LPS:IdM/midPoint

Z HelpDesk
< LPS:IdM
Verze z 16. 10. 2016, 11:57, kterou vytvořil Valtri (diskuse | příspěvky) (→‎Tipy: - fix formatting)

ZČU

Dokumentace

midPoint:


Connectors:

  1. OpenICF:
  2. ConnId:
  3. Polygon (ConnId+OpenICF):

Triky:

Instalace

# version of midPoint
v='3.4.1'

apt-get install -y less mc screen vim man
apt-get install -y bzip2 net-tools sudo wget
#TODO: stačí openjdk-8-jre-hadless libservlet3.1-java?
apt-get install -y openjdk-8-jdk tomcat8 apache2
# for tomcat8
apt-get install -y libservlet3.1-java libcommons-dbcp-java libcommons-pool-java

# apache2
cat > /etc/apache2/conf-available/midpoint.conf <<EOF
ProxyRequests           Off
ProxyPreserveHost       On      

ProxyPass               /midpoint       http://localhost:8080/midpoint
ProxyPassReverse        /midpoint       http://localhost:8080/midpoint

RewriteEngine On
RewriteRule             ^/?$     /midpoint/ [R]
EOF

# tomcat8
cat << EOF
JAVA_OPTS="${JAVA_OPTS} -Xms256m -Xmx2048m -XX:PermSize=128m -XX:MaxPermSize=256m -Dmidpoint.home=/var/opt/midpoint/ -Djavax.net.ssl.trustStore=/var/opt/midpoint/keystore.jceks -Djavax.net.ssl.trustStoreType=jceks -Doracle.net.tns_admin=/usr/lib/oracle/12.1/client64/network/admin"
TZ=CET
LANG="en_US.UTF-8"
EOF >> /etc/default/tomcat8
mkdir /var/opt/midpoint
chown tomcat8:tomcat8 /var/opt/midpoint
service tomcat8 stop

# mc (cosmetics)
mkdir -p ~/.config/mc/ || :
echo 'ENTRY "/var/opt/midpoint" URL "/var/opt/midpoint"' >> ~/.config/mc/hotlist
ln -s /usr/lib/mc/mc.csh /etc/profile.d/ || :
ln -s /usr/lib/mc/mc.sh /etc/profile.d/ || :

# midpoint
wget -nv https://evolveum.com/downloads/midpoint/${v}/midpoint-${v}-dist.tar.bz2 -P ~/
tar xjf ~/midpoint-${v}-dist.tar.bz2
echo "alias repo-ninja='`pwd`/midpoint-${v}/bin/repo-ninja'" > /etc/profile.d/midpoint.sh

# initial launch without anything
a2enmod rewrite proxy proxy_http
a2dissite 000-default
a2enconf midpoint
service apache2 start
service tomcat8 start

# midpoint initial deployment
cp -vp midpoint-${v}/war/midpoint.war /var/lib/tomcat8/webapps/
ln -s /usr/share/java/mysql-connector-java.jar /var/lib/tomcat8/lib/
service tomcat8 start
while ! test -f /var/opt/midpoint/config.xml; do sleep 0.5; done
chmod 0600 /var/opt/midpoint/config.xml
wget -nv -P /var/opt/midpoint/icf-connectors http://nexus.evolveum.com/nexus/content/repositories/openicf-releases/org/forgerock/openicf/connectors/scriptedsql-connector/1.1.2.0.em3/scriptedsql-connector-1.1.2.0.em3.jar

Oracle

1) vyžaduje Oracle clienta

2) JDBC ovladač

ln -s /usr/lib/oracle/12.1/client64/lib/ojdbc7.jar /var/lib/tomcat8/lib/

3) do /etc/default/tomcat8:

  • přidat k JAVA_OPTS (kvuli fungování tnsnames): -Doracle.net.tns_admin=/usr/lib/oracle/12.1/client64/network/admin'
  • přidat: TZ=CET (jinak hláška o časových zónách z Oraclu, a vůbec je dobré mít kvuli lokálnímu času ;-))

