IdM
Dokumentace k integraci ČVUT Identity managementu na FJFI.
Contents
Active Directory
V současné době (2009) se na FJFI používá jako hlavní systém pro správu uživatelských účtů Windows Server 2003R2 (běžící v nativním w2k3 módu včetně w2k3 nativní mód pro doménu => je možné v LDAP schematech používat "auxiliary object class").
Struktura AD stromu
Všechny běžné uživatelské účty jsou v podstromu ou=People,dc=fjfi,dc=cvut,dc=cz. Každá "katedra" má na této úrovni složku, do níž si může správce přesunout své lidi (např. ou=KM,ou=People,dc=fjfi,dc=cvut,dc=cz). Krom toho existuje jestě složka ou=Auto,ou=People,dc=fjfi,dc=cvut,dc=cz v níž jsou automaticky vytvářeny nové účty a složka ou=Trash,ou=People,dc=fjfi,dc=cvut,dc=cz kam jsou z "Auto" složky automaticky přesunuty objekty určené k odstranění (zmizely z ČVUT IdM). Účty v složkách kateder se automaticky neruší.
Seznam kateder: KM, KF, KJ, KIPL, KFE, KMAT, KJCH, KDAIZ, KJR, KSE, Dekanat, Tereza, CRRC
Mapování existujících atributů
| atribut | typ | single | funkce / poznámka | příklad |
|---|---|---|---|---|
| ctuPersonalId | 32-bit number | Y | osobní číslo | 333450 |
| cn | case-insensitive Unicode string, 1-64 chars | Y | uživatelské jméno | alhabjir |
| uid | case-insensitive Unicode string | N | uživatelské jméno | alhabjir |
| userPrincipalName | case-insensitive Unicode string, 1024 chars | Y | uživatelské jméno | alhabjir@fjfi.cvut.cz |
| sAMAccountName | case-insensitive Unicode string, 0-256 chars | Y | uživatelské jméno | alhabjir |
| sn | case-insensitive Unicode string, 1-64 chars | Y | příjmení | Al-Habab |
| givenName | case-insensitive Unicode string, 1-64 chars | Y | jméno | Jiří |
| name | case-insensitive Unicode string, 1-255 chars | Y | uživatelské jméno | alhabjir |
| displayName | case-insensitive Unicode string, 0-256 chars | Y | uživatelské jméno | alhabjir |
| displayNamePrintable | printable string, 1-256 chars | Y | uživatelské jméno | alhabjir |
| msSFU30Name | IA5 string, 1024 chars | Y | uživatelské jméno | alhabjir |
| msSFU30NisDomain | IA5 string, 1024 chars | Y | uživatelské jméno | FJFI |
| uidNumber | integer | Y | posix user id | 1000-30000 (autoincrement + recyklace) |
| gidNumber | integer | Y | posix default group id | 1000 |
| unixHomeDirectory | case-insensitive Unicode string | Y | posix home | /home/alhabjir |
| loginShell | IA5 string, 1024 chars | Y | posix shell | /bin/bash |
| gecos | IA5 string, 10240 chars | Y | posix name (bez diakritiky) | Jiri Al-Habab |
| case-insensitive Unicode string, 0-256 chars | Y | preferovaná e-mail adresa | alhabjir@fjfi.cvut.cz | |
| proxyAddresses | case-insensitive Unicode string, 1-1123 chars | N | akceptovaná e-mail adresa | pro studenty SMTP:alhabjir@fjfi.cvut.cz pro zaměstnance SMTP:Jiri.Al-Habab@fjfi.cvut.cz + smtp:alhabjir@fjfi.cvut.cz |
| wWWHomePage | case-insensitive Unicode string, 1-2048 chars | Y | uživatelské www stránky | http://people.fjfi.cvut.cz/alhabjir |
| facsimileTelephoneNumber | case-insensitive Unicode string, 1-64 chars | Y | FAX | +420-224-35-1234 |
| telephoneNumber | case-insensitive Unicode string, 1-64 chars | Y | primární telefonní číslo | +420-224-35-2345 |
| mobile | case-insensitive Unicode string, 1-64 chars | Y | mobilní telefon | +420-600-123-123 |
| otherTelephone | case-insensitive Unicode string, 1-64 chars | N | další telefonní čísla | |
| otherMobile | case-insensitive Unicode string, 1-64 chars | N | další mobilní čísla | |
| department | case-insensitive Unicode string, 1-64 chars | Y | katedra(y) | Katedra 1;Katedra 2;... |
| departmentNumber | case-insensitive Unicode string | N | katedra(y) | 14112 |
| fnspeStatus | case-insensitive Unicode string | Y | account status (new, active, kill, zombie, dead) | active |
| fnspeStatusTimestamp | large integer | Y | modification timestamp | 1191786323 |
| company | case-insensitive Unicode string, 1-64 chars | Y | instituce | ČVUT FJFI |
| o | case-insensitive Unicode string, 1-64 chars | N | instituce | ČVUT FJFI |
| c | case-insensitive Unicode string, 1-3 chars | Y | country code | CZ |
| co | case-insensitive Unicode string, 1-128 chars | Y | country name | Česká republika |
| st | case-insensitive Unicode string, 1-128 chars | Y | country name | Česká republika |
| l | case-insensitive Unicode string, 1-128 chars | Y | primární adresa, lokalita | Praha 1 |
| street | case-insensitive Unicode string, 1-1024 chars | Y | primární adresa, ulice | Břehová 7 |
| postalCode | case-insensitive Unicode string, 1-40 chars | Y | primární adresa, PSČ | 115 19 |
| roomNumber | case-insensitive Unicode string | N | primární místnost | 103 |
| title | case-insensitive Unicode string, 1-64 chars | Y | tituly | prof.RNDr., DrSc. |
| memberOf | DN String | N | členství ve skupinách | viz. níže |
| profilePath | case-insensitive Unicode string | Y | cesta k windows profilu | \\server{1,2,3}.fjfi.cvut.cz\profiles\alhabjir |
| scriptPath | case-insensitive Unicode string | Y | cesta k windows login skriptu | logon.vbs |
| userAccountControl | integer | Y | stav windows účtu | 512 |
| pwdLastSet | large integer | Y | vynucení změny hesla | 0 |
| unicodePwd | octet string | Y | heslo, nelze číst, pro autentizaci / změny hesel vhodnejší použít Kerberos |
Rušené atributy
Schemata v Active Directory rošířena o fnspeAccount a amavisAccount
- ctuUsername - zbytečné
- fnspeEduroam* - do budoucna zbytečné
- fnspeWifi* - do budoucna zbytečné
Nové atributy
- pohlaví
Synchronizace atributů
Většina atributů bude naplněna pouze při vytváření uživatelského účtu. Některé atributy (givenName, sn, gecos, facsimileTelephoneNumber, telephoneNumber, mobile, otherTelephone, otherMobile, department, departmentNumber, l, street, postalCode, title) budou plně synchronizovány. Pokud se uživatel stane zaměstnancem, bude mu automaticky přidána e-mailová adresa ve tvaru SMTP:Jméno.Příjmení@fjfi.cvut.cz do atributu proxyAddresses (pokud již taková neexistuje), u původní adresy musí být STMP:username@fjfi.cvut.cz přepsáno na smtp:username@fjfi.cvut.cz. Atributy fnspeStatus a fnspeStatusTimestamp nemají v současné době přesně definovaný význam vzhledem k nedostatku informací o životním cyklu uživatelských objektů v rámci budoucího IdM.
Mapování skupin
viz. Informace o aktuálních skupinách
Ostatní
- zakládání účtu
- vytvořit uživatelské adresáře (home, profile, web)
- nutno vybrat správný nejbližší server (podle příslušnosti ke katedře)
- nastavit počáteční quotu
- zkonfigurovat IIS (web + přístup k home, profile, web přes WebDAV)
- vytvořit uživatelský účet na Exchange 2003
- nastavit počáteční quotu na schránku
- vytvořit uživatelské adresáře (home, profile, web)
- změna student -> zaměstnanec
- úprava diskových quot (home, profile, web)
- úprava quoty na schránku v Exchange
- přidání adresy Jmeno.Prijmeni@fjfi.cvut.cz
- poslat info mail uživateli
- rušení účtu
- poslat předem info mail uživateli, že jeho konto bude rušeno
- zazálohovat a smazat uživatelské adresáře (home, profile, web)
- zrušit konfigurace v IIS (web + přístup k home, profile, web přes WebDAV)
- zazálohovat a smazat uživatelský účet na Exchange 2003
