Tags:
create new tag
, view all tags

nethz FAQ

Fragen zum nethz Admin-Tool

Person xyz ist zwar in der PDB drin, nicht aber in nethz. Was ist der Grund?

Mögliche Ursachen:

  • Die Person hat keine Beziehung zur ETH in der PDB eingetragen
  • Die Person ist kürzlich gemeldet worden und die Synchronisationsprozesse sind noch nicht durchgelaufen (oder stocken)

Abhilfe:

  • als root-User können die entsprechenden cronjobs manuell gestartet werden
  • schedule_pdb_jobs.pl - holt die anstehenden Personen aus der Schnittstellentabelle zur PDB
  • schedule_pbz_check.pl - überprüft die zu erteilenden oder zu limitierenden Services eines Users
  • schedule_execute - führt alle Einzeljobs (z.B. Service-Grant) eins einzelnen Users aus.

Fragen zu AD, Outlook und Exchange

Gibt es im AD ein definiertes Attribut des Userobjects, dass die primäre E-Mailadresse des Users enthält?

Kurze Antwort: nein

Die lange Antwort ist einiges komplizierter. Die Elektrotechniker wie auch die Physiker betreiben bekanntlich ihre eigenen Mailserver. Die User selber wählen alle möglichen Zwischenformen: Leute haben 2 komplett getrennte Mailaccounts, manche haben eine Weiterleitung (Forward) zu ihrem @ee Server, manche nicht, manche möchten eine Kopie der Mail auf dem Exchange-Server haben, manche nicht. Und manchmal setzen sie ihren Forward auf einen Alias wie @internal.ee Adresse oder aber auf ihre Hauptadresse.

Technisch gesehen werden alle Forwards im AD mit 2 separaten Objekten gelöst, einem User-Objekt und einem Contact-Objekt, wobei jedoch innerhalb des AD jede Mailadresse jeweils nur genau 1x vorkommen darf. Wenn Leute wie den Forward auf den Alias @internal.ee setzen, dann stimmt die Hauptadresse auf dem Userobjekt und das Contact-Objekt trägt die Adresse @internal.ee. Wenn Leute jedoch den Forward auf ihre Hauptadresse setzen, dann muss das (unsichtbare) Contact-Objekt die Hauptadresse besitzen; das Userobjekt wiederum muss irgend etwas anderes haben. Aus praktischen Gründen ist dies username@ethz.ch, da diese Adresse immer und für alle User an der ETH eingerichtet wird.

Es ist leider so kompliziert wie es ist und daran wird sich solange nichts ändern, wie die Leute von Elektrotechnik und Physik auf das Betreiben ihres eigenen Mailservers beharren.

Um aber einfach von bestimmten Usern die Hauptadresse und andere Informationen abfragen möchten, dann benutzt man besser den Webservice (nur innerhalb des ETH-Netzwerks):

Die Dokumentation zu diesem Webservice findet man hier

Fragen zu Gruppen

Eine Person ist immer noch in einer Leitzahl-Gruppe eingetragen, obwohl sie seit mehreren Monaten nicht mehr hier arbeitet. Weshalb?

Für die Leitzahl-Gruppen gilt eine Karenzfrist von 30 Tagen. Damit wird verhindert, dass Leute plötzlich alle Berechtigungen verlieren, bloss weil die Anstellungsverlängerung nicht rechtzeitig gemacht wurde.

Das neue Semester fängt bald an, ich kann aber Student XY nicht bearbeiten

Jeweils am 1. September und am 1. Februar wird as aktuelle Semester auf das Wintersemester (2000W) respektive Sommersemester (2000S) umgestellt. An dem Tag werden die entsprechenden Einschreibungsgruppen aktualisiert und anschliessend sind diese Studenten für die Admins auch administrierbar.

Wie kommen die direkt im AD erstellten Gruppen zu ihrer gidNumber?

Die mit dem Windows-Tool «Users and Computers» erstellten Gruppen sind nicht automatisch POSIX-kompatibel. Das heisst, sie haben keine eindeutige gidNumber, welche in UNIX essentiell sind. Damit diese Gruppen auch in der Unix-Welt brauchbar werden, müssen diese von der objectClass=posixGroup sein und mit einer eindeutigen gidNumber ausgestattet werden.

  • ad.pl SetMissingPosixGroups (läuft alle 20 Minuten)
  • NETHZ.SEQ_GID heisst die Sequenz, welche die jeweils nächste freie gidNumber herausgibt
  • nur die Gruppen innerhalb on OU=Hosting,DC=d,DC=ethz,DC=ch werden vom obigen Job angefasst

TODO

  • alle AD-Gruppen sollten auch in die nethz-Datenbank übernommen werden
  • periodisch sollten Änderungen in nethz übertragen werden
  • aufgrund der OU-Verantwortlichkeiten sollten diese Gruppen direkt den entsprechenden nethz-Admingruppen zugewiesen werden
  • damit liessen sich die Gruppen sowohl in nethz wie auch im AD bearbeiten
  • das Attribut uSNChanged ist ein Hinweis darauf, ob sich eine Gruppe im AD geändert hat

-- Vermeul Swen - 2016-09-02

Topic revision: r7 - 2016-09-02 - SwenVermeul
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback