Ldap2

Da sia.
Versione del 27 nov 2020 alle 13:14 di Malvezzi (discussione | contributi) (→‎cn e gecos)
(diff) ← Versione meno recente | Versione attuale (diff) | Versione più recente → (diff)
Vai alla navigazione Vai alla ricerca

I segreti di ldap2

Chi e' ldap2

Sono due macchine con openldap2.4 in mirrormode.

  • ldap2-master.unimore.it e' il nodo che riceve le scritture
  • ldap2.unimore.it e' il nodo principale
  • ldap2-secondary.unimore.it e' il nodo secondario

Contrariamente a quanto ci si aspetta, ldap2-secondary ha prestazioni migliori di ldap2.unimore.it, per cui si consiglia di configurare un URI di connessione del tipo:

URI ldap://ldap2-secondary.unimore.it,ldap://ldap2.unimore.it

oppure

URI ldap://ldap.unimore.it

(vedi oltre)

Ci sono altri ldap?

Si, ce ne sono altri:

  • ldap: proxy per ldap2 o ldap2-secondary. Si occupa del fail-over.
  • ldap5: openldap in syncrepl, autentica la maggior parte server linux, contiene anche informazioni sui gruppi;

Che record ci sono in ldap2?

Il basename e' dc=unimore,dc=it

  • ou=agents: contiene gli amministratori;
  • ou=groups: contiene i gruppi fossili;
  • ou=people: contiene tutti gli utenti.
  • ou=unimoregroups: contiene i gruppi flat
  • ou=bushygroups: contiene i gruppi a cespuglio

Per tutti gli utenti si intende:

  • dipendenti;
  • esterni;
  • studenti (include gli studenti che hanno conseguito il titolo da meno di tre anni e gli studenti intattivi che non hanno rinunciato alla carriera);
  • dottorandi e specializzandi (sono anche studenti -- in effetti sono solo un tipo speciale di studente);
  • registered (sono gli studenti dei gruppi 4 e 9, cioe' pre-immatricolati e registrati rispettivamente);
  • exalumni (studenti che hanno conseguito il titolo da piu' di tre anni o cancellati per rinuncia o carriere sospese);
  • account.

Che attributi ci sono per i vari tipi di record?

exalumni e registered

Hanno solo il minimo per autenticarsi e per il ripristino della password: uid, sn, givenname, password, unimoreMailPersonale. Questi dati provengono da esse3.

accounts

Hanno l'anagrafica dell'utente di riferimento. Le credenziali sono autonome. Attributi speciali:

  • unimoreutentediriferimento: uid dell'utente di riferimento
  • unimoreTipoAccount: indica se si tratta di un account tecnico, di un alias mail ecc.

Gli altri

Dipende dalla fonte dati autoritativa. Il correlatore non fa nessuna modifica sui dati che riceve, salvo elimare i trailing white space, quindi i dati presenti nei record dei dipendenti (e il loro significato) sono quelli di CSA, quelli degli studenti sono quelli di ESSE3.

Attributi speciali

ou

Gli studenti hanno ou=studenti fino a che non hanno conseguito il titolo, dopo ou=alum. I dottorandi hanno ou=dottorandi ed inoltre uno dei due tra ou=studenti e ou=alum (a seconda se hanno conseguito il titolo o no). Idem per gli specializzandi.

cn e gecos

Ambedue contenevano la concatenazione di nome e cognome in questo ordine pero':

  • cn e' in UTF-8
  • gecos e' in ASCII (eliminato il 27/11/2020).

isMemberOf

E' l'elenco dei gruppi cui appartiene l'utente. Si consiglia pero' di leggere i gruppi con:

ldapsearch -x -ZZ -h ldap2.unimore.it -D cn=user,ou=people,dc=unimore,dc=it -W \
 'member=cn=user,ou=people,dc=unimore,dc=it' dn

affiliation

Attributo a valore multiplo: gli utenti possono avere piu' di un'affiliation.

  • member: studenti (non laureati), personale, assegnisti e titolari di contratti di didattica integratica;
  • staff: personale T/A
  • faculty: docenti
  • affiliate: gli altri esterni
  • alum: studenti che hanno conseguito il titolo.

All'incirca, che restrizioni di accesso ci sono sui dati?

E' possibile sfogliare i dati pubblici (uid, cn, givenName, sn, unimoreDipRuolo, mail, telefono, unimoreDiporg*) di dipendenti, esterni e dottorandi senza autenticazione.

Per tutti i dati degli studenti, registrati o exalumni e per i dati non pubblici di chiunque serve l'autenticazione.

Per autenticarsi serve il canale sicuro (SSL o StartTLS).


Come si fa a limitare la quantita' di dati che un certo utente vede?

Un certo utente per vedere certi attributi o certi record deve appartenere a un gruppo. Un utente può appartenere a più gruppi. I gruppi sono:

  • exalumni: vede gli exalumni
  • registered: vede i registered
  • samba: vede gli attributi samba
  • accounts: vede gli accounts
  • private: vede gli attributi di indirizzo personale (mail, telefono)
  • admins: vede gli attributi non pubblici
  • changepwd: puo' cambiare le password
  • schema: vede l'albero ou=schema, serve solo ai syncrepl
  • groupread: vede i gruppi
  • badge: vede gli attributi: unimorecodicefiscale, unimorebadge, unimoreRFID, unimoreDipTessera, unimoreIdTesseraSanitaria, unimorestudnumerotessera (li vede anche chi è nel gruppo admins)
  • agents: vede i membri dello ou=agents