Spesifikasjon av løysingsforslag for posixgrupper i AD

Løysingsforslag for problemet med HNAS og bruk av AD og NIS for fellesområder. Løysinga går ut på å populere UiO sitt AD-domene med posix-attributtar for brukarar og grupper, som HNAS deretter kan bruke for oppslag. Testar har vist at dette fungerer for HNAS, men vi treng då at Cerebrum utvider AD-synken med desse attributta.

AD-attributtar

Det som Cerebrum treng å overføre til AD:

Brukar-objekt

Attributtane som skal oppdaterast:

  • uidNumber: Skal berre innehalde posix_uid, som registrert på brukaren i Cerebrum. Dette er uproblematisk.
  • gidNumber: Skal innehalde posix_gid til brukaren si primære gruppe.
  • gecos: Skal innehalde gecos til brukaren.
  • uid: Skal vere det samme som SAMAccountName.
  • mssfu30name: Skal vere det samme som SAMAccountName.
  • msSFU30NisDomain: Skal inneholde nis domain name, som hos oss er "uio".

Merk at det er nokre attributt som er ein del av posix-schema, men som Cerebrum ikkje skal oppdatere:

  • primaryGroupID: Å endre dette attributtet skaper konsekvensar for gruppeinnmeldingar, som ikkje vil fungere. Vi kan difor ikkje oppdatere dette attributtet, fordi det skaper for store konsekvensar.

    Attributtet skal inneholde siste ledd av denne gruppa sin SID i AD, altså alt etter siste bindestreken. Dette krever at AD-synken først må spørre AD etter SID til alle desse gruppene.

  • primaryGroup inneheld namnet på gruppa, men kan ikkje oppdaterast direkte, då den oppdaterast automatisk basert på kva som er satt i attributtet primaryGroupID.

  • msSFU30PosixMemberOf skal ikkje oppdaterast av Cerebrum. Dette attributtet kjem frå gruppa sitt attributt msSFU30PosixMember.

Merk at det er nokre få brukarar som er i AD, men som ikkje er posix-brukarar, og vil difor ikkje få satt posix-attributt. Dette må AD-skript ta hensyn til.

Gruppe-objekt

Attributtane som skal oppdaterast:

  • gidNumber: Skal berre innehalde posix_gid, som registrert på gruppa i Cerebrum. Dette er uproblematisk.
  • msSFU30Name: Skal vere det samme som SAMAccountName.
  • msSFU30NisDomain: Skal innehalde nis domain name, som hos oss er "uio".
  • memberUID: Ei liste med UID til alle brukarane som har gruppa som standard filgruppe.

Nokre attributt i posix-schema vert ikkje oppdatert:

  • msSFU30PosixMember skal ikkje oppdaterast av Cerebrum, då den vert oppdatert ut frå informasjon i memberUID.

Konsekvensar

  • Synkroniseringa med AD vil gå noko treigare med desse attributta på plass, sidan den må hente ut meir data både frå AD og Cerebrum.

  • Avhengigheter:

    • Medlemmer som leggast i ei gruppe sin memberUID eksistere i AD. Dette betyr at synken kan feile for nye brukarar dersom gruppesynken køyrer først. Dette vil ordne seg av seg sjølv ved neste køyring, men feilmeldingar vil dukke opp hos Cerebrum drift.
    • Det er ikkje avhengighet mellom brukarar sin gidNumber og ei faktisk gruppe. Dette betyr at brukarar kan opprettast sjølv om primærgruppa ikkje eksisterer.

  • Ei endring av primærgruppa til brukarar i AD kan få konsekvensar for oppførselen til AD. Dette bør utredast. Til dømes seier technet:

    Setting the user's primary group membership to a value other than Domain Users may adversely impact performance as all users in the domain are members of Domain Users. If the user's primary group is set to another group, it may cause the group membership to exceed the supported maximum number of members. - http://technet.microsoft.com/en-us/library/cc776334%28v=ws.10%29.aspx

  • Standard primærgruppe, Domain Users, kan bli brukt til å sette rettigheter for alle. Technet seier:

    This group can be used to represent all users in the domain. For example, if you want all domain users to have access to a printer, you can assign permissions for the printer to this group (or add the Domain Users group to a local group, on the print server, that has permissions for the printer). - http://technet.microsoft.com/en-us/library/cc756898%28v=ws.10%29.aspx

    Det må sjekkast om ei endring i primærgruppa vil føre til at brukarar mister tilgangar dei burde hatt, dersom denne må endrast av Cerebrum.

  • Det bør utredast kva dei ulike felta får av konsekvensar i AD. Til dømes kan gecos-attributtet vere skummelt, til dømes dersom det settast til ein annan brukar sitt brukarnamn.

Originalt behov

Frå staalej:

Vi ønsker følgende endringer i Cerebrums AD-sync.

1) For brukerobjekter:

   Brukerens UID skal mappes til tilsvarende felt i AD sine
   IMU-extensions for brukerobjekter. Det heter vel «UID», men
   Elisabeth eller Einar må bekrefte.

2) For gruppeobjekter:

   Gruppens GID skal mappes til tilsvarende felt i AD sine
   IMU-extensions for gruppeobjekter. Det heter vel «GID», men
   Elisabeth eller Einar må bekrefte.

3) Gruppenes posix-attributt som er en medlemsliste må populeres
   med de brukerne som er medlemmer av gruppene i Cerebrum. Dette
   høres rart ut, men det virker som om gruppene har to lister over
   medlemmer, én AD og én POSIX. Eller noe. Noen utdyper.

4) Brukernes Primary Group skal endres fra "Domain Users" til
   brukerens primærgruppe i AD. Altså skal staalej være medlem
   av staalej-gruppe. Ikke noe POSIX her, altså ingen GID eller
   UID.
Publisert 3. juni 2014 09:32
Del på e-post