Projekt Pleiades – informacˇnı´ infrastruktura z pohledu jejı´ho uzˇivatele Jirˇ´ı Sitera Centrum informatizace a vy´pocˇetnı´ techniky, Laboratorˇ pocˇ´ıtacˇovy´ch syste´mu˚, Za´padocˇeska´ univerzita v Plzni, e-mail:
[email protected] Verze ze dne 4. u´nora 2003 14:08 (JSCVSREP: Revision: 1.6 )
Tento dokument poda´va´ za´kladnı´ informace potrˇebne´ pro vyuzˇitı´ informacˇnı´ infrastruktury distribuovane´ho vy´pocˇetnı´ho prostrˇedı´ ZCˇ U – projektu ORION. Tato infrastruktura je zalozˇena na jednotne´m rozhranı´ realizovane´m prostrˇednictvı´m adresa´rˇovy´ch sluzˇeb, konkre´tneˇ protokolu LDAP. Vı´ce informacı´ a vazby na okolı´ viz sekce vazby (4).
1 Infrastruktura a spolecˇne´ pozna´mky 1.1 Redundantnı´ konfigurace klienta Z hlediska uzˇivatele je k dispozici LDAP server ldap.zcu.cz a v neˇm ulozˇena´ data. Ve skutecˇnosti jsou zde dva servery ldap1.zcu.cz a ldap2.zcu.cz, ktere´ se navza´jem za´lohujı´. Spra´vna´ konfigurace klienta by meˇla reflektovat tuto skutecˇnost, nebot’ pouzˇitı´ za´lozˇnı´ho serveru v prˇ´ıpadeˇ vy´padku prima´rnı´ho je za´lezˇitostı´ klienta. Veˇtsˇina klientsky´ch knihoven funguje podobneˇ jako naprˇ. DNS resolver (/etc/resolv.conf), tj. konfigurace urcˇuje dostupne´ servery vcˇetneˇ porˇadı´ v jake´m majı´ by´t zkousˇeny (funguje-li vsˇe norma´lneˇ, klient pouzˇ´ıva´ sta´le jen prvnı´ server ze sve´ konfigurace). Prakticka´ konfigurace tedy vypada´ tak, zˇe namı´sto jme´na serveru se zadajı´ jme´na dveˇ oddeˇlena´ mezerou (viz prˇ´ıklady da´le). Pro beˇzˇne´ pouzˇitı´ (dotaz z prˇ´ıkazove´ rˇa´dky) stacˇ´ı samozrˇejmeˇ pouzˇ´ıt alias ldap.zcu.cz.
1.2 Autentizace V soucˇasne´ dobeˇ se prˇedpokla´da´ zejme´na anonymnı´ prˇ´ıstup k datu˚m. Podporova´na je standardnı´ Kerberos autentizace, to znamena´ GSSAPI prˇes SASL. Pro autentizaci je trˇeba mı´t kerberizovane´ho klienta (naprˇ. standardnı´ rˇa´dkove´ tooly z OpenLDAPu) a platny´ Kerberos lı´stek. 1
1.3 Cˇesˇtina V soucˇasne´ dobeˇ je cˇesˇtina (ha´cˇky, cˇa´rky atd.) k dispozici pouze v cˇa´sti telefonnı´ho seznamu. Atributy, ktere´ majı´ textovy´ obsah obsahujı´cı´ cˇesˇtinu jsou uvedeny s neˇkolika lang tagy. Atribut bez tagu je cesky (ASCII ekvivalent). Atribut s tagem lang-cs je cˇesky a atribut s tagem lang-en je cesky (tj. ASCII ekvivalent, nikoli anglicky´, jak mohou neˇkterˇ´ı klienti pra´vem prˇedpokla´dat). Dalsˇ´ı chova´nı´ je plneˇ dle standardu, tj. zejme´na: Cˇesˇtina je ve znakove´ sadeˇ Unicode, ko´dova´nı´ UTF-8. Prˇi hleda´nı´ (nenı´-li explicitneˇ uveden tag) se prohleda´vajı´ hodnoty vsˇech tagu˚ dane´ho atributu. Tj. polozˇku najdete at’hleda´te s cˇesˇtinou cˇi bez cˇesˇtiny. Pro takovou konfiguraci platı´, zˇe nezarˇ´ıdı´te-li explicitneˇ pouzˇitı´ atributu s tagem lang-cs, jsou pouzˇite´ vy´sledky ASCII. Prˇi hleda´nı´ s cˇesˇtinou (pokud klient pouzˇije spra´vneˇ UTF-8) se prˇ´ıslusˇne´ polozˇky najdou. Takto se naprˇ. chova´ MS Outlook Express. Pine s UTF-8 nepracuje, nelze pro cˇesˇtinu vu˚bec pouzˇ´ıt.
