønnet persontype = M »Jobbsted og privatadresse »Reservasjonsdata jmf. katalogen er autoritativt for steddata i UREG
© USIT/SAPP/GT UNIVERSITETET I OSLO mere LT LT får –Mailadresse til personens primærkonto –brukernavn til personens primærkonto
© USIT/SAPP/GT UNIVERSITETET I OSLO Ansatte mm. Hvem som defineres som ansatte avgjøres av den informasjonen vi får fra LT. Systemeier for LT er OPA (Organisasjons- og personalavdelingen) Problemer: –Tar for lang tid å få inn informasjon i LT om nytilsatte. –Får ikke informasjon om andre enn de som har et ansettelses forhold til UiO. »Ikke sivilarbeidere, Kaia-ansatt, eksternfinansierte, gjesteforskere, sykehusansatte osv.
© USIT/SAPP/GT UNIVERSITETET I OSLO Roller i LT Personer i LT kan tildeles roller. Roller er organiser i kategorier (adm, it, studie, personell, etc) Roller gjelder i forhold til sted (og underliggende steder om de ikke har rollen definert). For eksempel: –Kontorsjef for (IfI) –Studiekonsulent for (GI) –LITA for (ISP)
© USIT/SAPP/GT UNIVERSITETET I OSLO FS – Felles Studentsystemer er UIO sitt eneste studentregister gir UREG: –Studenter, persontype = S »Navn »Semesteradresse »Studium Emner Opptak Aktivt studieprogram Studienivå –EVU-studenter, persontype = E »Navn »Adresse »Kurs –Fagpersoner, persontype = F (behøver ikke finnes i LT!!!) »Navn »Adresse »Arbeidssted ved UiO
© USIT/SAPP/GT UNIVERSITETET I OSLO mer FS FS får –Mailadressen til personens primærbruker –Data om aktive ansatte (som fagpersoner) i FS –Data om aktive vitenskaplige ansatte (som aktive fagpersoner) i FS
© USIT/SAPP/GT UNIVERSITETET I OSLO Vi har i dag: Fakultet :Ansatte:Ans/stud: Stud :FS-pers: Andre : Total TF : 36 : 39 : 708 : 3 : 76 : 862 JUS : 223 : 257 : 5179 : 6 : 127 : 5792 Med : 1179 : 228 : 2850 : 19 : 2289 : 6565 HF : 681 : 412 : 9498 : 7 : 376 : MN : 1001 : 658 : 6309 : 146 : 1604 : 9718 Odont : 359 : 84 : 434 : 2 : 287 : 1166 SV : 412 : 331 : 8065 : 6 : 218 : 9032 UV : 286 : 128 : 4047 : 3 : 221 : 4685 UKM : 111 : 14 : 3 : : 12 : 140 UNM : 131 : 13 : 31 : 10 : 87 : 272 UiO sentralt : 901 : 234 : 1639 : 7 : 784 : 3565 Andre : 40 : 10 : 116 : 7 : 440 : 613 Total : 5360 : 2408 : : 216 : 6521 : 53384
© USIT/SAPP/GT UNIVERSITETET I OSLO Bygge bruker – howto Cr.user Ansatt Student Andre I LT? Gjest eller gjesteforsker Registrer m/adekvat subtype I posten Hvorfor? a A Manuelt ? I FS Fødselsnr? Ja Nei Blir konvertert til ’A’ eller X-G efter en tid og i hht. LT
© USIT/SAPP/GT UNIVERSITETET I OSLO Studenter, hva nå? USIT har efter en tids diskusjon besluttet å endre en del av rutinene rundt brukeradministrasjon knyttet til studentbrukere: Kravet som obligatorisk basiskurs bortfaller Alle studenter skal ha brukernavn Alle aktive studenter skal ha konto
© USIT/SAPP/GT UNIVERSITETET I OSLO Brukernavn vs. konto Brukernavn/Brukerid –Små bokstaver, tall mm. Max 8 tegn –Passord –Ingen tjenester (eller svært redusert mengde tjenester). Konto –Home-directory –Mail-adresse –Web-område –Innlogging på maskiner og servere –Oppringt –mm.
