Tags:
create new tag
, view all tags

Neuorganisation der nethz-Gruppen

Beteiligte Personen: Griorgio Broggi, Matteo Corti, Davor Kupresak, Swen Vermeul

Ausgangslage

Eine Sammlung von Personen respektive User wird im folgenden Text als «Gruppe» bezeichnet.

An der ETH werden an diversen Orten und mit diversen Tools Gruppen erfasst und gepflegt. Die geläufigsten sind:

  • nethz Admin-Tool (Mailverteiler, Custom-Groups)
  • Netsupport-Tool (Netsupport-Gruppen, Realms)
  • Active Directory (Security-Groups, durch OU-Admins definiert)

Eine erhebliche Menge an Gruppen wird automatisch generiert, und zwar aufgrund der

  • Leitzahl-Zugehörigkeit (Mitarbeiter, Dozenten, ETH-nahe, ETH-Gäste)
  • Personenkategorie (alle ETH-Angehörige)
  • Einschreibung (Studierende, Hörer)

Gruppennamen werden häufig mit Namensregeln erstellt. Die allermeisten Departemente befolgen ihre eigenen Namens-schemata. Damit kann effektiv verhindert werden, dass es zu Namenskonflikten kommt, auch wenn es technisch gesehen nicht ausgeschlossen werden kann.

Ein Problemfall stellen seit Jahren die Realms und Netsupport-Gruppen dar, die im gleichnamigen Tool erfasst werden. Vor vielen Jahren wurde entschieden, dass diese manchmal genau gleich heissen dürfen. In einer Realm-Gruppe befinden sich alle Personen, die für einen bestimmten Netzwerk-Bereich Zugriff haben sollten. In einer Netsupport-Gruppe befinden sich alle Personen, die diesen Realm definieren und für ihn verantwortlich sind. Damit dieser semantisch falscher Entscheid technisch überhaupt umgesetzt werden konnte, wurden die Gruppen in Gruppentypen unterteilt und als eigener Namensraum definiert, d.h. die Gruppennamen eines bestimmten Gruppentyps müssen eindeutig (unique) sein.

Das Identity Management System nethz exportiert nun alle diese Gruppen in verschiedene Zielsysteme, unter anderem:

  • Active Directory (AD)
  • Adobe Experience Manager (AEM aka CQ5)
  • LDAPS (AAI/Shibboleth)
  • NetCenter (VPN/802.1x)

Gruppen werden im AD generell als «principal» behandelt, genauso wie User- und Computerobjekte auch. Diese Objekte haben zwingend einen sAMAccountName, welcher innerhalb des Active Directory eindeutig sein muss. Aufgrund dieser Limitierung und den gegebenen Umständen wurde beschlossen, die Gruppen mit einem Suffix auszustatten, um die Eindeutigkeit auch bei getrennten Namensräumen jederzeit zu gewährleisten:

  • meine_selbstdefinierte_gruppe_custom
  • dies_ist_eine_Netsupport_gruppe_netsup
  • dies_ist_ein_Realm_realm
  • 00070_lz
  • Architektur_MSc_studenten

Diese Suffixe haben aber Nachteile:

  • die Namen werden sehr lang
  • die Namen entsprechen nicht denjenigen in LDAPS oder CQ5

Der letzte Punkt ist insbesondere beim Einsatz von NFS V4 problematisch, da Gruppen im LDAPS und AD auch bei gleichlautender GID-Nummer nicht als gleich gesehen werden. Die Namen müssen ebenfalls identisch sein. Diese Problematik ist der Grund für den Anstoss, den oben genannten Fehlentscheid nochmals zu überdenken und ein neues Gruppenkonzept zu formulieren.

Änderungsansätze

DONE Gemeinsamer Namespace für alle Gruppen in nethz

Nur wenige Dutzend Gruppen sind von der Notwendigkeit getrennter Namensräume überhaupt abhängig. Es handelt sich fast ausschliesslich um Realms und Netsupportgruppen. Da es sich dabei um semantisch verschiedene Dinge handelt, liegt es auf der Hand, dass diese entsprechende, klingende Namen bekommen. Vorschlag:

  • id-bd MOVED TO... id-bd.netsup
  • id-bd MOVED TO... id-bd.realm

Der Punkt suggeriert eine Domain (ähnlich einer URL). De facto sind sie dies auch. Die momentan automatisch generierten Verteiler mit der Mailadresse id-bd@netsup.ethz.ch könnten dann genauso gut id-bd.netsup@ethz.ch lauten. Damit liesse sich eine E-Mail-Domain sparen und das Konzept username@ethz.ch liesse sich so elegant auch auf Gruppen ausweiten.

Allerdings muss abgeklärt werden, ob der Punkt für einige Unix-Systeme nicht Probleme bereitet.

Schrittweise Aufgabe des Suffixes im AD

Nachdem der globale Namensraum mindestens in der nethz Datenbank gesichert ist, kann mit dem Äufräumen im AD beginnen:

  • DONE neue Gruppen werden generell ohne Suffix erstellt
  • DONE bestehende Gruppen können manuell (im Admin-Tool) vom Suffix befreit werden
  • DONE beim Umbenennen von Gruppen fällt automatisch auch das Suffix weg
  • DONE bestehende, automatisiert erstellte Leitzahl- und Einschreibungs-Gruppen werden in Zusammenarbeit mit den ISGs in den Departementen «Baumweise» umbenannt

Beachten der unabhängigen Systeme Da nethz keinen exklusiven Zugriff auf AD oder CQ5 hat, müssen beim Erstellen oder Umbenennen von Gruppen (aber auch Usern) folgende Punkte beachtet werden:

  • es darf kein Objekt im AD mit demselben sAMAccountName vorhanden sein
  • es darf kein Objekt in CQ5 mit demselben rep:principalName vorhanden sein

Caveats

  • LDAPS und AD haben Limiten bezüglich Namensgebung (Länge, Zeichen)
  • es muss sichergestellt werden, dass die Namen auf diesselbe Weise so angepasst werden, dass sie mit den Systemen kompatibel sind
  • auch wenn die Eindeutigkeit aller Gruppen in nethz sichergestelllt werden kann, können nach wie vor und unabhängig von nethz in den verschiedenen Zielsystemen Gruppen erstellt werden

-- SwenVermeul - 2014-02-13

Topic revision: r4 - 2014-12-03 - vermeul
 
This site is powered by the TWiki collaboration platform Powered by PerlCopyright © 2008-2017 by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TWiki? Send feedback