Bendra LABT vartotojų DB ir SSO

EUROPOS SĄJUNGA

2023 metų balandžio mėnesio 21 diena, Kaunas

Bendra Bendra LABT LABT vartotojų DB ir vartotojų DB ir SSOSSO

Saulius Grigonis

VDDB ekspertas

Bendra LABT vartotojų DB ir SSOBendra LABT vartotojų DB ir SSOEUROPOS SĄJUNGA

Bendra LABT vartotojų DBBendra LABT vartotojų DB

Lietuvos VDDB ir LVB sujungimas su Lietuvos mokslo ir studijų informacijos sistema


LDAP katalogas, kodėl?LDAP katalogas, kodėl?

Centralizuotas informacijos katalogas, saugantis įvairiai struktūrizuotą informaciją apie:

Vartotojus Institucijas ir jų padalinius Teikiamas paslaugas

Standartizuoti prieigos protokolai

Integracija su kitomis sistemomis

Vartotojų identifikavimas ir prieigos teisių kontrolė (authentification/autorization)

Saugomos informacijos prieigos kontrolė

Replikavimas (nepertraukiamo darbo užtikrinimas)




LDAP – Kas tai?LDAP – Kas tai? LDAP - Lightweight Directory Access Protocol

(Supaprastintas prieigos prie Informacijos katalogo (Direktorijos) protokolas) LDAP katalogą apibrėžiantys modeliai:

Informacijos (Information) Informacijos struktūros kurios saugomos LDAP kataloge

Įvardinimo (Naming) Kaip informacija yra išdėstyta (organized) ir identifikuojama LDAP kataloge

Funkcionalumo (Functional) Kokios operacijos/veiksmai gali būti atliekamos su informacija saugoma LDAP

kataloge Saugumo (Security)

Kaip informacija, kuri saugoma LDAP kataloge, yra apsaugota nuo nesankcionuotos prieigos

LDAP serveris – programinė įranga realizuojanti LDAP katalogo funkcijas

openLDAP 2.x.x (Atviro kodo PĮ) RedHat/Fedora Directory Server (buvęs Netscape Directory Server) Microsoft Active Directory Sun Java System Directory Server Novel NDS eDirectory eTrust Directory Oracle Directory Services iPlanet Directory Server



LDAP – Kam tai?LDAP – Kam tai?

LDAP katalogas – tai vieninga, hierarchiškai organizuota, įvairiai struktūrizuotos informacijos, talpykla kuri skirta (ar gali būti naudojama): Informacijos apie įvairius objektus saugojimui:

Informacija apie asmenį (personą) Informacija apie organizaciją Informacija apie organizacijos padalinį Informacija apie įrenginį ar paslaugą ir t.t.

Vieningai vartotojų autentifikacijai (indentifikacijai) (Vienodi prisijungimo duomenys įvairiuose sistemose)

Vieningai vartotojų autorizacijai (vartotojų teisių apibrėžimas informacijos sistemos(-ų), naudojančios(-ių) LDAP katalogą, ribose)

Pvz.: SSO (Single Sign-On) sistemos



LDAP – Kaip tai?LDAP – Kaip tai?

LDAP Objektų klasės Unikalus klasės identifikatorius (OID – Object ID) Klasės pavadinimas (pvz., ltuLABT) Objektą apibūdinančių atributų visuma

LDAP Objektų klasių atributai Unikalus atributo identifikatorius

(OID – Object ID) Atributo pavadinimas

(pvz., ltuLABTAlephInterfaceLanguage) Atributo sintaksę apibūdinantis unikalus identifikatorius

(Apibrėžtas naudojamo LDAP katalogo programinės įrangos)



LDAP schemaLDAP schema

LDAP kataloge numatomų saugoti objektų klasės (aprašai, kurie atitinka naudojamo LDAP katalogo programinės įrangos specifikacijas)

Atributai, kurie naudojami sudarant saugojamų objektų struktūra (taip pat aprašyti naudojamo LDAP katalogo programinės įrangos specifikacijas)



LABT LDAP schemaLABT LDAP schema Objektai

Person (Asmuo) eduPerson objekto klasė labtALEPH objekto klasė labtPDB objekto klasė eLABa objekto klasė

Institucijos ir jų padaliniai Paslaugos

LDAP Katalogo hierarchija: dc=library, dc=lt (DC - Directory context/container)

library.lt kontekstas dc=users, dc=library, dc=lt – Informacijos apie vartotojus kontekstas

Vartotojai unikaliai identifikuojami „uid“ atributu, kartu įtraukiant ir instituciją (universitetą, kolegiją, institutą, ...) :

Pvz.: uid=vartotojas, o=VPU, dc=users, dc=library, dc=lt

dc=org, dc=library, dc=lt – Informacijos apie institucijas kontekstas dc=pdb, dc=library, dc=lt – LABT PDB kontekstas dc=services, dc=library, dc=lt – LABT paslaugų kontekstas ir daug įvairių kitų, pvz., LABT/eLABa/LABT PDB teikiami servisai



LABT LDAP schemaLABT LDAP schema

dc=library,dc=ltdc=org

dc=pdb

dc=users

uid=XXX

uid=YYY

uid=WWW

uid=ZZZ

uid=XXX

uid=YYY

uid=WWW

uid=ZZZ

o=KTU

o=KTU

o=KTU

o=VPU

o=VPUo=VPU

ou=IFou=DI

pdbseq=Y

pdbseq=X

ou=ITDC



LABT LDAP schema – katalogoLABT LDAP schema – katalogo struktūrastruktūra

Siūloma LABT LDAP katalogo struktūra: Institucijos:

dc=org, dc=library, dc=lt o=KTU, dc=org, dc=library,dc=lt

(Kauno technologijos universitetas) ou=IF, o=KTU, dc=org, dc=library,dc=lt

(KTU Informatikos fakultetas) Vartotojai

dc=users, dc=library, dc=lt o=KTU

uid=user1, o=KTU, dc=users, dc=library, dc=lt o=VPU

uid=user1, o=VPU, dc=users, dc=library, dc=lt

…



LABT LDAP schema LABT LDAP schema (atributo apibrėžimas)(atributo apibrėžimas)

attributetype

( 1.3.6.1.4.1.5555.1.1.1

NAME 'ltuLABTAlephUID'