Switch repository

PostgreSQL

pass=`dd if=/dev/random bs=9 count=1 2>/dev/null | base64`

export PATH=$PATH:/usr/lib/postgresql/9.4/bin
useradd -s /bin/bash midpoint
sudo -u postgres psql -U postgres postgres -c "CREATE USER midpoint password '${pass}'"
sudo -u postgres createdb --owner=midpoint midpoint
sudo -u midpoint psql midpoint < midpoint-${v}/config/sql/_all/postgresql-3.4.1-all.sql

# also for repo-ninja
apt-get install -y postgresql libpostgresql-jdbc-java
ln -s /usr/share/java/postgresql.jar midpoint-${v}/lib/
 
service tomcat8 stop

Manually edit /var/opt/midpoint/config.xml (replace ${pass}):

 <repository>
   <repositoryServiceFactoryClass>com.evolveum.midpoint.repo.sql.SqlRepositoryFactory</repositoryServiceFactoryClass>
   <embedded>false</embedded>
   <driverClassName>org.postgresql.Driver</driverClassName>
   <jdbcUsername>midpoint</jdbcUsername>
   <jdbcPassword>${pass}</jdbcPassword>
   <jdbcUrl>jdbc:postgresql://localhost/midpoint</jdbcUrl>
   <hibernateDialect>com.evolveum.midpoint.repo.sql.util.MidPointPostgreSQLDialect</hibernateDialect>
   <hibernateHbm2ddl>validate</hibernateHbm2ddl>
 </repository>

MySQL

pass=`dd if=/dev/random bs=9 count=1 2>/dev/null | base64`

# also for repo-ninja
apt-get install -y mariadb-server libmysql-java
ln -s /usr/share/java/mysql-connector-java.jar midpoint-${v}/lib/

cat > /etc/mysql/conf.d/midpoint.cnf <<EOF
[global]
max_allowed_packet = 256M
# tuning
#query_cache_type=0
#innodb_buffer_pool_size=1G
#innodb_buffer_pool_instances=1
#innodb_log_file_size=400M
EOF
mysql -e "CREATE DATABASE midpoint CHARACTER SET utf8 DEFAULT CHARACTER SET utf8 COLLATE utf8_bin DEFAULT COLLATE utf8_bin"
mysql -e "GRANT ALL ON midpoint.* TO 'midpoint'@'localhost' IDENTIFIED BY '${pass}'"
mysql -u midpoint -p${pass} midpoint < midpoint-${v}/config/sql/_all/mysql-3.4.1-all.sql 

service mysql restart
service tomcat8 stop

Manually edit /var/opt/midpoint/config.xml (replace ${pass}):

 <repository>
   <repositoryServiceFactoryClass>com.evolveum.midpoint.repo.sql.SqlRepositoryFactory</repositoryServiceFactoryClass>
   <embedded>false</embedded>
   <driverClassName>org.gjt.mm.mysql.Driver</driverClassName>
   <jdbcUsername>midpoint</jdbcUsername>
   <jdbcPassword>${pass}</jdbcPassword>
   <jdbcUrl>jdbc:mysql://localhost/midpoint</jdbcUrl>
   <hibernateDialect>com.evolveum.midpoint.repo.sql.util.MidPointMySQLDialect</hibernateDialect>
   <hibernateHbm2ddl>validate</hibernateHbm2ddl>
 </repository>

Common

Finaly:

service tomcat8 stop
killall java
rm -fv /var/opt/midpoint/midpoint*.db
service tomcat8 start

Stronger key

su -s /bin/bash -c "keytool -genseckey -alias strong -keystore /var/opt/midpoint/keystore.jceks -storetype jceks -storepass changeit -keyalg AES -keysize 256 -keypass midpoint" tomcat8

Manualy edit /var/opt/midpoint/config.xml:

<keystore>
  <keyStorePath>${midpoint.home}/keystore.jceks</keyStorePath>
  <keyStorePassword>changeit</keyStorePassword>
  <encryptionKeyAlias>strong</encryptionKeyAlias>
  <xmlCipher>http://www.w3.org/2001/04/xmlenc#aes256-cbc</xmlCipher>
</keystore>

Admin password

Change admin password.