© USIT/SAPP/GT UNIVERSITETET I OSLO Alle studenter skal ha brukernavn Med brukernavn her så menes IKKE ’unix- brukernavn’ Brukernavn sendes ut i forbindelse med tilbud om studieplass ved UiO. Dvs: –Ligger i FS med tilbud om studieplass ved UiO –Er registrert på et EVU-kurs som starter senest om 14 dager. Brukernavn beholdes så lenge man har et opptak til et studieprogram ved UiO.
© USIT/SAPP/GT UNIVERSITETET I OSLO Alle aktive studenter skal ha konto Med aktiv student menes: –Semesterregistrert seg og melde seg til eksamen i et emne som kan inngå i et studieprogram man har et opptak til som ikke er 'PRIVATIST'. –Være registrert til et EVU-kurs som starter senst om 14 dager. Kontoen beholdes så leng man er aktiv student. EVU-studenter er aktive inntil 14 dager efter at deres kurs ble avsluttet. Når en student ikke er aktiv skal kontoen sperres, og denne skal slettes senest 6 måneder efter (om ikke status har endret seg). Alle blir bygget efter en profil avledet av hva de driver med.
© USIT/SAPP/GT UNIVERSITETET I OSLO Hva betyr dette for LITA Tildels kraftig økning i antallet brukere som skal støttes (varierer fra fakultet til fakultet) Redusert administrasjon knyttet til utdeling av brukernavn og passord. Stor sansynlighet for midlertidig økning i antall studenter som ikke husker brukernavn/passord.
© USIT/SAPP/GT UNIVERSITETET I OSLO Tidsløp Når studierett er gitt. –Påfølgende natt genereres en reservert bruker –Brev skrives og falses påfølgende dag –Går med budavdelingen fra USIT ca kl 1200 samme dag om mulig. Når semesterregistrering er gjordt. –Brukerkonto bygges påfølgende natt. –Hvis ingen reservert konto, så bygges med nytt navn og brev sendes ut jmf. punktet over.
© USIT/SAPP/GT UNIVERSITETET I OSLO Hva om student ikke har fått brev? Sjekk om vedkommende har brukernavn –’user fnr’ –Hvis brukerkonto, sett passord og gi studenten denne. Sjekk om studierett Sjekk om semesterregistrert –’user studinfo’ eller med FS-klienten –Hvis ikke, send studenten til studieveileder/studiekonsulent. Hvis usikker, ring oss (52750), mail oss
© USIT/SAPP/GT UNIVERSITETET I OSLO Per Person er ny student ved UiO FS har opptak til SV (SAMVIT). –Per melder seg til Ex.Phil og Ex.Fac. –Per bor på Sogn studentby og har nett i veggen vil ha brukernavn og passord. Hvordan? –Fått tilsendt brev –Studentbynett: kontakt resepsjonen på studentbyen eller resepsjonen ved Sogn Studentby
© USIT/SAPP/GT UNIVERSITETET I OSLO Forberedende (Ex.Phil/Ex.Fac) De som følger et fagstudium samtidig registreres under dette faget De studenter som er opptatt til et fagstudium regnes som studerende innen dette under deres studium av Ex.Phil/Ex.Fac Hva så med de som ikke har noe opptak til noe fagstudium? Disse bør få tilgang til laveregradsstuer på hele campus, men er primært HF sitt ansvar.
