HY:n alustava ehdotus käyttäjähallintotuotteesta (jota sovellettaisiin Atikiin) Versio 1.0 / 21.5.2008 Ismo Aulaskari HY siis aikoo markkinoida pakettia joihin kuuluisi HY:n konesalissaan ylläpitämä, varmuuskopioitu Linux virtuaalipalvelin ja seuraavat HY:n ylläpitämät ohjelmistot (tai vaihtoehtoisesti varmaan ainakin jonkun muun ylläpitämä palvelin ja HY:n ylläpitämät käyttäjähallintoohjelmistot): Ldap autentikointia tukeva Openldap käyttäjähakemisto Kevytkäyttäjähallinto automaatti joka ylläpitäisi Openldapin käyttäjätietoja ja tarjoaisi kaksisuuntaisia rajapintoja muiden järjestelmien (kuten Atik, korkeakoulujen järjestelmät, Oodi) suuntaan Asennettujen ohjelmistojen lähdekoodit vähintään paketin hankkineille asiakkaille saataville, jos ei koko maailman nähtäväksi (jolloin ohjelmistopaketti olisi kaikkien saatavissa ilman tukisopimusta) Optioina Shibboleth Identity Provider ja HAKA federaatiota tukeva tietosisältö Ldapin kahdennus (Shibbolethin kahdennusta ei ole HY:llä testattu mutta teoriassa se on mahdollista) Rajapintoja Oodi muu ATIK Kevytkäyttäjähallintosovellus luo uusi hae autentikoi muokkaa Openldap / Shibboleth IDP Poista Hae kaikki? Linux palvelin
Openldap hakemisto Skeematuki vähintään attribuuteille uid (käyttäjätunnus) cn (koko nimi muodossa etunimet sukunimi) userpassword (käyttäjän salasanatiiviste) roolit jos tieto on Atik järjestelmästä saatavilla (esim. Vetuma 2.1 VTJ kyselyn avulla): hetu sähköposti givenname (etunimet) sn (sukunimi) voimassaolon loppupvm luontipvm muut tarvittavat tiedot (rajaus Atikin ja käyttölupajärjestelmän välillä)? Laskutus? opinnot/ilmoittautumiset? opinto oikeuden pituus? Skeema laajennettavissa funeteduperson 2.0 ehdot täyttäväksi (ja täten Shibboleth yhteensopivaksi) Mahdollisuus kahdentaa Openldap palvelu Mahdollisuus Shibboleth Identity Providerin asentamiseen Rajapinta (Ldap v.3) jonka kautta TLS /LDAPS suojattu simple bind tunnistus käyttäjätunnus menee (ainakin tilapäisesti) lukkoon liian monen epäonnistuneen yrityksen jälkeen yksittäisen käyttäjän tietojen haku (joissain rajatapauksissa on mahdollista sallia koko tietokannan haku Ldap protokollan yli, tätä ei kuitenkaan suositella) teoriassa voitaisiin sallia käyttäjien luonti ja muokkaaminen Ldap protokollan yli, ohi käyttölupa automaatin, salasanaresetointi
Yhden tunnuksen politiikan toteuttaminen? Antaako Atik käyttäjän valita Atik tunnuksen ja kotiorganisaation tunnuksen välillä? Sikäli kun tunnuksen valinnan toiminnallisuus on toteutettu Atikissa itsessään eivät seuraavat kohdat ole merkittävässä asemassa: Jos Atik kutsuu käyttäjätunnistusta Ldap protokollalla voidaan hyödyntää referraaleja tunnistuksen ohjaamisessa kevytkäyttäjähallinnon Ldapista organisaation Ldapiin Jos Atik on Shibboleth Service Provider ja kevytkäyttäjähallinto on Shibboleth IDP, voidaan tarvittaessa hyödyntää IDP:n DataConnectorin FailOverDependency optiota käyttäjän etsimiseen sekä kevytkäyttäjähallinnon että organisaation Ldaphakemistosta Konfiguroitu tekstitiedostolla Lokitus säädettävissä, normaalisti ldap operaation tarkkuudella Ldap hakemiston monitorointi? (HY:llä esim. Big Sister, Smokeping, Logwatch..)
Kevytkäyttäjähallinto automaatti J2EE5 alustalle (referenssisovelluspalvelimena Glassfish v2) Automaatti/automaatit joka huolehtii kerran vuorokaudessa vanhentuneiden käyttäjätunnusten poistosta/lukitsemisesta käyttäjätietokannan levylle dumppaamisen varmuuskopiointia varten On konfiguroitavissa tekstitiedostosta ldap palvelimen ja ylläpitotunnuksen tiedot tuetut käyttäjätiedot Periaatteessa kahdennettavissa sovelluspalvelinklusterilla Lokitus säädettävissä, monitorointi sovelluspalvelimella Rajapinta (WS I Basic Profile 1.1 web service) HTTPS yhteyden yli, jonka kautta uusien käyttäjätunnusten luonti Ldapiin käyttäjätunnusten tietojen muokkaaminen roolin (opiskelija/ei opiskelija) päivitys salasanan resetointi? käyttäjän/käyttäjien tietojen haku, myös kaikki käyttäjät XML dumppina synkronointitarpeita ajatellen Oodi rajapinta (Web service, Oodin WS määritelmien mukaan) seuraavien tietojen synkronointiin: Optiona muu tarvittava organisaatiokohtainen integraatiorajapinta? Optiona web liittymä käyttäjätietojen ylläpitoon (liittyy tuotteen muihin käyttömahdollisuuksiin) oliko tämä toteutettava tällä puolella virkailijakäyttöliittymänä niitä henkilöitä varten jotka eivät kykene Vetuma tunnistautumaan, vai tuleeko se Atikiin? Omien käyttäjätietojen tarkistaminen web lomakkeella muokkausmahdollisuus?
Miniversio kevytkäyttäjähallinnosta ilman rajapintoja, käyttöliittymiä voisi olla cronissa pyörivä perl skripti joka osaisi vain varmuuskopioinnin ja vanhentuneiden tunnusten poiston