  • initial user: administrator
  • initial password: 5ecr3t

CA

Potřeba přidat CA certifikáty potřebné pro SSL spojení se všemi koncovými systémy do interního truststore midPointu. Např. (pro každý CA certifikát v řetězu):

keytool -keystore /var/opt/midpoint/keystore.jceks -storetype jceks -importcert -alias ca1 -file /tmp/ca1.pem
keytool -keystore /var/opt/midpoint/keystore.jceks -storetype jceks -importcert -alias ca2 -file /tmp/ca2.pem

(koukání do trustanchor je přepnuté na vlastní soubor, viz /etc/default/tomcat* - IMHO to pak nepoužívá CA ze systému)

WebAuth

  • název třídy filtru změnit z EnvironmentVariableAuthenticationFilter na RequestAttributeAuthenticationFilter podle změn v pull-requestu

Kterak nakonfigurovat:

  1. zkompilovat třídu EnvironmentVariableAuthenticationFilter:
    git clone /afs/.zcu.cz/project/software/git/idm/midpoint.git && cd midpoint
    cd webauth
    make
  2. nakopírovat class soubor EnvironmentVariableAuthenticationFilter.class
    mkdir -p /var/lib/tomcat8/webapps/midpoint/WEB-INF/classes/org/springframework/security/web/authentication/preauth/
    cp -vp EnvironmentVariableAuthenticationFilter.class /var/lib/tomcat8/webapps/midpoint/WEB-INF/classes/org/springframework/security/web/authentication/preauth/
    chown -Rv tomcat8:tomcat8 /var/lib/tomcat8/webapps/midpoint/WEB-INF/classes/org/
  3. přidat do /var/lib/tomcat8/webapps/midpoint/WEB-INF/ctx-web-security.xml (na správná místa):
    <custom-filter position="PRE_AUTH_FILTER" ref="environmentVariableAuthenticationFilter" />
    ...
    <beans:bean id="environmentVariableAuthenticationFilter"
                class="org.springframework.security.web.authentication.preauth.EnvironmentVariableAuthenticationFilter">
        <beans:property name="authenticationManager" ref="authenticationManager" />
    </beans:bean>
  4. nakonfiguravat apache
    • smazat původní konfiguraci pro midPoint bez webauthu
    • základ nakonfiguruje sám cfengine
    • běžná konfigurace pro webauth, např. něco jako:
    ...
    JkMount /* tomcat8_worker
    JkEnvVar WEBAUTH_USER "<UNSET>"
    ...
    <Location />
        AuthType WebAuth
        Require privgroup lps
        ...
    </Location>

    Také:

    • povolit AJP13 v tomcatu

    Také:

    apt-get install -y libapache2-mod-jk
    adduser tomcat8 ssl-cert
    a2enmod headers
    a2enmod rewrite
    a2enmod ssl
    a2enmod webauth
    a2enmod webauthldap
    a2ensite midpoint
    # apache tuning
    a2dismod php5
    # apache tuning
    a2dismod mpm_prefork
    # apache tuning
    a2enmod mpm_event
    service apache2 restart
    service tomcat8 restart
    
  5. vyrobit uživatele se správnými access rolemi (End User, Super User, Approver, ...)
  6. vidlička mimo webauth - funguje to pouze pro API (např. Eclipse plugin) /etc/apache2/site-available/01midpoint.conf: mít sekci <VirtualHost localhost:8443>

Postup je nedokonalý:

  • správně se to má změnit ve zdrojácích a postavit nový war k deployování, nebo ještě lépe: vylepšit zdrojáky/zaplatit vývoj
  • třída EnvironmentVariableAuthenticationFilter čeká na zahrnutí do Springu

Výsledek konfigurace:

  • na stránky midpointu se lze dostat pouze přes webauth s nakonfigurovanými omezeními
  • pokud neexistuje přihlášený uživatel v midpointu, otevře se přihlašovací formulář midpointu

Upgrade

Postupovat podle release notes a podle obecných pravidel na https://wiki.evolveum.com/display/midPoint/Upgrade+HOWTO .