© USIT/SAPP/GT UNIVERSITETET I OSLO Struktur File-server for studenter
© USIT/SAPP/GT UNIVERSITETET I OSLO Strukturen på Platon (I) Diskene ligger alle under /uio/(platon|hegel|hume|kant)/ Strukturen er basert på fakultet og nivå i studiet Nomenklaturen: /uio/platon/ - Fakultet: jus, hf, mn, sv, uv, tf Nivå: l-laveregrad, h-høyeregrad Alle diskene er på 8/10 GB Inneholder 400 laveregradsstudenter eller 100 på hovedfag
© USIT/SAPP/GT UNIVERSITETET I OSLO Strukturen på Platon (II) I tillegg: div-l1 –Studenter som ikke lar seg plassere på ett fakultet pending1 –Studenter uten lovlige emner og som vi derfor ikke har funnet plass til (når de ble flyttet med ’move_platon’ i bofh). Disse vil bli sperret og derefter slettet om ikke deres studiestatus endres. Pluss noen til: bio-h#, iss-u1 osv.
© USIT/SAPP/GT UNIVERSITETET I OSLO Profiler for studenter Aktivt studieprogram er studieprogram studenten har et lovlig opptak til (ikke privatist) og som vedkommende også har eksamensoppmelding i. Sted for EVU-kurs er det fakultet som står ansvarlig. Profilen bestemmer: –SKO Mail-adresse –Primærgruppe –Filgrupper –Netgrupper –Home-dir
© USIT/SAPP/GT UNIVERSITETET I OSLO Per finner tilleggsbeite! SV er greit, men informatikk er også kult! Hva skjer med kontoen til Per? –Spread += i –Ekstra fil- og nettgrupper –Nytt hjemmeområde /platon/div-l# Printerkvoter? –Litt endring, men merk at IFI kjører eget...
© USIT/SAPP/GT UNIVERSITETET I OSLO Printerkvoter ”Initiert-kvote” –Hvor mange sider brukeren får i utgangspunktet (som ny og eventuelt ved semesterstart) –Hvis matcher flere: velger den som gir størst ”Uke kvote” –Hvor mange sider brukeren får hver uke (natt til lørdag, bør vel flyttes til natt til fredag) –Hvis matcher flere: Får summen
© USIT/SAPP/GT UNIVERSITETET I OSLO Printerkvote (II) ”Max akkumulert” –max for hva en bruker kan samle opp av utskriftskvote –Hvis matcher flere: Får summen ”Max semester kvote –Max antall en bruker får skrive i løpet av semesteret –Hvis matcher flere: Får summen
© USIT/SAPP/GT UNIVERSITETET I OSLO Printerkvoter (III) Quota-file med direktiver En linje per direktiv Format: Betingelse –ng - Netgruppe –fg - Filgruppe –k- Emnekode –s - Aktivt studieprogram
© USIT/SAPP/GT UNIVERSITETET I OSLO Modifisering (i) e-postadesse, dvs. SKO for studentbrukeren –Endres kun om ikke gammel er relevant. Flytting –skjer på bakgrunn av data fra FS. –Emne av høyeste nivå bestemmer hvor. Unntak?
© USIT/SAPP/GT UNIVERSITETET I OSLO E-postadresse vs. SKO SKO –Personer har det (fått fra LT/FS) –Brukere har det. E-postadresse –Knyttet til bruker, bruker kan ha flere, men kun en som default. Vi omskriver automatisk til default. –Er gitt av brukers SKO.
© USIT/SAPP/GT UNIVERSITETET I OSLO Per blir LITA Per får seg jobb ved institutt for uprivat rett. Hva skjer med kontoen til Per? –Flytte studentkonto eller opprette egen? –Typer: ’A’, ’S’, ’E’, ’F’ og ’M’ (for person) –Flere konti er greit hvis behovet er der. –Mer enn 3 konti?
© USIT/SAPP/GT UNIVERSITETET I OSLO Modifisering (ii) Flytting i bofh med ’user move’ –batch –now –request/confirm –platon –cancel
© USIT/SAPP/GT UNIVERSITETET I OSLO Per blir student, igjen Per tar opp studenttråden Trenger Per ny konto? user screate
© USIT/SAPP/GT UNIVERSITETET I OSLO Per tar hovefag Per reiser til Utopia på feltundersøkelser i forbindelse med sitt hovedfag i sosialantropologi. Per blir borte i 3 semestre, han betaler semesteravgift Hva skjer med brukeren til Per? »1. Semester Sperret »2. Semester Slettet »3. Semester nada
© USIT/SAPP/GT UNIVERSITETET I OSLO Per vender tilbake Etter noen år i det private er Per lei. Per kommer tilbake til UiO. Restore brukernavn? –Ja, men ikke nødvendigvis mere Restore innhold av hjemmeområde? –Inntil 5 år efter sletting Restore e-postadresse? –Fullnavn-adresser er ok, andre ikke.