DESC 'ALEPH500 Borrower ID'

EQUALITY caseIgnoreMatch

SUBSTR caseIgnoreSubstringsMatch

SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{12}

SINGLE-VALUE

)



LABT LDAP schema LABT LDAP schema (klasės apibrėžimas)(klasės apibrėžimas)

# LTU LABT EDU Person

objectclass ( 1.3.6.1.4.1.5555.1.2

NAME 'ltuLABT'

STRUCTURAL

MUST

(

cn $ gn $ sn $

uid $ userPassword

)

MAY

( ltuLABTAlephUID $ ltuLABTAlephVerification $

ltuLABTMetalibInstitute $ ltuLABTMetalibPortal $ ltuLABTMetalibGroup $

ltuLABTAlephName $ ltuLABTAlephTitle $ ltuLABTAlephAcademicalStatus $

ltuLABTAlephAddress $ ltuLABTAlephZIP $ ltuLABTAlephEmail $

ltuLABTAlephPhone-1 $ ltuLABTAlephPhone-2 $ ltuLABTAlephPhone-3 $ ltuLABTAlephPhone-4 $

ltuLABTAlephInterfaceLanguage $ ltuLABTAlephExpiryDate )

)



LDAP importo failasLDAP importo failas(ldiff formatas)(ldiff formatas)

# library.lt

dn: dc=library,dc=lt

objectClass: top

objectClass: dcObject

objectClass: organization

dc: library

o: KTU ITDC

# admin, library.lt

dn: cn=admin,dc=library,dc=lt

objectClass: simpleSecurityObject

objectClass: organizationalRole

cn: admin

description: LDAP administrator

ou: KTU ITDC BPIS

userPassword:: e01ENX1PTUdObDZwS2JiWTkxdUhpQkZ1Ny9nPT0=




# VPU, org, library.lt

dn: o=VPU,dc=org,dc=library,dc=lt

o: VPU

objectClass: organization

# vpuuser, VPU, org, library.lt

dn: uid=vpuuser,o=VPU,dc=org,dc=library,dc=lt

uid: vpuuser

sn: VPU

cn: vpuuser

objectClass: inetOrgPerson

userPassword:: e01ENX12RzZSSDdMalJhRC82NktmRDV3eWtBPT0=




# tracer, KTU, users, library.lt

dn: uid=tracer,o=KTU,dc=users,dc=library,dc=ltcn: Saulius Grigonis

givenName: Saulius

sn: Grigonis

uid: tracer

ltuLABTAlephUID: 009000006828

objectClass: ltuLABT

userPassword:: e01ENX11TTRZK01XL1NzU3hjV2puTWlvV3h3PT0=

ltuLABTAlephEmail: [email protected]

ltuLABTAlephZIP: 50231

ltuLABTMetalibInstitute: LABT

ltuLABTMetalibPortal: LABT

ltuLABTMetalibGroup: ALL

ltuLABTAlephName: Saulius Grigonis

ltuLABTAlephAcademicalStatus: Staff

ltuLABTAlephPhone-1: +37037300635

ltuLABTAlephPhone-2: +37069883197

ltuLABTAlephInterfaceLanguage: LIT

ltuLABTAlephExpiryDate: 20080101



SSO SSO (Single Sign-On)(Single Sign-On)

SSO – tai sprendimų visuma, užtikrinanti galimybę vartotojui vieną kartą save identifikavus naudotis visomis teikiamomis paslaugomis,

išvengiant pakartotinio identifikavimo(jei vartotojui suteiktos teisės naudotis tomis paslaugomis)



Egzistuojantys SSO sprendimaiEgzistuojantys SSO sprendimai

Ex Libris PDS Shibboleth

(http://shibboleth.internet2.edu/)

Enterprise Sign On Engine (http://www.esoeproject.org/)

Clickshare Service Corp (http://www.clickshare.com/aboutus)

A-Select(http://www.a-select.org/)

CoSign(http://www.umich.edu/~umweb/software/cosign/faq.html)

JOSSO(http://www.josso.org/)


Shibboleth, kodėl?Shibboleth, kodėl?

Atvirojo kodo PĮ

Plačiai naudojamų standartų taikymas (SAML, SSL, LDAP)

Plačios funkcionalumo plėtimo galimybės

Integracija su LDAP katalogu

Integracija su Ex Libris produktais: MetaLib 4.x (PDS)

ALEPH 500 v. 18 (PDS)

SFX

Integracija su eLABa talpyklos PĮ (Fedora)




ProblemosProblemos

Nėra pilnai detalizuoti poreikiai kokią informaciją būtina saugoti LDAP kataloge (įvertinant visų naudojamų informacijos sistemų poreikius)

Iki galo nėra aišku, ar tikslingai pasirinkta struktūrinių duomenų hierarchija (kokia galimybė išvengti duomenų dubliavimo?)

Nėra patogių įrankių, skirtų informacijos, esančios LDAP kataloge, valdymui (management)



[email protected]

Ačiū už dėmesį

Documents

Bendra LABT vartotojų DB ir SSO