Université de Strasbourg. Spécification de l'annuaire d'établissement

Transcription

1 Université de Strasbourg Spécification de l'annuaire d'établissement

2 Historique UdS - Spécification de l'annuaire d'établissement 2/45

3 Version Date Auteur Modification /06/2008 Alain ZAMBONI - Rédaction initiale /06/2008 Alain ZAMBONI - Intégration des remarques de G. Brand, M. Legin et P. David /06/2008 Pierre DAVID - Intégration des remarques de C. Distel /06/2008 Alain ZAMBONI - Intégration des remarques de M. Legin (e.n.t.) /06/2008 Alain ZAMBONI - Intégrations des remarques du groupe de travail /06/ /10/2008 Alain ZAMBONI Emmanuel BLINDAUER Alain ZAMBONI Hervé JAUME - Recommandations SUPANN Corrections de M. Legin - Ajout des chapitres «Active Directory» - Ajout de la description d'univ-r - Intégration des remarques de Julien DUPRE - Description des attributs de la classe inetorgperson /11/2008 Alain ZAMBONI - Renommage d'attributs et classes d'objets (groupes web, listes de diffusion et vacations) /11/2008 Alain ZAMBONI - Ajout de la branche «ou=compat» - Ajout de udsdepartment (classe udsstudent) /11/2008 Alain ZAMBONI - Correction «ou=annuaire» en «o=annuaire» /12/2008 Alain ZAMBONI /12/2008 Alain ZAMBONI /12/2008 Alain ZAMBONI - Ajout classe udssmartcard - Suppression attribut udscharterapproval - Renommage udsentactive en udsactive - Ajout attribut udsstudentcode - Ajout udssourcepresent - Suppression udsharpegeid et udsapogeeid (doublon avec SupannEmpId et SupannEtuId) - Ajout branche «ou=etablissements,o=annuaire» - Ajout classe udsorganization - Ajout udsendmanageddate /01/2009 Alain ZAMBONI - Ajout attribut udsdirectoryid /01/2009 Alain ZAMBONI - Ajout attributs udsdomainreadonly, udsdomainrestricted /04/2009 Alain ZAMBONI - Ajout classe udsunit - Ajout attribut udsharpegedeletiondate - Ajout attribut cn dans la classe udsmailalias /06/2009 Alain ZAMBONI - Ajout de la structure d'enseignement /06/2009 Alain ZAMBONI /07/2009 Alain ZAMBONI /07/2009 Alain ZAMBONI /07/2009 Alain ZAMBONI Christophe DISTEL /08/2009 Alain ZAMBONI - Ajout de la branche «ou=param,o=annuaire» - Ajout de la classe udsldapudsparam - Renommage cn en udsseelementid dans la classe udsseelement - Ajout edupersonorgunitdn et edupersonprimaryorgunitdn - Modification de l'utilisation des attributs udsetpindex, udsdepartement, udsmaindepartment, udselpindex, udsvetindex - Ajout udslistname dans udsunit - Modification de la description de udslistname - udssportsubscription facultatif descriptions udssport modifiées /08/2009 Alain ZAMBONI - udsparentunit (udsunit) /08/2009 Alain ZAMBONI - Intégralité des éléments pédagagos. UdS dans la branche SE ajout udsunitlabel UdS - Spécification de l'annuaire d'établissement 3/45

4 Version Date Auteur Modification /11/2009 Alain ZAMBONI /01/2010 Alain ZAMBONI - Modification descriptions dans classe udsemployee - Ajout de la partie «Téléphonie» (5.8) - Ajout description des groupes et classes associées (udsgroup, SupannGroupe, GroupOfNames) - Ajout udsetpcode, udsprimaryetpcode, udsetpdn, udsprimaryetpdn dans la classe udsstudent - A jout description dans udsmailalias - Ajout udsdisplayname dans udsperson /04/2010 Alain ZAMBONI - Ajout de supannempcorps /05/2010 Alain ZAMBONI /07/2010 Alain ZAMBONI - Suppression edupersonaffiliation et edupersonprimaryaffiliation de udsperson (gestion des comptes non nominatifs) - Ajout de udsgroupapp dans udsgroup - Suppression du descriptif des applications - Suppression du chapitre sur la migration vers l'annuaire UdS - Modification classe udsstudent : - Suppression de udsetpindex - UdsDepartment et udsmaindepartment obsolètes - Ajout udsdepartmentcode, udsmaindepartmentcode, udsdepartmentdn et udsmaindepartmentdn - Ajout de udsresearchorgcode, udstopunitcode et udsprimarytopunitcode dans udsemployee - Ajout de udsactivationkey dans udsperson - Ajout de udsmoneonumber et udsmoneohash dans udssmartcard /07/2010 Alain ZAMBONI - Ajout de supannmailperso dans supannperson /08/2010 Alain ZAMBONI - Ajout de udssmartcardhexnumber dans udssmartcard /09/2010 Alain ZAMBONI /09/2010 Alain ZAMBONI /12/2010 Alain ZAMBONI /01/2011 Alain ZAMBONI Eric DÉCORNOD - udssmartcardnumber, udssmartcardbarcode, udssmartcardhexnumber deviennent facultatifs, pour permettre l'utilisation de la classe udssmartcard pour des personnes possédant uniquement une carte Monéo - Changement de la description de udsbirthdate et udsauthorizedgroup - Ajout de udsshortuid dans udsperson - Suppression de la partie Annuaire Fonctionnel - Supression de la classe udsfunction - Suppression de udsfunctiondn dans udsperson - Suppression de la partie Compatibilité avec les anciens annuaires : - Suppression des classes udspersoncompat et udscompocompat - Suppression de la classe udslistsubscription - Suppression de la classe udsscdiufm - Ajout de udssmartcardtype /09/2011 Alain ZAMBONI Jérémy WAGNER - Modification du format de udsdisplayname /10/2011 Alain ZAMBONI - Modification du format de udsbirthname /02/2012 Alain ZAMBONI Pascal GEOFFROY François MÉNABÉ - Ajout de l'attribut mail dans la classe udsmailalias UdS - Spécification de l'annuaire d'établissement 4/45

5 Version Date Auteur Modification /07/2012 Alain ZAMBONI Pascal GEOFFROY François MÉNABÉ - Ajout des attributs udsregistrationpayment et udsregistrationterminationdate dans la classe udsstudent /07/2012 Alain ZAMBONI /02/2013 Alain ZAMBONI - udsprimaryetpcode et udsetpcode deviennent facultatif (car on gère maintenant la désinscription) Ajout des attributs udsitpolicyapproval, udsrulesapproval, udslocked /09/2013 Alain ZAMBONI - Renommage de udsharpegedeletiondate en udssourcedeletiondate - Ajout de udsudcid /09/2013 Alain ZAMBONI François MENABE - Ajout des attributs udsseelementidbeginyear et udsseelementidendyear /07/2014 Alain ZAMBONI - Ajout de la classe udsanonymousaccount /05/2015 Alain ZAMBONI - Ajout de l'attribut udssmartcardsource - Modification du rôle de l'attribut udssmartcardtype UdS - Spécification de l'annuaire d'établissement 5/45

