Das RRZE stellt LDAP-Server zur Authentifizierung von Linux-Systemen, die von IT-Betreuern in Eigenverantwortung genutzt werden können (siehe auch
Installation des rrzelinux CLI Tools). Um ebenfalls eine sinnvolle Autorisierung basierend auf Gruppenmitgliedschaften nutzen zu können, bietet das RRZE die Möglichkeit Gruppen nach Ihren Vorgaben einzurichten und zu befüllen (automatisch oder manuell).
Beantragung
Neue Gruppen oder Änderungen bestehender Gruppen können von einem IT-Betreuer (siehe https://www.rrze.fau.de/infocenter/rahmenbedingungen/it-beauftragte/) per E-Mail an rrze-linux@fau.de beantragt werden.
Neue Präfixe sind per Mail an praefix@fau.de zu beantragen.
Bitte senden Sie zur Beantragung einer neuen Gruppe immer die folgenden Angaben mit:
- Gruppenname nach Namensschema
- Regelwerk zur Befüllung der Gruppe
- Zu aktivierende Zielsysteme — Windows (FAUAD) und/oder Linux (linuxldap)
Wir werden Ihre Anfrage dann schnellstmöglich bearbeiten.
Genauere Erläuterungen zu den einzelnen Punkten finden Sie in den folgenden Abschnitten.
Um die Übersicht für IT-Betreuer an dieser Stelle zu verbessern, ist bereits eine Weboberfläche in Erprobung, um die bestehenden Gruppen samt Regelwerken sichtbar zu machen. Es ist ebenfalls geplant schreibenden Zugriff zu ermöglichen.
Als IT-Betreuer können Sie sich mit Ihrer IdM-Kennung an unserem IT-Serviceportal anmelden und zumindest die read-only Funktionalität bereits testen.
Beispiele/Vorlagen
Hier werden kurz einige E-Mail-Beispiele aufgeführt, die Sie gerne als Vorlage verwenden können, um eine neue Gruppe oder Änderungen an einer bestehenden Gruppe an uns zu übermitteln.
Gruppe für alle Beschäftigten an Einrichtung/Präfix XYZ (Windows+Linux)
Gruppenname: xyz_employee
Regel zu Befüllung:
- Nutzergruppe: "Beschäftigte"
- OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Windows, Linux
Gruppe für alle Hilfskräfte an Einrichtung/Präfix XYZ (nur Windows)
Gruppenname: xyz_assistant
Regel zu Befüllung:
- Nutzertypen:
- "Studentische Hilfskräfte"
- "Wissenschaftliche Hilfskräfte"
- OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Windows
Gruppe für Whitelist zusammen mit OrgEinheit (nur Linux)
Gruppenname: xyz_project_x
Regel zu Befüllung:
- Whitelist: abcdefg, hijklmn, opqrst, uvwxyz
- OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Linux
1.Name
Alle Gruppennamen müssen der Bildungsregel [PRÄFIX]_[GRUPPENNAME]
folgen.
Präfixe
Nur in dieser Form beim RRZE beantragte und genehmigte Präfixe sind zur Anlage von Gruppen verwendbar.
Sollten Sie noch kein Präfix besitzen, das zur Verwaltung Ihrer Gruppen verwendet werden kann, muss dieses noch per Mail an praefix@fau.de beantragt werden.
Gruppenname
Der Namensteil kann grundsätzlich frei gewählt werden, unterliegt aber folgenden Einschränkungen
- Die Gesamtlänge (Präfix + ‚_‘ + Gruppenname) darf 80 Zeichen nicht überschreiten
- Es dürfen keine Leer- oder Sonderzeichen verwendet werden
Sonderzeichen sind: * \ $ ! \* ' " & ( ) \[ ] { } / # + = : ; | < > ? , ä ö ü (Umlaute), ß (scharfes s)
Gruppennamen sind jederzeit änderbar.
Die Attribute gidNumber
und Windows SID
werden sich bei einer Umbenennung nicht ändern.
3.Regelwerk
Das Regelwerk bestimmt, welche Kennungen der Gruppe hinzugefügt werden sollen.
