1 Bakgrunn
UiO har en policy om at kritiske tjenester skal administreres gjennom driftsbrukere og ikke personers vanlige brukerkonto. Dette holder både credentials for kritiske rettigheter adskilt fra en mer eksponert brukerkonto, og rollefordelingen.
Flere og flere tjenester blir fellestjenester med andre institusjoner i UH-sektoren. Feide-pålogging blir da et naturlig valg. Utfordringen er at UiO bare har en bruker, primærbrukeren, i Feide, og ikke driftsbrukeren. Det er ønskelig å styre hvilke tjenester som krever driftsbrukere og ikke, og ikke blande inn sesjonen med den vanlige brukerkontoen. Dette gjorde at UiO ba Uninett om å kunne støtte driftsbrukere i en egen "IdP" i Feide.
Uninett er positive til å støtte at UiO kan holde sine driftsbrukere adskilt i sin egen "organisasjon".
2 Feide-oppsett
Uninett vil i framtida ha mulighet for å sette opp "fiktive" organisasjoner, men per nå setter de opp driftsbrukerne som en helt ny organisasjon. Det betyr at "UiO-drift" dukker opp i lista over institusjoner på samme måte som alle andre universiteter og høgskoler.
Noen som blir administrator for den nye organisasjonen hos Feide må godkjenne tilgangen til tjenester som krever driftsbrukere. Vi har ikke rutiner for dette, og gjøres ad hoc. TODO: Noen i ITI som bør forvalte dette? Eller IT-sikkerhet?
TODO: Oppdater når vi har detaljer fra Uninett om oppsettet.
Siden driftsbrukere er mer priviligerte enn vanlige brukere setter dette også høyere krav til sikkerhet. IT-sikkerhet har derfor anbefalt at to-faktor-autentisering er påskrudd for alle driftsbrukere. Det er noe administrator kan gjøre i Feide sin kundeportal.
3 LDAP
katalog-drift setter opp en ny LDAP-katalog for driftsbrukerne. Denne er sperret ned, og er per i dag bare ment til bruk for Feide.
TODO: Utfylles av detaljer fra katalog-drift, når det er på plass
3.1 Generering av ldif-fil
Denne delen innholder informasjon om hvordan den nye organization.ldif-fila skal genereres. Alle objekter bortsett fra person-objekter skal foreløpig være slik de fremstår i cerebrum-uio:/cerebrum/var/cache/LDAP/drift-organization.ldif. Det betyr at alle OU-objekter slettes, samtidig som topp-objektet og people-objektet får endret dc=uio,dc=no → dc=sysadm,dc=uio,dc=no i sine dn-attributter. Det kan hende at vi bestemmer oss for å endre på dette senere, spesielt er det knyttet litt usikkerhet til om driftsorganisasjonen bør ha samme norEduOrgNIN, norEduOrgUniqueIdentifier og norEduOrgUniqueNumber som UiO. Disse attributtene er ment å være unike pr institusjon, men det er teknisk mulig å ha de likt som UiO slik det er for øyeblikket.
3.2 Person-objekt
Det er en rekke attributter som må endres i forhold til den vanlige organization.ldif fila. Man vil beholde de attributtene som er påkrevd av LDAP-protokollen samt attributter som er valgfrie, anbefalt eller påkrevd av Feide. Resten av attributtene kan slettes.
Kort fortalt må man endre de fleste steder hvor det står @uio.no → @sysadm.uio.no og dc=uio,dc=no → dc=sysadm,dc=uio,dc=no. Dette gjelder dog ikke for attributtene eduPersonOrgUnitDN og eduPersonPrimaryOrgUnitDN. I tillegg må man erstatte de stedene hvor brukernavnet står oppført til å ha driftsbrukernavn i stedet. Feltet userPassword må også endres slik at det inneholder hashen til driftsbrukeren.
Attributter som må endres:
| UiO | Driftsorganisasjon |
|---|---|
| dn: uid=<brukernavn>,ou=people,dc=uio,dc=no | dn: uid=<brukernavn>-drift,cn=people,dc=sysadm,dc=uio,dc=no |
| eduPersonOrgDN: dc=uio,dc=no | eduPersonOrgDN: dc=sysadm,dc=uio,dc=no |
| eduPersonOrgUnitDN: ...,ou=UIO,ou=organization,dc=uio,dc=no | eduPersonOrgUnitDN: ...,ou=UIO,cn=organization,dc=uio,dc=no |
| eduPersonPrimaryOrgUnitDN: ...,ou=UIO,ou=organization,dc=uio,dc=no | eduPersonPrimaryOrgUnitDN: ...,ou=UIO,cn=organization,dc=uio,dc=no |
| eduPersonPrincipalName: <brukernavn>@uio.no | eduPersonPrincipalName: <brukernavn>@sysadm.uio.no |
| eduPersonScopedAffiliation: <affiliation>@uio.no | eduPersonScopedAffiliation: <affiliation>@sysadm.uio.no |
| schacHomeOrganization: uio.no | schacHomeOrganization: sysadm.uio.no |
| uid: <brukernavn> | uid: <brukernavn>-drift |
| userPassword:: <vanlig-bruker-sin-hash> | userPassword:: <driftsbruker-sin-hash> |
Attributter som kan beholdes som de er: cn, displayName, eduPersonAffiliation, eduPersonPrimaryAffiliation, givenName, labeledURI, mail, mobile, norEduPersonAuthnMethod, norEduPersonBirthDate, norEduPersonLegalName, norEduPersonNIN, objectClass, postalAddress, sn, street, telephoneNumber, title
Attributter som kan fjernes: OpenLDAPaci, uioMemberOf, uioPersonId, uioPersonScopedAffiliation, uioPrimaryMail
4 Referanser
- Bestillingssak hos Uninett: https://rt.uninett.no/Ticket/Display.html?id=204696
- Utviklingssaker: https://jira.usit.uio.no/browse/CRB-3066
- Sak hos katalog-drift: https://rt.uio.no/Ticket/Display.html?id=3876815
- Referat møte med Uninett om behovet: https://www.usit.uio.no/om/organisasjon/bnt/usitint/moter/2020/2020-05-07-uninett-driftsbrukarar.html