LPS:IdM/midPoint/LDAP

Z Support
< LPS:IdM | midPoint(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
(Modifikace, kam se role propagují: - zmínka o statických věcech)
(Modifikace, kam se role propagují)
 
Řádka 76: Řádka 76:
 
  ./modify-user-by-name.py ezak -a role-login-ldap-edu-ezak-admin:role
 
  ./modify-user-by-name.py ezak -a role-login-ldap-edu-ezak-admin:role
 
  #./modify-user-by-name.py LOGIN -a role-login-ldap-edu-admin:role
 
  #./modify-user-by-name.py LOGIN -a role-login-ldap-edu-admin:role
 +
 +
# affiliations by faculty
 +
for fak in rek; do
 +
  ./modify-role-by-name.py "GROUP: $fak" -a role-login-ldap-edu-faculties:role
 +
done
 +
for fak in fav fdu fek fel ff fpe fpr fst fzs; do
 +
  ./modify-role-by-name.py "GROUP: $fak" -a role-login-ldap-edu-faculties:role
 +
  ./modify-role-by-name.py "GROUP: students-$fak" -a role-login-ldap-edu-faculties:role
 +
done
  
 
== Kontrola, kam se atributy propagují ==
 
== Kontrola, kam se atributy propagují ==
  
 
Na dané roli ''LR: LDAP Edu XXX'' karta ''Memberships''.
 
Na dané roli ''LR: LDAP Edu XXX'' karta ''Memberships''.

Aktuální verze z 15:08, 29 červenec 2020

Obsah

[editovat] Info

Zde jsou popsané pouze LDAPy udržované produkčním IdM midPoint.

[editovat] LDAP-codes

Číselníky v produkčním LDAPu.

  • hostname: psyche.zcu.cz
  • větev: ou=codes,o=zcu,c=cz

[editovat] LDAP2-codes

Číselníky v produkčním LDAPu.

  • hostname: cupid.zcu.cz
  • větev: ou=codes,o=zcu,c=cz

[editovat] LDAP-rfc2307

Hlavní (kontová) větev v "poloprodukčním" LDAPu.

  • hostname: themis.civ.zcu.cz
  • větev: ou=rfc2307,o=zcu,c=cz

Poznámka: na themis.civ.zcu.cz je také větev s číselníky, ale automaticky synchronizovaná ze psyche.zcu.cz prostředky LDAPu:

  • hostname: themis.civ.zcu.cz
  • větev: ou=codes,o=zcu,c=cz

[editovat] SAML

Pouze na themis.civ.zcu.cz.

Veškeré identity udržované midPointem v LDAPu mají také eduPerson objectClass. Udržuje se eduPersonEntitlement nastavovaný podle skupin a stavu identity.

Funguje to přes:

  • pomocné role LR: LDAP Edu XXX (sady atributů pro SAML) v git repozitáři
  • globální atributy (pro všechny aktivní) přímo v resource LDAP-rfc2307

Poznámka: skupiny jako takové - GROUP: XXX - nejsou v git repozitáři. Jde o entitlementy pouze v IdM - udržované přes GUI nebo pomocí skriptů.

[editovat] Přidání nového atributu

  1. najít správnou roli LR: LDAP Edu XXX
  2. přidat hodnoty do eduPersonEntitlements - v git repozitáři + poslat do IdM

[editovat] Přidání nové role

  1. vytvořit novou roli LR: LDAP Edu XXX' (např. podle ostatních) - v git repozitáři + poslat do IdM
    • poznámka: orderConstraint s "unbounded" je podstatná
  2. přiřadit do assigments ve správných skupinách GROUP: XXX

[editovat] Modifikace, kam se role propagují

Část věcí je mj. ve statické konfiguraci (tj. součástí git repozitáře):

  • hr-org-str-pp-type-thp: role-login-ldap-edu-staff
  • hr-org-str-pp-type-vav: role-login-ldap-edu-faculty

Dynamické věci se pak spravují přímo v midPointu (GUI, skript, ...).

GUI:

Ve správných skupinách GROUP: XXX nebo na uživateli přidat nebo odebrat LR: LDAP Edu XXX na kartě assignemnt.

Skript (příklady):

./modify-role-by-name.py 'GROUP: doktorandi' -a role-login-ldap-edu-phd:role
./modify-role-by-name.py 'GROUP: doktorandi' -a role-login-ldap-edu-ezak-login:role
./modify-role-by-name.py 'GROUP: staff' -a role-login-ldap-edu-ezak-login:role
./modify-role-by-name.py 'GROUP: ps-nvz' -a role-login-ldap-edu-ezak-manager:role
./modify-role-by-name.py 'GROUP: students' -a role-login-ldap-edu-student:role

./modify-user-by-name.py ezak -a role-login-ldap-edu-ezak-login:role
./modify-user-by-name.py ezak -a role-login-ldap-edu-ezak-admin:role
#./modify-user-by-name.py LOGIN -a role-login-ldap-edu-admin:role

# affiliations by faculty
for fak in rek; do
  ./modify-role-by-name.py "GROUP: $fak" -a role-login-ldap-edu-faculties:role
done
for fak in fav fdu fek fel ff fpe fpr fst fzs; do
  ./modify-role-by-name.py "GROUP: $fak" -a role-login-ldap-edu-faculties:role
  ./modify-role-by-name.py "GROUP: students-$fak" -a role-login-ldap-edu-faculties:role
done

[editovat] Kontrola, kam se atributy propagují

Na dané roli LR: LDAP Edu XXX karta Memberships.

Osobní nástroje
Jmenné prostory

Varianty
Zobrazení
Akce
Kdo jsem
Navigace
Často hledaná témata
Nástroje