6 Table des matières 1 Introduction Contexte Objectifs et enjeux Objectif de ce document Structure de l'annuaire d'établissement UdS Gestion des personnes Arborescence Les classes d'objets Classe inetorgperson Classe eduperson Classe supannperson Classe udsperson Classe udsemployee Classe udsstudent Classe udstempteacher Classe udssport Classe udsmailaccount Classe udswifiprofile Classe udsvpnprofile Classe udswebgroupmember Classe udssmartcard Structures annexes Messagerie Arborescence Classes d'objets La classe udsmailalias La classe udsdomain La classe udsrights Exemple Profils Wifi Arborescence Les classes d'objets La classe inetorgperson La classe radiusprofile Exemple Profils VPN Arborescence Les classes d'objets La classe inetorgperson La classe radiusprofile Exemple Structure du référentiel Arborescence Schémas La classe udsunit La classe udsseelement Autorisations d'accès à l'annuaire d'établissement Arborescence Schémas la classe organizationalperson la classe groupofnames...34 UdS - Spécification de l'annuaire d'établissement 6/45

7 4.5.3 Exemple Téléphonie Arborescence Schémas pour la téléphone Mitel La classe OrganizationalPerson La classe User La classe billableobject Exemple Groupes dans l'annuaire LDAP Arborescence Schémas La classe groupofnames La classe supanngroupe La classe udsgroup Active Directory Authiris Arborescence Les classes d'objets La classe udsorganization Exemple Durée de vie des comptes Suppression des comptes Arborescence La classe groupofnames Exemple Evolution Paramètres d'applications Arborescence Schémas Classe udsldapudsparam Interaction avec les composantes Objectifs Schémas supportés La branche «ou=composantes» Accès à l'annuaire Exemple...42 UdS - Spécification de l'annuaire d'établissement 7/45

8 1 Introduction 1.1 Contexte La fusion des trois universités strasbourgeoises et de l'iufm au premier janvier 2009 constitue une occasion unique de repenser l'architecture de l'annuaire LDAP défini et utilisé jusque là par divers services informatiques en place. Avec l'expérience accumulée dans la gestion de l'annuaire et grâce à une nouvelle Direction Informatique unifiée, les contraintes de dispersion qui pesaient jusqu'ici disparaissent et ouvrent la voie à une architecture d'annuaire simplifiée et homogène. 1.2 Objectifs et enjeux Les objectifs de cet annuaire sont : d'assurer la cohérence des informations qui s'y trouvent ; de permettre leur utilisation transversale par l'ensemble des applications ; d'offrir aux composantes de l'uds un service d'annuaire fiable et adapté à leurs besoins ; de gérer des services que l'uds s'est engagée à offrir à des établissements partenaires (messagerie, wifi, e.n.t., applications pédagogiques, etc.) ; La structure proposée est un annuaire unique sur lequel s'adossent tous les services, dans le but évident de simplifier les processus et d'en simplifier la gestion. 1.3 Objectif de ce document Cette documentation est destinée à la fois aux concepteurs de l'annuaire et à ses utilisateurs, c'est à dire les concepteurs des applications utilisant l'annuaire. Elle a pour vocation de décrire précisément la structure de l'annuaire, les schémas utilisés et les valeurs des attributs. 2 Structure de l'annuaire d'établissement UdS L'annuaire d'établissement est un annuaire multi-établissement : il doit pouvoir intégrer les utilisateurs des établissements d'enseignement supérieur et de recherche demandant à profiter de l'offre de service de la direction informatique. Cet annuaire est aussi un annuaire applicatif : il contient des informations nécessaires au fonctionnement de services offerts par la direction informatique. Afin de répondre à ces besoins, l'annuaire contient plusieurs branches, chacune contenant des informations de nature différente. Le contenu de ces différentes branches est expliqué plus spécifiquement dans les chapitres suivants. UdS - Spécification de l'annuaire d'établissement 8/45

9 o=annuaire ou=people ou=uds ou=insa ou=referentiel ou=messagerie ou=profilsvpn ou=profilswifi ou=telephonie ou=operateurs ou=composantes ou=groups UdS - Spécification de l'annuaire d'établissement 9/45

10 3 Gestion des comptes utilisateur Chaque personne se voit attribuer un compte unique par établissement, quel que soit le nombre de fonctions qu'elle peut occuper au sein de l'université. Ainsi, un personnel également inscrit en tant qu'étudiant aura un seul compte, lui offrant accès aux applications réservées au personnel, mais également aux applications pédagogiques proposées aux étudiants. L'annuaire UDS étant multi-établissement, il peut héberger les comptes des utilisateurs de multiples établissement. Les comptes sont propres à chaque établissement. Ainsi, il se peut qu'une même personne physique ait plusieurs comptes dans l'annuaire : un par établissement dans lequel elle est inscrite/employée. 3.1 Arborescence Les personnes sont déclarées dans la branche «ou=people» de l'annuaire d'établissement. Cette branche est subdivisée : chaque établissement hébergé dans l'annuaire a sa sous-branche propre. 3.2 Les classes d'objets Les schémas suivants détaillent la représentation utilisée pour stocker toutes les informations relatives à une personne dans l'annuaire Classe inetorgperson Classe d'objet standard (RFC 2798) définissant une personne. Le détail des attributs contenus par cette classe peut être consulté dans les documents suivants : RFC-2798 de l'ietf : Recommandations SUPANN v1 : Recommandations SUPANN 2008 : Le tableau suivant présente les attributs issus de la classe inetorgperson qui seront utilisés dans l'annuaire UdS. UdS - Spécification de l'annuaire d'établissement 10/45

11 cn Mu O Cet attribut contient le nom complet sans accents de la personne (RFC2256). Les noms et prénoms doivent être en majuscule. Les noms et prénoms composés sont attachés par un «-». Les prénoms et noms sont séparés d'un espace. Tous les autres caractères non alpha-numériques sont supprimés. Ex : NOM-COMPOSE PRENOM-COMPOSE displayname Mo N Cet attribut contient le nom complet avec accents de la personne. Il a pour but d'être utilisé pour l'affichage dans les applications. De ce fait, il doit respecter le format «Prénom» (inverse du cn). Les valeurs du prénom et du nom sont respectivement celles des attributs givenname et sn. facsimiletelephonenumber Mu N Cet attribut contient le numéro de télécopieur auquel la personne est accessible. Pour les personnels dépendant de l'installation téléphonique de la DI, cet attribut devra être renseigné par les informations issues de ce dernier. (RFC2256) givenname Mu N Cet attribut contient le prénom avec accent de la personne (RFC2256). La première lettre de chaque prénom doit être en majuscule et le reste en minuscule. Plusieurs espaces successifs sont remplacés par un seul. Les autres spécificités éventuelles (apostrophe, tiret, etc.) sont inchangés par rapport à la base source mail Mu N Cet attribut contient l'adresse électronique canonique institutionnelle de la personne (RFC1274). Si la personne dispose d'une boîte aux lettres électronique hébergée à la DI, c'est à cette dernière de remplir cet attribut. Cet attribut est uniquement informatif, et n'est pas utilisé pour l'acheminement de courrier électronique. mobile Mu N Cet attribut contient le numéro de téléphone mobile institutionnel de la personne. Pour les personnels dépendant de l'installation téléphonique de la DI, cet attribut devra être renseigné par les informations issues de ce dernier. (RFC1274) postaladdress Mu N Adresse postale institutionnelle complète de la personne (RFC2256). Cette information sera remplie automatiquement selon les données d'affectation issues des bases Harpège et Apogées, ou selon l'annuaire source pour les établissement externes. preferredlanguage Mo N Langue préférée par l'utilisateur. L'utilisation précise de ce champ est à définir. sn Mu O Cet attribut contient le nom avec accent de la personne (RFC2256). La première lettre de chaque nom doit être en majuscule et le reste en minuscule. Plusieurs espaces successifs sont remplacés par un seul. Les autres spécificités UdS - Spécification de l'annuaire d'établissement 11/45

12 éventuelles (apostrophe, tiret, etc.) sont inchangés par rapport à la base source. telephonenumber Mu N Cet attribut contient le numéro de téléphone auquel la personne est accessible. Pour les personnels dépendant de l'installation téléphonique de la DI, cet attribut devra être renseigné par les informations issues de ce dernier. (RFC2256) uid Mu N Cet attribut doit contenir le RDN de la personne (RFC2798). Cet uid est le login de la personne, qui sera utilisé pour l'authentification dans les applications. userpassword Mu N Cet attribut contient le mot de passe de la personne(rfc2307). Ce mot de passe doit être chiffré. Un compte sans mot de passe est un compte verrouillé Classe eduperson La classe eduperson est issue des travaux d'un groupe de travail de l'association EDUCAUSE. Cette classe propose des attributs génériques permettant de définir une personne dans l'enseignement supérieur. L'utilisation de cette classe, plébiscitée par les recommandations SUPANN, s'inscrit dans une démarche d'harmonisation internationale des annuaires d'établissement de l'enseignement supérieur. Le détail des attributs de cette classe peut être consulté dans les documents suivants : Site web EDUCAUSE : Recommandations SUPANN v1 : Recommandations SUPANN 2008 : Le tableau suivant présente les attributs issus de la classe eduperson qui seront utilisés dans l'annuaire UdS. UdS - Spécification de l'annuaire d'établissement 12/45

13 Obligatoire Description edupersonaffiliation Mu N Statut de la personne en fonction de la nomenclature suivante : student : étudiant inscrit dans l'établissement faculty : personnel géré ou hébergé par l'établissement assurant une activité d'enseignement employee : personnel géré ou hébergé par l'établissement assurant une activité autre que l'enseignement ou la recherche researcher : personne assurant une activité de recherche member : personne inscrite dans les bases de l'établissement ; s'ajoute aux profils student, faculty, employee et researcher affiliate : personne ne dépendant pas de l'établissement alum : ancien étudiant ayant gardé des liens avec l'établissement retired : personne retraitée ayant gardé des liens avec l'établissement emeritus : professeur ayant obtenu l'éméritat dans l'établissement library-walk-in : profil spécifique lié à la problématique des accès aux bibliothèques électroniques edupersonprimaryaffiliation Mo N Statut considéré comme principal (cf. nomenclature ci dessus). Le statut principal est choisi parmi ceux dans edupersonaffiliation, dans dans l'ordre priorité croissante suivant : library-walk-in, alum, affiliate, retired, member, emeritus, student, researcher, faculty, employee. edupersonorgunitdn Mu N DN dans l'annuaire UdS désignant les structures d'affectations d'un personnel. Équivalent au format DN de supannentiteaffectation. edupersonprimaryorgunitdn Mo N DN dans l'annuaire UdS désignant la structure d'affectation principale d'un personnel. Contient obligatoirement une des valeurs de edupersonorgunitdn. Équivalent au format DN de supannentiteaffectationprincipale Classe supannperson Les recommandations SUPANN ont pour but d'assurer la compatibilité des annuaires de l'enseignement supérieur aux niveaux national et international. La classe d'objet supannperson complète les classes inetorgperson et eduperson. Elle ajoute des attributs génériques supplémentaires pour définir une personne. Le détail des recommandations SUPANN peut être consulté dans les document suivant : Recommandations SUPANN v1 : Recommandations SUPANN 2008 : Le tableau suivant présente les attributs issus de la classe supannperson qui seront utilisés dans l'annuaire UdS. UdS - Spécification de l'annuaire d'établissement 13/45

14 Obligat oire Description supannetablissement Mo O Établissement de rattachement administratif de la personne supanncivilite Mo N «M.», «Mme» ou «Mlle» (ne pas oublier le point après le M pour monsieur). supannlisterouge Mo O DOIT contenir une information sur le souhait de la personne de figurer en liste rouge. Booléen à VRAI pour les personnes figurant en liste rouge. supannautretelephone Mu N Téléphones fixes autres que le téléphone principal. Même syntaxe que TelephoneNumber. supannentiteaffectation Mu N Représente la ou les affectations de la personne dans un établissement, une composante, un service, etc. Pour l'uds, les valeurs utilisées sont celles du référentiel utilisé dans l' application Harpège. Les affectations les plus fines issues d'harpège figurent dans cet attribut (en opposititon à «udstopunitcode»). supannentiteaffectationprincipale Mo N Représente l'affectation principale de la personne dans l'établissement (composante, service, etc.). Pour l'uds, les valeurs utilisées sont celles du référentiel utilisé dans l' application Harpège. Pour les personnes avec plusieurs contrats, l'affectation principale est choisi selon l'ordre de priorité croissante suivant : affectation vacataire, affectation hébergé, affectation contractuel, affectation titulaire. L'affectations principale la plus fine issue d'harpège figure dans cet attribut (en opposititon à «udsprimarytopunitcode»). supannempid N Identifiant de l'employé dans le logiciel de gestion du personnel de l'établissement. supanncodeine Mo N Cet attribut DOIT stocker le code INE pour les étudiants (voir sigles et glossaire).il DOIT être renseigné si l'attribut edupersonaffiliation contient student. supannetuid Mo N Identifiant de l'étudiant dans le logiciel de gestion de scolarité de l'établissement. SupannEmpCorps Mo N Corps d'appartenance d'un agent. Contenu étiqueté ( NCORPS ), code issu de la colonne CORPS de la table N_CORPS du domaine Gestion du personnel de la BCN ( SupannMailPerso Mu N Adresse électronique personnel de la personne Classe udsperson La classe d'objet udsperson est la classe de base d'une personne de l'uds. Elle propose les attributs nécessaires pour identifier une personne dans le système d'information de l'université de Strasbourg. On retrouve dans cette classe certains attributs issus des classes inetorgperson et eduperson dans le but de les rendre obligatoires. UdS - Spécification de l'annuaire d'établissement 14/45

15 uid Mo O Login de l'utilisateur givenname Mo O Prénom de l'utilisateur udsbirthdate Mo O Date de naissance de la personne. Une valeur de « Z» (=01/01/1900) indique une date date inconnue. udsbirthname Mo N de naissance de l'utilisateur Ce champ est uniquement rempli s'il est alimenté dans la base source. Cet nom est sous forme normalisée pour pouvoir être utilisé dans des recherches : les accents sont retirés, le nom est en majuscule, un «-» relie les noms composés, tous les autres caractères non alpha-numériques sont supprimés. UdsDisplayName Mo O complet de l'utilisateur suivi du code de la composante, du service ou de l'établissement. Les étudiants ont également le suffixe ETU. Le suffixe est entre parenthèses. Exemples : - «Robert TARTANPION (MAI)» - «Jacques SELERE (ETU INSA)» udslab Mu N Laboratoire(s) de recherche au(x)quel(s) est affectée la personne udsactive Mo N Booléen indiquant si la personne a activé son compte E.N.T. udsnetmanagergroup Mo N Groupe de gestionnaires réseaux ayant des droits sur l'administration de la personne udsendmanageddate Mo N Date de fin d'adoption du compte. A cette date, l'attribut «udsnetmanagergroup» de ce cette entrée sera supprimé. Dans le cas des comptes créés manuellement, cette date fait office de date de suppression. udsdatasource Mu O de la(les) base(s) source(s) dont l'entrée est issue. Valeurs possibles : APOGEE, HARPEGE, INSA, ENGEES, MANUEL La valeur «MANUEL» est utilisée lorsque les comptes ne sont pas rattachés à une base de données source. Les cas envisageables sont : - établissement sans annuaire d'établissement - comptes invités d'accès réseau (Wifi/VPN) udssourcepresent Mo O Booléen indiquant si l'enregistrement de la personne dans le système d'information est encore valide. Selon la valeur d'udsdatasource, les valeurs possibles sont : - HARPEGE : VRAI si la personne a un contrat valide (=présent dans la vue Harpège), sinon FAUX ; - APOGEE : VRAI si la personne est présente dans la table individu d'apogee, FAUX si la personne a disparu ; - INSA, ENGEES, ENSAS, MANUEL : toujours à VRAI udssourcedeletiondate Mo N Date indiquant le jour où l'enregistrement de la personne n'est plus valide dans la source de UdS - Spécification de l'annuaire d'établissement 15/45

16 données relative (udsdatasource). Cette date indique le début du sursis du compte. Uniquement utilisé quand le compte a un sursis vis-à-vis de la présence de la personne dans la source. udssourcedn Mo N DN de référence dans l'annuaire INSA ou ENGEES si la personne est issue d'un de ces établissements. Attribué uniquement si udsdatasource a la valeur correspondante. UdsShortUid Mo N Login court pour la personne (<= 12 caractères). Cet attribut bénéficie d'une contrainte d'unicité. Il n'y a pas de contrainte entre ce login court et l'uid standard : l'udsshortuid d'une personne A peut être l'uid d'une personne B. Les changements d'uid n'impactent pas cet attribut. Actuellement uniquement utilisé par SIFAC, l'alimentation de cet attribut est entièrement géré par l'équipe d'exploitation SIFAC. UdsDirectoryId Mo O Numéro unique et immuable d'une personne dans l'annuaire UdS. Permet d'identifier un individu en cas de changement de login. udsactivationkey Mo N Clé d'activation initiale du compte. Cette clé est attribué lors de la création du compte. La procédure de première connexion authentifie l'utilisateur avec cette attribut. Une fois cette procédure effectuée et le vrai mot de passe initialisé, cette clé est supprimée. udsitpolicyapproval Mo N Booléen indiquant que l'utilisateur a accepté électroniquement la charte informatique de l'établissement. Attribut alimenté uniquement pour les établissements dont la DI gère l'approbation de la charte informatique. L'attribut doit être présent pour ces établissements. udsrulesapproval Mo N Booléen indiquant que l'utilisateur a accepté électroniquement le règlement intérieur de l'établissement. Attribut alimenté uniquement pour les établissements dont la DI gère l'approbation du règlement intérieur. L'attribut doit être présent pour ces établissements. udslocked Mo O Booléen indiquant que le compte a été verrouillé administrativement. udsudcid Mo N Identifiant de la personne dans Alisée (UDC Identifier) Classe udsemployee La classe udsemployee est attribuée aux personnels de l'université. Elle permet de renseigner les informations propres à ce statut issues de la base Harpège. udsstatus Mo O Statut de la personne : Titulaire, Arrivant (création Harpgest), Vacataire, Contractuel, Heberge. Pour les UdS - Spécification de l'annuaire d'établissement 16/45

17 personnes avec plusieurs contrats, ce statut est choisi selon l'ordre de priorité croissante suivante : Vacataire, Heberge, Arrivant, Contractuel, Titulaire. udsgrade Mo N Grade de la personne. Pour les personnes avec plusieurs contrats, le grade est choisi selon l'ordre de priorité croissante suivant : grade hébergé, grade arrivant, grade contractuel, grade titulaire. udsendofactivitydate Mo N Date de fin d'activité en tant que personnel universitaire. Format date LDAP udsspeciality Mo N Indique le code CNU pour les enseignants/chercheurs et la BAP pour les ITRF. udstopunitcode Mu N Code des composantes ou services d'affection de plus haut niveau de l'employé. Pour l'uds, les valeurs utilisées sont celles du référentiel utilisé dans l' application Harpège. udsprimarytopunitcode Mo N Code de la composantes ou du service d'affection de plus haut niveau de l'employé. Pour l'uds, la valeur utilisée est celle du référentiel utilisé dans l' application Harpège. Pour les personnes avec plusieurs contrats, l'affectation principale est choisi selon l'ordre de priorité croissante suivant : affectation vacataire, affectation hébergé, affectation contractuel, affectation titulaire. udsresearchorgcode Mu N Pour les personnels uniquement hébergés, contient le code Harpège de l'organisme employeur de la personne (ex. S pour CNRS) Classe udsstudent La classe udsstudent est attribuée aux étudiants de l'université. Elle permet de renseigner les informations propres à ce statut issues de la base Apogée. Les attributs obligatoires de cette classe peuvent être renseignés dès l'inscription administrative. C'est cette inscription qui est déterminante pour affecter le statut d'étudiant à une personne. Les autres attributs demandent que l'étudiant ait effectué son inscription pédagogique. Pour l'uds, seuls les éléments éléments pédagogiques «chargés» sont renseignés. Les natures concernées sont : UECH : UE chargée ; STAG : stage ; MEMR : mémoire de recherche; MATI : matière ; MLNS : langue NS; MEM : mémoire ; PRJ : projet ; SE : séminaire. udsacademicyear Mo O Dernière année d'inscription de l'étudiant. Format : 4 chiffres. Ex: 2007 pour l'année scolaire 2007/2008 udsmaindepartment Mo N Obsolète en janvier 2011 UdS - Spécification de l'annuaire d'établissement 17/45

18 Composante principale d'inscription de l'étudiant. Format : DN dans l'annuaire de la composante. udsdepartment Mu N Obsolète en janvier 2011 Composante(s) d'inscription(s) de l'étudiant. Format : DN dans l'annuaire de la composante. UdsDepartmentCode Mu N Composante(s) d'inscription(s) de l'étudiant. Format : code de la composante (chaîne de caractère). udsmaindepartmentcode Mo N Composante principale d'inscription de l'étudiant. Format : code de la composante (chaîne de caractère). udsdepartmentdn Mu N Composante(s) d'inscription(s) de l'étudiant. Format : DN dans l'annuaire de la composante. udsmaindepartmentdn Mo N Composante principale d'inscription de l'étudiant. Format : DN dans l'annuaire de la composante. udsendofrightdate Mo N Date de fin de droits étudiants. Format date LDAP udsvetindex Mu N Version d'étape à laquelle(auxquelles) est inscrit l'étudiant. Actuellement inutile. udselpindex Mu N Élément(s) pédagogique(s) au(x)quel(s) est inscrit l'étudiant. Format : DN dans l'annuaire le l'élément correspondant. udsstudentcode Mo N Numéro de l'étudiant interne à l'université. Présent sur la carte d'étudiant. Ne pas confondre avec le numéro de dossier Apogée et le code INE. udsetpdn Mu N DN dans l'annuaire des étapes auxquelles l'étudiant est inscrit (non-obligatoire car toutes les étapes ne sont pas dans l'annuaire). udsprimaryetpdn Mo N DN dans l'annuaire de l'étape de l'inscription principale (non-obligatoire car toutes les étapes ne sont pas dans l'annuaire). udsetpcode Mu N codes des étapes Apogée auxquelles l'étudiant est inscrit. udsprimaryetpcode Mo N code de l'étape de l'inscription principale. udsregistrationpayment Mo N Booléen Indiquant si l'étudiant est à jour dans le paiement de son inscription. udsregistrationterminationdate Mo N Date de résiliation de l'inscription de l'étudiant (démission, renvoi, etc.) UdS - Spécification de l'annuaire d'établissement 18/45