© USIT/SAPP/GT UNIVERSITETET I OSLO Sletting av brukere Studenter –Autostud »Sperret 1. Semester uten lovlig registrering »Slettet semesteret efter –Andre: Opp til lokal IT-ansvarlig Ansatte –IT-reglementet: 3 månder etter oppsigelse av stilling. –I praksis: Opp til lokal IT-ansvarlig. Eksterne –Opp til lokal IT-ansvarlig. –Kommer: 6 månders varighet, og mulighet til fornying av konto for eksterne.
© USIT/SAPP/GT UNIVERSITETET I OSLO Dødsfall Student –Rapporter til SFA/SSA –Unix-drift Ansatt –Personalavdelingen –Unix-drift Andre –Unix-drift Hva skjer med konto: –Slettes. –Kun tilgang for dødsboet, attesteres av bobestyrer.
© USIT/SAPP/GT UNIVERSITETET I OSLO UREG FS StudWeb Personer, emner, studier, undervisning Brukere, grupper, Tilgang, rettigheter ClassFronter Nettbasert læring
© USIT/SAPP/GT UNIVERSITETET I OSLO FS ↔ UREG2000 ↔ CF FS - Fødselsnummer - Navn - Adresse - Kurs/emner - Eksamen -Undervisning CF - Kurs/korridor - Rom - Rettigheter UREG Brukernavn/ID - Passord - Mailadresse - Type -Grupper Script som lager SQL-query's En kombinasjon av SQL-query’s og XML-eksport fra UREG.
© USIT/SAPP/GT UNIVERSITETET I OSLO Fra FS Studenter –Navn, adresse, emner, studium, opptak, undervisning, undervisningsaktiviteter, aktivitetstype, eksamen, kull mm Fagpersoner –Navn, adresse, fag, emner, undervisning, undervisingsaktiviteter, kurs, kursaktiviteter mm Deltaker (EVU-student) –Navn, adresse, kurs, kursaktiviteter med mer Til FS –E-post adresse (når SFA måtte ønske dette).
© USIT/SAPP/GT UNIVERSITETET I OSLO Grunnstruktur Korridor (Emne/fag eks: Grunnfag privatrett) Fellesrom Aktivitet Egen definerte rom FS genererte Lærerrom Et rom per undervisnings- aktivitet med folk
© USIT/SAPP/GT UNIVERSITETET I OSLO Litt konkretisert... Struktur –Fakultet –Institutt Emne/Undervisningsenhet/Efterutdanningskurs/Kull –Alle studenter meldt til eksamen og/eller undervisning i emnet inneværende semester –Undervisningsansvarlige/emne ansvarlige Undervisningsaktivitet/Kursaktivitet –Alle aktiviteter med studenter –Aktivitets ansvarlige/lærere
© USIT/SAPP/GT UNIVERSITETET I OSLO XML … Vi har laget en DTD som bygger på IMS Enterprice v 1.1 –Se IMS er en del av SCORM –Se: På sikt må vi nok: –Støtte IMS Enterprice v2.0 (ikke DTD, men skjema) –Støtte IMS Learner Information Packaging v.1.0
© USIT/SAPP/GT UNIVERSITETET I OSLO LDAP – Lightweight Directory Access protocol En protokoll for hvorledes komunisere med en katalog En forenkling av DAP, som er X.500 sin måte å komunisere med kataloger. Standard: –V3: RFC2251 –V2: RFC1777
© USIT/SAPP/GT UNIVERSITETET I OSLO Hva er en katalog (Directory)? En database ? Ja/Nei. Kjennetegnes ved at innhold skjelden oppdateres (skrives), men at man ofte gjør oppslag (leser) og spørsmål (søk).
