LDAP-Gruppen

Das RRZE stellt LDAP-Server zur Authentifizierung von Linux-Systemen, die von IT-Betreuern in Eigenverantwortung genutzt werden können (siehe auch Installation des rrzelinux CLI Tools). Um ebenfalls eine sinnvolle Autorisierung basierend auf Gruppenmitgliedschaften nutzen zu können, bietet das RRZE die Möglichkeit Gruppen nach Ihren Vorgaben einzurichten und zu befüllen (automatisch oder manuell).

Weitere Informationen zu diesem Thema enthält auch der passende BI-Artikel unter
https://www.rrze.fau.de/2020/01/rechteverwaltung-im-idm-grueppchenbildung-leicht-gemacht/.

Beantragung

Neue Gruppen oder Änderungen bestehender Gruppen können von einem IT-Betreuer (siehe https://www.rrze.fau.de/infocenter/rahmenbedingungen/it-beauftragte/) per E-Mail an rrze-linux@fau.de beantragt werden.

Bitte senden Sie zur Beantragung einer neuen Gruppe immer die folgenden Angaben mit:

  1. Gruppenname nach Namensschema
  2. Regelwerk zur Befüllung der Gruppe
  3. Zu aktivierende Zielsysteme — Windows (FAUAD) und/oder Linux (linuxldap)

Wir werden Ihre Anfrage dann schnellstmöglich bearbeiten.
Genauere Erläuterungen zu den einzelnen Punkten finden Sie in den folgenden Abschnitten.

Um die Übersicht für IT-Betreuer an dieser Stelle zu verbessern, ist bereits eine Weboberfläche in Entwicklung, um die bestehenden Gruppen samt Regelwerken sichtbar zu machen.
Es ist ebenfalls geplant, die Möglichkeit für IT-Betreuer zu schaffen, einfache Änderungen selbst durchzuführen.

Beispiele/Vorlagen

Hier werden kurz einige E-Mail-Beispiele aufgeführt, die Sie gerne als Vorlage verwenden können, um eine neue Gruppe oder Änderungen an einer bestehenden Gruppe an uns zu übermitteln.

Gruppe für alle Beschäftigten an Einrichtung/Präfix XYZ (Windows+Linux)

Gruppenname: xyz_employee
Regel zu Befüllung: 
    - Nutzergruppe: "Beschäftigte"
    - OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Windows, Linux

Gruppe für alle Hilfskräfte an Einrichtung/Präfix XYZ (nur Windows)

Gruppenname: xyz_assistant
Regel zu Befüllung: 
    - Nutzertypen: 
        - "Studentische Hilfskräfte" 
        - "Wissenschaftliche Hilfskräfte"
    - OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Windows

Gruppe für Whitelist zusammen mit OrgEinheit (nur Linux)

Gruppenname: xyz_project_x
Regel zu Befüllung: 
    - Whitelist: abcdefg, hijklmn, opqrst, uvwxyz
    - OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Linux

1.Name

Alle Gruppennamen müssen der Bildungsregel [PRÄFIX]_[GRUPPENNAME] folgen.

Präfixe

Es handelt sich dabei um dieselben Präfixe, die auch zur Bildung von E-Mail-Adressen und im Active Directory der FAU (FAUAD) zum Einsatz kommen.
Weitere Informationen zum Einsatz und zur Beantragung von Präfixen finden Sie unter https://www.rrze.fau.de/internet-e-mail/e-mail/funktionsadressen/nicht-personenbezogene-e-mail-adressen/.
Nur in dieser Form beim RRZE beantragte und genehmigte Präfixe sind zur Anlage von Gruppen verwendbar.

Sollten Sie noch kein Präfix besitzen, das zur Verwaltung Ihrer Gruppen verwendet werden kann, muss dieses noch beantragt werden.

Gruppenname

Der Namensteil kann grundsätzlich frei gewählt werden, unterliegt aber folgenden Einschränkungen

  • Die Gesamtlänge (Präfix + ‚_‘ + Gruppenname) darf 80 Zeichen nicht überschreiten
  • Es dürfen keine Leer- oder Sonderzeichen verwendet werden
    Sonderzeichen sind: * \ $ ! \* ' " & ( ) \[ ] { } / # + = : ; | < > ? , ä ö ü (Umlaute), ß (scharfes s)

Gruppennamen sind jederzeit änderbar.
Die Attribute gidNumber und Windows SID werden sich bei einer Umbenennung nicht ändern.