Upgrade databáze

Např.:

cd /opt/newMidpoint/midpoint-3.4/config/sql/_all
mysql -u root -p midpoint < mysql-upgrade-3.3-3.4.sql

Deployment war

...chtělo to i promazat starý adresář ve /var/lib/tomcat8/webapps/midpoint

Upgrade connectorů

Viz také: https://wiki.evolveum.com/display/midPoint/Connector+Upgrade

  • překlikat resourcy na novější connectory
  • smazat <schema>...</schema> a znovu schéma nacucnout
  • odstranit staré reference z midPointu: Configuration - Repository Objects - Connector
  • radši i restart midPointu (natáhne si případně omylem smazané objekty)

repo-ninja

  • úprava /etc/profile.d/midpoint.sh
  • ln -s /usr/share/java/mysql-connector-java.jar /opt/midpoint.../lib
  • vyzkoušet: repo-ninja --validate

Docker

https://hub.docker.com/r/valtri/docker-midpoint/

docker pull valtri/docker-midpoint
docker run -itd --name midpoint valtri/docker-midpoint

Tipy

git repozitář

  1. Před importem objektu do repozitáře nutno XML promazat. Pro resource object lze využít skript (smaže tag schema, hesla, provozní informace, ...):
    object/resources/convert.sh < RESOURCE-orig.xml > RESOURCE.xml
  2. Smazat nebo vymyslet nové OID (nechat midPointem vygenerovat nové nebo si něco vymyslet).
  3. U konektorů: přidat matching rules namespace: xmlns:mr="http://prism.evolveum.com/xml/ns/public/matching-rule-3"
  4. U konektorů: využít i "Smart References", např.:
    <resource>
       ...
       <connectorRef type="ConnectorType">
         <filter>
           <q:equal>
             <q:path>c:connectorType</q:path>
             <q:value>org.identityconnectors.ldap.LdapConnector</q:value>
           </q:equal>
         </filter>
       </connectorRef>
       ...
     </resource>

Repozitář: viz #ZČU

Mapování atributů

Matching rule

V mapování nezapomínat na matching rule, např.:

<matchingRule xmlns:mr="http://prism.evolveum.com/xml/ns/public/matching-rule-3">mr:stringIgnoreCase</matchingRule>

Jinak to začne duplikovat atributy (nové hodnoty se přidávají místo nahrazování).

Multiplicity

1) Max

Pokud je na koncovém systému víc hodnot jednoho atributu a midPoint by to měl napravovat (nahradit jednou), pak nastavit omezení v mapování:

<limitations>
 <maxOccurs>1</maxOccurs>
</limitations>

Což se vlastně hodí vždy. Není třeba, pokud je omezení již na úrovni schématu z resource adaptéru.

2) Min

Byly potíže s GUI, pokud schéma z resource adaptéru vyžadovalo minimální počet výskytu 1. Lze přerazit v mapování:

<limitations>
 <minOccurs>0</minOccurs>
</limitations>

Detaily

inbound/outbound mappings:

  • authoritative (autoritativní): odebrat hodnotu při odstranění resourcu/role
  • exclusive (exkluzivní): vrátit chybu, pokud přijde hodnota i z jiného zdroje
  • strength (váha):
    • weak (slabý): jen default (nepřepisovat)
    • normal (normální): přepisovat (při výskytu NULL danou hodnotu také přepíše, resp. smaže)
    • strong (silný): přepisovat, změnu pošle dále do provisioningu vždy
  • source (zdroj):
    • seznam atributů k dispozici pro výpočet nové hodnoty
    • vyžadováno pro <expression><script><code>...</code></script></expression>, bez výrazu pouze s target není potřeba
    • midPoint to nějak používá k detekcí změn a práci s multihodnotami
    • příklad:
      • xml: <c:path>$account/attributes/ri:MOBIL</c:path>
      • GUI: $account/attributes/MISTNOST
    • nepovinný tag <name>: normálně je daný atribut k dispozici ve výrazu pod svým jménem, tagem name lze změnit
  • target (cíl): kam hodnotu uložit, příklad:
    • xml: <c:path>$user/honorificSuffix</c:path>
    • GUI: $user/honorificSuffix
  • condition (podmínka)

