Tilgangar for brukarkontoar

Ein enkel oversikt over kva IT-system og tilgangar brukarkontoar kan ha frå Cerebrum på UiO, og kva som evt. er mulig å automatisere.

1   IT-system

Cerebrum overfører informasjon om brukarkontoar til ein god del system, sjå Oversikt over Cerebrum sine integrasjonar på UiO for meir detaljar om desse. Dei systema som det per i dag er mulig å styre tilgangen til:

  • Feide. Styrast via kva tilknyttingar personen har - konfigurasjonen seier kva typar tilsettingar og andre tilknyttingar som skal vere tilgjengeleg gjennom Feide. Feide set krav til datakvalitet og rutiner, bl.a. rundt oppdatering/opprydding av persondata - blant anna kan ikkje brukarnamn gjenbrukast. Sjå Feide sin beskrivelse for Vertsorganisasjoner for meir informasjon om dette.

    Om det er behov for Feide-tilgang, men ikkje via UiO sitt eige domene, er det mulig å definere eit eige realm og sette opp integrasjon mot denne. Dette har blitt gjort for ISF, som er kort beskreve lenger nede.

    Feide har ein del informasjon om kvar brukar. Noko av dette brukast av systema som bruker Feide. Til dømes eduPersonAffiliation som blant anna kan inneholde verdiane employee eller affiliate og kan brukast av systema til å sjekke om brukaren skal ha tilgang til førespurde ressursar. Dette konfigurerast basert på tilknyttingstypar.

    Om det er behov for at ein ny SP får tilgang til Feidepålogging frå UiO kan dette settast opp. Dette gjerast utanfor Cerebrum.

  • Heimeområde (posixdata): Cerebrum kan sette posix-data for brukarar, inkludert heimeområde. Heimeområdet brukast både på *nix- og AD-løysingar. For å få tilgang til ditt heimeområde må brukaren også vere med i LDAP.

    Merk: Om heimeområder skal delast ut automatisk treng Cerebrum å vite korleis desse skal genererast. Skal alle brukarkontoar få heimeområdet sitt på samme disken, eller skal det fordelast til dømes basert på tilknyttingane til brukaren eller personen?

  • AD. Styrast via tag på brukaren. Gir tilgang til Windows-maskiner på UiO med standard oppsett. Dette kan overstyrast, så berre enkeltgrupper kan få tilgang til spesifikke maskiner, men dette styrast i AD.

  • Exchange. E-postkonto. Styrast via tag på brukaren.

  • NIS/LDAP ved UiO: Styrast via tag på brukaren, og krever at brukaren har posix-data, som UID og standard filgruppe (GID). Dette gir tilgang til linux-maskiner og andre IT-system, inkludert trådlausnett (Radius) og med det også Eduroam.

  • NIS ved ifi. Styrast via tag på brukaren. Gir tilgang til ifi sitt interne system.

  • NIS ved hpc. Styrast via tag på brukaren. Gir tilgang til tungregneanlegget.

  • Fronter. Dette kan automatiserast på ulike vis, men det vil kreve oppsett, til dømes av kva brukarane skal få tilgang til i Fronter.

  • ePhorte. Styrast via tag på brukaren, og tildeling av roller og tilgangskoder.

  • Adgangskortsentralen (UA). Styrast via tag på personen. Cerebrum overfører persondata og stedkode for tilknyttingar til UA, så dei kan generere adgangskort for personen. Tilgangar til bygg og rom må leggast inn manuelt. Personar som ikkje kjem frå Cerebrum, men som skal ha tilgang vil UA registrere manuelt.

  • Trådlauskonto. Styrast via tag på brukaren. Dette er i hovudsak meint for midlertidige trådlauskontoar. Vanlegvis får brukarkontoar tilgang til trådlausnett via LDAP, men desse brukarane er nedsperra til å berre få tilgang til Radius, og heller ikkje Eduroam.

  • LDAP ved ISF. ISF har sitt eige realm, som gir Feide-tilgang. Brukarkontoar får herfrå Feide-ID brukarnamn@isf.no i staden for brukarnamn@uio.no. Brukarar kan vere tilgjengeleg både i UiO og ISF sitt domene samtidig.

    Noko liknande kan settast opp for andre domener, ved behov.

  • Grupper. Cerebrum styrer grupper som skal til ulike IT-system, som AD, NIS og LDAP, og brukast blant anna av Vortex, nettsideløysinga til UiO. Grupper kan bli tildelt rettigheter i dei forskjellige IT-systema, dette styrast utanfor Cerebrum sin kontroll. Gruppemedlemskap styrast manuelt for dei fleste grupper, men nokre grupper kan automatiserast.

    Cerebrum populerer automatisk ansatt-grupper basert på kva tilknyttingar personen har. Til dømes vil dei som er tilknytta enheten "531300" automatisk bli med i gruppa ansatt-531300. Denne gruppa er igjen medlem av gruppa som tilhøyrer foreldre-enheten, til dømes "530000", så det er hierarkisk organisert. Dette kan utvidast til meir enn berre tilsette, og kan forenkle administrasjonen av tilgang til enkelt-ressursar i gitte IT-system.

  • IMAP. Denne er på veg ut, til fordel for Exchange.

Av jokim
Publisert 11. des. 2014 07:36
Del på e-post