Vsi prispevki, ki jih je objavil/a milanp@tsc.si

O milanp@tsc.si

Primorec. Poučujem na TŠC Nova Gorica, vodim tehnično podporo v projektu E-šolstvo, zahod Glavni poudarki v zadnjem letu: uvajanje VoIP, uvajanje IPv6, kako AAI v šolo brez muk ;-)

Navodila za uporabo

Navodila niso posodobljena.

Glede na zadnje spremembe (December 2019, januar-marec 2020) so to najnovejši priročniki in navodila za delo. 

Navodila niso več 100% aktualna

Priročnik za uporabo: Priročnik_za_uporabo_MDM2-Alenka_Zabukovec-v7–2020

Skrajšana navodila:   Navodila_za_uporabo_MDM2-(povzetek)-Alenka_Zabukovec-v7-2020

navodila za kreiranje mail računov na Arnesu (zamenjava Ustvarjalnika):  1.4.1-SIO MDM-Storitev SIO.MDM e-poštni naslovi Arnes (v2)

Povezava AD imenika: SIO MDM-Navodila AD

Šifrant držav: Priročnik_za_uporabo_MDM_sifrant_drzav

 

 

________________ STARO __________________________________

Priročnik za uporavo V6: Priročnik_za_uporabo_MDM2-Alenka_Zabukovec-v6–2018 – staro

Skrajšana navodila: Navodila_za_uporabo_MDM2-(povzetek)-Alenka_Zabukovec-v6-2018 – staro

Priročnik za uporabo v5 – staro

Priročnik_za_uporabo_MDM2_v3–2015-10 – staro

Za hitri začetek: Skrajšana navodila – staro

Dodali smo malo razširjena navodila za priklop ADja:

prirocnik_ad_013

Priročnik_za_uporabo_MDM2-v3-2015 – staro

Prirocnik_za_uporabo_MDM2-v2-2015 – staro

Atributi

Uporabniški račun

  • Uporabnisko_Ime
  • Uporabnisko_Ime_Polno
  • Geslo
  • St_Prijav
  • St_Neuspesnih_Prijav
  • St_Neuspesnih_Prijav_Sum
  • St_Menjav_Gesla
  • St_Ponastavitev_Gesla
  • Datum_Prva_Prijava
  • Datum_Zadnja_Prijava
  • Datum_Zadnja_NeuPrijava
  • Datum_Zaklenjeno
  • Datum_Menjava_Gesla
  • Datum_Ponastavitev_Gesla
  • Datum_Potek_Gesla
  • Datum_PozGeslo?_SKLIC

Osebni podatki

  • Ime
  • Priimek
  • Priimek2
  • Spol
  • EMSO
  • Davcna_ST
  • Datum_Rojstva
  • Drzavljanstvo_ID
  • Drzava_Rojstva?_ID
  • Kraj_Rojstva_ID
  • Kraj_Rojstva

Kontaktni podatki

  • Telefon_Mobilni
  • Telefon_Doma
  • Telefon_Sluzba
  • Email

Lokacijski podatki

  • Ulica
  • Hisna_ST
  • Posta_Kraj_ID
  • Kraj
  • Posta_ID
  • Zacasno_Ulica
  • Zacasno_Hisna_ST
  • Zacasno_Posta_Kraj_ID
  • Zacasno_Kraj
  • Zacasno_Posta_ID

Podatki učečega

  • VPISNA_STEVILKA
  • UDELEZENEC_ID_MSS
  • DATUM_ZAVOD_VPISAN_OD
  • DATUM_ZAVOD_VPISAN_DO
  • DATUM_ZAKLJUCKA_IZ
  • ZAKLJUCNA_STOPNJA_GL

Podatki učečega – razred

  • RAZRED_LETNIK_ID
  • DATUM_VPISAN_OD
  • DATUM_VPISAN_DO
  • NACIN_IZOBRAZEVANJA_ID
  • STATUS_UDELEZBE_ID
  • OBLIKA_IZOBRAZEVANJA_ID
  • POVPRECNA_OCENA

Podatki učečega – VIZ program

  • VIZ_PROGRAM_ID
  • DATUM_VPISAN_OD
  • DATUM_VPISAN_DO

Kaj omogoča

Sistem je namenjen upravljanju podatkov učečih, njihovih starših in zaposlenih. Zajem podatkov je možen z masovnim ali individualnim vnosom. Možno je urejanje vseh podatkov (seveda glede na prvice posameznika). Spremenjeni podatki se sinhronizirajo s podatki v LDAP-u in AD-ju. Sistem omogoča izvoz podatkov v xml in xls format, dolgoročno je planirano tudi omogočanje direktnega zajema (push ali pull) podatkov drugim aplikacijam. Prenosi podatkov se izvajajo s kriptiranimi povezavami.

Prednosti IdM:

  • poenotene informacije o osebju in učečih ter starših
  • centralizirano upravljanje uporabniških računov
  • povezovanje z drugimi informacijskimi sistemi
  • konsistenten in enostaven zajem podatkov
  • šifranti (npr. šole, poštne številke, …) so sprotno posodobljeni (usklajeni z MŠŠ)
  • spremljanje sprememb in vpogleda v identiteto (ang. audit)

Osnovni pojmi

Za varno uporabo storitev v spletu in v omrežjih mora uporabnik imeti uporabniški račun. V večini primerov je ta sestavljen iz uporabniškega imena in gesla. Le za nekatere storitve je prijava ojačana z uporabo certifikatov (ravnateljski portal na MŠŠ, banke ipd.) ali gesel za enkratno uporabo (OTP – angl. One Time Password).
Ker si je težko zapomniti množico uporabniških imen in gesel bi uporabniki radi za več storitev uporabili isto identiteto (uporabniško ime in geslo). Rešitev je v povezovanju storitev s sistemi AAI.

Povezovanje storitev se izvede tako, da se sistem avtentikacije loči od aplikacije. Še vedno pa aplikacija sama odloča ali sme in koliko sme uporabnik uporabljati aplikacijo. Aplikacija se pri preverjanju uporabnikov obrne na zunanji vir podatkov. Večina današnjih (spletnih) aplikacij zna opravljati avtentikacijo z uporabo:

  • Imeniki LDAP: OpenLDAP, Microsoft AD (Active Directory), …
  • Komponent AAI: Shibboleth, simpleSAMLphp, …

Iste imenike lahko aplikacije uporabljajo tudi brez uporabe AAI-ja, še posebno takrat, ko ne želimo, da se lete oglašuje “nedomačim” uporabnikom. Torej ideja: povezati čimveč aplikacij na uporabo imenikov LDAP.

Težave, ki se pojavijo: v OpenLDAP in AD ni vseh podatkov, ki bi si jih želeli, OpenLDAP in AD nista enostavno združljiva, delo z njimi je uporabniško neprijazno…

Rešitev teh problemov smo našli v postavitvi sistema za upravljanje z identitetami. Spodnja slika prikazuje umestitev IdMa? v nabor storitev, ki jih nudi šola, ARNES in lahko tudi drugi ustvarjalci/ponudniki programske opreme.

Vir: Jauk, ARNES

LDAP/AD v uporabi

  1. naredimo varnostne kopije imenikov
  2. preveriti storitve, ki uporabljajo imenike (katere atribute uporabljajo)
  3. zberemo podatke o uporabnikih
  4. vključimo se v IdM
  5. zlijemo obstoječa gesla v datoteko za uvoz
  6. uvozimo podatke v IdM
  7. sinhroniziramo podatke iz IdM v LDAP/AD

Pasti:

  • gesla se pri uvozu ponastavijo
    • REŠITEV (samo za LDAP!): če so gesla v obstoječem imeniku v plaintext, se jih pri uvozu lahko vsili
  • podatki se v celoti posodobijo
    • REŠITEV: če so podatki v obstoječem imeniku ustrezni, se jih lahko pri uvozu vsili RAZEN schacUUID