Difference between revisions of "IdM"
(→Rušené atributy) |
(→Active Directory) |
||
Line 4: | Line 4: | ||
V současné době (2009) se na FJFI používá jako hlavní systém pro správu uživatelských účtů Windows Server 2003R2 (běžící v nativním w2k3 módu včetně w2k3 nativní mód pro doménu => je možné v LDAP schematech používat "auxiliary object class"). | V současné době (2009) se na FJFI používá jako hlavní systém pro správu uživatelských účtů Windows Server 2003R2 (běžící v nativním w2k3 módu včetně w2k3 nativní mód pro doménu => je možné v LDAP schematech používat "auxiliary object class"). | ||
+ | |||
+ | ==Struktura AD stromu== | ||
+ | |||
+ | Všechny běžné uživatelské účty jsou v podstromu ou=People,dc=fjfi,dc=cvut,dc=cz. Každá "katedra" má na této úrovni složku, do níž si může správce přesunout své lidi (např. ou=KM,ou=People,dc=fjfi,dc=cvut,dc=cz). Krom toho existuje jestě složka ou=Auto,ou=People,dc=fjfi,dc=cvut,dc=cz v níž jsou automaticky vytvářeny nové účty a složka ou=Trash,ou=People,dc=fjfi,dc=cvut,dc=cz kam jsou z "Auto" složky automaticky přesunuty objekty určené k odstranění (zmizely z ČVUT IdM). Účty v složkách kateder se automaticky neruší. | ||
+ | |||
+ | Seznam kateder: KM, KF, KJ, KIPL, KFE, KMAT, KJCH, KDAIZ, KJR, KSE, Dekanat, Tereza, CRRC | ||
==Mapování existujících atributů== | ==Mapování existujících atributů== | ||
Line 77: | Line 83: | ||
|- | |- | ||
| co || case-insensitive Unicode string, 1-128 chars || Y || country name || Česká republika | | co || case-insensitive Unicode string, 1-128 chars || Y || country name || Česká republika | ||
+ | |- | ||
+ | | st || case-insensitive Unicode string, 1-128 chars || Y || country name || Česká republika | ||
|- | |- | ||
| l || case-insensitive Unicode string, 1-128 chars || Y || primární adresa, lokalita || Praha 1 | | l || case-insensitive Unicode string, 1-128 chars || Y || primární adresa, lokalita || Praha 1 | ||
Line 83: | Line 91: | ||
|- | |- | ||
| postalCode || case-insensitive Unicode string, 1-40 chars || Y || primární adresa, PSČ || 115 19 | | postalCode || case-insensitive Unicode string, 1-40 chars || Y || primární adresa, PSČ || 115 19 | ||
+ | |- | ||
+ | | roomNumber || case-insensitive Unicode string || N || primární místnost || 103 | ||
|- | |- | ||
| title || case-insensitive Unicode string, 1-64 chars || Y || tituly || prof.RNDr., DrSc. | | title || case-insensitive Unicode string, 1-64 chars || Y || tituly || prof.RNDr., DrSc. | ||
Line 93: | Line 103: | ||
|- | |- | ||
| userAccountControl || integer || Y || stav windows účtu || 512 | | userAccountControl || integer || Y || stav windows účtu || 512 | ||
+ | |- | ||
+ | | pwdLastSet || large integer || Y || vynucení změny hesla || 0 | ||
|- | |- | ||
| unicodePwd || octet string || Y || heslo, nelze číst, pro autentizaci / změny hesel vhodnejší použít Kerberos || | | unicodePwd || octet string || Y || heslo, nelze číst, pro autentizaci / změny hesel vhodnejší použít Kerberos || | ||
Line 108: | Line 120: | ||
* pohlaví | * pohlaví | ||
+ | |||
+ | ===Synchronizace atributů=== | ||
+ | |||
+ | Většina atributů bude naplněna pouze při vytváření uživatelského účtu. Některé atributy (givenName, sn, gecos, facsimileTelephoneNumber, telephoneNumber, mobile, otherTelephone, otherMobile, department, departmentNumber, l, street, postalCode, title) budou plně synchronizovány. Pokud se uživatel stane zaměstnancem, bude mu automaticky přidána e-mailová adresa ve tvaru SMTP:Jméno.Příjmení@fjfi.cvut.cz do atributu proxyAddresses (pokud již taková neexistuje), u původní adresy musí být STMP:username@fjfi.cvut.cz přepsáno na smtp:username@fjfi.cvut.cz. Atributy fnspeStatus a fnspeStatusTimestamp nemají v současné době přesně definovaný význam vzhledem k nedostatku informací o životním cyklu uživatelských objektů v rámci budoucího IdM. | ||
==Mapování skupin== | ==Mapování skupin== | ||
+ | |||
+ | |||
+ | |||
+ | ==Ostatní== | ||
+ | |||
+ | * zakládání účtu | ||
+ | ** vytvořit uživatelské adresáře (home, profile, web) | ||
+ | *** nutno vybrat správný nejbližší server (podle příslušnosti ke katedře) | ||
+ | *** nastavit počáteční quotu | ||
+ | ** zkonfigurovat IIS (web + přístup k home, profile, web přes WebDAV) | ||
+ | ** vytvořit uživatelský účet na Exchange 2003 | ||
+ | *** nastavit počáteční quotu na schránku | ||
+ | |||
+ | * změna student -> zaměstnanec | ||
+ | ** úprava diskových quot (home, profile, web) | ||
+ | ** úprava quoty na schránku v Exchange | ||
+ | ** přidání adresy Jmeno.Prijmeni@fjfi.cvut.cz | ||
+ | |||
+ | * rušení účtu | ||
+ | ** zazálohovat a smazat uživatelské adresáře (home, profile, web) | ||
+ | ** zrušit konfigurace v IIS (web + přístup k home, profile, web přes WebDAV) | ||
+ | ** zazálohovat a smazat uživatelský účet na Exchange 2003 |
Revision as of 17:30, 21 May 2009
Dokumentace k integraci ČVUT Identity managementu na FJFI.