19 3.2.7 Classe udstempteacher Cette classe est une classe spécifique pour les enseignants vacataires. Elle est utilisée par les applications pédagogiques pour déterminer les droits d'accès. udstempteacherenddate Mo O Date de fin de la vacation. Format date LDAP Classe udssport Cette classe contient des attributs nécessaires à l'application SiuapsWeb. Elle permet de déterminer le montant des droits sportifs, et de savoir si la personne les a acquittés. Cette classe est uniquement utilisé pour les personnes (étudiants et personnels) hors du SI de l'uds. Pour l'insa et l'engees, ces valeurs sont issues de la réplications de l'annuaire LDAP d'établissement. udssportsubscription Mo N Booléen déterminant si la personne a payé les droits sportifs auprès d'une entité de son établissement (scolarité, etc.). Le paiement direct au SIUAPS n'est pas concerné par cette valeur. udssportrate Mo N Indice salarial d'un personnel. udsscholar Mo N Pour les étudiants. Booléen indiquant si l'étudiant est boursier udsbaccalaureatyear Mo N Année d'obtention du baccalauréat. Permet d'exempter les étudiants venant de réussir le bac des droits sportifs Classe udsmailaccount Cette classe contient les attributs nécessaires au service d'hébergement de messagerie. Elle offre les attributs définissant une boîte aux lettres. udsmaildirectory Mo O Indique le répertoire de stockage de la boîte aux lettres sur le(s) serveur(s) de messagerie udscanonicaladdress Mo O Adresse de messagerie principale de la personne udsalternateaddress Mu N Adresse(s) de messagerie secondaire(s) de la personne udsquota Mo N Espace disque maximum en octets autorisé pour cette boîte aux lettres. La valeur doit se terminer avec «S» pour préciser que c'est une limite sur la taille de la boîte. Ex : 5Go S udsmailfilter Mo N Séquence de filtre de messagerie à appliquer aux messages à destination de cette boîte aux lettres. Cf. udsmaillimitdate Mo N Date d'expiration de la boîte aux lettres. Format date LDAP. UdS - Spécification de l'annuaire d'établissement 19/45

20 Classe udswifiprofile Cette classe contient les attributs autorisant la personne à se connecter au réseau sans-fil Osiris et permettant de la placer dans un sous-réseau spécifique. Une personne sans cette classe ne peut se connecter au réseau sans-fil. udsradiusprofilewifi Mo O Profil Wifi de la personne, faisant référence à un profil déclaré dans la branche des profils wifi. udswifilimitdate Mo N Date d'expiration de l'accès au réseau sans-fil. Format date LDAP. Pour les comptes wifi invités ou conférences, cette date indique la date de suppression du compte Classe udsvpnprofile Cette classe contient les attributs autorisant la personne à utiliser le service d'accès à distance VPN et permettant de la placer dans un sous-réseau spécifique. Une personne sans cette classe ne peut utiliser ce service. udsradiusprofilevpn Mo O Profil VPN de la personne, faisant référence à un profil déclaré dans la branche des profils VPN. udsvpnlimitdate Mo N Date d'expiration de l'accès au service VPN. Format date LDAP Classe udswebgroupmember Cette classe permet d'attribuer un ou plusieurs groupes web à une personne. Ces groupes pourront être utilisés par les serveurs web pour restreindre l'accès à certaines pages. udswebgroup Mu O Groupe web au(x)quel(s) appartient la personne Classe udssmartcard Cette classe permet de stocker les informations relatives à la carte multi-services ou la carte Monéo de la personne. Obligatoire Description UdsSmartcardType Mo N Type de la carte : CMS : carte multi-service (déprécié) SCD : carte de de lecteur externe SCD (deprecié) VAC : carte de photocopie vacataire UdS (déprecié) employee : carte professionnelle student : carte d'étudiant guest : carte invité UdS - Spécification de l'annuaire d'établissement 20/45

21 Obligatoire Description reader : carte de lecteur de bibliothèque access: carte d'externe, sans monétique IZZLY (dite ultra-light) UdsSmartCardSource Mo N Source de données autoritaire pour cette carte : EASYID : import automatique depuis Easy'ID CARDMANAGER : import automatique depuis Cardmanager LDAPUDS: gestion manuelle directe dans l'annuaire LDAP udssmartcardnumber Mo N Numéro fabricant de la carte multi-service. Format dépendant du constructeur de la carte. Correspond au numéro de la carte au format décimal. udssmartcardbarcode Mo N Numéro du code barre de la carte multi-service. Nécessaire pour certaines applications dans le cas où le numéro fabricant serait différent et incompatible. udsmoneonumber Mo N Numéro de la carte Monéo (tronqué au 16 derniers caractères). udsmoneohash Mo N Numéro complet de la carte Monéo chiffré (SHA1 hexadécimal). udssmartcardhexnumber Mo N Numéro de la carte au format Hexadécimal La classe udsanonymousaccount Cette classe est à utiliser pour les comptes non-nominatifs. Elle est à associer aux classes udsperson et InetOrgPerson. UdsAnonymousType Mo N Type de compte non-nominatif : temporary : comptes temporaires... Autres types à définir. udsanonymouscreator Mo N DN de l'utilisateur ayant effectué la création du compte. Différent de udsanonymouscreator quand la création est effectuée par le support DI pour une autre personne. udsanonymousaccountable Mo N DN de l'utilisateur responsable du compte, c'est à dire l'utilisateur demandeur de la création du compte 4 Structures annexes 4.1 Messagerie Le service de messagerie nécessite le stockage de deux types d'informations en plus des boîtes aux lettres : les aliases de messagerie, et la liste des domaines de messagerie hébergés. Les aliases de messagerie sont les adresses de messagerie qui ne sont pas affectées directement à des boîtes aux lettres. Ces adresses redirigent les messages vers une ou plusieurs autres adresses, qui peuvent être hors du périmètre du service de messagerie centralisée. UdS - Spécification de l'annuaire d'établissement 21/45

22 4.1.1 Arborescence Toutes les informations complémentaires relatives à la messagerie sont stockées dans la branche «ou=messagerie». Cette branche est divisée en deux sous-branches : la branche «ou=aliases» qui contient tous les aliases la branche «ou=domaines» qui répertorie tous les domaines hébergés Ces deux sous-branches ne sont pas elles-même subdivisées Classes d'objets La classe udsmailalias Cette classe permet de déclarer des aliases. Elle est de type structurel, et peut donc être attribuée seule à un objet. uid Mo O Adresse de l'alias udsforwardaddress Mu O Adresse(s) destinataire(s) de l'alias udslistmanagedby Mo N Certains aliases peuvent être déclarés par des applications (ex: listes de diffusions). Lorsque c'est le cas, cet attribut indique le nom de l'application. Les aliases présentant cet attribut ne doivent pas être modifiés manuellement. cn Mu N Attribut standard (rfc 2256). Description de l'alias. Si cet attribut est présent, l'alias apparaît dans le carnet d'adresse LDAP. description Mu N Attribut standard (rfc 1617).Commentaire de l'aliases. Affichés uniquement dans l'application Authiris pour le gestionnaire de l'alias. mail Mu O Attribut standard (rfc 1274). Adresse de l'alias. La valeur doit être identique à l'attribut uid La classe udsdomain Cette classe permet de déclarer des domaines. Elle est de type structurel, et peut donc être attribuée seule à un objet. uid Mo O Adresse de l'alias udsdomainrestricted Mo N Booléen indiquant que les aliases créés dans ce domaine ne peuvent être gérés que par le groupe de correspondant l'ayant créé. Si l'attribut est absent, la valeur par défaut est «FALSE». Exemple pratique : le domaine «unistra.fr» est utilisable par tous les correspondants réseaux, mais chacun ne pourra modifier que ceux qu'il a créé. La règle de gestion suivante s'impose : les aliases dans les domaines concernés doivent impérativement se voir ajouter un (ou plusieurs) attribut(s) «udsauthorizedgroup». Un aliases né repondant pas à cette règle ne sera pas modifiable. UdsDomainReadOnly Mo N Booléen indiquant que le domaine est en «read- UdS - Spécification de l'annuaire d'établissement 22/45