1.4 Shrnutı´ – parametry LDAP dotazu Parametry pro LDAP dotaz proti Pleiades infrastrukturˇe lze shrnout takto: stroj ldap1.zcu.cz ldap2.zcu.cz nebo jen ldap.zcu.cz viz vy´sˇe popis zajisˇteˇnı´ redundance sluzˇby, port 389 (default LDAP port), ba´ze dle dat, ktere´ chceme pouzˇ´ıvat, popis viz nı´zˇe. Pra´zdna´ ba´ze znamena´ pouzˇitı´ telefonnı´ho seznamu, filtr dle potrˇeby – informacı´, ktere´ jsou k dispozici a popisu vy´znamu jednotlivy´ch atributu˚, popis a prˇ´ıklady viz nı´zˇe, autentizace anonymnı´ prˇ´ıstup, zˇa´dna´ autentizacˇnı´ data nejsou potrˇeba, rozsah prohleda´va´nı´ cely´ podstrom (obvykle implicitnı´ volba).
2 Dostupne´ informace Z mnoha du˚vodu˚ jsou informace dostupne´ prˇes LDAP rozhranı´ rozdeˇleny do neˇkolika zcela neza´visly´ch skupin. Za´sadnı´ jsou informace o lidech. Zde jsou dveˇ skupiny, jedna je obraz telefonnı´ho seznamu (=data odpovı´dajı´cı´ databa´zi a aplikaci tohoto jme´na), druha´ jsou informace o uzˇivatelı´ch distribuovane´ho vy´pocˇetnı´ho prostrˇedı´, ktere´ vycha´zejı´ z databa´ze managementu ORIONu. 2
2.1 Telefonnı´ seznam Veˇtev dat reprezentujı´cı´ telefonnı´ seznam je dostupna´ implicitneˇ, pokud uzˇivatel nezada´ zˇa´dnou ba´zi1 . Ve skutecˇnosti je ba´ze te´to veˇtve na´sledujı´cı´: ou=phonebook,ou=virtual,o=zcu,c=cz. Data jsou ulozˇena jako rozsˇ´ırˇenı´ standardnı´ho sche´matu (inetOrgPerson), meˇla by by´t srozumitelna´ vsˇem beˇzˇny´m posˇtovnı´m klientu˚m. Pro prˇ´ıpad vlastnı´ho pouzˇitı´ je shrnut popis atributu˚ v tabulce 1 a na´sledujı´ prˇ´ıklady. K dispozici je klient ve formeˇ WWW rozhranı´ (telefonnı´ seznam ZCˇU), realizovany´ v PHP. Jme´no atributu, alias cn sn, surname givenName pid
employeeNumber
employeeType departmentNumber ou mail telephoneNumber roomNumber mobile street facultyName
vy´znam jme´no a prˇ´ıjmenı´ osoby vcˇetneˇ titulu˚ prˇ´ıjmenı´ osoby jme´no osoby jednoznacˇna´ identifikace cˇloveˇka – vnitrˇnı´ identifika´tor managementu distribuovane´ho vy´pocˇetnı´ho prostrˇedı´ – zajisˇt’uje jedinecˇnost za´znamu, pouze u studentu˚ jednoznacˇna´ identifikace zameˇstnance – zajisˇt’uje jedinecˇnost za´znamu, pouze u zameˇstnancu˚; v soucˇasne´ dobeˇ to nenı´ zˇa´dny´ skutecˇny´ identifika´tor (naprˇ. osobnı´ cˇ´ıslo), ale na´hodne´ cˇ´ıslo „typ“ cˇloveˇka, v nasˇem prˇ´ıpadeˇ tento atribut existuje a ma´ hodnotu STAFF jedna´-li se o zameˇstnance (nebo doktoranda) zkratka organizacˇnı´ jednotky, zpravidla katedry; pouze u zameˇstnancu˚ plny´ na´zev organizacˇnı´ jednotky (katedry) u zameˇstnancu˚, konstantnı´ rˇeteˇzec STUDENTS u studentu˚ adresa elektronicke´ posˇty (zadana´ v aplikaci telefonnı´ seznam, tj. nemusı´ se jednat o standardnı´ adresu poskytovanou ZCˇ U) cˇ´ıslo telefonu; mu˚zˇe mı´t neˇkolik hodnot zkratka mı´stnosti cˇ´ıslo mobilnı´ho telefonu; da´va´ se sem cˇ´ıslo ulozˇene´ v polozˇce pu˚vodneˇ urcˇene´ pro prˇ´ıme´ linky, ktere´ jizˇ dnes nejsou adresa pracovisˇteˇ zkratka fakulty – informace platna´ pouze u zameˇstnancu˚
Tabulka 1: Telefonnı´ seznam – objectclass pleiadesPhone
2.1.1
Telefonnı´ seznam prakticky
Do sve´ho oblı´bene´ho posˇtovnı´ho klienta nastavı´te LDAP adresa´rˇ na server ldap.zcu.cz, prˇicˇemzˇ vsˇechny ostatnı´ parametry jsou implicitnı´. Podrobny´ popis konfigurace Outlook Express je soucˇa´stı´ dokumentace na http://mail.zcu.cz/. V pine je postup na´sledujı´cı´: S – Setup D – Directory 1
Dokonce je podporova´na i ba´ze c=US, kterou za neˇktery´ch okolnostı´ pouzˇ´ıva´ MS Outlook Express v prˇ´ıpadeˇ uzˇivatelem ponechane´ho pra´zdne´ho polı´cˇka ba´ze.
3
A – Add ldap–server – zadat ldap.zcu.cz E – Exit setup Y – Yes, save changes Pote´ ma´me k dispozici telefonnı´ seznam jako novy´ „address book“ pojmenovany´ ldap.zcu.cz. 2.1.2
Telefonnı´ seznam v prˇ´ıkladech
Prˇ´ıklady hleda´nı´ v telefonnı´m seznamu jsou v tabulce 2. Jsou tam uvedeny filtry, tj. prˇ´ıklad vyzkousˇ´ıte prˇ´ıkazem: ldapsearch -h ldap.zcu.cz -b ’’ ’
’ [ ] LDAP search filter (mail=sitera*) (sn=sitera*)
(roomNumber=UL401) (departmentNumber=KIV) (telephoneNumber=*2845) (&(employeeType=STAFF)(sn=novak)) (&(ou=STUDENTS)(givenName=denisa))
vy´znam hleda´nı´ dle zacˇa´tku e-mailu hleda´nı´ dle zacˇa´tku prˇ´ıjmenı´; vynecha´meli hveˇzdicˇku jedna´ se o hleda´nı´ prˇesne´ho rˇeteˇzce, hveˇzdicˇka jako za´stupny´ znak mu˚zˇe by´t i na zacˇa´tku kdo sedı´ v dane´ mı´stnosti? vsˇichni zameˇstnanci katedry nebo organizacˇnı´ jednotky kdopak ma´ tuhle linku? hleda´nı´ vsˇech zameˇstnancu˚ s dany´m prˇ´ıjmenı´m hleda´nı´ vsˇech studentu˚ s dany´m jme´nem
Tabulka 2: Prˇ´ıklady hleda´nı´ v telefonnı´m seznamu
