Brukeradministrasjon ved UiO Kurs for lokale IT-ansvarlige ved UiO ● Introduksjon til brukeradministrasjon ved UiO ● Bård H. M. Jakobsen og Jasmina Hodzic ● USIT/SAPP/GT, 15. oktober 2003

Agenda ● BAS-konseptet og Cerebrum ● Bakgrunn og litt historikk ● Rutiner og policy'er for brukeradministrasjon ved UiO ● Status p.t. ● Studentautomatikk ● BOFH...og sikkert litt til :) 15. oktober 2003

BAS Det hele dreier seg egentlig om... ✗ Å administrere brukere ved en organisasjon (f.eks. UiO) på en enkel måte, uten altfor mye manuelt arbeid ✗ Å vedlikeholde data om brukere på bare et sted ✗ Å la brukere bruke samme brukernavn og passord for å aksessere alle tilgjengelige tjenester ✗ Å gjøre livet litt enklere for IT-personell 15. oktober 2003

© GT/SAPP/USIT UNIVERSITETET I OSLO :50 Hva er et Brukeradministrativt system (BAS) Student register Personal register BAS Personer Brukere

Hva er så et BAS? Og hva har det med lokal-IT å gjøre? ● En database ✗ Modellert slik at data om personer, tilganger, brukere og Andre Saker&Ting kan lagres der ✗ Representerer “datasystemet” og alle brukere av denne ✗ Gjør livet til IT-ansvarlige lettere ✗ “I sentrum for begivenhetene i IT-livet” i en organisasjon ● Og et rammeverk rundt denne oktober 2003

Hva er så et BAS...? ● Et system som muliggjør ✗ Synkronisering av brukernavn og passord ✗ Enkel autentisering mot flere systemer ✗ Enkel oppdatering av informasjon ✗ Synkronisering av personinformasjon ✗ Enkel levering av informasjon til diverse tjenester ✗ Enklere vedlikehold av data om eksterne personer 15. oktober 2003

Hva er så et BAS......? ● Og i tillegg: ✗ Henting/oppdatering av data om personer fra autoritative kildesystemer ✗ Men ikke bare personer – også steder og Andre Ting (utvalgte) 15. oktober 2003

Vil vi ha et BAS? ● JA! ● Fordi: ✗ UiO har over registrerte brukere ✗ De studerer på UiO, jobber på UiO, jobber ved eksterne enheter som vi har avtaler med etc. ✗ Altså beveger de på seg en del :) ✗ De får også nye navn, fødselsnumre, adresser etc ✗ Uten BAS må alt dette ordnes manuelt... overalt 15. oktober 2003

Cerebrum som BAS ● UiO sitt BAS heter Cerebrum ● Cerebrum gjør alt et BAS skal gjøre (en sannhet med modifikasjoner p.t., men :)) ✗ Oppdaterer data om personer (og brukere) automatisk ved å snakke med kildesystemer ✗ Samler data om alle brukere og personer på UiO ✗ Automatisk tildeler “adgang” til tjenester til brukere ved UiO, selvfølgelig med visse betingelser ✗ Organiserer informasjon om grupper og tilhørigheter ✗ Og så videre oktober 2003

FEIDE ● Et nasjonalt prosjekt ledet av Uninett ● Felles elektronisk id ✗ Alle brukere ved deltakerinstitusjoner skal ha unik elektronisk id ✗ Skal gjøre det mulig å få tilgang til IT-tjenester ved flere institusjoner i UH-sektoren uten å måtte registreres som bruker ved hver institusjon ✗ Ikke mulig uten innføring og bruk av et BAS ● Cerebrum er utviklet som en del av dette prosjektet 15. oktober 2003

Kildesystemer?!? ● Ved UiO hentes data om personer fra ✗ FS ✗ LT ● Derfor er FS og LT kildesystemer og det autoritative sådanne ● I alle fall for UiO oktober 2003

Kildesystemer...?!? ● Vi henter data om personer med forskjellige tilknyttinger til UiO fra disse systemene ● Grunnen til dette er at vi ønsker å ha mest mulig oppdatert informasjon i vårt BAS ● Fint å ha systemer man kan stole på ● Men datakvaliteten kan variere oktober 2003

Kildesystemer...?!? ● FS – Felles studentsystem ✗ Det autoritative systemet for studenter ved UiO ✗ Alle opplysninger om studenter hentes fra FS ● Henter følgende: ✗ Personoinformasjon (inkludert tilknyttinger til UiO) ✗ Studieinformasjon for personer ✗ En del informasjon om studier ved UiO generelt (emner og slikt) 15. oktober 2003

