HY:n ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Teakiin) Versio 0.4 / 16.10.2008 Ismo Aulaskari HY siis markkinoi pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu Linux(RHEL 5) -virtuaalipalvelin ja seuraavat HY:n ylläpitämät ohjelmistot (tai vaihtoehtoisesti varmaan ainakin jonkun muun ylläpitämä palvelin ja HY:n ylläpitämät käyttäjähallintoohjelmistot): Web-hallinta-/kevytkäyttäjähallinto-automaatti joka ylläpitäisi Openldapin käyttäjätietoja ja tarjoaisi alussa yksisuuntaisia, myöhemmin mahdollisesti kaksisuuntaisia rajapintoja muiden järjestelmien (Teakin järjestelmät, Oodi) suuntaan (Henkilöstöjärjestelmää ei tarvitse tukea vähäisen henkilöstövaihtuvuuden vuoksi) Asennettujen ohjelmistojen lähdekoodit saatetaan vähintään paketin hankkineille asiakkaille saataville, jos ei koko maailman nähtäväksi (jolloin ohjelmistopaketti olisi kaikkien saatavissa ilman tukisopimusta) Shibboleth Identity Provider ja HAKA-federaatiota tukeva tietosisältö Optioina autentikointi Radiuksesta attribuuttikyselyt Openldapista Openldapin, Shibbolethin ja käyttäjähallintosovelluksen vikasietoinen kahdennus, tällä hetkellä palvelut ei kahdennettuna mutta vikasietoisessa virtuaalikoneympäristössä Oodi opiskelijoiden synkronointi Oodista Openldapiin 2. vaihe Ldap-autentikointia ja Radiusautentikointiin kytkeytymistä tukeva Openldapkäyttäjähakemisto Kevytkäyttäjähallintosovellus Rajapintoja -Oodi -AD -Webliittymä Teakin AD -attribuuttikysely Shibboleth IDP (HAKA) Openldap -Luo -Muokkaa -Poista -Hae kaikki -Varmuuskopioi Teakin Radius -autentikointi Linux-palvelin
Openldap-hakemisto Openldap 2.3.x (toistaiseksi) Skeema funeteduperson 2.0-ehdot täyttävä (ja täten Shibboleth-yhteensopiva) Tarkistettava mitä attribuutteja halutut palvelut vaativat, ja miten ne Teakin ldapiin saadaan Oodin datan ja käsinsyötetyn varassa Mitä AD:sta saadaan nykyisistä käyttäjistä HAKA-luottamusverkostojäsenyys asettaa tiukkoja vaatimuksia käyttäjähallinnon prosesseille Rajapinta (Ldap v.3) jonka kautta TLS-/LDAPS-suojattu simple bind-tunnistus tavallisten käyttäjien LDAP-autentikointi ohjataan Teakin Radiukseen Konfiguroitu slapd.conf-tekstitiedostolla Lokitus säädettävissä, normaalisti ldap-operaation tarkkuudella Ldap-hakemiston monitorointi? (HY:llä esim. Big Sister, Smokeping, Logwatch..) HY:n ylläpitämä Mahdollisuus kahdentaa Openldap-palvelu Toimii vähin katkoin ilmankin
Shibboleth Identity Provider Shibboleth IDP 2.x FunetEduPerson 2.0 -yhteensopiva tietosisältö Liittymät Autentikointi Openldap Tietolähteinä ainakin Openldap HY:n ylläpitämä Käyttäjähallinnon prosessit 2. vaihe Opiskelijoiden synkronointi Oodista Teakin määriteltävä ketkä ovat opiskelijoita Työntekijöiden/ulkopuolisten tunnusten ylläpito käsin/webliittymällä Voimassaolon/roolien valvonta vuorokausittain Jos prosessit menevät käyttäjähallintosovelluksen kautta, säilyy kontrolli esim. uniikkeihin tunnuksiin Oodi Automaattinen opiskelijoiden synkronointi 2. vaihe AD Kevytkäyttäjähallinto Käsin tehty henkilökunn an tunnusten ylläpito Henkilöstöosasto Massaluonti ADtunnusten pohjalta, myöhemmin toiseen suuntaan?
