LDAP-Gruppen

Das RRZE stellt LDAP-Server zur Authentifizierung von Linux Systemen, die von IT-Betreuern in Eigenverantwortung genutzt werden können (siehe auch Installation des rrzelinux CLI Tools). Um ebenfalls eine sinnvolle Authorisierung basierend auf Gruppenmitgliedschaften nutzen zu können bietet das RRZE die Möglichkeit Gruppen nach Ihren Vorgaben einzurichten und zu befüllen (automatisch oder manuell).

Weitere Informationen zu diesem Thema enthält auch der passende BI-Artikel unter
https://www.rrze.fau.de/2020/01/rechteverwaltung-im-idm-grueppchenbildung-leicht-gemacht/.

Beantragung

Neue Gruppen oder Änderungen von bestehenden Gruppen können von einem IT-Betreuer (siehe https://www.rrze.fau.de/infocenter/rahmenbedingungen/it-beauftragte/) per Mail an rrze-linux@fau.de beantragt werden.

Bitte senden Sie zur Beantragung einer neuen Gruppe immer die Folgenden Angaben mit:

  1. Gruppenname nach Namensschema
  2. Regelwerk zur Befüllung der Gruppe
  3. Zu aktivierende Zielsysteme — Windows (FAUAD) und/oder Linux (linuxldap)

Wir werden ihre Anfrage dann schnellstmöglich bearbeiten.
Genauere Erläuterungen zu den einzelnen Punkten finden Sie in den Folgenden Abschnitten.

Um die Übersicht für IT-Betreuer an dieser Stelle zu verbessern ist bereits eine Weboberfläche in Entwicklung, um die bestehenden Gruppen samt Regelwerken sichtbar zu machen.
Es ist ebenfalls geplant die Möglichkeit für IT-Betreuer zu schaffen einfache Änderungen selbst durchzuführen.

Beispiele/Vorlagen

Hier werden kurz einige Mail Beispiele aufgeführt die Sie gerne als Vorlage verwenden können, um eine neue Gruppe oder Änderungen an einer bestehenden Gruppe an uns zu übermitteln.

Gruppe für alle Beschäftigten an Einrichtung/Präfix XYZ (Windows+Linux)

Gruppenname: xyz_employee
Regel zu Befüllung: 
    - Nutzergruppe: "Beschäftigte"
    - OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Windows, Linux

Gruppe für alle Hilfkräfte an Eintrichtung/Präfix XYZ (nur Windows)

Gruppenname: xyz_assistant
Regel zu Befüllung: 
    - Nutzertypen: 
        - "Studentische Hilfskräfte" 
        - "Wissenschaftliche Hilfskräfte"
    - OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Windows

Gruppe für Whitelist zusammen mit OrgEinheit (nur Linux)

Gruppenname: xyz_project_x
Regel zu Befüllung: 
    - Whitelist: abcdefg, hijklmn, opqrst, uvwxyz
    - OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Linux

1.Name

Alle Gruppennamen müssen der Bildungsregel [PRÄFIX]_[GRUPPENNAME] folgen.

Präfixe

Es handelt sich dabei, um dieselben Präfixe, die auch zur Bildung von Mailadressen und im Active Directory der FAU (FAUAD) zum Einsatz kommen.
Weitere Informationen zum Einsatz und zur Beantragung von Präfixen finden Sie unter https://www.rrze.fau.de/internet-e-mail/e-mail/funktionsadressen/nicht-personenbezogene-e-mail-adressen/.
Nur in dieser Form beim RRZE beantragte und genehmigte Präfixe sind zur Anlage von Gruppen verwendbar.

Sollten Sie noch kein Präfix besitzen, dass Verwaltung ihrer Gruppen verwendet werden kann, so müssen Sie dieses ggf. noch beantragen.

Gruppenname

Der Namensteil kann grundsätzlich frei gewählt werden, unterliegt aber folgende Einschränkungen

  • Die Gesamtlänge (Präfix + ‚_‘ + Gruppenname) darf 80 Zeichen nicht überschreite
  • Es dürfen keine Leer- oder Sonderzeichen verwendet werden
    Sonderzeichen sind: * \ $ ! \* ' " & ( ) \[ ] { } / # + = : ; | < > ? , ä ö ü (Umlaute), ß (scharfes s)

Gruppennamen sind jederzeit änderbar.
Die Attribute gidNumber und Windows SID werden sich bei einer Umbenennung nicht ändern.