3.Regelwerk

Das Regelwerk bestimmt, welche Kennungen der Gruppe hinzugefügt werden sollen.
Die Auswertung der hinterlegten Regeln wird durch unser IdM-System im Hintergrund erledigt und Ihre Gruppenmitgliedschaften somit automatisch aktuell gehalten.
Grundsätzlich können auch komplexe Regelwerke hinterlegt werden, in der Praxis lassen sich die meisten Anforderungen aber mit wenigen Bausteinen abdecken.
Im Folgenden werden einige der am häufigsten verwendeten Bausteine kurz vorgestellt.
Sollten Sie komplexere Anforderungen haben, besprechen Sie diese gerne mit uns persönlich oder stellen Sie Ihre Frage per E-Mail an rrze-linux@fau.de.

Organisationseinheiten

Ein grundlegender Baustein betrifft die Einschränkung auf Personen mit einer Zugehörigkeit zu Ihrer Organisationseinheit.
Gemeint ist hier letztendlich die FAU.org Nummer Ihrer Organisationseinheit (siehe auch https://www.rrze.fau.de/medien-entwicklung/daten-systemintegration/fau-org/). Manchmal wird als Synonym auch „Kostenstelle“ verwendet (obwohl das nicht ganz dasselbe ist).
Am besten ist es uns direkt Ihre FAU.org Nummer zu nennen, falls Sie diese kennen.
Normalerweise können wir auch über den Namen Ihrer Einrichtung an der FAU selbst herausfinden, wie die entsprechende FAU.org Nummer lautet.
Falls Sie sicher gehen möchten nennen Sie uns am besten beides:
  • Einrichtungsname und
  • FAU.org Nummer (falls bekannt)

Da die Organisationsstruktur an der FAU hierarchisch organisiert ist, ist es zudem wichtig anzugeben, ob jeweils die exakte Organisationseinheit oder auch alle darunter gemeint sind.

Nutzergruppen/-typen

Nach Festlegung der Organisationseinheit ist eigentlich immer eine zusätzliche Einschränkung auf einen bestimmten Personenkreis gewünscht, um beispielsweise Gruppen mit allen Mitarbeitern oder den Hilfskräften zu erstellen.
Bitte beachten Sie dazu die Übersicht der verfügbaren Nutzergruppen/Nutzertypen unter
https://www.idm.fau.de/dsms/docs/affiliations

Beachten Sie bitte die Unterscheidung zwischen Nutzergruppe (grob) und Nutzertyp (fein).

Spezialfall: Studierende

Mitglieder der Nutzergruppe „Studierende“ sind im FAU.org-Baum der Einheit „(90 00 00 00 00) Studierende“ zugeordnet.
Falls Sie eine Gruppe mit Studierenden erstellen möchten, ist eine Filterung derzeit meist nur auf Studiengänge möglich.

Kontaktieren Sie uns in jedem Fall gerne mit Ihrem Anliegen (rrze-linux@fau.de), damit wir Sie entsprechend beraten können und eine Lösung finden.

Whitelists

Hier können Sie uns eine Liste von Kennungen geben, die wir einfach als Mitglieder der Gruppe eintragen.
Das ist die unschönste Variante, da hier ständige manuelle Pflege erforderlich ist, aber manchmal lässt sich wohl nicht vermeiden.

Verknüpfen Sie die Whitelist mit zusätzlichen Kriterien, wie der Organisationseinheit und/oder den Nutzergruppen/-typen, so werden Kennungen wenigstens trotzdem automatisch aus der Gruppe entfernt, sobald beispielsweise ein Mitarbeiter Ihre Einrichtung verlässt.

Da es leider noch keine Möglichkeit gibt, als „IT-Betreuer“ die Whitelist selbst pflegen zu können, müssen Sie uns Änderungen per E-Mail an rrze-linux@fau.de mitteilen. Alle Änderungen werden dann gewöhnlich binnen einer Stunde von uns eingepflegt.

3.Zielsysteme

Alle Gruppen werden zentral in unserem IdM-System verwaltet und nach den jeweilig verknüpften Regelwerken befüllt. Das Ergebnis dieser Berechnung wird dann in den ausgewählten Zielsystemen aktualisiert.

Als Zielsysteme stehen Ihnen aktuell

  • die FAUAD für Windows-Systeme (ActiveDirectory) und
  • der LINUXLDAP für Linux-Systeme (OpenLDAP)

zur Auswahl.

Die Provisionierung der Gruppen kann nach Ihren Vorgaben in beide Zielsystem oder auch nur in ein Zielsystem erfolgen.
Diese Einstellung kann jederzeit angepasst werden.

Bitte beachten Sie, dass ein Deaktivieren und späteres Reaktivieren des Zielsystems FAUAD zur Neuanlage der Gruppe führt, wobei sich die Windows SID ändert.