Contents
Active Directory
V současné době (2009) se na FJFI používá jako hlavní systém pro správu uživatelských účtů Windows Server 2003R2 (běžící v nativním w2k3 módu včetně w2k3 nativní mód pro doménu => je možné v LDAP schematech používat "auxiliary object class").
Struktura AD stromu
Všechny běžné uživatelské účty jsou v podstromu ou=People,dc=fjfi,dc=cvut,dc=cz. Každá "katedra" má na této úrovni složku, do níž si může správce přesunout své lidi (např. ou=KM,ou=People,dc=fjfi,dc=cvut,dc=cz). Krom toho existuje jestě složka ou=Auto,ou=People,dc=fjfi,dc=cvut,dc=cz v níž jsou automaticky vytvářeny nové účty a složka ou=Trash,ou=People,dc=fjfi,dc=cvut,dc=cz kam jsou z "Auto" složky automaticky přesunuty objekty určené k odstranění (zmizely z ČVUT IdM). Účty v složkách kateder se automaticky neruší.
Seznam kateder: KM, KF, KJ, KIPL, KFE, KMAT, KJCH, KDAIZ, KJR, KSE, Dekanat, Tereza, CRRC
Mapování existujících atributů
atribut | typ | single | funkce / poznámka | příklad |
---|---|---|---|---|
ctuPersonalId | 32-bit number | Y | osobní číslo | 333450 |
cn | case-insensitive Unicode string, 1-64 chars | Y | uživatelské jméno | alhabjir |
uid | case-insensitive Unicode string | N | uživatelské jméno | alhabjir |
userPrincipalName | case-insensitive Unicode string, 1024 chars | Y | uživatelské jméno | alhabjir@fjfi.cvut.cz |
sAMAccountName | case-insensitive Unicode string, 0-256 chars | Y | uživatelské jméno | alhabjir |
sn | case-insensitive Unicode string, 1-64 chars | Y | příjmení | Al-Habab |
givenName | case-insensitive Unicode string, 1-64 chars | Y | jméno | Jiří |
name | case-insensitive Unicode string, 1-255 chars | Y | uživatelské jméno | alhabjir |
displayName | case-insensitive Unicode string, 0-256 chars | Y | uživatelské jméno | alhabjir |
displayNamePrintable | printable string, 1-256 chars | Y | uživatelské jméno | alhabjir |
msSFU30Name | IA5 string, 1024 chars | Y | uživatelské jméno | alhabjir |
msSFU30NisDomain | IA5 string, 1024 chars | Y | uživatelské jméno | FJFI |
uidNumber | integer | Y | posix user id | 1000-30000 (autoincrement + recyklace) |
gidNumber | integer | Y | posix default group id | 1000 |
unixHomeDirectory | case-insensitive Unicode string | Y | posix home | /home/alhabjir |
loginShell | IA5 string, 1024 chars | Y | posix shell | /bin/bash |
gecos | IA5 string, 10240 chars | Y | posix name (bez diakritiky) | Jiri Al-Habab |
case-insensitive Unicode string, 0-256 chars | Y | preferovaná e-mail adresa | alhabjir@fjfi.cvut.cz | |
proxyAddresses | case-insensitive Unicode string, 1-1123 chars | N | akceptovaná e-mail adresa | pro studenty SMTP:alhabjir@fjfi.cvut.cz pro zaměstnance SMTP:Jiri.Al-Habab@fjfi.cvut.cz + smtp:alhabjir@fjfi.cvut.cz |
wWWHomePage | case-insensitive Unicode string, 1-2048 chars | Y | uživatelské www stránky | http://people.fjfi.cvut.cz/alhabjir |
facsimileTelephoneNumber | case-insensitive Unicode string, 1-64 chars | Y | FAX | +420-224-35-1234 |
telephoneNumber | case-insensitive Unicode string, 1-64 chars | Y | primární telefonní číslo | +420-224-35-2345 |
mobile | case-insensitive Unicode string, 1-64 chars | Y | mobilní telefon | +420-600-123-123 |
otherTelephone | case-insensitive Unicode string, 1-64 chars | N | další telefonní čísla | |
otherMobile | case-insensitive Unicode string, 1-64 chars | N | další mobilní čísla | |
department | case-insensitive Unicode string, 1-64 chars | Y | katedra(y) | Katedra 1;Katedra 2;... |
