LDAP
Personale di Riferimento: Maria Laura Mantovani, Francesco Malvezzi, Giovanni Faglioni.
Che cos’è un Servizio di Directory
Presso l’Università di Modena e Reggio Emilia è implementato un Servizio di Directory, che impropriamente o per semplificazione viene spesso chiamato server LDAP.
Un Servizio di Directory è un insieme di programmi dedicati ad organizzare e memorizzare informazioni riguardanti:
- Le persone di una certa organizzazione,
- le risorse a disposizione delle persone,
- la struttura dell’organizzazione a cui le persone appartengono.
Le informazioni a cui si fa riferimento contengono in particolare:
- dati anagrafici (nome, cognome, codice fiscale se si tratta di persone,
- nomi delle strutture organizzative dell’ente, nomi delle risorse, …),
- dati di rubrica (indirizzi postali, indirizzo di posta elettronica, numeri di telefono, fax, altri elementi di reperibilità, …),
- dati riguardanti le relazioni tra le entità (gruppi, permessi, …),
- credenziali (password, certificati digitali, …).
In aggiunta il Servizio di Directory permette di gestire gli accessi degli utenti alle risorse mantenendo costantemente il controllo sui diritti di accesso.
Il Servizio di Directory può fornire, ai servizi che ne hanno bisogno, informazioni costantemente e tempestivamente congruenti riguardo l’organizzazione stessa e le persone che ne fanno parte.
Il Servizio di Directory è a disposizione per essere costantemente interrogato al fine di ottenere in risposta delle informazioni. Tipiche domande a cui il Servizio di Directory risponde sono:
- La persona Pinco Pallo è nota in questo Ateneo?
- In quale struttura Pinco Pallo svolge il suo servizio?
- Qual è il numero di telefono, il fax, l’indirizzo postale, l’indirizzo email di Pinco Pallo?
- Quali sono le strutture organizzative dell’Ateneo?
- Quali sono gli indirizzi, i numeri di telefono, di fax delle strutture dell’Ateneo?
- Chi sono i Direttori delle strutture dell’ateneo?
- Qual è l’elenco del personale afferente ad una certa struttura?
- Qual è l’elenco degli studenti iscritti ad un certo corso?
- Le credenziali immesse da un certo utente sono valide?
- L’utente che ha inserito le credenziali è autorizzato ad accedere al servizio richiesto?
Questo è solo un piccolo esempio per fare capire la tipologia di domande a cui il Servizio di Directory può rispondere. Una traduzione abbastanza chiara per il termine “Servizio di Directory” potrebbe allora essere “Servizio di Elenco”: ad esso infatti chiediamo gli elenchi delle persone, delle strutture, delle risorse connesse in rete.
Presso il nostro Ateneo il Servizio di Directory è implementato su un server raggiungibile all’indirizzo ldap1.unimore.it. E’ disponibile anche un secondo server, ldap2.unimore.it utilizzato per testare gli aggiornamenti delle procedure e le innovazioni.
Il Servizio di Directory risponde estraendo le informazione dal proprio Directory, che è un database in cui giornalmente vengono immesse tutte le informazioni necessarie a fornire le risposte corrette.
E’ evidente che le risposte fornite dal Servizio di Directory saranno utili solo se esatte e attendibili, pertanto le informazioni che vengono trasmesse al Directory devono essere esatte, attendibili, aggiornate e congruenti. Descriveremo quindi quali sono le informazioni che vengono immesse nel Directory e le modalità mediante le quali vengono effettuare le immissioni.
Il Servizio di Directory e il Directory ad esso collegato nelle schematizzazioni viene rappresentato con un triangolo equilatero.
Quali informazioni abbiamo nel Directory Nel Directory attualmente abbiamo informazioni riguardanti le seguenti entità:
- Studenti attualmente iscritti ai corsi dell’Ateneo;
- Personale attualmente in servizio presso l’Ateneo sia nella forma di dipendente sia nella forma di personale atipico;
- Esterni che attualmente hanno diritto di frequentare e/o utilizzare risorse dell’Ateneo.
- Strutture dell’Ateneo;
- Gruppi di Persone che condividono un interesse (normalmente gli utilizzatori di una certa applicazione).