23 only». Aucune adresse ne peut être ajoutée, modifiée ou supprimée dans un tel domaine. Si l'attribut est absent, la valeur par défaut est «FALSE». A utiliser pour geler la modification d'adresses dans les domaines xxx.u-strasbg.fr. UdS - Spécification de l'annuaire d'établissement 23/45

24 4.1.3 La classe udsrights Cette classe est de type auxiliaire, et est donc forcément attribuée en supplément d'une classe structurelle. Elle est utilisée dans la définition des domaines, des aliases et des profils Wifi et VPN. Elle permet de déclarer des groupes de correspondants autorisés à utiliser ces ressources. Les correspondants affectés aux groupes déclarés auront le droit de manipuler les adresses des domaines de messagerie concernés ou d'affecter les profils Wifi et VPN en questions. udsauthorizedgroup Mu O Groupe(s) de correspondants réseaux autorisés à utiliser cette ressource (domaine de messagerie, Profils VPN ou Wifi). Le contenu est sous forme de d'expression «glob», avec les caractères spéciaux suivants : - * : n'importe quelle suite de caractères -? : n'importe quel caratère -! (en début de valeur) : interdit l'accès à la ressource au groupe nommé après. UdS - Spécification de l'annuaire d'établissement 24/45

25 4.1.4 Exemple L'exemple fictif suivant présente quelques aliases et la déclaration des domaines associés. ou=annuaire ou=messagerie ou=aliases udsforwardaddress: udsforwardaddress: udsforwardaddress: udsforwardaddress: udsforwardaddress: " /usr/local/bin/queue udslistmanagedby: Gestionnaire de liste Sympa udsforwardaddress: udsauthorizedgroup: di-infra... ou=domaines uid=math-info.uds.fr udsauthorizedgroup: math-info udsauthorizedgroup: super-admin uid=uds.fr udsauthorizedgroup: sympa-admin udsauthorizedgroup: super-admin uid=unistra.fr udsauthorizedgroup: sympa-admin udsauthorizedgroup: super-admin udsauthorizedgroup: di-infra udsauthorizedgroup: math-info udsauthorizedgroup: physique UdsDomainRestricted: TRUE UdS - Spécification de l'annuaire d'établissement 25/45

26 4.2 Profils Wifi Arborescence Toutes les définitions des profils Wifi sont stockées dans une branche «ou=profilswifi», reliée à la racine de l'annuaire d'établissement. Il n'y a pas de subdivision en sous-branche Les classes d'objets Les profils Wifi sont constitués de plusieurs classes d'objets. Parmi ces classes, la seule propre à l'uds est la classe udsrights (cf paragraphe ) La classe inetorgperson Quelques attributs de la classe standard inetorgperson sont utilisés. uid Mu O identifiant du profil. Par convention, les identifiants des profils Wifi débutent par «wifi-». sn Mu O du profil cn Mu O Description informative du profil La classe radiusprofile La classe applicative radiusprofile propose de nombreux attributs. Ceux utilisés dans les profils Wifi sont décrits dans le tableau ci-après. radiustunneltype Mo O Valeur numérique indiquant le type de tunnel réseau utilisé. La valeur utilisée au sein d'osiris est 13 pour spécifier l'utilisation de «réseaux virtuels» (VLAN). radiustunnelmediumtyp e radiustunnelprivategrou pid Mo O Valeur numérique indiquant le protocole réseau du tunnel. La valeur utilisée au sein d'osiris est 6 pour spécifier Ethernet. Mo O Valeur numérique indiquant le numéro du réseau virtuel Ethernet Exemple L'exemple suivant présente un profil Wifi et son attribution à un utilisateur. UdS - Spécification de l'annuaire d'établissement 26/45

27 o=annuaire ou=people ou=uds uid=lechef UdsRadiusProfileWifi: uid=wifi-math-info,ou=profilswifi,o=annuaire udswifilimitdate: Z ou=profilswifi uid: wifi-math-info sn: vlan wifi de Math-Info cn: donne l'acces au réseau interne du département de Mathématique et d'informatique radiustunneltype: 13 radiustunnelmediumtype: 6 radiustunnelprivategroupid: 156 udsauthorizedgroup: math-info 4.3 Profils VPN Arborescence Toutes les définitions des profils VPN sont stockées dans une branche «ou=profilsvpn», reliée à la racine de l'annuaire d'établissement. Il n'y a pas de subdivision en sous-branche Les classes d'objets Les profils VPN sont constitués de plusieurs classes d'objets. Parmi ces classes, la seule propre à l'uds est la classe udsrights (cf paragraphe ) La classe inetorgperson Quelques attributs de la classe standard inetorgperson sont utilisés. uid Mu O Identifiant du profil. Par convention, les identifiants des profils Wifi débutent par «vpn-». sn Mu O du profil cn Mu O Description informative du profil UdS - Spécification de l'annuaire d'établissement 27/45

28 La classe radiusprofile La classe applicative radiusprofile propose de nombreux attributs. Ceux utilisés dans les profils Wifi sont décrits dans le tableau ci-après. radiusreplyitem Mu O Méta-attribut contenant des paramètres de configuration (Cisco-AVPair) interprétés par le routeur VPN. Les différentes paramètres AVPair sont : ipsec:addr-pool = nom de l'espace d'adresses IP déclaré sur le routeur ipsec:default-domain = nom du domaine DNS ipsec:dns-servers = adresse du (des) serveur(s) DNS ipsec:include-local-lan = booléen. Si vrai, le client ne passera pas par le serveur VPN pour joindre son réseau local d'origine ipsec:max-logins = nombre de connexions simultanées autorisées par utilisateurs ipsec:netmask = masque de sous-réseau IP Exemple L'exemple suivant présente un profil VPN et son attribution à un utilisateur. UdS - Spécification de l'annuaire d'établissement 28/45

29 o=annuaire ou=people ou=uds uid=lechef UdsRadiusProfileVPN: uid=vpn-math-info,ou=profilswifi,o=annuaire udswifilimitdate: Z ou=profilsvpn uid: vpn-math-info sn: vlan vpn de Math-Info cn: donne l'acces au réseau interne du département de Mathématique et d'informatique radiusreplyitem: Cisco-AVPair := "ipsec:addr-pool=mathinfovpnippool" radiusreplyitem: Cisco-AVPair += "ipsec:default-domain=uds.fr" radiusreplyitem: Cisco-AVPair += "ipsec:dns-servers= " radiusreplyitem: Cisco-AVPair += "ipsec:include-local-lan=1" radiusreplyitem: Cisco-AVPair += "ipsec:max-logins=1" radiusreplyitem: Cisco-AVPair += "ipsec:netmask= " authorizedgroup: math-info 4.4 Structure du référentiel Le référentiel de l'annuaire contient toutes les informations structurelles de référence relatives au fonctionnement de l'établissement : description des enseignements, des unités de recherche, des composantes, etc Arborescence La branche «ou=referentiel» héberge l'ensemble de ces données. L'annuaire pouvant héberger des informations d'autres établissements pour leur offrir des services (par exemple la messagerie et les listes de diffusion étudiantes), une subdivision sur ce critère est effectuée. Les sous-branches ainsi créées sont nommées «ou=etab» (ex: ou=uds). Chaque branche d'établissement est ensuite subdivisée en sous-branches pour chaque type d'information. Les contenants ainsi créés sont : «ou=se» : détaille la structure d'enseignement de l'établissement ; «ou=structures» : définis les composantes et services de l'établissement. La branche «ou=se» est quand à elle subdivisée en deux sous-branches référençant les étapes universitaires et les éléments pédagogiques : «ou=etp» : détaille les étapes universitaires ; «ou=elp» : détaille les éléments pédagogiques. Tous les éléments pédagogiques Apogée sont présents dans l'annuaire. Dans le cas de l'uds, ces informations sont issues des applications de gestion des ressources humaines UdS - Spécification de l'annuaire d'établissement 29/45

30 (Harpège), de scolarité (Apogée), de gestion financière et comptable (Nabuco) et de gestion de la recherche (Graal). UdS - Spécification de l'annuaire d'établissement 30/45

31 o=annuaire ou=referentiel ou=uds ou=se ou=etp ou=elp ou=structures Schémas La classe udsunit La branche composante contient toutes les composantes, services et laboratoires de l'uds (le mot «structure» sera utilisé). Elles est alimentée par les structures saisies dans les bases du Système Information, càd Harpège, Apogée et Graal. Tous ces structures utilisent la même classe d'objet «udsunit». Cette classe part du principe que les codes de composantes sont identiques dans les différentes bases.. ou Mu O Attribut standard (rfc 1617). Code de la structure dans l'annuaire uds. Pour les structures UdS issues d'apogee et Harpege, c'est le code sur trois lettres de la structure (ex: MAI). Pour les laboratoires issus de Graal, il s'agit de l'idenfifiant UdsShortDesc Mo O Libellé court de la structure. À la création, initialisé à la valeur de la base du SI. Il peut être modifié manuellement pour faire apparaître un nom court plus intelligible pour la structure. udslongdesc Mo O Libellé long de la structure. Issu des bases du SI. udsunitlabel Mu N Label d'un laboratoire, issu de Graal (ex: UMR 7730) Non renseigné pour les composantes et services issues d'apogée et d'harpège. facsimiletelephonenumb er Mu N Cet attribut contient le numéro de télécopieur générique de la structure. Pour l'uds, Cette information sera remplie automatiquement selon les UdS - Spécification de l'annuaire d'établissement 31/45

32 données d'affectation issues des bases SI. (à préciser : en cas de différence sur une structure commune, quelle base sera la bonne prioritaire). (RFC2256) mail Mu N Cet attribut contient l'adresse électronique institutionnelle de la structure. (RFC1274). postaladdress Mu N Adresse postale institutionnelle complète de la structure (RFC2256). Pour l'uds, Cette information sera remplie automatiquement selon les données d'affectation issues des bases SI. (à préciser : en cas de différence sur une structure commune, quelle base sera la bonne prioritaire). telephonenumber Mu N Cet attribut contient le numéro de téléphone auquel la structure est accessible. Pour l'uds, cette information sera remplie automatiquement selon les données d'affectation issues des bases du SI. (à préciser : en cas de différence sur une structure commune, quelle base sera la bonne prioritaire) (RFC2256). udsdatasource Mu O de la(les) base(s) source(s) dont l'entrée est issue. Valeurs possibles : APOGEE, HARPEGE, GRAAL. UdsGraalId Mo N Identifiant d'une composante dans Graal. Permet de rattacher les UR de Graal aux composantes Harpège. Cette valeur est remplie uniquement pour les composantes (UdsUnitType=C) existante dans Graal (udsdatasource=graal). UdsParentUnit Mo N DN dans l'annuaire de la structure parente. Information issues des bases du SI. UdsUnitType Mo O Information issues des bases du SI. Type de structure : C : composante (Harpège ou Apogée) A : autre : service, département (Harpège) L : laboratoire (Graal) udslistname Mu N Provoque la création d'alias(es) de messagerie supplémentaire(s) dirigeant vers la liste de diffusion de la structure. Contient uniquement le préfixe de l'alias. Le programme générant les listes déterminera le domaine de l'adresse (étudiant ou personnel). Pour le listes étudiants, le nom par défaut de la liste de diffusion est ou-annee@domaine. Actuellement inutilisé pour les personnels La classe udsseelement Les éléments de la structure d'enseignement utilisent tous la même classe d'objet, qu'ils soient des étapes ou des éléments pédagogiques. Un attribut dédié permet de faire la différence entre ces deux types d'éléments. udsseelementid Mo O Identifiant de l'élément. Issu d'apogée pour l'uds. UdS - Spécification de l'annuaire d'établissement 32/45

33 udsshortdesc Mo O Libellé court de l'élément. Issu d'apogée pour l'uds. udslongdesc Mo O Libellé long de la structure.issu d'apogée pour l'uds. udsseelementtype Mo O Type de l'élément : - etp = étape - elp = element pédagogique udsseelementnature Mo N Pour les éléments pédagogiques, cet attribut contient la nature de l'élément pédagogique. Pour les étapes, il n'est pas renseigné. udsparent Mu O DN de l'objet SE (étape, élément pédagogique ou structure) père. udslistname Mu N Provoque la création d'alias(es) de messagerie supplémentaire(s) dirigeant vers la liste de diffusion de l'élément. Contient le préfixe de l'alias (sera obligatoirement dans le domaine de messagerie étudiant). Le nom par défaut de la liste de diffusion est udsseelementid-annee@domaine. UdsSeElementBeginYear Mo N Année universitaire de début de validité de l'élément UdsSeElementEndYear Mo N Année universitaire de fin de validité de l'élément 4.5 Autorisations d'accès à l'annuaire d'établissement L'annuaire d'établissement de l'uds contient de nombreuses informations sensibles, qui ne doivent pas être accessibles au public. C'est aussi la source principale d'informations pour de nombreuses applications. Enfin, c'est également une synthèse d'informations issues de plusieurs applications de gestion. Les interactions des différentes applications avec l'annuaire sont donc nombreuses, mais doivent rester contrôlées. L'annuaire restreint donc les accès sur la base des «access-lists» du serveur LDAP. Ce système permet de réserver l'accès à des ressources uniquement sur certains critères (adresse IP, valeur d'un attribut, etc.), et de limiter le type d'accès (lecture, écriture, etc). L'identification des accès à l'annuaire se fait par authentification des applications et des personnes. C'est sur l'identifiant fourni lors de l'authentification qu'est effectuée la restriction d'accès aux informations. L'annuaire contient donc une structure dédié à la déclaration des identifiants autorisés à y accéder Arborescence La structure de données contenant les autorisations d'accès à l'annuaire se situe dans la branche «ou=operateurs». Cette branche est subdivisée en deux sous-branches : «ou=accounts» : déclaration des identifiants de connexion à l'annuaire pour les applications. «ou=groups» : groupes d'utilisateurs issus de la branche «ou=people». Les autorisations d'accès porteront sur ces groupes plutôt que sur les personnes individuelles. UdS - Spécification de l'annuaire d'établissement 33/45

34 o=annuaire ou=operateurs ou=accounts ou=groups UdS - Spécification de l'annuaire d'établissement 34/45

35 4.5.2 Schémas Les classes d'objets utilisés pour la déclaration de ces entrées sont des classes standards spécifiées en détail dans la RFC la classe organizationalperson Cette classe est utilisée pour définir des entrées pour les applications la classe groupofnames Cette classe permet de créer des groupement d'entrées LDAP. Cette classe est utilisée dans la sousbranche «ou=groups» pour définir des groupes de personnes (via leur DN). Les access-list autorisent ensuite les groupes d'utilisateurs à accéder aux ressources Exemple L'exemple suivant présente la déclaration d'un compte pour l'application d'annuaire fonctionnel, ainsi que la déclaration du groupe d'administrateurs de l'annuaire. o=annuaire ou=operateurs ou=accounts cn=annufct userpassword: pwdannufct sn: application de l'annuaire fonctionnel ou=groups cn=ldapadmin description: administrateurs de math-info member: uid=ladmin,ou=uds,ou=people,o=annuaire member: uid=schmidt,ou=uds,ou=people,o=annuaire... UdS - Spécification de l'annuaire d'établissement 35/45