2.2 Informace o uzˇivatelı´ch Zde obsazˇena´ data prima´rneˇ odpovı´dajı´ ekvivalentu globa´lnı´ho passwd souboru projektu ORION dle RFC2307. Da´le jsou zde vybrane´ skupiny uzˇivatelu˚ reprezentujı´cı´ jejich za´kladnı´ vlastnosti (vlastnost je vyja´drˇena tı´m, zda uzˇivatel ve skupineˇ je cˇi nenı´). Ba´ze teˇchto dat je: ou=rfc2307,o=zcu,c=cz Sche´ma viz tab. 3. Vy´znam hlavnı´ch skupin viz tab. 4, prˇ´ıklady vyuzˇitı´ viz da´le. 2.2.1
Za´kladnı´ konfigurace pro pouzˇitı´ dat jako NSS
Pro distribuci informace o uzˇivatelsky´ch kontech a skupina´ch /etc/passwd a /etc/groups lze data dle RFC2307 pouzˇ´ıt knihovnou NSS LDAP. Vı´ce viz literatura a projekt OPENORION (http://openorion.zcu.cz/). 4
Jme´no atributu cn sn givenName uid uidNumber gidNumber userPassword loginShell homeDirectory mail
vy´znam jme´no a prˇ´ıjmenı´ osoby prˇ´ıjmenı´ osoby jme´no osoby uzˇivatelske´ jme´no (jednoznacˇny´ identifika´tor) Unix ID uzˇivatele (cˇ´ıslo), odpovı´da´ uzˇivatelske´mu jme´nu Unix cˇ´ıslo prima´rnı´ skupiny uzˇivatele, odpovı´da´ prˇ´ıslusˇne´ polozˇce passwd prˇ´ıslusˇna´ polozˇka passwd uzˇivatele; v nasˇem prostrˇedı´ zde nenı´ heslo, prˇedpokla´da´ se pouzˇitı´ Kerbera jme´no implicitnı´ho Unix shellu uzˇivatele vcˇetneˇ cesty – tak jak se uva´dı´ v passwd domovsky´ adresa´rˇ; v nasˇem prostrˇedı´ je zde cesta k domovske´mu adresa´rˇi v projektu ORION na AFS adresa elektronicke´ posˇty; zde uvedena´ adresa je prima´rnı´ adresa uzˇivatele poskytovana´ prostrˇedı´m ORION Tabulka 3: Informace o uzˇivatelı´ch – RFC2307
Jme´no students staff etapa1 etapa2 jme´no katedry acl$...
vy´znam uzˇivatel je student uzˇivatel je zameˇstnanec uzˇivatel je studentem prvnı´ etapy uzˇivatel je studentem druhe´ etapy zameˇstnanec katedry prˇ´ıstupove´ skupiny dle managementu Tabulka 4: Datova´ cˇa´st RFC2307 – vy´znam hlavnı´ch skupin
5
2.2.2
Prˇ´ıklady za´kladnı´ch dotazu˚
Na´sledujı´cı´ prˇ´ıklady obsahujı´ LDAP search filter a specifikaci atributu˚ k vyzvednutı´. Nejjednodusˇsˇ´ı vyuzˇitı´ je pomocı´ prˇ´ıkazu ldapserach takto: ldapsearch -h ldap.zcu.cz -b ‘ ou=rfc2307,o=zcu,c=cz‘ Hleda´nı´ Unix UID pro zadany´ login: ‘ uid=‘ uidNumber Hleda´nı´ Unix GID skupiny pro zadane´ jme´no skupiny: ‘ (&(objectclass=posixGroup)(cn=<jme ´no skupiny>))‘ gidNumber Hleda´nı´ vsˇech skupin, ve ktery´ch je dany´ uzˇivatel: ‘ memberUid=‘ cn Vy´pis cˇlenu˚ skupiny: ‘ (&(objectclass=posixGroup)(cn=<jme ´no skupiny>))‘ memberUid