Kildesystemer...?!? ● LT – Lønns- og trekksystemet ✗ Det autoritative systemet for ansatte ved UiO (men også ymse andre...) ✗ Alle opplysninger om ansatte hentes fra FS ● Henter følgende: ✗ Personinformasjon (for ansatte selvfølgelig) ✗ Informasjon om tilknyttinger for personer ✗ Informasjon om steder underlagt UiO sentralt 15. oktober 2003

Pause ● Vi svarer på spørsmål dersom dere har noen (-: 15. oktober 2003

Historie og sånt ● Urtiden ✗ Flate filer ✗ Manuel registrering ✗ Ingen sentralisert system ✗ Mange oppdateringer for hver bruker, både ved bygging og ved modifisering ● Nyere urtid - UREG ✗ Felles database (Oracle) ✗ BOFH 15. oktober 2003

Historie og sånt... ● Definitivt nyere historie - UREG2000 ✗ Mer automatikk ✗ Synkronisering med FS og LT ✗ Ny BOFH ● Og nå: Cerebrum ✗ Modelert for å etterligne den virkelig verden litt bedre ✗ På sikt enda mer automatikk ✗ Ikke bare i bruk ved UiO ✗ Mer (og anerledes) funksjonalitet i BOFH 15. oktober 2003

Brukere ved UiO ● Stort sett tre grupper ✗ Studenter ved UiO ✗ Ansatte ved UiO ✗ Ymse andre (gjester, eksterne brukere osv.) ● Alle brukere plikter å kjenne til og overholde IT-reglementet ● Gruppen man tilhører bestemmer hvilke krav man må oppfylle for å få tilgang til IT- tjenestene ●...og hvilke tjenester man får tilgang til 15. oktober 2003

Brukere ved UiO... ● I forbindelse med brukeradministrasjon er “ymse andre” ofte likestilt med ansatte – og administreres av de samme personene ● Lokale IT-ansvarlige har som oftest ansvar for ansattbrukere ● Studentbrukere skal stort sett administreres sentralt (i alle fall studenter på laveregrad) 15. oktober 2003

Brukere ved UiO ● Målet er å få ned # manuelle oppdrag (til allmen glede og fornøyelse) ● Det finnes noen retningslinjer for brukeradministrasjon, men de er stort sett “available on demand” :) ● However – det er noen tommelfingerregler oktober 2003

Brukere ved UiO ● Studentbrukere ✗ Sørg for at de er korrekt registrert ✗ Dette gjør man ved å mase på studiekonsulenter ✗ Ikke gjør noe untatt å gi nytt passord (til nød kan man gjøre ting manuelt, men helst ikke...) ✗ Sørg for at USIT har oppdatert informasjon om eventuelle kvoter ✗ Aldri gjør ting av typen “fjerner sperring på denne brukeren, han/hun mener at registreringen er i orden” – i 99.99% av tilfeller så stemmer ikke dette 15. oktober 2003

Brukere ved UiO ✗ Bruk sunn fornuft i behandling av studentbrukere og ikke send dem ut på tur uten god grunn (termvakter eller LUKA kan ordne det meste) ✗ Henvendelser som gjelder flere studentbrukere sendes til (mangler ved printerkvoten for en gitt gruppestudenter f.eks.) ✗ Spørsmål? 15. oktober 2003

Brukere ved UiO ● Ansattbrukere: ✗ Skal bygges og i utgangspunktet vedlikeholdes av lokal-IT ✗ Dette fordi USIT ikke alltid sitter inne med riktig informasjon om hvem de er og hva de skal gjøre (og enda viktigere: hvilke egenskaper kontoen deres skal ha for at de skal kunne gjøre jobben sin...) ✗ Dersom en person var student på UiO og skal nå bli ansatt bør man vurdere om denne personen trenger en ny bruker (spesielt i tilfelle hvor de ikke lenger har noe studenttilknytting) – det er ofte mye enklere (og fører vanligvis til mindre ekstra arbeid :)) å gjøre om brukeren deres til en ansatt bruker. 15. oktober 2003

Brukere ved UiO ✗ Dersom man gjør om en bruker så må man passe på å flytte hjemmeområdet til brukeren vekk studentdisk (ellers blir de sperret fordi de ikke har noe der å gjøre...) og oppdatere informasjon om tilknyttingen de har til UiO. ✗ Dersom man har problemer kan man kontakte 15. oktober 2003