Synchronizace

Opatrně při modifikaci účtů při rekoncilaci (="atributová rekoncilace"), může jít o náročnější operaci.

TODO: ověřit. Náročnost se IMHO týkala údržby velké skupiny v LDAPu, což SunIdM zvládá, resp. dělá v rámci ActiveSync najednou a odděleně od účtů.

Modifikaci je možno přeskočit, ale přesto nechat dělat pro live synchronizaci:

<reaction>
    <name>Linked reaction</name>
    <situation>linked</situation>
    <channel>http://midpoint.evolveum.com/xml/ns/public/provisioning/channels-3#liveSync</channel>
    <action>
        <name>Modify Action</name>
        <handlerUri>http://midpoint.evolveum.com/xml/ns/public/model/action-3#modifyUser</handlerUri>
    </action>
</reaction>

Profiling

Konfigurace - Profiling

Koukání do logu jen na tasky >= 1s:

tail -f /var/log/tomcat8/idm-profile.log | egrep '[0-9]{3}\.[0-9]{3} ms$'

Filtry

Prohledávací filtry (pro GUI, pro bulk action ještě přidat namespacy - s:searchfilter, q:org, q:path, q:orgRef):

<searchFilter>
  <equal>
    <path>name</path>
    <value>1</value>
  </equal>
</searchFilter>
<searchFilter>
  <org>
    <path>parentOrgRef</path>
    <orgRef oid="20010718-1801-0005-0000-100000000003"/>
  </org>
</searchFilter>

Interní atributy

Seznam interních atributů (hledat name="UserType", name="OrgType", name="RoleType" a jejich rodičovské typy):

https://github.com/Evolveum/midpoint/blob/master/infra/schema/src/main/resources/xml/ns/public/common/common-core-3.xsd

midPoint UserType

  • name (*): hlavní ID (myšleno jako jméno objektu prezentované administrátorům, podle schématu nepovinné, prakticky povinné)
  • description (*): popis (pro GUI)
  • familyName (*): jméno
  • givenName (*): příjmení
  • additionalName (0-1): prostřední jméno (nebo jiné kulturní specialitky)
  • fullName (*): (mít na to vlastní pravidlo v mapping)
  • honorifixPrefix (0-1): titul před
  • honorifixSuffix (0-1): titul za
  • title (0-1): myšlena funkce (ale pouze jedna)
  • nickName (0-1): přezdívka (oficiální použití fak pro familiární přezdívku)
  • prefferedLanguage (0-1): jazyk
  • locale (0-1): lokalizace
  • ZČU:
    • extension/croId (0-1) [int]
    • extension/rc (0-1)
    • extension/uidNumber (0-1) [int]

midPoint OrgType

  • orgType (*): typ stromu
  • tenant [boolean] (0-1): top-level
  • costCenter (0-1)
  • locality (0-1)
  • mailDomain (*): mailová doména
  • displayName (*): lidský název
  • identifier (*): identifikátor (číselník, apod.)
  • ...

midPoint RoleType

  • roleType (*): univerzální informační políčko (midPoint používá system role, ...)
  • displayName (*): lidský název
  • identifier (*): identifikátor
  • requestable [boolean] (0-1): koncoví uživatelé mohou požádat
  • ZČU:
    • extension/gidNumber (0-1) [int]

Resource

  • icsc:name: přejmenovatelné ID na resourcu
  • icsc:uid: nepřejmenovatelné ID na resourcu (např. read-only UUID, ...), někdy totožné s icsc:name
  • ri:*: atributy na koncovém resourcu

Troubleshooting

Nejde synchronizace

Live nic nenačte

Normální chování při prvním puštění je nic nedělat (tj. čte jen změny).