Per gli Studenti abbiamo:
- il cognome (sn)
- il nome (givenName)
- il nome completo (cn)
- le 2 username assegnate (uid)
- la password collegata alle username
- informazioni per la gestione amministrativa della password (shadow*)
- informazioni per la gestione dell’accesso ai computer (samba*)
- il codice fiscale (unimorecodicefiscale)
- il numero di tessera che gli è stata rilasciata (unimorestudnumerotessera)
- una indicazione sulla validità della tessera (unimorestudvaliditatessera) con valori S(ì) e N(o)
- la data di rilascio della tessera
- il codice (unimorestudfacolta ) e il nome (unimorestuddescrfacolta ) delle Facoltà a cui è iscritto
- il codice (unimorestudcorso) e il nome (unimorestuddescrcorso) dei Corsi a cui è iscritto
- il numero di matricola assegnato (unimorestudmatricola)
- l’anno accademico in cui è stata fatta l’ultima iscrizione relativamente al corso riferito (unimorestudultimoannoaccademico)
- l’anno di corso relativamente al corso riferito (unimorestudannocorso)
- lo stato dell’iscrizione relativamente al corso riferito (unimorestudtipoiscrizione)
- il codice (unimorestudcodiceindirizzo) e la descrizione (unimorestuddescrindirizzo) dell’indirizzo del corso riferito
- la durata del corso riferito (unimorestudduratacorso)
- il codice (unimorecorscodicecorso) e la descrizione (unimorecorsdescrizionecorso) del percorso riferito
- il codice (unimorecorscodiceindirizzo) e la descrizione (unimorecorsdescrizioneindirizzo) dell’indirizzo del percorso riferito
- la durata del percorso (unimorecorsdurataanni)
- lo stato del percorso (unimorecorscodicestato)
- il codice (unimorecorscodiceordinamento) e la descrizione (unimorecorsdescrizioneordinamento) dell’ordinamento riferito
- il codice (unimorecorscodicetipocorso) e la descrizione (unimorecorstipocorso) dell’tipo di corso (Laurea, Laurea Specialistica, Master, Dottorato, …) riferito
- il codice (unimorestudsede) e la descrizione (unimorestuddescrsede) della sede
- l’indirizzo email (mail : utilizzato dalle rubriche e quindi pubblicabile liberamente; unimoremailprincipale : utilizzato per costruire le liste interne, non pubblicabile; unimoremail utilizzato per scopi istituzionali, non pubblicabile)
- la classificazione secondo lo schema eduPerson (eduPersonAffiliation, eduPersonScopedAffiliation)
I dati degli studenti vengono aggiornati quotidianamente nottetempo mediante una procedura che confronta i dati inseriti nell’applicazione gestionale ESSE3. Le variazioni introdotte giornalmente in ESSE3 dalle segreterie studenti e dal personale preposto vengono quindi riprodotte entro la mattina successiva dentro il Directory LDAP. Questa procedura è di fondamentale importanza, perché consente di avere nel Directory LDAP dati aggiornati e congruenti con ESSE3, inoltre sono dati garantiti in quanto non è possibile effettuare altre modifiche che non provengano dalle fonti autorizzate (in questo caso le segreterie studenti).
Gli Studenti hanno come Base DN “ou=people,dc=unimore,dc=it” e si estraggono con il filtro “ou=Studenti”
Per il Personale attualmente in servizio presso l’Ateneo abbiamo:
- il cognome (sn)
- il nome (givenName)
- il nome completo (cn)
- la username assegnata (uid)
- la password collegata alla username
- informazioni per la gestione amministrativa della password (shadow*)
- informazioni per la gestione dell’accesso ai computer (samba*)
- il codice fiscale (unimorecodicefiscale)
- il numero di matricola (unimoreDipMatricola)
- il numero di tessera che gli è stata rilasciata (unimoreDipTessera)
- i numeri di telefono (telephoneNumber)
- i numeri di fax (facsimileTelephoneNumber)
- il codice (unimoreDipCodiceRuolo) ed il relativo ruolo (unimoreDipRuolo)
- il codice (unimoreDipInquadramento) ed il relativo inquadramento (unimoreDipDescrizioneInquadramento)
- la data di variazione dell’ultimo inquadramento (unimoreDipDataUltimoInquadramento)
- il codice (unimoreDipCodiceProfilo) ed il relativo profilo (unimoreDipProfilo)
- il codice (unimoreDipCodiceAttivita) e la relativa attività (unimoreDipAttivita)
- la struttura dove la persona afferisce organizzativamente (unimoreDiporg2) e la struttura direttamente superiore (unimoreDiporg1)
- la sede di lavoro della persona (unimoreDiporg4) e la struttura direttamente superiore (unimoreDiporg3)
- l’afferenza per quanto riguarda l’attività didattica (unimoreDipAfferenzaDidattica) con il relativo codice (unimoreDipCodiceDidattica)