Brukere ved UiO ● Ymse andre: ✗ Registrer i vei på de stedene hvor slikt er avtalt med USIT på forhånd ✗ Ellers skal man være litt forsiktig – blant annet kan man få problemer med lisenser og slikt ✗ Pass på å registrere disse med riktig tilknytting – finnes ikke passende tilknytting kontakt USIT, ikke gi dem rettigheter og tilhørighet i hytt og pine – det vil alltid forårsake problemer (og ofte også Pinlige Situasjoner) 15. oktober 2003

When in trouble, when in doubt... ● Kontakt USIT!!! ✗ Det er joben vår å hjelpe, og vi klarer faktisk ofte å gjøre det også (-: ● Send gjerne spørsmål per mail til: ✗ ✗ ● Eller ring oss på ✗ Men vi vil helst ha ting godt formulert i mail :-)! ● Ikke ring eller send mail til enkeltpersoner – noen sjekker jobbmail mye oftere enn privat mail!! 15. oktober 2003

Pause igjen... ● Vi svarer på spørsmål dersom dere har noen (-: 15. oktober 2003

ESCG ● Vanlige begrep ifb Cerebrum: ✗ Account ✗ Affiliation ✗ Authentication ✗ BOFH ✗ Disk ✗ Entity ✗ Entity_id ✗ Export_id ✗ External_id (or just id) ✗ Group ✗ Home ✗ Host ✗ OU ✗ Spread ✗ Quarantine 15. oktober 2003

Cerebrum igjen ● Teknisk sett ✗ PYTHON/RMSDB rammeverk ✗ En del automatikk og slikt bygget på dette utgjør UiO sitt BAS ✗ Nåværende Cerebrum er en PostgreSQL-db ✗ API-et til Cerebrum er skrevet i Python ✗ En fin-fin utvidbar modell ✗ På UiO snakker man med Cerebrum via BOFH (klienten heter) ✗ Nokså komplisert av seg :) 15. oktober 2003

Cerebrum igjen... ● Internt i Cerebrum er alt entiteter ✗ Man skiller på ting ved hjelp av fastlagte koder ● Det gjelder altså: ✗ Grupper ✗ Brukere ✗ Personer ✗ Organizatoriske enheter ● Entitene kobles sammen via affiliations (etter visse regler) ✗ Vi går ikke nærmere inn på noe av dette siden det ikke er synlig (eller særlig viktig for vanlige dødelige :)) 15. oktober 2003

Og litt mer Cerebrum ● Utenpå fungerer det slikt: ✗ Man utfører kommandoer i BOFH ✗ BOFH fortellerer dette videre til serveren sin ✗ Som forteller det til basen ✗ Som lagrer opplysninger og venter på at Noe skal spørre hva nytt har skjedd i det siste ✗ Som (altså Noe) pusher endringene ut i de omkringliggende systemene i løpet av kortere eller lengre tid (avhengig av hva slags endring man snakker om) 15. oktober 2003

Og litt mer Cerebrum... ● Men gjør ikke det ennå: ✗ Per i dag er bare deler av dette opplegget på plass ✗ Grunnen til det er at det er så nytt at man ikke kan risikere å introdusere alle endringene på en gang ✗ Man regner med at ting vil være mer eller mindre på plass i løpet av svært kort tid (mindre vage tidsestimater kan vi ikke gi) ✗ I tillegg jobbes det med diverse utvidelser og tilpassninger 15. oktober 2003

Og litt mer Cerebrum ● Følgende skal oppdateres på grunnlag av endringer i Cerebrum (ikke alt er på plass ennå, men det jobbes med saken): ✗ NIS (begge to) ✗ AD ✗ LMS'er (ClassFronter) ✗ FS (men bare bitte-bitte-litt) ✗ LDAP ✗ Exim 15. oktober 2003

Og enda litt mer ● Modifisering av egenskaper til studentbrukere trigges i Cerebrum og utføres på grunnlag av visse data (mer om dette om litt) ✗ Men dette er ikke i gang ennå oktober 2003

Og enda litt mer... ● Fra Cerebrum oppdateres data om: ✗ Brukernavn & passord ✗ E-post adresser (FS, LT, LDAP) ✗ Grupper ✗ Medlemskap i grupper ✗ Og sikkert andre ting som jeg ikke kommer på akkurat nå :) 15. oktober 2003

Og enda litt mer ● Viktige ting som ikke er helt på plass ennå ✗ E-post kommandoer ✗ Disk-kommandoer ✗ Host-kommandoer ✗ Rettigheter for tildeling av spred ✗ Og sikkert andre ting som jeg ikke kommer på akkurat nå... :) 15. oktober 2003

