Systém jednotné autentizace - SJA Petr Dadák a Richard Hrdlička Vývojový tým Univerzitního informačního systému Mendelova zemědělská a lesnická univerzita v Brně Výjezdní zasedání UIS Lednice, 23. – 26. 10. 2002
Obsah Co je to jednotná autentizace Jednotlivé části systému Schéma LDAP autentizace Použité technologie Šíření změn v systému DB struktury a LDAP strom Propagátor a duplikátor Web aplikace Schéma systému Dotazy ? Výjezdní zasedání UIS
Co je to jednotná autentizace Jednoznačná indetifikace uživatele počítačové síti Nahrazení stávajících izolovaných autentizačních mechanizmů jedním centrálním Jediné uživatelské jméno – login a jedno heslo Výjezdní zasedání UIS
Jednotlivé části systému Tabulky SJA a dalších subsystémů UIS (ss,ps, …) Failtable (zdroj dat pro propagátor) Primární LDAP strom Replikované LDAP stromy Propojovací triggery Webové aplikace Propagátor (démon plnící repliky) Duplikátor (úplná synchronizace s primárním stromem) Výjezdní zasedání UIS
Schéma LDAP autentizace Primární LDAP strom Akela Dc=mendelu;dc=cz Ou=people ou=group Dahlia Replikované stromy Učebny WIN Učebny UNIX UIS cluster Další stroje WIN/UNIX Výjezdní zasedání UIS
Použité technologie Databáze UISu Moduly UISu Oracle Internet Directory (primární LDAP strom) OpenLDAP (replikované stromy) Balík dbms_LDAP (podpora LDAP pro PL/SQL) nss_ldap, pam_ldap (Unix) Samba (Win) Výjezdní zasedání UIS
Šíření změn v systému Aktualizace tabulek jiných subsystémů Aktualizace tabulek SJA Promítnutí změn do primárního LDAP stromu Aktualizace LDAP replik Uživatel si snad všimne, že se něco stalo Výjezdní zasedání UIS
LDAP strom Výjezdní zasedání UIS root o=mzlu c=zf c=pef ou=dekanat Emailadr=mirs@zf.mendelu.cz Photo=xxxxx Home=xxxxx UID=xxxx o=mzlu c=zf c=pef ou=dekanat ou=dekanat cn=dedikova cn=soja Výjezdní zasedání UIS
Funkcionalita LDAPu 1 Vyhledávání a čtení Změna záznamů Možnost čtení jednotlivých atributů Vyhledávání v určité oblasti ldapového stromu, popř. zadaných kritérií Změna záznamů Možnost změny existujícího záznamu (atributů a hodnot záznamů Vkládání nových záznamů do adresáře Mazání záznamů z adresáře Výjezdní zasedání UIS
Funkcionalita LDAPu 2 Autentizace Možnost iniciování OIDu a provedení autentizace klienta Několik způsobů autentizace Žádná (anonymous) Jednoduché – heslo + ověření existence ve „stromu“ Složité – založené na veřejném klíči (SLL) Výjezdní zasedání UIS
Oracle Internet Directory (OID) Součást DBS Oracle 9i. Obsahuje PL/SQL package „DBMS_LDAP“, který umožňuje přistupovat k datům uloženým v LDAP serverech. Existuje i API napsaný v jazyce C Pro přistup k LDAPu je nutné: Inicializovat knihovnu a vytvořit novou session Provést příslušné operace Ukončit session Výjezdní zasedání UIS
Systém triggerů plnící LDAP Jsou rozděleny do několika vrstev: Vrstva plnící tabulky systému jednotné autentizace (SJA) z tabulek uživatelů, pracovníků, studentů apod. Transformátor – jedná se o filtr, který vyčítá data z tabulek centrálního přístupového systému (CPS) a plní strukturu OIDu (primárního LDAP serveru) Ládovač – kontaktuje LDAP servery a synchronizuje jejich obsah dle primárního serveru. Data, která se nepodaří sychronizovat uloží do tzv. failtabulky. „Inteligentní vrstva“ – propojí triggery z DUHY, aby bylo možné ovlivnit záznamy z Duhy celý SJA Výjezdní zasedání UIS
Failtabulka Obsahuje údaje o subjektech, které DB vrstva „Ládovač“ nebyla schopna synchronizovat. Následné zpracování failtabulky propagátorem, který záznamy synchronizuje na jiném principu než DB vrstva „Ládovač“. Výjezdní zasedání UIS
Propagátor a duplikátor Démon napsaný v Perlu Plně kofigurovaný z DB Dle failtable propaguje do replik ty změny, které se nepovedly triggerům Duplikátor Program napsaný v Perlu Kompletní synchronizace repliky podle primárního LDAP stromu Spouští se automaticky každou noc nebo ručně po vybudování nové repliky Výjezdní zasedání UIS
Web aplikace Parametry strojů a rodin strojů Globální vlastnosti účtu uživatele Přidělování účtů na strojích a systém žádostí Správa blokování účtů Přehledy A mnoho dalších ….. Výjezdní zasedání UIS
Autentizace na jednotlivých platformách Unix pam_ldap, nss_ldap Zakládání domovských adresářů, quoty Windows Vše přes smabu Novell Zatím nevíme Výjezdní zasedání UIS
Schéma systému Výjezdní zasedání UIS Webaplikace SJA TABULKY SJA Dc=mendelu;dc=cz Ou=people ou=goup TABULKY SJA Triggery Duplikátor TABULKY Ostatních subsystémů Triggery FAILTABULKA LDAP REPLIKY Jiné aplikace i webaplikace Propagátor Výjezdní zasedání UIS
Dotazy ? Výjezdní zasedání UIS