Controllo accesso: escludere i registrati e gli exalumni

Da sia.
(diff) ← Versione meno recente | Versione attuale (diff) | Versione più recente → (diff)
Vai alla navigazione Vai alla ricerca

Di cosa si tratta?

Dal 17 luglio 2011 in ldap sono presenti due categorie di utenti prima esclusi:

  • registrati: sono gli studenti pre-immatricolati, ma che non sono ancora iscritti a nessuna facoltà;
  • exalumni: sono coloro che hanno conseguito il titolo da più di tre anni.

Come escluderli da shibboleth (lato SP)

Siccome questi utenti portano rispettivamente 'registered' ed 'exalumni' nello ou (unità organizzativa), questo sembra il modo più semplice per discriminarli.

Aggiornare attribute-map.xml

Verificare che nell'attribute-map.xml la riga:

<Attribute name="urn:oid:2.5.4.11" id="ou"/>

sia decommenatata

Modificare shibboleth2.xml

Aggiungere per ogni host e per ogni path protetto una sezione AccessControl:

 <RequestMapper type="Native">
        <RequestMap applicationId="default">
            <Host name="mio_server.unimo.it">
                <Path name="path_da_proteggere" authType="shibboleth" requireSession="true">
                        <AccessControl>
                         <AND>
                          <NOT>
                           <Rule require="ou">registered</Rule>
                          </NOT>
                          <NOT>
                           <Rule require="ou">exalumni</Rule>
                          </NOT>
                         </AND>
                        </AccessControl>
                 </Path>                
            </Host>