Nå litt om BOFH ● BOFH er altså klienten som man bruker til å snake med Cerebrum: ✗ Kommando-linje basert ✗ Fungerer på både Windows og UNIX ✗ Krever autentisering og visse rettigheter – ellers for man ikke gjort noe som helst på noen andre brukere enn sin egen (det er nokså begrenset hva man får lov til å gjøre med egen bruker også) ✗ Er Python- og Java-basert ✗ Kommandosettet er ennå ikke spikret helt fast!!! 15. oktober 2003

Og litt mer om BOFH ● BOFH startes ved å si: ✗ bofh eller bofh --gui på UNIX/Linux maskiner ✗ Eller kjøre P:\bin\jbofh på Windows maskiner ● Kjente feil i nåværende BOFH: ✗ Mangler readline libs på en del maskiner (ingen tab- completion eller kommanodlinje history vha. piltastene) ✗ Ikke multithreaded ennå – kan henge litt til tider :) ✗ Noen av hjelpetekstene sies å være litt lite informative. 15. oktober 2003

Og litt mer om BOFH... ● Fremover: ✗ Noen jobber med dette ✗ Ellers er vi taknemlige for alle (saklige) kommentarer og feilmeldinger (sendes best per mail til cerebrum- ✗ Men les kjente feil og mangler filen før du sender inn noe! 15. oktober 2003

Skremselspropaganda slutt. ● Hjelp i/med BOFH: ✗ Er tilgjengelig online (i løpet av en BOFH-session) ✗ Og på web ( ● Online help: ✗ > ✗ ✗ > ✗ Man kan også skrive inn '?' ved alle prompt for å få hjelp 15. oktober 2003

Pause igjen... ● Lunsjpause (håper og tror jeg) 15. oktober 2003

Mer om BOFH ● Som oftest brukes BOFH til å utføre oppgaver av typen: ✗ Opprettelse av brukere ✗ Opprettelse og inn/utmelding av/i grupper ✗ Flytting av brukere osv. ● Det er (mye på grunnlag av erfaringene med gamle BOFH) laget diverse kommandogrupper som kan brukes til å løse slike vanlige oppgaver ● De er dog for mange til at vi kan gå igjennom alle i dag oktober 2003

Definerte kommandogrupper ● Kommandoene er inndelt i følgende grupper: ✗ > ● De mest brukte gruppene er erfaringsmessig user og group, men vi forventer at person kommandoene kommer til å bli brukt en del. 15. oktober 2003

Merk at: ● Dette er ganske vanskelig (dersom man ikke har vært borti slikt før). Det er fult lov og oppfordres å stille spørsmål underveis dersom noe er uklart – sikkert flere som ikke henger helt med (-: 15. oktober 2003

Task I ● Finne ut om en person er registrert i Cerebrum: > ● Og slik gjør man i BOFH - *visevisevise* 15. oktober 2003

Task II ● Se på informasjon om en person: > ● Og slik gjør man i BOFH - *visevisevise* 15. oktober 2003

Task III ● Registrere en person i Cerebrum: > ● Og slik gjør man i BOFH - *visevisevise* 15. oktober 2003

Task IV ● Finne ut om en person har noen brukere knyttet til seg: > ● Og slik gjør man i BOFH - *visevisevise* 15. oktober 2003

Task V ● Se på informasjon om en bruker: > ● Og slik gjør man i BOFH - *visevisevise* 15. oktober 2003

Task VI ● Bygge en bruker: > ● Og slik gjør man i BOFH - *visevisevise* 15. oktober 2003

Task VII ● Slette en bruker: > ● Og slik gjør man i BOFH - *visevisevise* 15. oktober 2003

Task VIII ● Flytte en bruker: > ● Og slik gjør man i BOFH - *visevisevise* 15. oktober 2003

Task IX ● Skifte passord på en bruker: > ● Og slik gjør man i BOFH - *visevisevise* ● For å se på eller skrive ut passord (enten det er til ny bruker eller en som har fått nytt passord i løpet av nåværende session: > 15. oktober 2003

Task X ● Se på informasjon om en gruppe: > ● Og slik gjør man i BOFH - *visevisevise* ● Liste alle medlemer i en gruppe: > 15. oktober 2003

Task XI ● Opprette en filgruppe: > ● Og slik gjør man i BOFH - *visevisevise* ● Ditto for nettgrupper (og for så vidt AD_grupper men med små modifikasjoner oktober 2003

Task XII ● Se hvilke grupper en bruker er medlem i: > ● Og slik gjør man i BOFH - *visevisevise* ● Sette en gruppe som default filgruppe for en bruker: > 15. oktober 2003