© USIT/SAPP/GT UNIVERSITETET I OSLO X.500 Stort, digert, dinosaurus X.509 – Sertifikater X.519 – Protokoller –DAP – Directory Access Protocol –DSP – Directory System Protocol –Osv X.520 – Attributt spesifisering X.521 – Spesifiserer de generelle objektklassene.
© USIT/SAPP/GT UNIVERSITETET I OSLO Noen begreper DIT – Directory Information Tree Entry (’innslag’) – en samling attributer som danner en enhet (objekt) i en DIT. RDN – Relative Distinguished Name DN – Dinstinguished Name DSE – DSA-spesific Entry
© USIT/SAPP/GT UNIVERSITETET I OSLO Noen attributt navn dc – Domain component c – Country o – Organization ou – Organization Unit cn – Commen Name sn – SureName givenName displayName Uid
© USIT/SAPP/GT UNIVERSITETET I OSLO ObjectClass (Schema) TOP Person OrganizationalUnit inetOrgPerson Mfl.
© USIT/SAPP/GT UNIVERSITETET I OSLO LDIF – LDAP Interchange Format Standard: RFC2849 Et file-format for å beskrive kataloginformasjon. Format: – : –Tom linje skiller mellom objekter. Eks: –sn: Oftedal –sn:: T2Z0ZWRhbA== –Jpegphoto:< file:///usit/sauron/u2/larso/img/me.jpgfile:///usit/sauron/u2/larso/img/me.jpg
© USIT/SAPP/GT UNIVERSITETET I OSLO Søking Ved filter i en LDAP-klient (rfc2254) –Eks: (&(sn=Oftedal)(givenName=Lars*)) URL-søk (rfc2255) –ldap://ldap.uio.no/ou=person, dc=uio, c=no??sub? (&(sn=Oftedal)(givenName=Lars*))
© USIT/SAPP/GT UNIVERSITETET I OSLO Mere URL-søking ldap:// : / ? → attributter ? → Scop –Base – Søk kun i rot-noden for søket –One – Søk kun i noder rett under roten for søket –Sub – Søk i hele subtreet (inkl. rot) under rotnoden ? → Filter –! – NOT –& - AND –| - OR
© USIT/SAPP/GT UNIVERSITETET I OSLO Hva har UiO idag? ldap.uio.no Inneholder (Objekter) –Enheter ved UiO hentet fra LT –Personer ved UiO, hentet fra LT »Dvs Ansatte, som ikke har reservert seg –Studenter ved UiO, hentet fra FS »Kun de som har gitt oss lov (via studweb/semesterregistreringen)
© USIT/SAPP/GT UNIVERSITETET I OSLO Sted (Org.unit) OU – Navn på enheten (multivalue) Street – Besøksadresse postalAddress – Postadresse telephoneNumber - Telefon facsimiletelephoneNumber – FAX
© USIT/SAPP/GT UNIVERSITETET I OSLO Person cn sn givenName uid – Brukernavn Mail Title street postalAddress telephoneNumber facsimiletelephoneNumb er eduPersonAffiliation
© USIT/SAPP/GT UNIVERSITETET I OSLO Hvor er vi? LDAPv3 –Norske tegn –Referanser –Sikkerhet »SASL – Simple Authentication and Security Layer »TLS – Transport Layer Security Modulere opp –Brukere –Personer –Org.unit –Grupper Schema –Subklasse av eduPerson og eduOrg
© USIT/SAPP/GT UNIVERSITETET I OSLO Skisse av katalog-struktur
© USIT/SAPP/GT UNIVERSITETET I OSLO FASIT Faglig arena for Student IT
© USIT/SAPP/GT UNIVERSITETET I OSLO FEIDE Felles Elektronisk IDEntitet