LDAP

Da sia.
Vai alla navigazione Vai alla ricerca

Personale di Riferimento: Maria Laura Mantovani, Francesco Malvezzi, Giovanni Faglioni.

Che cos’è un Servizio di Directory

Presso l’Università di Modena e Reggio Emilia è implementato un Servizio di Directory, che impropriamente o per semplificazione viene spesso chiamato server LDAP.

Un Servizio di Directory è un insieme di programmi dedicati ad organizzare e memorizzare informazioni riguardanti:

  • Le persone di una certa organizzazione,
  • le risorse a disposizione delle persone,
  • la struttura dell’organizzazione a cui le persone appartengono.

Le informazioni a cui si fa riferimento contengono in particolare:

  • dati anagrafici (nome, cognome, codice fiscale se si tratta di persone,
  • nomi delle strutture organizzative dell’ente, nomi delle risorse, …),
  • dati di rubrica (indirizzi postali, indirizzo di posta elettronica, numeri di telefono, fax, altri elementi di reperibilità, …),
  • dati riguardanti le relazioni tra le entità (gruppi, permessi, …),
  • credenziali (password, certificati digitali, …).

In aggiunta il Servizio di Directory permette di gestire gli accessi degli utenti alle risorse mantenendo costantemente il controllo sui diritti di accesso.

Il Servizio di Directory può fornire, ai servizi che ne hanno bisogno, informazioni costantemente e tempestivamente congruenti riguardo l’organizzazione stessa e le persone che ne fanno parte.

Il Servizio di Directory è a disposizione per essere costantemente interrogato al fine di ottenere in risposta delle informazioni. Tipiche domande a cui il Servizio di Directory risponde sono:

  • La persona Pinco Pallo è nota in questo Ateneo?
  • In quale struttura Pinco Pallo svolge il suo servizio?
  • Qual è il numero di telefono, il fax, l’indirizzo postale, l’indirizzo email di Pinco Pallo?
  • Quali sono le strutture organizzative dell’Ateneo?
  • Quali sono gli indirizzi, i numeri di telefono, di fax delle strutture dell’Ateneo?
  • Chi sono i Direttori delle strutture dell’ateneo?
  • Qual è l’elenco del personale afferente ad una certa struttura?
  • Qual è l’elenco degli studenti iscritti ad un certo corso?
  • Le credenziali immesse da un certo utente sono valide?
  • L’utente che ha inserito le credenziali è autorizzato ad accedere al servizio richiesto?

Questo è solo un piccolo esempio per fare capire la tipologia di domande a cui il Servizio di Directory può rispondere. Una traduzione abbastanza chiara per il termine “Servizio di Directory” potrebbe allora essere “Servizio di Elenco”: ad esso infatti chiediamo gli elenchi delle persone, delle strutture, delle risorse connesse in rete.

Presso il nostro Ateneo il Servizio di Directory è implementato su un server raggiungibile all’indirizzo ldap1.unimore.it. E’ disponibile anche un secondo server, ldap2.unimore.it utilizzato per testare gli aggiornamenti delle procedure e le innovazioni.

Il Servizio di Directory risponde estraendo le informazione dal proprio Directory, che è un database in cui giornalmente vengono immesse tutte le informazioni necessarie a fornire le risposte corrette.

E’ evidente che le risposte fornite dal Servizio di Directory saranno utili solo se esatte e attendibili, pertanto le informazioni che vengono trasmesse al Directory devono essere esatte, attendibili, aggiornate e congruenti. Descriveremo quindi quali sono le informazioni che vengono immesse nel Directory e le modalità mediante le quali vengono effettuare le immissioni.

Il Servizio di Directory e il Directory ad esso collegato nelle schematizzazioni viene rappresentato con un triangolo equilatero.

Quali informazioni abbiamo nel Directory

Nel Directory attualmente abbiamo informazioni riguardanti le seguenti entità:

  • Studenti attualmente iscritti ai corsi dell’Ateneo;
  • Personale attualmente in servizio presso l’Ateneo sia nella forma di dipendente sia nella forma di personale atipico;
  • Esterni che attualmente hanno diritto di frequentare e/o utilizzare risorse dell’Ateneo.
  • Strutture dell’Ateneo;
  • Gruppi di Persone che condividono un interesse (normalmente gli utilizzatori di una certa applicazione).

Per gli Studenti abbiamo:

  • il cognome (sn)
  • il nome (givenName)
  • il nome completo (cn)
  • le 2 username assegnate (uid)
  • la password collegata alle username
  • informazioni per la gestione amministrativa della password (shadow*)
  • informazioni per la gestione dell’accesso ai computer (samba*)
  • il codice fiscale (unimorecodicefiscale)
  • il numero di tessera che gli è stata rilasciata (unimorestudnumerotessera)
  • una indicazione sulla validità della tessera (unimorestudvaliditatessera) con valori S(ì) e N(o)
  • la data di rilascio della tessera
  • il codice (unimorestudfacolta ) e il nome (unimorestuddescrfacolta ) delle Facoltà a cui è iscritto
  • il codice (unimorestudcorso) e il nome (unimorestuddescrcorso) dei Corsi a cui è iscritto
  • il numero di matricola assegnato (unimorestudmatricola)
  • l’anno accademico in cui è stata fatta l’ultima iscrizione relativamente al corso riferito (unimorestudultimoannoaccademico)
  • l’anno di corso relativamente al corso riferito (unimorestudannocorso)
  • lo stato dell’iscrizione relativamente al corso riferito (unimorestudtipoiscrizione)
  • il codice (unimorestudcodiceindirizzo) e la descrizione (unimorestuddescrindirizzo) dell’indirizzo del corso riferito
  • la durata del corso riferito (unimorestudduratacorso)
  • il codice (unimorecorscodicecorso) e la descrizione (unimorecorsdescrizionecorso) del percorso riferito
  • il codice (unimorecorscodiceindirizzo) e la descrizione (unimorecorsdescrizioneindirizzo) dell’indirizzo del percorso riferito
  • la durata del percorso (unimorecorsdurataanni)
  • lo stato del percorso (unimorecorscodicestato)
  • il codice (unimorecorscodiceordinamento) e la descrizione (unimorecorsdescrizioneordinamento) dell’ordinamento riferito
  • il codice (unimorecorscodicetipocorso) e la descrizione (unimorecorstipocorso) dell’tipo di corso (Laurea, Laurea Specialistica, Master, Dottorato, …) riferito
  • il codice (unimorestudsede) e la descrizione (unimorestuddescrsede) della sede
  • l’indirizzo email (mail : utilizzato dalle rubriche e quindi pubblicabile liberamente; unimoremailprincipale : utilizzato per costruire le liste interne, non pubblicabile; unimoremail utilizzato per scopi istituzionali, non pubblicabile)
  • la classificazione secondo lo schema eduPerson (eduPersonAffiliation, eduPersonScopedAffiliation)

I dati degli studenti vengono aggiornati quotidianamente nottetempo mediante una procedura che confronta i dati inseriti nell’applicazione gestionale ESSE3. Le variazioni introdotte giornalmente in ESSE3 dalle segreterie studenti e dal personale preposto vengono quindi riprodotte entro la mattina successiva dentro il Directory LDAP. Questa procedura è di fondamentale importanza, perché consente di avere nel Directory LDAP dati aggiornati e congruenti con ESSE3, inoltre sono dati garantiti in quanto non è possibile effettuare altre modifiche che non provengano dalle fonti autorizzate (in questo caso le segreterie studenti).

Gli Studenti hanno come Base DN “ou=people,dc=unimore,dc=it” e si estraggono con il filtro “ou=Studenti”

Per il Personale attualmente in servizio presso l’Ateneo abbiamo:

  • il cognome (sn)
  • il nome (givenName)
  • il nome completo (cn)
  • la username assegnata (uid)
  • la password collegata alla username
  • informazioni per la gestione amministrativa della password (shadow*)
  • informazioni per la gestione dell’accesso ai computer (samba*)
  • il codice fiscale (unimorecodicefiscale)
  • il numero di matricola (unimoreDipMatricola)
  • il numero di tessera che gli è stata rilasciata (unimoreDipTessera)
  • i numeri di telefono (telephoneNumber)
  • i numeri di fax (facsimileTelephoneNumber)
  • il codice (unimoreDipCodiceRuolo) ed il relativo ruolo (unimoreDipRuolo)
  • il codice (unimoreDipInquadramento) ed il relativo inquadramento (unimoreDipDescrizioneInquadramento)
  • la data di variazione dell’ultimo inquadramento (unimoreDipDataUltimoInquadramento)
  • il codice (unimoreDipCodiceProfilo) ed il relativo profilo (unimoreDipProfilo)
  • il codice (unimoreDipCodiceAttivita) e la relativa attività (unimoreDipAttivita)
  • la struttura dove la persona afferisce organizzativamente (unimoreDiporg2) e la struttura direttamente superiore (unimoreDiporg1)
  • la sede di lavoro della persona (unimoreDiporg4) e la struttura direttamente superiore (unimoreDiporg3)
  • l’afferenza per quanto riguarda l’attività didattica (unimoreDipAfferenzaDidattica) con il relativo codice (unimoreDipCodiceDidattica)
  • l’indirizzo email (mail : utilizzato dalle rubriche e quindi pubblicabile liberamente; unimoremailprincipale : utilizzato per costruire le liste interne, non pubblicabile; unimoremail utilizzato per scopi istituzionali, non pubblicabile)
  • la classificazione secondo lo schema eduPerson (eduPersonAffiliation, eduPersonScopedAffiliation)

I Ruoli a cui afferisce il Personale istituzionale sono:

AS,Assistenti universitari
CD,Collaboratori linguistici (tempo determinato INPDAP)
CL,Collaboratori ed esperti linguistici
D8,Dirigente
DC,Dirigente a contratto
LC,Lettore di madre lingua
ND,Personale non docente
NM,Non docenti a tempo det-Tesoro
PA,Professori Associati
PO,Professori Ordinari
RU,Ricercatori Universitari

Tuttavia oltre ai suddetti ruoli istituzionali abbiamo anche i seguenti ruoli che consideriamo Atipici e provengono dalla base di dati realizzata mediante la procedura Esterni:

COLLABORATORE COORDINATO CONTINUATIVO
CULTORE DELLA MATERIA
DOCENTE A CONTRATTO
INTERINALE
LAVORATORE OCCASIONALE (contratto personale senza partita IVA)
LIBERO PROFESSIONISTA (Contratto personale con partita IVA)
SUPERVISORE SISS
TITOLARE DI ASSEGNO DI RICERCA
TITOLARE DI BORSA DI STUDIO
TUTOR

Infine abbiamo i seguenti ruoli che consideriamo Esterni:

COLLABORATORE DI RICERCA (a titolo gratuito)
CONVENZIONATO (cliente delle convenzioni)
DIPENDENTE ALTRA UNIVERSITA
DIPENDENTE ALTRO ENTE DI RICERCA
DIPENDENTE AZIENDA POLICLINICO
DIPENDENTE DI ALTRA AZIENDA SANITARIA
DOTTORANDO DI ALTRA UNIVERSITA
FORNITORE (dipendente o titolare delle ditte fornitrici)
LAUREATO FREQUENTATORE
OSPITE CON ACCESSO AL SERVIZIO VPN
OSPITE (di solito di lunga durata)
PROFESSORE EMERITO
PROFESSORE FUORI RUOLO
STUDENTE DI ALTRA UNIVERSITA 

I dati del Personale istituzionale vengono aggiornati quotidianamente nottetempo mediante una procedura che confronta i dati inseriti nell’applicazione gestionale CSA. Le variazioni introdotte giornalmente in CSA dagli uffici della Direzione Risorse Umane e dal personale preposto vengono quindi riprodotte entro la mattina successiva dentro il Directory LDAP. Questa procedura è di fondamentale importanza, perché consente di avere nel Directory LDAP dati aggiornati e congruenti con CSA, inoltre sono dati garantiti in quanto non è possibile effettuare altre modifiche che non provengano dalle fonti autorizzate (in questo caso la Direzione Risorse Umane).

Il Personale istituzionale dell’Ateneo ha come Base DN “ou=people,dc=unimore,dc=it” e si estrae con il filtro “ou=Dipendenti”.

I dati del Personale Atipico e degli Esterni vengono aggiornati quotidianamente nottetempo mediante una procedura che confronta i dati inseriti nell’applicazione gestionale “ESTERNI”. Le variazioni introdotte giornalmente in “IDENTIFICAZIONE ESTERNI” dagli uffici e dal personale preposto vengono quindi riprodotte entro la mattina successiva dentro il Directory LDAP. Questa procedura è di fondamentale importanza, perché consente di avere nel Directory LDAP dati aggiornati e congruenti con la procedura “IDENTIFICAZIONE ESTERNI”, inoltre sono dati garantiti in quanto non è possibile effettuare altre modifiche che non provengano dalle fonti. Si precisa che la procedura “IDENTIFICAZIONE ESTERNI” è un’applicazione che attualmente conta un settantina di operatori, denominati “Incaricati per l’identificazione del personale esterno”, distribuiti in tutte le strutture dell’ateneo. Ciascun operatore è abilitato ad inserire e modificare i dati delle Persone, nelle categorie Atipici ed Esterni, afferenti alla propria struttura. Tutti i dati inseriti dagli incaricati per l’identificazione del personale esterno concorrono alla formazione del DB_ESTERNI.

La figura mostra la provenienza dei dati che concorrono a formare i dati presenti nell’Elenco LDAP.

Risultati e benefici ottenuti dopo l’introduzione del Servizio LDAP

Il Servizio LDAP ci dà una fotografia istantanea delle persone presenti in ateneo: aggiornato quotidianamente ci dice che ad oggi 17/9/2007 ci sono 23376 studenti (compresi dottorandi e specializzandi), 1770 dipendenti (compresi i titolari di assegno di ricerca), 606 esterni validamente identificati (compresi gli atipici), 1154 esterni non ancora identificati. A ciascuno di essi sono state assegnate credenziali personali. Tutte le applicazioni che devono conoscere i propri utenti possono avvalersi del servizio di Directory per validare l’ingresso delle persone senza il bisogno di doverle nuovamente identificare, con conseguente notevole riduzione del carico amministrativo di gestione dell’applicazione stessa.

Servizi basati su ldap