Utkast til spesifikasjon for driftsbrukarar

Dette er notatar rundt handtering av driftsbrukarar som er meint som innspel til utarbeiding/utviding av spesifikasjon og rutiner for driftsbrukarane til UiO. Dette er produsert av tenestegruppa Cerebrum basert på det vi har oppfatta av behov. Det mangler nokre avklaringar, markert med TODO. Det som er beskreve er berre delvis implementert i Cerebrum.

Når vi får ein detaljert spesifikasjon for korleis driftsbrukarane skal fungere, kan det bestillast utvikling hos Cerebrum for å få implementert manglande/utdatert funksjonalitet rundt handtering av driftsbrukarar.

1   Formål

Sjå dokumentet Grupper, brukere og IT-rettigheter for overordna bakgrunn, årsak og formål. Kort oppsummert er det ein risiko å ha ekstra IT-rettigheter på sin brukarkonto, og USIT har vald å redusere risikoen ved å gje IT-tilsette sine eigne driftsbrukarar.

Formålet med driftsbrukarane er at IT-tilsette kan til dagleg bruke sin normale brukarkonto utan fare for å eksponere sin tilgang til ekstra IT-rettigheter til IT-tenester og maskiner utanfor driftsregimet til UiO.

Denne typen brukarkontoar vil ha mange IT-rettigheter som kan skape store konsekvensar om dei vert kompromitterte. Det er difor viktig at rutiner for administrasjonen av desse brukarane vert definerte og følgde, utan unntak.

2   Overordna

  • Driftsbrukarar er høgrisiko-kontoar. Dei har IT-rettigheter som kan gje store konsekvensar ved kompromittering, både for UiO og andre institusjonar. Sikkerheten skal difor prioriterast når det går i konflikt med til dømes effektivitet eller brukarvennlighet-

  • Etterretteleg: All administrasjon og endringar på driftsbrukarar, og alle handlingar som krevjer ekstra IT-rettigheter, skal vere sporbare. Dette inkluderer også lokale driftsbrukarar.

  • Driftsbrukarar skal som hovudregel vere sentralt registrerte, styrde og administrerte. Der det er tekniske årsaker til det, kan driftsbrukarar vere lokalt registrerte.

  • Ansvar for driftsbrukarane ligg hos enheten TODO. Det er denne enheten som definerer retningslinjer og rutiner for driftsbrukarane, og tek avgjersler rundt desse.

  • Administreringa av driftsbrukarar ligg hos same enheten som har ansvar for dei. Administrasjonen inkluderer å opprette, vedlikehalde, bytte passord og avvikle driftsbrukarar. Vanlege lokal-IT-rettigheter gir ikkje tilgang til å administrere driftsbrukarar på sin enhet.

    All administrasjon skal vere definert i tydelege rutiner, som ikkje skal kunne avvikast frå. Avvik frå rutiner er ein sikkerhetsrisiko.

  • Passordbytte kan delegerast til medlem av gruppa it-<enhet>-eier, så lenge driftsbrukaren er tilknytta same enhet.

  • Driftsbrukarar er personlege brukarar, med personlig passord og følgjer sikkerhetshandboka prosedyre 11.2.

  • Driftsbrukarar skal følgje UiO sine passordrutiner, inkludert passordvarsel ved for gamalt passord. Nokre unntak:

    • Det er ikkje mogeleg for ein person å bytte passord på sin driftsbrukar gjennom ein av sine andre brukarkontoar, då dette opnar for eskalering av tilgangar.
    • Gløymd-passord-tenesta skal ikkje kunne brukast av driftsbrukarar.

  • Det er berre teknisk/administrativt tilsette som skal kunne få driftsbrukarar, og berre dersom dei har eit faktisk behov. Om nokon har eit faktisk behov avgjerast i siste instans av enheten som har ansvar for driftsbrukarane.

    TODO: Ein del termvakter er i dag registrert som vitskapleg tilsette. Det er uvisst om dette er feilregistreringar i SAPUiO. Skal ein utvide kravet til å også akseptere at vitskapleg tilsette kan få driftsbrukarar?

  • Ein driftsbrukar skal kunne brukast i fleire IT-system, og skal kunne tildelast ekstra IT-rettigheter for fleire ulike IT-system.

  • Brukarnamna til driftsbrukarar skal alle følgje same format. Dette består av brukarnamnet til personen sin tilsett-konto, etterfølgd av bindestrek og ein suffiks som seier noko om formålet til brukaren, sjå Brukartypar for meir info.

    Ingen andre skal kunne bruke av namnerommet til driftsbrukarane. Dette vil sei at ingen andre skal kunne opprette brukarkontoar med brukarnamn på same format som driftsbrukarar.