3 Stav Informacˇnı´ infrastruktura je v plneˇ provoznı´m stavu s vy´sˇe popsanou funkcionalitou a omezenı´mi.
3.1 Datova´ za´kladna ´ drzˇba datove´ za´klady a vazby na zdroje dat jsou slozˇity´m proble´mem informacˇnı´ inU frastruktury. Za´kladnı´ platna´ omezenı´ v tuto chvı´li jsou popsa´na nı´zˇe. 3.1.1
Informace o uzˇivatelı´ch
Jak bylo jizˇ rˇecˇeno, pocha´zejı´ z managementu ORIONu. Zatı´m z toho vyply´va´ zejme´na: Vazba na studijnı´ agendu Tato vazba je zajisˇt’ova´na automaticky, jsou zde vsˇak jiste´ proble´my. Tyto proble´my se ty´kajı´ zejme´na lidı´, kterˇ´ı studujı´ vı´ce oboru˚ cˇi fakult a to jak soucˇasneˇ cˇi postupneˇ, tak pokud mezi teˇmito prˇecha´zejı´. Informace o zameˇstnancı´ch Jedna´ se o informace o zameˇstnancı´ch, ktere´ jsou porˇizova´ny oddeˇleneˇ pro u´cˇely spra´vy distribuovane´ho vy´pocˇetnı´ho prostrˇedı´. Nenı´ zde bohuzˇel zˇa´dna´ vazba na ostatnı´ zdroje takovy´chto dat (naprˇ. telefonnı´ seznam cˇi JIS) natozˇ pak na autoritativnı´ zdroj typu mzdova´ agenda. Vylepsˇenı´ tohoto stavu je cı´l, ktery´ znacˇneˇ prˇesahuje ra´mec projektu Pleiades. Data jsou porˇizova´na rucˇneˇ na za´kladeˇ kontaktu uzˇivatelu˚ cˇi kateder s pracovnı´ky CIVu (HelpDesk). 6
3.1.2
Telefonnı´ seznam
Data o zameˇstnancı´ch pocha´zejı´ z databa´ze telefonnı´ho seznamu, cozˇ je take´ stejnojmenna´ aplikace slouzˇ´ıcı´ k porˇizova´nı´ a u´drzˇbeˇ te´to databa´ze. V soucˇasne´ dobeˇ nenı´ databa´ze na nic nava´za´na a u´daje v nı´ jsou kompletneˇ porˇizova´ny. Porˇizova´nı´ a u´drzˇba dat je v kompetenci jednotlivy´ch kateder, obvykle jejich sekretaria´tu˚. Vı´ce viz dokumentace te´to aplikace. Data o studentech pocha´zejı´ z managementu, platı´ pro neˇ informace uvedene´ vy´sˇe. Pro u´cˇely telefonnı´ho seznamu se data o studentech vytva´rˇejı´ spojenı´m dat z managementu a STAGu (vazbou je klı´cˇ – orion id), cˇ´ımzˇ se dosahuje jednak dostupnosti cˇesˇtiny (v Moirˇe je vsˇe ASCII) a jednak aktua´lnı´ch jmen a prˇ´ıjmenı´ (prˇ´ıpadne´ zmeˇny v teˇchto polozˇka´ch se do Moiry nepropagujı´).