==>:

  • potřeba pustit import nebo rekonciliaci
  • nebo: JDBC script RA lze instruovat, aby při prvním puštění syncnul vše (dát token na 0 - unixový počátek vesmíru)

Not applicable for task

Zkontrolovat svatou trojici Kind + Object Class + Intent. Všude (!):

  • Resource - Schema handling
  • Resource - Synchronization
  • Server Task

No sync policy

Viz výše.

Úkoly

S nároky na nové IdM se bude potřeba s midPoint naučit. Příklad úkolů, které bude zřejmě potřeba umět:

JDBC connector

  • případně i jako generátor skupin a pracovišť, ale nevíme, jak dobře je to podporované

Aktivace identit

  • midPoint má nějaký komplexnější způsob na aktivace/deaktivace identit, které jsou spojené s datumy
  • prozkoumání, jak na disablování identit (někde jiné atributy, někde smazané, ...), v Sun Idm na to máme speciální role
  • datum deaktivace případně k využití na expirace hostovských kont nebo odchody identit

Sosání skupin

  • engine midPointu to zatím neumí tím správným způsobem krz entitlements, ale lze obejít (<focusType>c:RoleType</focusType> v ObjectSynchronization)
    • funguje to a ničemu to nevadí
    • viz také email thread "Sync Entitlements to Role/Org Object with CSVFileConnector"
  • otázka mimo midPoint: budem nahrazovat i trychtýř, co máme před Grouperem? (tj. budem se napojovat přímo do několika databází nebo budem sosat sadu csv souborů?

==>

Asi přímo:

  • přímé napojení: větší chaos uvnitř midPointu (přes víc resourců)
  • trychtýř: 1) mezivrstva navíc, 2) máme problém se zrušenými skupinami

Groupová aritmetika

  • sčítání nám stačí, lze dělat přidáváním rolí do jiných rolí
  • máme informace o členství jak "dopředné" (memberUid v LDAPu u skupin), tak "zpětné" (memberof v LDAPu u identit)
  • jak na update identit po přeskupení rolí? (memberof v LDAPu): ruční update lidí v daných skupinách/rolích?
  • problém s pomalými updaty:
    • způsobeno přenosem velkých dat (členství)
    • midpoinťáci doporučují pomocnou vrstvu na straně LDAPu
    • u Sun IdM řešeno jinak: hackem přes interní atribut 'posixGroups' u LDAP adaptérů (mohlo by fungovat i s novým adaptérem u midPoint)

Korelační pravidla

  • budeme potřebovat "dělat CRO": umět se vypořádat se změnami klíčů
  • zkusit se napojovat podle rodných čísel a umět se vypořádat s jejich změnami:
    • napojit si nějaký systém podle RČ a přenášet změny z CRO
    • zkoušet dělat změny RČ
    • zkoušet dělat duplicity: jaké reporty, aby šly pozat? resuscitační emaily nebo workflow?
  • přejmenovávání identit

Příklad (v GUI je kód stejný - ale pouze tag q:equal včetně):

       <correlation>
           <q:description>korelace1_1</q:description>
           <q:equal>
               <q:path xmlns:c="http://midpoint.evolveum.com/xml/ns/public/common/common-3">c:name</q:path>
               <expression>
                   <c:path xmlns:icfs="http://midpoint.evolveum.com/xml/ns/public/connector/icf-1/resource-schema-3">declare namespace icfs='http://midpoint.evolveum.com/xml/ns/public/connector/icf-1/resource-schema-3'; $account/attributes/icfs:name</c:path>
               </expression>
           </q:equal>
       </correlation>
       <correlation>
          <q:description>korelace_rc</q:description>
          <q:equal>
             <q:path>c:extension/rc</q:path>
             <expression>
                <c:path>declare namespace ri='http://midpoint.evolveum.com/xml/ns/public/resource/instance-3'; $account/attributes/ri:RODNE_CISLO</c:path>
             </expression>
          </q:equal>
       </correlation>