Task XIII ● Modifisere egenskaper til bruker/person: Skal helst ikke gjøres (i alle fall for brukere hvis data hentes fra FS eller LT) Men man kan endre: Id til en person > Primærbruker for en person > Affiliation for en bruker > Sette/Endre ekspireringsdato for en bruker > Endre eier for en bruker > I tillegg kan man gi og frata alle entiteter sprea og dermed bestemme i hvilke systemer de skal være kjent. 15. oktober 2003

Task XIV ● Sjekk om en person er student ifølge UiO sin definisjon av student: > ● Er man student så skal man være enten: ✗ Semesterregistrert og eksamensmeldt i minst et emne som kan inngå i det studieprogrammet man har opptak til ✗ Eller ha bekreftet utdanningsplan 15. oktober 2003

Pause igjen... ● Vi svarer som vanlig på spørsmål (-: 15. oktober 2003

Studentautomatikk ● Som tidligere nevnt skal alle endringene på studentbrukere håndteres automatisk ● Dette skyldes i en stor grad det faktum at UiO har veldig mange studenter og at de aller aller fleste faktisk ar en bruker på UiO (uavhengig om de benytter seg av IT-tjenestene eller ikke) ● Studentautomatikken baserer seg på data fra FS 15. oktober 2003

Studentautomatikk... ● Det er definert profiler for alle studieprogrammer ved UiO ● Profilene styrer: ✗ Hvilken disk hjemmeområdet ligger på ✗ Hvilke grupper en bruker er medlem av ✗ Hvor mye man har i diverse kvoter (disk, mail, utskrift) ✗ Om man skal være med i noen spesielle mailinglister ✗ Hvilke tjenester man har tilgang til 15. oktober 2003

Studentautomatikk ● Er ikke påslått ennå ● Når den blir slått på vil: ✗ Default gruppe bli modifisert en gang i uka (natt til onsdag) ✗ Kvoter bli oppdatert en gang i uka (natt til fredag) ✗ Brukere flyttes en gang i uka (natt til tirsdag) ✗ Studentbrukere sperres og slettes med jevne mellomrom ✗ Brukere bygges og brukernavn reserveres hver natt i visse perioder av året 15. oktober 2003

Eksempel ● En person får tilbud om ✗ Et brukernavn reserveres for personen og det sendes et brev til adressen registrert i FS (og hos SO for så vidt) påfølgende dag ✗ Men det er ingen rettigheter knyttet til brukernavnet og passordet ennå. ● Nå student og ikke lenger bare person takker ja til plassen: ✗ På sikt vil denne kunne bruke STUDWEB og muligens også STUDENTPORTAL med det tildelte brukernavnet og passordet. ✗ Studenten får noen rettigheter (litt avhengig av type opptak)

Eksempel ● Studenten har opptak til et studieprogram som krever bekreftet utdanningsplan: ✗ Etter at semesteravgift er betalt kan studenten bekrefte utdanningsplan ✗ Og dermed få et sett av rettigheter “according” til den definerte profilen for studieprogrammet ● Studenten får også affiliation til undervisnings-enheten sin (først 'tilbud' så 'opptak' så 'aktiv') ✗ Med dette følger også rettigheter til å benytte seg av visse IT-tjenester (som tidligere nevnt)

Eksempel ● Så begynner studenten på mastergrad eller bytter fakultet ✗ Og dermed får et nytt sett av rettigheter “according” til den definerte profilen for studieprogrammet, mens de rettighetene studenten hadde før fjernes (egentlgi så oppdateres alt rett og slett) ✗ Studenten får også ny affiliation (til enheten som eier det studieprogrammet studenten følger) ● Så blir studenten termvakt på Juriteket ✗ Siden det følger med rettigheter i Cerebrum med jobben får studenten en ny bruker (tidsbegrenset håper vi)

Eksempel ● Studentkontoen forblir aktiv i denne perioden ✗ Dersom studenten fortsetter i studiene da :-) ● Når arbeidsforholdet er avsluttet mister studenten ansatt privilegier ● Siden utdanningen nå er avsluttet går studenten ut i arbeid og er borte i noen år ✗ Hjemmeområdet forsvinner etter 5 år ✗ Brukernavnet beholdes for evig og alltid (til man dør og litt til faktisk :-))

Eksempel ✗ Dersom studenten kommer tilbake inne 5 år (typisk som betalende EVU-student som alle liker så godt) får han/hun tilbake hjemmeområdet sitt med alle filene, ellers får de bare brukernavnet.... THE END