3.Regelwerk

Das Regelwerk bestimmt welche Kennungen der Gruppe hinzugefügt werden sollen.
Die Auswertung  der hinterlegten Regeln wird durch unser IdM-System im Hintergrund erledigt und Ihre Gruppenmitgliedschaften somit automatisch aktuell gehalten.
Grundsätzlich können auch komplexe Regelwerke hinterlegt werden, in der Praxis lassen sich die meisten Anforderungen aber mit wenigen Bausteinen abdecken.
Im Folgenden werden einige der am häufigsten verwendeten Bausteine kurz vorgestellt.
Sollten Sie komplexere Anforderungen haben, besprechen Sie diese gerne mit uns persönlich oder stellen Sie Ihre Frage per Mail an rrze-linux@fau.de.

Organisationseinheiten

Ein grundlegender Baustein beftrifft die Einschränkung auf Personen mit einer Zugehörigkeit zu Ihrer Organisationseinheit.
Gemeint ist hier letztendendlich die FAU.org Nummer Ihrer Organisationseinheit (siehe auch https://www.rrze.fau.de/medien-entwicklung/daten-systemintegration/fau-org/). Manchmal wird als Synonym auch „Kostenstelle“ verwendet (obwohl das nicht ganz dasselbe ist).
Am besten ist es uns direkt Ihre FAU.org Nummer zu nennen, falls Sie diese kennen.
Normalerweise können wir auch über den Namen Ihrer Einrichtung an der FAU selbst herausfinden, wie die entsprechende FAU.org Nummer lautet.
Falls Sie sicher gehen möchten nennen Sie uns am besten beides:
  • Einrichtungsname und
  • FAU.org Nummer (falls bekannt)

Da die Organisationsstruktur an der FAU hierarchisch organisiert ist, ist es zudem wichtig anzugeb, ob jeweils die exakte Organisationseinheit oder auch alle darunter gemeint sind.

Nutzergruppen/-typen

Nach Festlegung der Organisationseinheit ist eigentlich immer eine zusätzliche Einschränkung auf einen bestimmten Personenkreis gewünscht, um beispielsweise Gruppen mit allen Mitarbeitern oder den Hilfskräften zu erstellen.
Bitte beachten Sie dazu die Übersicht der verfügbaren Nutzgruppen/Nutzertypen unter
https://www.idm.fau.de/dsms/docs/affiliations

Beachten Sie bitte das die Unterscheidung zwischen Nutzergruppe (grob) und Nutzertyp (fein).

Spezialfall: Studierende

Mitglieder der Nutzergruppe „Studierende“ sind im FAU.org Baum alle der Einheit „(90 00 00 00 00) Studierende“ zugeordnet.
Falls Sie eine Gruppe mit Studierenden erstellen möchten ist eine Filterung derzeit meist nur auf Studiengänge möglich.

Kontaktieren Sie uns in jedem Fall gerne mit Ihrem Anliegen (rrze-linux@fau.de), damit wir Sie entsprechend beraten und ggf. eine Lösung finden können.

Whitelists

Hier können Sie uns eine Liste von Kennungen geben, die wir einfach als Mitglieder der Gruppe eintragen.
Das ist die unschönste Variante, da hier ständige manuelle Pflege erforderlich ist, aber manchmal lässt sich wohl nicht vermeiden.

Verknüpfen Sie die Whitelist mit zusätzlichen Kriterien, wie der Organisationseinheit und/oder den Nutzergruppen/-typen, so werden Kennungen wenigstens trotzdem automatisch aus der Gruppe entfernt, sobald beispielsweise ein Mitarbeiter Ihre Einrichtung verlässt.

Da es leider noch keine Möglichkeit gibt, dass Sie als „IT-Betreuer“ die Whitelist selbst pflegen können müssen Sie uns Änderungen per Mail an rrze-linux@fau.de mitteilen. Alle Änderungen werden dann für gewöhnlich innerhalb einer Stunde von uns eingepflegt.

3.Zielsysteme

Alle Gruppen werden zentral in unserem IdM-System verwaltet und nach den jeweilig verknüpften Regelwerken befüllt. Das Ergebnis dieser Berechnung wird dann in den ausgewählten Zielsystem aktualisiert.

Als Zielsysteme stehen Ihnen aktuell

  • die FAUAD für Windows-Systeme (ActiveDirectory) und
  • der LINUXLDAP für Linux-Systeme (OpenLDAP)

zur Auswahl.

Die Provisionierung der Gruppen kann nach Ihren Vorgaben in beide oder auch nur ein Zielsystem erfolgen.
Diese Einstellung kann jederzeit angepasst werden.

Bitte beachten Sie, das ein deaktivieren und späteres re-aktivieren des Zielsystems FAUAD zur Neuanlage der Gruppe führt, wobei sich die Windows SID ändert.