Kevytkäyttäjähallinto-automaatti J2EE5-alustalle (referenssisovelluspalvelimena Glassfish v2) Automaatti/automaatit joka huolehtii kerran vuorokaudessa vanhentuneiden käyttäjätunnusten poistosta/lukitsemisesta käyttäjätietokannan levylle dumppaamisen varmuuskopiointia varten On konfiguroitavissa tekstitiedostosta ldap-palvelimen ja ylläpitotunnuksen tiedot tuetut käyttäjätiedot käyttäjätunnuksen formaattifunktio/-luokka HY:n ylläpitämä Periaatteessa kahdennettavissa sovelluspalvelinklusterilla Lokitus säädettävissä, monitorointi sovelluspalvelimella Web-käyttöliittymä sekä ehkä sivutuotteena syntyvä rajapinta (WS-I Basic Profile 1.1 -web service) HTTPS-yhteyden yli, jonka kautta uusien käyttäjätunnusten luonti Ldapiin käyttäjätunnusten tietojen muokkaaminen työsuhdetiedon päivitys, nimet hetu laitos voimassaolo vakanssi henkilönumero? rooli onko tämä kaksivaiheinen niin että henkilöstöjärjestelmästä tulevan tiedon/lisäyspyynnön perusteella luodaan ensin käyttäjä Openldapiin, jonka jälkeen Teakin ylläpito voi luoda sen perinteisin menetelmin AD:hen (ja tehdä autentikointikelpoiseksi)? Jos automaatti poistaa vanhentuneet tunnukset, mikä on prosessi henkilökunnan tietojen virkistämiseksi? Käyttöönoton massaluonti? käyttäjän/käyttäjien tietojen haku, myös kaikki käyttäjät XML-dumppina synkronointitarpeita ajatellen Omien käyttäjätietojen tarkistaminen web-lomakkeella Ylläpitäjänäkymä
Kartoitus attribuuteista LDAP-synkronoinnissa:
Kartoitus TeaK:in AD-hierarkiasta: Massaluonti AD->Openldap ainakin 1. vaiheessa Alla olevassa kuvassa näkyy AD:n rakenne. Normaalitunnukset luodaan haarojen TeaK ja TeaK_VAS alle. Henkilökunta Henkilokunta-haaraan ja opiskelijat Opiskelijat-haaraan. TeaK_VAS:ssa jako opiskelijoiden suhteen on tarkempi ja menee aloitusvuoden mukaan (TEAK00, TEAK01 jne.) Testitunnus oldap (Open Ldap) on TeaK/Henkilokunta-haarassa. Tunnukset synkronoidaan Openldapiin litteään hierarkiaan uniikkina avaimena samaccountname-attribuutti, duplikaattien tapauksessa tietoja yhdistellen.
Optiona Oodi-rajapinta (Web service, Oodin WS-määritelmien mukaan) seuraavien tietojen synkronointiin: opiskelijan henkilöllisyys nimet hetu opiskelijanumero opinto-oikeuden voimassaolo opintotiedot laitos koulutusohjelma pääaine rooli, Teakin määriteltävä ketkä ovat opiskelijoita tällä hetkellä member/student/employee-jako AD:n containereiden sisällön perusteella, mutta tarkemmat kyselyt voivat olla mahdollisia Optiona muu tarvittava organisaatiokohtainen integraatiorajapinta? REST, HTTPS POST? Tarvitaan tarkistuksia/massasynkronointi Teakin käyttölupajärjestelmästä, onko käyttäjä jo siellä olemassa Vierailijakevyttunnukset HY:n kevyttunnuksia, jotka pääsevät HY:n IDP:n kautta Teakin Shibboloituun Hupnetiin
Toteutettu testaus-/tuotannon aloittamisvalmiuteen Käyttäjähallinto-automaatin attribuuttien jälkikäsittelysäännöt Käyttähallintoautomaatin web-käyttöliittymä Lupa aloittaa synkronoinnit Openldapiin Openldap autentikoimaan TeaK:n Radiuksesta Shibboleth-idp:n konfigurointi Kunhan saadaan TeaKin käyttäjien henkilötunnukset järjestelmään, on IDP jo paljon monikäyttöisempi Seuraavassa vaiheessa Oodi-rajapinnan toteuttaminen