2.1   Brukartypar

Det er definert fleire ulike typar driftsbrukarar:

  • «<brukarnamn>-drift»: Sentralt registrerte brukarkontoar med ekstra IT-rettigheter i applikasjonar.
  • «<brukarnamn>-adm»: Sentralt registrerte brukarkontoar med ekstra IT-rettigheter for operativsystem.
  • «<brukarnamn>-null»: Sentralt registrerte brukarkontoar som kan bli tildelt mellombels IT-rettigheter.

Det er meininga at driftsbrukaren skal kunne brukast i alle IT-system for ekstra IT-rettigheter. Dersom det vert behov for nye typar driftsbrukarar må desse spesifiserast og innførast rutiner for, før Cerebrum kan særbehandle dei.

Til no skal alle sentralt registrerte driftsbrukartypane ha dei same tilgangane til IT-system frå Cerebrum. drift, adm og null-brukarar handterast difor likt av Cerebrum.

3   Tekniske krav og behov

  • Driftsbrukarar skal berre vere tilgjengelege i IT-systema dei brukast i. Oversikten over desse IT-systema er definert i ei liste lenger nede i spesifikasjonen.

    Driftsbrukarar skal ikkje vere tilgjengelege i andre system. Dersom det er behov for å eksponere dei i andre system skal dette spesifiserast og godkjennast av ansvarleg enhet før endring.

  • Driftsbrukarar skal ha POSIX-data, som UID og GID. Dette så dei kan bli tildelt tilgangar i UNIX-system.

  • Driftsbrukarar skal ikkje ha sitt eige heimeområde.

  • Driftsbrukarar tildelast i hovudsak rettigheter sentralt via eigne IT-driftsgrupper. Der det er tekniske behov kan dei også bli tildelt rettigheter lokalt.

  • Driftsbrukarar skal ikkje kunne vere primærbrukaren til ein person.

  • Driftsbrukarar skal ikkje ha e-postkonto. All e-post skal vidaresendast til personen sin tilsett-konto.

  • Driftsbrukarar skal ikkje kunne bytte passord via gløymd-passord-tenesta. Om ein driftsbrukar har gløymd passordet sitt, må dei ta kontakt med it-<enhet>-eier eller enheten som er ansvarleg for driftsbrukarane, då dette er dei einaste som har tilgang til å bytte passord på driftsbrukarane.

  • Driftsbrukaren skal berre kunne brukast som ein driftsbrukar. Kontoen skal til dømes ikkje registrerast med ei student-tilknytting. Dei skal heller ikkje få gruppemedlemskap til grupper som ikkje har med IT-drift å gjere, men dette er i dag ikkje mulig å automatisere kontroll av så det må gå på rutiner.

  • Driftsbrukarar skal bli automatisk avvikla og miste alle sine IT-rettigheter dersom personen mister si tilknytting som teknisk/administrativt tilsett. Dette skal skje automatisk, utan unntak, men med ein grace-periode på to (2) dagar for å ta omsyn til eventuelle feilregistreringar i personalsystemet. Personen skal bli varsla om avviklinga.

3.1   IT-system

Driftsbrukarar skal berre vere tilgjengelege i IT-system der dei brukast. Dette er alle IT-system som sentralt styrde driftsbrukarar skal eksistere i:

  • Cerebrum. Sentralt styrde driftsbrukarar vert tilgjengelege for administrasjon gjennom bofhd.
  • Active Directory-domenet uio.no. Dette inkluderer tilgang til SCCM.
  • POSIX-treet cn=users,dc=uio,dc=no (LDAP).
  • NIS på UiO. TODO: Skal IFI sin NIS-katalog inkluderast?

Alle system som ikkje er opplista her, skal driftsbrukarar i utgangspunktet ikkje vere tilgjengelege i. Nokre av desse IT-systema:

  • VPN, kiosk.uio.no
  • Vortex
  • VoIP
  • Trådlausnettet, RADIUS
  • Logge på vanlege Windows-maskiner interaktivt eller eksternt med brukarnamn og passord.
  • E-post, Cyrus/Exchange. Brukarkontoen skal ikkje ha ein eigen e-postkonto, all e-post skal vidaresendast til primærbrukar.
  • Office 365
  • HR-portalen
  • TODO: Kva med UHAD? Skal driftsbrukarar vere tilgjengeleg der?
  • Weblogin. TODO: Weblogin bruker POSIX-treet frå LDAP for autentisering, så skal brukaren til LDAP er den også tilgjengeleg for weblogin per i dag. Det er ulike alternativ her, 1) endre LDAP eller weblogin så driftsbrukarane vert sperra ute frå weblogin, eller 2) informere driftsbrukarane om at dei ikkje har lov til å bruke weblogin, sjølv om dei har tilgang.
Av tvl og jokim
Publisert 9. des. 2015 22:37 - Sist endret 10. jan. 2019 14:50
Del på e-post