LPS:IdM/midPoint/LDAP
Info
Zde jsou popsané pouze LDAPy udržované produkčním IdM midPoint.
LDAP-codes
Číselníky v produkčním LDAPu.
- hostname: psyche.zcu.cz
- větev: ou=codes,o=zcu,c=cz
LDAP2-codes
Číselníky v produkčním LDAPu.
- hostname: cupid.zcu.cz
- větev: ou=codes,o=zcu,c=cz
LDAP-rfc2307
Hlavní (kontová) větev v "poloprodukčním" LDAPu.
- hostname: themis.civ.zcu.cz
- větev: ou=rfc2307,o=zcu,c=cz
Poznámka: na themis.civ.zcu.cz je také větev s číselníky, ale automaticky synchronizovaná ze psyche.zcu.cz prostředky LDAPu:
- hostname: themis.civ.zcu.cz
- větev: ou=codes,o=zcu,c=cz
SAML
Veškeré identity udržované midPointem v LDAPu mají také eduPerson objectClass. Udržuje se eduPersonEntitlement nastavovaný podle skupin a stavu identity.
Funguje to přes:
- pomocné role LR: LDAP Edu XXX (sady atributů pro SAML) v git repozitáři
- globální atributy (pro všechny aktivní) přímo v resource LDAP-rfc2307
Poznámka: skupiny jako takové - GROUP: XXX - nejsou v git repozitáři. Jde o entitlementy pouze v IdM - udržované přes GUI nebo pomocí skriptů.
Přidání nového atributu
- najít správnou roli LR: LDAP Edu XXX
- přidat hodnoty do eduPersonEntitlements - v git repozitáři + poslat do IdM
Přidání nové role
- vytvořit novou roli LR: LDAP Edu XXX' (např. podle ostatních) - v git repozitáři + poslat do IdM
- poznámka: orderConstraint s "unbounded" je podstatná
- přiřadit do assigments ve správných skupinách GROUP: XXX
Modifikace, kam se atributy propagují
GUI:
Ve správných skupinách GROUP: XXX nebo na uživateli přidat nebo odebrat LR: LDAP Edu XXX na kartě assignemnt.
Skript (příklady):
./modify-role-by-name.py 'GROUP: doktorandi' -a role-login-ldap-edu-staff:role ./modify-role-by-name.py 'GROUP: doktorandi' -a role-login-ldap-edu-ezak-login:role ./modify-role-by-name.py 'GROUP: staff' -a role-login-ldap-edu-staff:role ./modify-role-by-name.py 'GROUP: staff' -a role-login-ldap-edu-ezak-login:role ./modify-role-by-name.py 'GROUP: ps-nvz' -a role-login-ldap-edu-ezak-manager:role ./modify-user-by-name.py ezak -a role-login-ldap-edu-ezak-login:role ./modify-user-by-name.py ezak -a role-login-ldap-edu-ezak-admin:role #./modify-user-by-name.py LOGIN -a role-login-ldap-edu-admin:role
Kontrola, kam se atributy propagují
Na dané roli LR: LDAP Edu XXX karta Memberships.