HY-LDAP ja OODI Tietotekniikkaosasto Ismo Aulaskari
HY:n LDAP-hakemisto Keskitetty autentikointi, eroon järjestelmäkohtaisista käyttäjätunnuksista Henkilö- ja organisaatiotiedon hakemisto eri järjestelmien käyttöön Intranet-portaalin työryhmien säilytyspaikka OpenLDAP-palvelin, koodia muokattu hyödyntämään olemassaolevaa Radius-autentikointipalvelinta
Oliopuu Pelkistetty hakemistopuun hierarkia juuri laitokset henkilöt ryhmät
Yhteensopiva tietosisältö LDAP-hakemistototeutusten mukana standardi henkilöattribuutti-skeema Laajennoksena oppilaitoksissa EduPerson-skeema (USA) Suomessa lisänä FunetEduPerson-skeema Helsingin yliopiston oma laajennos HyEduPerson
Tietosisältö..jatkuu HyEduPerson ”perii” kaiken aikaisempien skeemojen tietosisällön Vastaavankaltainen hierarkia on olemassa myös organisaatioyksiköille ja ryhmille
Henkilö-olion sisältöä
Tietolähteet LDAP PROXY (ldap-internal) master dawa oodi NDS yksittäiset tietojärjestelmät ??? …
Päivitysrutiinit Tieto ”valuu” sidosryhmille LDAPin kautta. Henkilöhakemisto ja organisaatiotiedot päivitetään tällä hetkellä kerran vuorokaudessa eri lähteistä Jatkossa tärkeimmät muuttuneet tiedot tullaan synkronoimaan 15 minuutin välein Ryhmät sen sijaan sijaitsevat vain LDAPissa Ryhmien ylläpitoon mm. web-työkaluja
mappi hy-ppp hupNet WebOodi liikuntavaraus www- lomakkeita … HY-portaali Nelli-portaali tilavaraus/MRBS webCT webikioskit eLomake … Virtuaali- yliopiston portaali … Nykyiset käyttäjät LDAP PROXY SHIBBOLETH RADIUS PROXY
PERL-LDAP-synkronointiautomaatti Net::LDAP-moduuli(t) Suojattu yhteys PERLin tiedostotietokannat välitalletuksiin n synkronoitavaa henkilö-oliota
Skriptien yhteistyö tietolähteet LDAP LDAP-muotoisten olioiden luonti levylle olioiden vertailupäivitys LDAP-palvelimelle väliaikaistiedosto rajapintamoduuli attribuuttimoduuli
LDAP-olioiden muodostus Tehdään tietokantahaut eri lähteistä muistiin -> 145MB! Generoidaan jokaiselle käyttäjätunnukselle ldap-olio muuttaen tietolähteiden tiedot ldap-syntaksin mukaisiksi Talletetaan jokainen olio sitä mukaa väliaikaistiedostoon tietolähteet LDAP-muotoisten olioiden luonti levylle
LDAP-palvelimelle kirjoittaminen Väliaikaistiedoston valmistuttua käynnistetään uusi, pieni skripti (tai useampia) Ajetaan oliot tiedostosta yksi kerrallaan LDAP-kyselyillä hakemistopalvelimelle Säästetään muistia, LDAP-serveri pysyy koko ajan käynnissä LDAP olioiden vertailupäivitys LDAP-palvelimelle
Synkronointi, madonluvut Kummankin skriptin lopussa talletetaan tilastot lokiin ja kerätään virheilmoitukset lähetettäväksi ylläpitäjille Aikaa tunnukseen menee 1,5h - 7h ruuhkaisen hakemiston totaalipäivitys (optimoinnit jatkuvat;) Samanlaiset rutiinit yliopiston organisaatiohierarkian luomiselle, sillä erolla että käyttäjätunnus=yksikkökoodi ja kaikkia attribuutteja(päätoimittaja) ei päivitetä. Aikaa menee yliopiston n. 240 yksikköön 1-5min
Tietolähteet - käyttölupakanta Oracle-käyttölupatietokannasta (”master”) LDAP-skriptit saavat henkilötiedot, mm. käyttäjätunnus, hetu, nimi luvan voimassaolot, valtuuksia.. Toimii pohjana muodostettaessa LDAP-muotoisia olioita
Tietolähteet - OODI Haetaan opiskelutiedot tilastokeskuksen koodeina ”pieninä” kyselyinä eri näkymistä Voimassaolevat opiskelijoiden opintokoodit: pää-aineet, koulutusohjelmat vs. valintakiintiöt, suuntautumisvaihtoehdot esim. haetaan kaikki suuntautumisvaihtoehdot ja niihin liittyvät henkilötunnukset Yhdistetään muistissa hetun perusteella kunkin opiskelijan opintotiedoiksi ldap-olioihin
OODI–tiedon hienosäätö Tarvittaessa(joskus oodissa ei ollut kaikille opinnoille tilastokeskuksen koodeja) konvertoidaan HY:n koodeja tk- koodeiksi Käsitellään saadut arvot (duplikaatit pois, lisätään tk- koodeihin etunollia ym.) funetEduPerson-skeeman moniarvoisiksi attribuuteiksi
Lopputulos