Košatější příklad:

trafo story

Poznámky:

  • Pokus o nalinkování vlastníkovi již s nalinkovaným jiným účtem selže (jedná se vlastně o duplicitu klíče - korelace spolu s confirmation pravidlem musí dávat jednoznačnost)
  • Hlídání duplicity jiného atributu je možné:
    • vyhození vyjímky (pouze hlídání): Unique+property+value+HOWTO
    • karanténí organizace (dynamický assignement): template-people-with-rc-check.xml v našem gitu

midPoint API

Určitě bude potřeba nějaké rozhraní pro uživatele (registrace kont, projekty, self-management).

  • umí něco přímo midPoint? (3.4 slibuje "Custom GUI forms" na wicketech)
  • jaká midPoint má API?
  • (šlo by mít i nějakou propojovací tabulku, ale dokumentace midPoint slibuje víc)

Bulk action

Základ umíme (modifikace křesního jména u jedné identity).

Příklady:

  • vynucený update nebo rekoncilace u seznamu identit
  • přidání/odebrání role
     Ohledně přidání odebrání role bych to viděl pokud by to byla nějaká multihodnota v někde uložena.
  • aktivace/deaktivace
     Aktivace/deaktivace by šla řešit sloupcem který by reprezentoval aktivovaný/deaktivovaný účet. Pak při live synchronizaci nebo rekoncilaci by šlo detekovat a dle toho nastavit

Reporty

Naučit se s audity a reporty. Umět poznat, kdy se co měnilo a proč. Logování do tabulek ve formátu doporučovaném midPointem (https://wiki.evolveum.com/display/midPoint/Auditing)?

Build ze zdrojových kódů

Teoreticky by se mohlo hodit, pokud bychom chtěli příspívat vlastními změnami (nebo mít vlastní patche) anebo testovat nejnovější featury.

(Není nutno, ale zajímavá věc ke hraní si.)

Kerberos resource

Existuje nativní connector pro Kerberos:

https://stash.forgerock.org/projects/OPENICF/repos/kerberos-connector/browse

Vyzkoušet, jak si to rozumí s midPointem.

Mezivýsledek: není až tak nativní Javový, používají se groovy skripty.

Synchronizace pracovišť

Nic prioritního, jen zajímaovst, pokud zbyde čas a midPoint by měl dost pěkně umět...

Viz orgsync story.

Koncové uživatelské stránky

  • ?registrace kont?
  • kukátko na skupiny (pro alfresco)
  • ?výběr primární emailové domény?
  • ?projekty?

Stag

  • autorizovaný zdroj osobách (spolu s Magionem)
  • každé studium jako role? (aktuálně využíváme pro Aleph)
  • obecná role student (celkový stav vypočítá sám Stag - časy začátku/konce studia, ...)
  • jak ty role propojovat a jak na změny klíčů (RČ, ...)

Náměty na externí vývoj

Lepčí SSO

  • my se můžem pochlubit pull-requestem na spring-security od Majlena a příkladem konfigurace pro WebAuth
  • vývojáři slibují konfiguraci jinak než čuňácky v rozbaleném WEB-INF

Nativní MIT Kerberos resource

  • implementace RA v Javě a používající C knihovnu (JNI), pouze MIT
  • máme příklad jednoduchého kerberos admin klienta v C
  • lze udělat, ale pracné
  • případné problémy: co s případným leakováním paměti, jak prezentovat datumy, ...

Napojení na Stag

  • tohle bude spíš na nás: je to o designu a jádře řešení pro ZČU
  • viz #Stag

Registrace

  • netušíme vnitřnosti v midPointu (mělo by to umět GUI - něco s wicked)
  • alternativa je externí registrační klient přes midPoint API (přes web services)