v/Bård Henry Moum Jakobsen

Presentasjon om: "v/Bård Henry Moum Jakobsen"— Utskrift av presentasjonen:

1 v/Bård Henry Moum Jakobsen
FEIDE, BAS, ureg2000, Katalog v/Bård Henry Moum Jakobsen

2 Agenda FEIDE BAS UREG2000 Katalog (LDAP) Brukeradministrasjon

3 FEIDE – Felles Elektronisk Identitet
For tiden en Uninett/USIT prosjekt Primært 3 delprosjekter Brukeradministrativt system (BAS) Autentiseringstjener (AAT) Offentlig nøkkel infrastruktur (PKI) Se:

4 FEIDE

5 BAS BAS AT (LDAP) SR (FS/MSTAS) Other HR

6 Hva er et Brukeradministrative system (BAS)
Student register BAS Personer Brukere Vi ønsker å - redusere antall brukernavn/passord ved institusjonen - automatisere en del av arbeidet rundt administrering av brukere - synkronisere informasjon som må finnes flere steder - oppdatere kun ET sted - definere eiere (og ansvarlige) for informasjon. Som lim (mellomvare) ønsker vi ET system for å synkronisere opp dette, EN BAS Personal register

7 Hva er et Brukeradministrative system (BAS)
Person Fødselsnummer Navn Adresse Tilknytning Type Bruker Brukernavn/ID Passord E-post adresse Type Gruppe Gruppenavn/ID Beskrivelse Medlemmer - Brukere - Grupper

8 LT FS BOFH Ureg2000 UA (Adgangskontroll) LDAP Notes Exim NT LMS (CF) ARS Tivoli PRISS NIS (UiO) NIS (IfI) AD (W2K) Radius (Oppringt)

9

10 Brukeradministrative system (BAS)
Person Fødselsnummer Navn Adresse Tilknytning Type Bruker Brukernavn/ID Passord Mailadresse Type Gruppe Gruppenavn/ID Beskrivelse Medlemmer - Brukere - Grupper

11 Hva er UREG2000? En Oracle database Et API-sett skrevet i Perl5
En samling av programmer for oppdatering og vedlikehold av brukere, maskiner, grupper Rutiner for informasjonsutveksling mot LT og FS Rutiner for printerkvoter, med konto for den enkelte bruker.

12 Hva gjør UREG2000 Administrerer brukere Administrerer grupper
bygger, endrer og sletter brukere autentisering OS – unix, NT, W2K, osv Systemer – Lotus Notes, ClassFronter, Oracle, osv rettigheter printerkvoter Administrerer grupper Skal administrere meta-info om maskiner

13 Hvorfor UREG2000? Ønsker synkronisert brukernavn + passord.
Ønsker kun ETT sted å oppdatere informasjon om brukere, uansett hvilket system/OS brukeren bruker. Ønsker ETT kontaktpunkt for eksterne som ønsker autentiserings- og autorisasjons-informasjon. Ønsker ETT utgangspunkt for levering av informasjon til nye tjenester (Katalog, LMS, osv.)

14 Hva er BOFH? BrukerOrganisering For Hvermansen 
Andre kan se: Tekstbasert klient inn mot UREG2000 Kan brukes til det meste når det gjelder brukere ved UiO

15 LT – Lønn og Trekksystem
er UiO sitt eneste personalsystem gir UREG: steder SKO - StedKOde Navn Katalogmerke Kontaktadresser personer: Ansatte (med tilsetting) persontype = A Bilagslønnet persontype = M Jobbsted og privatadresse er autoritativt for steddata i UREG

16 FS – Felles Studentsystemer
er UIO sitt eneste studentregister gir UREG: Studenter, persontype = S Navn Semesteradresse Studium Emner Opptak Aktivt studieprogram Studienivå Er autoritativt, dvs. skriver over persondata i UREG

17 Tall 12. november 2001 Fakultet : Ansatte : Ansatt/student : Student : Eksterne/Andre : Total TF : : : : : 434 JUS : : : : : 3356 Med : : : : : 5135 HF : : : : : 6085 MN : : : : : 9264 Odont : : : : : 1103 SV : : : : : 4967 UV : : : : : 2610 UKM : : : : : 156 UNM : : : : : 224 UiO sentralt : : : : : 1986 Andre : : : : : 208 Total : : : : : 35528

18

19 LDAP – Lightweight Directory Access protocol
En protokoll for hvorledes komunisere med en katalog En forenkling av DAP, som er X.500 sin måte å komunisere med kataloger. Standard: V3: RFC2251 V2: RFC1777

20 Søking Ved filter i en LDAP-klient (rfc2254) URL-søk (rfc2255)
Eks: (&(sn=Oftedal)(givenName=Lars*)) URL-søk (rfc2255) ldap://ldap.uio.no/o=Universitetet i Oslo, c=no??sub? (&(sn=Oftedal)(givenName=Lars*)) ldap://ldap.uio.no/ou=Fagseksjonen TF, ou=Teologiske fakultet, o=Universitetet i Oslo, c=no?uid?sub

21 Mere URL-søking ldap://<host>:<port>/<root>
? → attributter ? → Scop Base – Søk kun i rot-noden for søket One – Søk kun i noder rett under roten for søket Sub – Søk i hele subtreet (inkl. rot) under rotnoden ? → Filter ! – NOT & - AND | - OR

22 Hva har UiO idag? ldap.uio.no (alias: x500.uio.no)
Inneholder (Objekter) Enheter ved UiO hentet fra LT Personer ved UiO, hentet fra LT Dvs Ansatte + bilagslønn (løsarbeidere) Studenter? Kun hvis de har gitt oss lov via semesterregistreringen

23 Gjest eller gjesteforsker
Bygge bruker – howto Cr.user I LT? Ja Ansatt A Ja a Nei Nei Ja I FS Student Manuelt ? Ja Ja ’user screate’ *KONTO Hovedbudskap: Man finner ikke på fake-personnummer… Nei Nei Nei Andre Registrer m/adekvat subtype Ja Fødselsnr? Ja Gjest eller gjesteforsker Nei

24 Sletting av brukere Studenter Ansatte Eksterne Autostud
Sperret 1. Semester uten lovlig registrering Slettet semesteret efter Andre: Opp til lokal IT-ansvarlig Ansatte IT-reglementet: 3 månder etter oppsigelse av stilling. I praksis: Opp til lokal IT-ansvarlig. Eksterne Opp til lokal IT-ansvarlig. Kommer: 6 månders varighet, og mulighet til fornying av konto for eksterne. Fra IT-reglementet: Ved opphør av ansettelses-, studie- eller brukerforhold er brukeren ansvarlig for at kopier av data, programmer m.v. som eies/disponeres av universitetet sikres for den lokale IT-ansvarlige eller USIT. Andre filer m.v. som er lagret under brukerens navn eller lignende skal brukeren selv slette. Skjer dette ikke innen rimelig tid, og senest innen 3 måneder, kan lokal IT-ansvarlig eller USIT slette slike filer

25 Dødsfall Hva skjer med konto: Student Rapporter til SFA/SSA Sperres
Web-område sperres Kun tilgang for dødsboet, attesteres av bobestyrer. Student Rapporter til SFA/SSA Unix-drift Ansatt Personalavdelingen Andre