- l’indirizzo email (mail : utilizzato dalle rubriche e quindi pubblicabile liberamente; unimoremailprincipale : utilizzato per costruire le liste interne, non pubblicabile; unimoremail utilizzato per scopi istituzionali, non pubblicabile)
- la classificazione secondo lo schema eduPerson (eduPersonAffiliation, eduPersonScopedAffiliation)
I Ruoli a cui afferisce il Personale istituzionale sono:
AS,Assistenti universitari CD,Collaboratori linguistici (tempo determinato INPDAP) CL,Collaboratori ed esperti linguistici D8,Dirigente DC,Dirigente a contratto LC,Lettore di madre lingua ND,Personale non docente NM,Non docenti a tempo det-Tesoro PA,Professori Associati PO,Professori Ordinari RU,Ricercatori Universitari
Tuttavia oltre ai suddetti ruoli istituzionali abbiamo anche i seguenti ruoli che consideriamo Atipici e provengono dalla base di dati realizzata mediante la procedura Esterni:
COLLABORATORE COORDINATO CONTINUATIVO CULTORE DELLA MATERIA DOCENTE A CONTRATTO INTERINALE LAVORATORE OCCASIONALE (contratto personale senza partita IVA) LIBERO PROFESSIONISTA (Contratto personale con partita IVA) SUPERVISORE SISS TITOLARE DI ASSEGNO DI RICERCA TITOLARE DI BORSA DI STUDIO TUTOR
Infine abbiamo i seguenti ruoli che consideriamo Esterni:
COLLABORATORE DI RICERCA (a titolo gratuito) CONVENZIONATO (cliente delle convenzioni) DIPENDENTE ALTRA UNIVERSITA DIPENDENTE ALTRO ENTE DI RICERCA DIPENDENTE AZIENDA POLICLINICO DIPENDENTE DI ALTRA AZIENDA SANITARIA DOTTORANDO DI ALTRA UNIVERSITA FORNITORE (dipendente o titolare delle ditte fornitrici) LAUREATO FREQUENTATORE OSPITE CON ACCESSO AL SERVIZIO VPN OSPITE (di solito di lunga durata) PROFESSORE EMERITO PROFESSORE FUORI RUOLO STUDENTE DI ALTRA UNIVERSITA
I dati del Personale istituzionale vengono aggiornati quotidianamente nottetempo mediante una procedura che confronta i dati inseriti nell’applicazione gestionale CSA. Le variazioni introdotte giornalmente in CSA dagli uffici della Direzione Risorse Umane e dal personale preposto vengono quindi riprodotte entro la mattina successiva dentro il Directory LDAP. Questa procedura è di fondamentale importanza, perché consente di avere nel Directory LDAP dati aggiornati e congruenti con CSA, inoltre sono dati garantiti in quanto non è possibile effettuare altre modifiche che non provengano dalle fonti autorizzate (in questo caso la Direzione Risorse Umane).
Il Personale istituzionale dell’Ateneo ha come Base DN “ou=people,dc=unimore,dc=it” e si estrae con il filtro “ou=Dipendenti”.
I dati del Personale Atipico e degli Esterni vengono aggiornati quotidianamente nottetempo mediante una procedura che confronta i dati inseriti nell’applicazione gestionale “ESTERNI”. Le variazioni introdotte giornalmente in “IDENTIFICAZIONE ESTERNI” dagli uffici e dal personale preposto vengono quindi riprodotte entro la mattina successiva dentro il Directory LDAP. Questa procedura è di fondamentale importanza, perché consente di avere nel Directory LDAP dati aggiornati e congruenti con la procedura “IDENTIFICAZIONE ESTERNI”, inoltre sono dati garantiti in quanto non è possibile effettuare altre modifiche che non provengano dalle fonti. Si precisa che la procedura “IDENTIFICAZIONE ESTERNI” è un’applicazione che attualmente conta un settantina di operatori, denominati “Incaricati per l’identificazione del personale esterno”, distribuiti in tutte le strutture dell’ateneo. Ciascun operatore è abilitato ad inserire e modificare i dati delle Persone, nelle categorie Atipici ed Esterni, afferenti alla propria struttura. Tutti i dati inseriti dagli incaricati per l’identificazione del personale esterno concorrono alla formazione del DB_ESTERNI.
La figura mostra la provenienza dei dati che concorrono a formare i dati presenti nell’Elenco LDAP. Risultati e benefici ottenuti dopo l’introduzione del Servizio LDAP Il Servizio LDAP ci dà una fotografia istantanea delle persone presenti in ateneo: aggiornato quotidianamente ci dice che ad oggi 17/9/2007 ci sono 23376 studenti (compresi dottorandi e specializzandi), 1770 dipendenti (compresi i titolari di assegno di ricerca), 606 esterni validamente identificati (compresi gli atipici), 1154 esterni non ancora identificati. A ciascuno di essi sono state assegnate credenziali personali. Tutte le applicazioni che devono conoscere i propri utenti possono avvalersi del servizio di Directory per validare l’ingresso delle persone senza il bisogno di doverle nuovamente identificare, con conseguente notevole riduzione del carico amministrativo di gestione dell’applicazione stessa.