departmentNumber | case-insensitive Unicode string | N | katedra(y) | 14112 |
fnspeStatus | case-insensitive Unicode string | Y | account status (new, active, kill, zombie, dead) | active |
fnspeStatusTimestamp | large integer | Y | modification timestamp | 1191786323 |
company | case-insensitive Unicode string, 1-64 chars | Y | instituce | ČVUT FJFI |
o | case-insensitive Unicode string, 1-64 chars | N | instituce | ČVUT FJFI |
c | case-insensitive Unicode string, 1-3 chars | Y | country code | CZ |
co | case-insensitive Unicode string, 1-128 chars | Y | country name | Česká republika |
st | case-insensitive Unicode string, 1-128 chars | Y | country name | Česká republika |
l | case-insensitive Unicode string, 1-128 chars | Y | primární adresa, lokalita | Praha 1 |
street | case-insensitive Unicode string, 1-1024 chars | Y | primární adresa, ulice | Břehová 7 |
postalCode | case-insensitive Unicode string, 1-40 chars | Y | primární adresa, PSČ | 115 19 |
roomNumber | case-insensitive Unicode string | N | primární místnost | 103 |
title | case-insensitive Unicode string, 1-64 chars | Y | tituly | prof.RNDr., DrSc. |
memberOf | DN String | N | členství ve skupinách | viz. níže |
profilePath | case-insensitive Unicode string | Y | cesta k windows profilu | \\server{1,2,3}.fjfi.cvut.cz\profiles\alhabjir |
scriptPath | case-insensitive Unicode string | Y | cesta k windows login skriptu | logon.vbs |
userAccountControl | integer | Y | stav windows účtu | 512 |
pwdLastSet | large integer | Y | vynucení změny hesla | 0 |
unicodePwd | octet string | Y | heslo, nelze číst, pro autentizaci / změny hesel vhodnejší použít Kerberos |
Rušené atributy
Schemata v Active Directory rošířena o fnspeAccount a amavisAccount
- ctuUsername - zbytečné
- fnspeEduroam* - do budoucna zbytečné
- fnspeWifi* - do budoucna zbytečné
Nové atributy
- pohlaví
Synchronizace atributů
Většina atributů bude naplněna pouze při vytváření uživatelského účtu. Některé atributy (givenName, sn, gecos, facsimileTelephoneNumber, telephoneNumber, mobile, otherTelephone, otherMobile, department, departmentNumber, l, street, postalCode, title) budou plně synchronizovány. Pokud se uživatel stane zaměstnancem, bude mu automaticky přidána e-mailová adresa ve tvaru SMTP:Jméno.Příjmení@fjfi.cvut.cz do atributu proxyAddresses (pokud již taková neexistuje), u původní adresy musí být STMP:username@fjfi.cvut.cz přepsáno na smtp:username@fjfi.cvut.cz. Atributy fnspeStatus a fnspeStatusTimestamp nemají v současné době přesně definovaný význam vzhledem k nedostatku informací o životním cyklu uživatelských objektů v rámci budoucího IdM.
Mapování skupin
Ostatní
- zakládání účtu
- vytvořit uživatelské adresáře (home, profile, web)
- nutno vybrat správný nejbližší server (podle příslušnosti ke katedře)
- nastavit počáteční quotu
- zkonfigurovat IIS (web + přístup k home, profile, web přes WebDAV)
- vytvořit uživatelský účet na Exchange 2003
- nastavit počáteční quotu na schránku
- vytvořit uživatelské adresáře (home, profile, web)
- změna student -> zaměstnanec
- úprava diskových quot (home, profile, web)
- úprava quoty na schránku v Exchange
- přidání adresy Jmeno.Prijmeni@fjfi.cvut.cz
- rušení účtu
- zazálohovat a smazat uživatelské adresáře (home, profile, web)
- zrušit konfigurace v IIS (web + přístup k home, profile, web přes WebDAV)
- zazálohovat a smazat uživatelský účet na Exchange 2003