Tags:
create new tag
, view all tags

nethz Authorisierungsgruppen

Ausgangslage und Zielsetzung

Personen zu Gruppen zusammenfassen und diesen Gruppen dann Berechtigungen zu erteilen ist ein aufwändiger Prozess. Ausserdem möchte man oft diesselben Personengruppen für verschiedene Zwecke weiterverwenden - bloss ist oft nur möglich, indem man auf den diversen Systemen diesselben Gruppen jeweils neu erstellt. Mit den nethz Authentisierungsgruppen soll dies vermieden werden. Die Gruppen sollen an einem zentralen Ort erstellt und verwaltet werden können. Die Gruppen sollen auf verschiedene Systeme (LDAPS, Active Directory, NETng) exportiert werden können. Die nethz Datenbank stellt dabei sicher, dass diese Gruppen auf den verschiedenen Systemen aktuell gehalten werden.

Aufbau der Gruppen

Die Authentisierungsgruppen sind prinzipiell hierarchisch ausgelegt, d.h. es ist möglich Gruppen ineinander zu verschachteln. Analog zum Dateisystem kann eine Gruppe (ein Ordner) weitere Untergruppen (Ordner) oder Mitglieder (Dateien) enthalten. Eine Gruppe

wird einer bestimmten Admingruppe zugeteilt und kann nur von dieser verwaltet werden. Je nach Gruppentyp (siehe unten) werden zu einer Gruppe noch weitere Merkmale zugeordnet, z.B. Profil, Organisationseinheit, Emailadresse. Gruppentypen

Die nethz Authentisierungsgruppen werden in verschiedene Gruppentypen aufgeteilt. Innerhalb eines Gruppentyps muss der Gruppenname eindeutig sein. Zur Zeit werden folgende Gruppentypen unterschieden:

Gruppentyp Beschreibung
User nethz Usergruppe
Admin nethz Administrationsgruppe
LZ Mitarbeiter und Mitarbeiterinnen der ETHZ. Gruppiert nach der Organisationshierarchie der ETH (Leitzahlen der Anstellung)
Studenten Studierende der ETH Zürich
ISG Informatik Supportgruppe
Domain Email-Domain Usergruppe
Custom Selbstdefinierte Usergruppe
Pikett Alarmierungsgruppe für die Systemüberwachung

Zur Zeit sind noch nicht alle Gruppen mit Mitgliedern gefüllt. Die wichtigsten Gruppentypen sind: LZ, Studenten und Custom. LZ und Studenten werden durch cronjobs regelmässig aktualisiert, ebenso die Domain-Usergruppen. Admin-Gruppen werden im Admin-Tool, ISG-Gruppen im ISG-Tool definiert. Domain-Gruppen werden nicht explizit definiert, sondern aufgrund der zugewiesenen Emailadressen regelmässig «errechnet». Custom-Usergruppen werden sowohl im Admin-Tool als auch im ISG-Tool definiert (dort in Form von sog. Realms).

Hierarchische Struktur von Leitzahl-Usergruppen (LZ)

Jede Person mit einer Anstellung an der ETH ist einer (oder mehreren) Organisationseinheit(en) zugeordnet, welche wiederum eine eindeutige Leitzahl (LZ) besitzt. Unter https://www.bi.id.ethz.ch/orgdb/BaumPre.do ist die hierarchische Struktur der Leitzahlen abgebildet. nethz Leitzahl-Usergruppen sind mit dieser Struktur identisch mit der Ergänzung, dass die oberste Gruppe «Mitarbeiter» heisst. Die Namen der Leitzahl-Gruppen sind eine 5-stellige Zahl, z.B. 00077 (Basisdienste). Wenn mehrere Leitzahlen zusammengefasst werden, wird anstatt der ersten 0 ein «T» vorangestellt, z.B. T0077 (Total Basisdienste). Personen sind nie einer «Txxxx» Leitzahl angestellt. Für die Leitzahl 00077 sieht der Baum so aus (in Klammern jeweils die Beschreibung):

Mitarbeiter
T0002 (ETH Zürich gesamt)
T0003 (Schulleitung und Dienste)
T0022 (Bereich VP Forschung und Wirtschaftsbeziehung)
T0070 (Direktion Informatikdienste)
T0077 (T-Basisdienste)
00077 (Basisdienste)

Beispiel für eine Departementsleitzahl:

Mitarbeiter
T0002 (ETH Zürich gesamt)
T0012 (Lehre und Forschung)
T0007 (Departemente)
T2350 (Departement Umweltnaturwissenschaften
T2340 (Umweltnaturwissenschaften)
T2710 (Geobotanisches Institut)
03393 (Edwards, Peter)

Hierarchische Struktur der Studenten-Usergruppen (Studenten)

Die hierarchische Struktur der Studenten-Usergruppen wird «künstlich» nach folgendem Schema erzeugt:

Studenten
D-UWIS (Studierende des Departements D-UWIS)
Umweltnaturwissenschaften BSc (Stud. d. Studiengangs Umw.nat.wiss. BSc)
Umweltnaturwissenschaften BSc (01) (Stud. d. Stud.gangs Umw.nat.wiss. BSc (01))

Die Gruppenzugehörigkeit jedes einzelnen Users wird im LDAPS im Attribut «ou» (=Organizational Unit) vermerkt. Nur der Gruppenname wird dort gespeichert (ohne Beschreibung). Bei hierarchisch organisierten Gruppen ist ein User automatisch auch in allen übergeordneten Gruppen enthalten. So ist z.B. bei allen Mitarbeitern der Wert «Mitarbeiter», bei Studenten der Wert «Studenten» im Attribut «ou» anzutreffen.

Erweiterungen im LDAPS und SILVA

  • Die Namensraum-Problematik der Gruppennamen ist noch nicht gelöst.
  • Die Hierarchische Struktur sollte sowohl im LDAPS wie auch im SILVA dargestellt werden können.
  • Im LDAPS und SILVA soll zwischen den verschiedenen Gruppentypen unterschieden werden können.

Gruppen auf Exchange / Active Directory

Die nethz Authentisierungsgruppen können ins Active Directory (AD) exportiert werden. Leitzahl- und Studentengruppen werden automatisch auch im AD erstellt. Sie sind dort (analog zur nethz-Datenbank) verschachtelt, d.h. hierarchisch gespeichert. Die Gruppennamen haben in Klammern als Zusatz den Gruppentyp; damit wird die Eindeutigkeit innerhalb des AD gewährleistet. Beispiele:

  • 00077 (LZ)
  • D-UWIS (Studenten)
  • Pharmazeutische Wissenschaften BSc (02) (Studenten)
  • ENTWU-Test-Silva (Custom)

-- Main.vermeul - 23 Mar 2006

Topic revision: r6 - 2008-10-16 - SwenVermeul
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback