Käyttäjähallinto, LDAP, Shibboleth ja VETUMA Tietotekniikkaosasto Ismo Aulaskari 13.2.2007.

Esitys aiheesta: "Käyttäjähallinto, LDAP, Shibboleth ja VETUMA Tietotekniikkaosasto Ismo Aulaskari 13.2.2007."— Esityksen transkriptio:

1 Käyttäjähallinto, LDAP, Shibboleth ja VETUMA Tietotekniikkaosasto Ismo Aulaskari 13.2.2007

2 LDAP HY:n keskitetty tunnistaminen Radiuksen päälle rakennetun LDAP-käyttäjähakemiston (ldap-internal) varassa Standardeja noudattava, laajalti tuettu ja yksinkertainen tunnistamistapa joka on helposti lisättävissä omiin sovelluksiin Luotettavuus kehittynyt kahdentamisen myötä. Toimii eri tietojärjestelmille käyttäjätietojen selauspaikkana

3 LDAP: tiedon kaatopaikka? Laaja, kustomoitava ja dokumentoitu tietosisältö Tieto valuu ldap-internaliin muista tietojärjestelmistä, ldap- lähtöistä tietoa pyritään välttämään jo ylläpitosyistä Tarkoitus on pysyä olennaisessa, ydintoimintaa tukevassa tiedossa Jokainen Almassa näkyvä työryhmä(ja muutama muukin) löytyy ldap-internalista Tiedot synkronoituvat ldapiin viimestään vuorokauden sisällä

4 LDAP-hyödyntämisen alkuun uid=kasitunnus=yksiselitteinen hakukriteeri Jokaisella tunnistautuneella käyttäjällä oikeus lukea omat tietonsa Organisaatioyksiköt julkisesti luettavissa Vastuuhenkilöillä lukuoikeudet omien ryhmien jäsenlistoihin atk-ldap-palveluosoite auttaa ongelmissa konsultointi vianetsintä esimerkkikoodi

5 LDAP-käyttäjätiedot Laaja sisältö, päämääränä auktorisointi/järjestelmäintegraatio Kansallinen ja kansainvälinen sanasto mm. Shibboleth- käyttöön HY:n sisäiset koodit, käyttölupatekniset tiedot POSIX-tuki Roolit, laskutustunnukset(työ- ja oppilaitokset), ryhmäjäsenyydet, asiointikieli, syntymäaika.. Vanhojen sovellusten huomattava siirtyä FunetEduPerson - attribuuttien käytössä version 2.0 mukaisiin attribuutteihin..kohti yleiseurooppalaista skeemaa ja järkevää laajennettavuutta Koko funetEduPerson 1.0 meni uusiksi

6 LDAP-hierarkia

7 Oikeaoppiseen LDAP-käyttöön Tunnistaminen onnistuu vain salatun yhteyden yli Myös LDAP-palvelin syytä tunnistaa HY-CA-sertifikaatin avulla Tunnistaminen tehdään bind-operaatiolla, salasanavertailut yms. epästandardit lähestymistavat ei toimi Hakemisto tarkoitettu yksittäisen käyttäjän autentikointiin käyttäjän suostumuksella(salasana-autentikointi) Haetaan vain tarvittavat käyttäjän tiedot

8 Oikeaoppinen käyttö - optimointi Hakemisto optimoitu vain yleisimpiin yhden käyttäjän autentikointikyselyihin, tapauskohtaisesti voidaan optimoida muitakin kyselyitä indeksoimalla Eräajo-luonteisiin laajempiin kyselyihin voi pyytää vahvemmat lukuoikeudet omaavaa tunnusta, todennäköisesti joku SQL-näkymä olisi tällöin parempi tietolähde Tarkemmat kyselyt parantavat tuloksia :)

9 Oikeaoppinen käyttö - varjotietokannat Keskitetty tunnistaminen tarkoittaa että tieto saadaan keskitetysti ldap-internalista, eli tietoa ei tarvitse synkronoida asiakasjärjestelmän omaan tietokantaan ajantasaisuus ldap-internalin kuormitus luotettavuus välimuistin käyttö on kuitenkin aina hyvä idea LDAP-protokollan yli ldap-internal sallii maksimissaan 500 objektia palauttavat kyselyt(yliopiston 50 000 käyttäjästä), sivutus on toteutettava itse

