Gruppen im IdM-Portal
Allgemeine Informationen
Im IdM-Portal können Sie Gruppen anlegen, die Sie sowohl zur Verwaltung von Ressourcen innerhalb des IdM-Systems nutzen können, als auch in vielen anderen Diensten des URZ (z.B. im AFS oder im LDAP).
Die Beauftragung einer Gruppe erfolgt direkt im IdM-Portal. Dafür müssen Sie lediglich den Namen der Gruppe (beginnt immer mit grp:), eine kurze Beschreibung, wofür Sie diese Gruppe verwenden, sowie ein Ablaufdatum angeben. Das Ablaufdatum können Sie regelmäßig verlängern. Außerdem erhalten Sie – wie bei allen über das IdM-Portal verwalteten Ressourcen – einige Wochen vor Erreichen des Ablaufdatums eine Erinnerungsmail.
Nachdem die Gruppe angelegt wurde, sind Sie automatisch als Ressourcenverantwortlicher eingetragen und können direkt im IdM-Portal die Mitglieder verwalten. Sie können außerdem bis zu zwei weitere Ressourcenverantwortliche definieren, die ebenfalls die Pflege der Gruppe übernehmen können.
Gruppen innerhalb des IdM-Systems
Innerhalb des IdM-Systems sind Gruppen nützlich, um Berechtigungen an eine größere Menge von Personen zu übergeben. Sie können beispielsweise eine Gruppe grp:if-professur-admins anlegen, der Sie eine Menge von Ressourcen übertragen. Alle Mitglieder dieser Gruppe dürfen dann diese Ressourcen (z. B. Gruppenmailboxen, Projektverzeichnisse oder andere Gruppen) verwalten. Weitere Informationen dazu sind unter Ressourcenverwaltung verfügbar.
Gruppen außerhalb des IdM-Systems
Alle im IdM-Portal angelegten Gruppen können auch in verschiedenen anderen Systemen verwendet werden. Alle Ressourcenverantwortlichen können über die Funktion Zielsysteme verwalten auswählen, in welchen Systemen die Gruppe zur Verfügung stehen soll. Jedes System kann in der Regel einzeln aktiviert werden, eine Deaktivierung ist allerdings nicht mehr möglich!
Bitte aktivieren Sie nur die Zielsysteme, in denen Sie die Gruppe tatsächlich benötigen, denn eine Deaktivierung ist nicht mehr möglich!
Im Moment stehen folgende Zielsysteme zur Auswahl:
- AFS: Bewirkt, dass Sie die Gruppe im AFS-Dateisystem zur Steuerung von Berechtigungen verwenden können.
- Active Directory: Dadurch kann die Gruppe für die Zugriffssteuerung auf Windows-Dateisystemen (CIFS, NTFS) verwendet werden, wenn die Rechner Mitglied der Domäne TUC sind. Normalerweise wird das aber nicht benötigt.
- LDAP für URZ-Dienste: Die Gruppe kann dann in bestimmten URZ-Diensten, wie die dem Druckabrechnungssystem PaperCut oder der Zugangssteuerung mittels Web-Trust-Center (WTC) genutzt werden.
In Webservern können Sie mit dieser Option die Gruppe dann zum Beispiel für die Zugangssteuerung mittels "require shib-attr idmgroup grp:GRUPPENNAME" verwenden. - LDAP (öffentlich): Möchten Sie diese Gruppe in Ihrer eigenen LDAP-Anwendung oder in Ihrem eigenem Linux-Dateisystem nutzen (z. B. im NFS), dann können Sie diese Option aktivieren. Achtung: Dadurch kann jeder im Campusnetz die Gruppenmitglieder abfragen!
- TUCcloud: Wenn dieses System aktiviert ist, können Sie Dateien mit allen Mitgliedern dieser Gruppe in TUCcloud teilen. Außerdem lässt sich diese Gruppe dann für die Berechtigungssteuerung innerhalb von TUCcloud Projektverzeichnissen einsetzen.
- Exchange: Exchange sollte nur aktiviert werden, wenn Sie diese Gruppe tatsächlich für Mailbox- oder Kalenderberechtigungen in Microsoft Exchange benötigen.
In manchen Zielsystemen (z.B. LDAP) wird aus technischen Gründen der Doppelpunkt im Gruppennamen durch einen Unterstrich ersetzt.
Häufig gestellte Fragen
- Warum beginnt der Name der Gruppe immer mit grp:?
- Können Gruppen in Gruppen abgebildet werden?
- AFS: Die Mitglieder der Gruppe können im AFS nicht angezeigt werden.
- LDAP: Wie lautet der Basis-DN für Gruppen?
Warum beginnt der Name der Gruppe immer mit grp:?
Einerseits bewirkt dieser Präfix, dass der Name der Gruppe in keinem System mit anderen Gruppennamen kollidiert. Anderseits verlangen Systeme wie z. B. AFS, dass vor dem eigentlichen Gruppennamen der Besitzer der Gruppe vermerkt ist. Ihr persönliches Nutzerkennzeichen kann an der Stelle allerdings nicht verwendet werden, da sich sonst bei Änderungen des Besitzers der Name der Gruppe ändern müsste.
Aus diesem Grund wird z.B. im AFS als Besitzer der Systembenutzer grp verwendet.
Können Gruppen in Gruppen abgebildet werden?
Nein, das ist leider nicht möglich. Der Grund dafür ist, dass hierarchische Gruppen (Gruppen in Gruppen) leider nicht von allen Zielsystemen unterstützt werden.
AFS: Die Mitglieder der Gruppe können im AFS nicht angezeigt werden.
Die Mitgliedschaft der IdM-Gruppen kann im AFS nur durch die Gruppenmitglieder selbst ausgelesen werden, um die Privatsphäre der jeweiligen Personen besser zu schützen.
LDAP: Wie lautet der Basis-DN für Gruppen?
Die Einstellungen für den Zugriff auf öffentliche LDAP-Gruppen lauten wie folgt:
Server: ldap.tu-chemnitz.de
Port: 389 oder 636 (für SSL)
Basis: ou=Groups,dc=tu-chemnitz,dc=de
Im Gruppennamen (cn) wird der Doppelpunkt durch einen Unterstrich ersetzt. Die LDAP-Gruppen sind sowohl als posixGroup als auch als groupOfNames verfügbar. Beispiel:
$ ldapsearch -x -b ou=Groups,dc=tu-chemnitz,dc=de cn=grp_test dn: cn=grp_test,ou=Groups,dc=tu-chemnitz,dc=de description: grp:test objectClass: top objectClass: groupOfNames objectClass: posixGroup gidNumber: 100000 cn: grp_test member: uid=foo,ou=users,dc=tu-chemnitz,dc=de member: uid=bar,ou=users,dc=tu-chemnitz,dc=de memberUid: foo memberUid: bar