Die Auswertung der hinterlegten Regeln wird durch unser IdM-System im Hintergrund erledigt und Ihre Gruppenmitgliedschaften somit automatisch aktuell gehalten.
Grundsätzlich können auch komplexe Regelwerke hinterlegt werden, in der Praxis lassen sich die meisten Anforderungen aber mit wenigen Bausteinen abdecken.
Im Folgenden werden einige der am häufigsten verwendeten Bausteine kurz vorgestellt.
Sollten Sie komplexere Anforderungen haben, besprechen Sie diese gerne mit uns persönlich oder stellen Sie Ihre Frage per E-Mail an
rrze-linux@fau.de.
Organisationseinheiten
Ein grundlegender Baustein betrifft die Einschränkung auf Personen mit einer Zugehörigkeit zu Ihrer Organisationseinheit.
Am besten ist es uns direkt Ihre FAUorg Nummer zu nennen, falls Sie diese kennen.
Normalerweise können wir auch über den Namen Ihrer Einrichtung an der FAU selbst herausfinden, wie die entsprechende FAUorg Nummer lautet.
Falls Sie sicher gehen möchten nennen Sie uns am besten beides:
- Einrichtungsname und
- FAUorg Nummer (falls bekannt)
Da die Organisationsstruktur an der FAU hierarchisch organisiert ist, ist es zudem wichtig anzugeben, ob jeweils die exakte Organisationseinheit oder auch alle darunter gemeint sind.
Nutzergruppen/-typen
Nach Festlegung der Organisationseinheit ist eigentlich immer eine zusätzliche Einschränkung auf einen bestimmten Personenkreis gewünscht, um beispielsweise Gruppen mit allen Mitarbeitern oder den Hilfskräften zu erstellen.
Beachten Sie bitte die Unterscheidung zwischen Nutzergruppe (grob) und Nutzertyp (fein).
Spezialfall: Studierende
Mitglieder der Nutzergruppe „Studierende“ sind im FAUorg-Baum der Einheit „(90 00 00 00 00) Studierende“ zugeordnet.
Falls Sie eine Gruppe mit Studierenden erstellen möchten, ist eine Filterung derzeit meist nur auf Studiengänge möglich.
Kontaktieren Sie uns in jedem Fall gerne mit Ihrem Anliegen (
rrze-linux@fau.de), damit wir Sie entsprechend beraten können und eine Lösung finden.
Whitelists
Hier können Sie uns eine Liste von Kennungen geben, die wir einfach als Mitglieder der Gruppe eintragen.
Das ist die unschönste Variante, da hier ständige manuelle Pflege erforderlich ist, aber manchmal lässt sich wohl nicht vermeiden.
Verknüpfen Sie die Whitelist mit zusätzlichen Kriterien, wie der Organisationseinheit und/oder den Nutzergruppen/-typen, so werden Kennungen wenigstens trotzdem automatisch aus der Gruppe entfernt, sobald beispielsweise ein Mitarbeiter Ihre Einrichtung verlässt.
Da es leider noch keine Möglichkeit gibt, als „IT-Betreuer“ die Whitelist selbst pflegen zu können, müssen Sie uns Änderungen per E-Mail an rrze-linux@fau.de mitteilen. Alle Änderungen werden dann gewöhnlich binnen einer Stunde von uns eingepflegt.
3.Zielsysteme
Alle Gruppen werden zentral in unserem IdM-System verwaltet und nach den jeweilig verknüpften Regelwerken befüllt. Das Ergebnis dieser Berechnung wird dann in den ausgewählten Zielsystemen aktualisiert.
Als Zielsysteme stehen Ihnen aktuell
- die FAUAD für Windows-Systeme (ActiveDirectory) und
- der LINUXLDAP für Linux-Systeme (OpenLDAP)
zur Auswahl.
Die Provisionierung der Gruppen kann nach Ihren Vorgaben in beide Zielsystem oder auch nur in ein Zielsystem erfolgen.
Diese Einstellung kann jederzeit angepasst werden.
Bitte beachten Sie, dass ein Deaktivieren und späteres Reaktivieren des Zielsystems FAUAD zur Neuanlage der Gruppe führt, wobei sich die Windows SID
ändert.