10 LDAP-ryhmillä auktorisointi Tunnistaminen on vasta alkua, käyttäjän attribuuteilla kuten rooleilla ja ryhmäjäsenyyksillä voi kontrolloida pääsyä asiakasjärjestelmiin Kaksisuuntaiset ryhmäjäsenyydet uutuutena Valtuusryhmiä voi luoda käsin Almassa(työryhmät) Voi myös hyödyntää automaatin ylläpitämiä laitos-/tdk- /rooliryhmä suoraan tai lisäämällä sellaisen almaryhmään Vuorokauden päivitysviive! Sitten vain autentikoinnin yhteydessä katsotaan onko käyttäjä tuon ryhmän jäsen

11 Dokumentaatiota on http://www.helsinki.fi/atk/luvat/ldap/ Hakemiston rakenne Attribuuttikuvaukset Artikkeleita Uutiset mitä muuta?

12 Shibboleth Luottamusverkostopohjainen käyttäjän tunnistaminen Internet2:n avoimella lisenssillä julkaistu Java/C++-sovellus Kasvaa ja kehittyy SAML 2.0-yhteensopivuuden myötä HY:n Shibboleth-identiteetintarjoaja ohjaa kirjautumisen LDAPiin (tai jopa VETUMAan) HY:llä käytössä vuodesta 2003 kansallinen HAKA-federaatio 2006: HY:n sisäinen federaatio 2006: Muiden organisaatioiden Shibboleth-idp-hostaus Pelkkää LDAP-tunnistamista huomattavasti vaikeampi pystyttää, mutta monessa asiassa parempi

13 Shibboleth, käyttäjähallinnon tulevaisuus Ideaalimenetelmä www-tunnistamiseen Autentikointimenetelmän ulkoistaminen keskittämällä Valinnaisia autentikointitapoja Yhdellä tunnuksella ja salasanalla/muulla varmenteella pääsy vaikka kaikkiin maailman tietojärjestelmiin Käyttäjä hyväksyy itse tietojensa luovuttamisen kohdepalvelulle Sessiot Muitten oppilaitosten tunnuksilla HY:n palveluun Kyky hakea auktorisointitietoja useasta rinnakkaisesta lähteestä

14 Nyt kaikki palvelua shibboloimaan Asennetaan Apache-www-palvelin ja Shibboleth- autentikointimoduuli Liiitytään johonkin luottamusverkostoon(sopimukset, yhteiset tietosisällöt, palvelinvarmenteet) Palveluun saapuva käyttäjä ohjataan tunnistautumaan kotiorganisaatioonsa tai aina HY:n login-palvelimeen

15 Shibboleth ja allaoleva palvelu Shibboleth-moduuli palauttaa palvelulle onnistuneesta käyttäjän tunnistamisesta käyttäjän tiedot ympäristömuuttujina ja sessiopiparit HY:n luottamusverkostossa kaikki ldap-internalin käyttäjäkohtaiset tiedot käytettävissä esim. ryhmä-auktorisointi (Ohjelmistojakelu) Lisäksi olemassa liityntä SQL-tietokantojen tiedoille (esim. Oodi)

16 Shibboleth-dokumentaatio Sivusto julkaistu ja kehitteillä http://www.helsinki.fi/atk/luvat/shibboleth/ Palvelun Shibbolointiohje HY:n sisäisestä federaatiosta linkkejä kansalliseen ja kansainväliseen dokumentaatioon..

17 VETUMA Autentikointiportaali, joka tukee monia vahvan tunnistamisen menetelmiä sähköinen henkilökortti, pankkitunnukset, mobiilivarmenne HY:llä julkaistu avoin toteutus VETUMA- autentikointirajapinnasta http://www.helsinki.fi/~aulaskar/tietos/vetuma/ VETUMAa hyödyntäviä sovelluksia salasananvaihtopalvelu (pian) uusien opiskelijoiden lupien luonti (syksyksi?)