3.2 Doporucˇenı´ Lze prˇedpokla´dat, zˇe vy´sˇe popsany´ datovy´ model nenı´ definitivnı´. Vybudova´nı´ jednotne´ho rozhranı´ pro prˇ´ıstup k informacı´m v ra´mci distribuovane´ho vy´pocˇetnı´ho prostrˇedı´ je dlouhodoby´ cı´l, k jehozˇ dosazˇenı´ je nutne´ u´sı´lı´ v mnoha oblastech. Jednı´m ze za´kladnı´ch proble´mu˚ je vlastnı´ ba´ze dat, jejı´ zı´ska´va´nı´ a u´drzˇba. Proto je rozumne´ interakci s informacˇnı´ infrastrukturou v ra´mci aplikace realizovat tak, aby vy´sledkem byla funkcˇnı´ spolupra´ce s aktua´lnı´m stavem te´to infrastruktury a za´rovenˇ „otevrˇene´ dverˇe“ pro zmeˇny implementace 2 . Tento princip se ty´ka´ i mnoha dalsˇ´ıch dat spravovany´ch aplikacemi, tj. i teˇch, ktere´ momenta´lneˇ nejsou dostupne´ prostrˇednictvı´m informacˇnı´ infrastruktury. U mnohy´ch lze prˇedpokla´dat jejich budoucı´ integraci do za´kladnı´ch funkcı´ informacˇnı´ infrastruktury (naprˇ. autorizacˇnı´ u´daje) a u mnohy´ch lze povazˇovat za rozumne´ umozˇnit jejich publikaci prostrˇednictvı´m jednotne´ho rozhranı´ (specificka´ aplikacˇnı´ data, ktera´ mohou by´t vyuzˇ´ıva´na jiny´mi aplikacemi).
3.3 Pozna´mky Pro u´cˇely managementu vy´pocˇetnı´ho prostrˇedı´ a tohoto dokumentu jsou pod pojmem zameˇstnanec mysˇleni i studenti doktorandske´ho studia.
4 Vazby Tento dokument je pomeˇrneˇ u´zce zameˇrˇen. Pro zı´ska´nı´ celkove´ho kontextu a dalsˇ´ıch informacı´ je k dispozici na´sledujı´cı´ sekce – odkazy a literatura. Dobry´m vstupnı´m bodem pro zı´ska´nı´ dalsˇ´ıch informacı´ o projektu Pleiades je [3]. Pro za´kladnı´ informace o adresa´rˇovy´ch sluzˇba´ch lze pouzˇ´ıt naprˇ. [1, 2]. Vy´sˇe uvedene´ prˇ´ıklady pouzˇ´ıvajı´ pro prˇ´ıstup k datu˚m v adresa´rˇovy´ch sluzˇba´ch protokolem LDAP utility prˇ´ıkazove´ rˇa´dky. Pro realizaci prˇ´ıstupu k teˇmto informacı´m prostrˇednictvı´m neˇktere´ho skriptovacı´ho jazyka lze pouzˇ´ıt jako referenci [4]. 2
Zde se jevı´ vy´hodne´ naprˇ. definovat funkce pro prˇ´ıstup k teˇmto datu˚m a sdruzˇit je do zvla´sˇtnı´ho modulu, jehozˇ implementacˇnı´ cˇa´st je mozˇno neza´visle meˇnit.
7
Odkazy a literatura [1] Jirˇ´ı Sitera, Adresa´rˇove´ sluzˇby, u´nor 1999. http://home.zcu.cz/projekty/lps/ldap/AdresaroveSluzby.ps [2] Jirˇ´ı Sitera, Adresa´rˇove´ sluzˇby jako informacˇnı´ infrastruktura distribuovane´ho vy´pocˇetnı´ho prostrˇedı´, sbornı´k konference EurOpen.CZ, listopad 1999, ISBN 80-902715-0-2. [3] Projekt Pleiades – domovska´ stra´nka, http://home.zcu.cz/projekty/lps/ldap [4] Jirˇ´ı Sitera, Skriptovacı´ jazyky a jejich vyuzˇitı´ pro prˇ´ıstup k adresa´rˇovy´m sluzˇba´m protokolem LDAP, brˇezen 2000, http://home.zcu.cz/projekty/lps/ldap/projekt/www/papers/skriptLDAP.ps
8