36 4.6 Téléphonie Les systèmes téléphoniques actuellement en place à l'université utilisent chacun une base propritétaire, hébergée par les PABXs. Ils n'utiliseront pas directement l'annuaire LDAP UdS. De plus, la téléphonie aborde une problématique différente : alors que les applications informatiques gèrent ou utilisent des comptes de personnes, les services téléphoniques sont centrés autour de ligne téléphoniques. Ces dernière étant éventuellement affectées à des personnes réelles. De ce fait, les interactions entre téléphonie et annuaire LDAP UdS seront : Possibilité de créer des lignes téléphoniques depuis l'annuaire LDAP UdS (système Mitel) conservation d'une relation entre personnes et lignes téléphoniques mise à jour automatiques des numéros de téléphone des personnes L'interfacage téléphonie/ldap commence par l'intégration de la solution Mitel. La solution Alcatel sera étudié dans un second temps Arborescence Toutes les informations liées à la téléphonie sont stockées dans une branche spécifique «ou=telephonie,o=annuaire». Cette branche est elle même subdivisée par système téléphonique. A l'heure actuelle, seul le système de téléphonie Mitel est intégré à l'annuaire UdS. o=annuaire ou=telephonie ou=mitel Schémas pour la téléphone Mitel Chaque entrée dans la branche «ou=mitel» provoque la création d'une ligne téléphonique sur l'ipbx Mitel. Ces entrées LDAP doivent impérativement implémenter la classe standard «organizationalperson», et la classe «User». La classe «billableobject» est optionnelle et permet de lier les lignes téléphoniques à des personnes de la branche «ou=people» La classe OrganizationalPerson Cette classe est imposée par le serveur de syncrhonisation Mitel. Seuls quelques attributs en sont utilisés. cn Mu O Numéro automatique. Identifiant unique de la ligne téléphonique (identique mitelidsid). Attribut utilisé pour générer le dn d'une entrée de ligne téléphonique Mitel. sn Mu O nom de la ligne (identique mitelidsname) La classe User Cette classe contient toutes les informations réellement utilisées pour la création d'une ligne téléphonique Mitel. La définition du schéma fourni par l'intégrateur ne déclare aucun attributs obligatoire, ni mono-valué. Cependant, pour le bon fonctionnement de la synchronisation, ils doivent tous être monovalués et certains UdS - Spécification de l'annuaire d'établissement 36/45

37 sont obligatoires. Ces deux colonnes reflètent donc ces obligations applicatives. mitelidsmanaged Mo O Indique si l'ids doit synchroniser cette entrée. Information renseignée par l'uds. Valeurs possibles : YES ou NO. mitelidsid Mo O Numéro auto. Identifiant unique de la ligne téléphonique (identique cn). Généré par les applications de création de lignes de l'uds. mitelidsmodified Mo O Dernière date de modification de l'entrée. A mettre à jour lors de chaque modification pour que l'ids détecte une modification. Information renseignée par l'uds. mitelidsname Mo O et prénom de la ligne : «, Prénom». La virgule est obligatoire. La taille limite de l'attribut est 21 caractères. Information renseignée par l'uds. mitelidsnumber Mo O Numéro de la ligne téléphonique 100XXXXX (XXXXX = num court). Pour les personnes, num court = 5XXXX, le numéro à afficher dans l'annuaire UdS sera XXXX. mitelidsdepartment Mo N Structure (composante, service) hébergeant la ligne.valeur informative. Information renseignée par l'uds. mitelidslocation Mo N Emplacement du téléphone. Valeur informative. Information renseignée par l'uds. mitelidshomeelement Mo O PABX hébergeant la ligne. Toujours la même valeur, communiquée par SPIE. Information renseignée par l'uds. Valeurs possibles : escarpeug mitelidsdevicetype Mo O Type de ligne. Information renseignée par l'uds. Choix dans une liste de valeurs fournies par SPIE Valeurs possibles : envoyé par Julien IP (physique) Dual mode (physique) IP (physique) - ONS/OPS (fax et ligne analogiques) - Hot Desk (personnes) mitelidsplidcabinet Mo N Info de connexion du téléphone sur le «homeelement». Uniquement pour les lignes analogiques. mitelidsplidshelf Mo N Info de connexion du téléphone sur le «homeelement». Uniquement pour les lignes analogiques. mitelidsplidslot Mo N Info de connexion du téléphone sur le «homeelement». Uniquement pour les lignes analogiques. mitelidsplidcircuit Mo N Info de connexion du téléphone sur le «homeelement». Uniquement pour les lignes analogiques. mitelidsprivatenumber Mo N identité secrète : si oui, le numéro de téléphone ne s'affichera pas chez l'appelé. Information renseignée UdS - Spécification de l'annuaire d'établissement 37/45

38 par l'uds. Valeur si vide? NO par défaut. Valeurs possibles : YES ou NO mitelidsprimename Mo N si le même numéro est attribué à plusieurs lignes, si le nom de l'entrée pour laquelle la valeur est à YES qui s'affichera. Attention : déclenchement d'une erreur si plusieurs lignes avec le même numéro sont à YES. Information renseignée par l'uds. valeur=yes si vide. Valeurs possibles : YES ou NO mitelidsmodifiedby Mo O Dernier serveur ayant modifié l'entrée. Les modifs ne seront répercutée par l'ops Manager que si la valeur de cet attribut est différente de son propre nom. mitelidsmactmpl Mo O Spécifie un template pour la création du compte. Valeurs possibles :??? mitelidsmacaddress Mo O Adresse MAC du téléphone IP. Uniquement pour les postes physiques La classe billableobject Cette classe founit les attributs nécessaires pour rattacher la ligne téléphonique à une personne et à un centre de coûts. costcenter Mo N Centre de cout de la ligne. Adaptable selon les besoins de l'uds. objectowner Mu N Identifiant unique de la personne dans l'annuaire UdS (udsdirectoryid). Permet de rattacher la ligne à une personne et de mettre à jour automatiquement le numéro de celle-ci Exemple FIXME 4.7 Groupes dans l'annuaire LDAP Les groupes dans l'annuaire LDAP UdS permettent de rassembler plusieurs personnes, de manière à leur donner des droits d'accès communs dans certaines applications, ou encore la possibilité de partager des documents. L'architecture présentée est un premier jet des groupes, visant à fonctionner dans un premier temps avec l'application d'agenda partagée SOGo et le site web de la DI. Les schémas pourront fortement évoluer en fonction de l'intégration de nouvelles applications. Les groupes sont potentiellement issus de plusieurs sources différentes : MANUEL, systéme de gestion de listes, référentiel des personnes, etc Arborescence Les groupes sont stockés dans une branche «ou=groups» dédiées. Cette branche sera éventuellement subdivisés en sous-branches pour chaque établissement. UdS - Spécification de l'annuaire d'établissement 38/45

39 o=annuaire ou=groups ou=uds ou=insa Schémas La classe groupofnames Cette classe est la classe standard des groupes. cn Mu O Identifiant du groupe. Valeur utilisée pour le DN member Mu O DN des membres du groupe. description Mu N Description du groupe owner Mu N DN des propriétaires (personnes ou groupes) du groupe La classe supanngroupe Cette classe définies par le groupe Supann ajoutes des informations supplémentaires aux groupes. supanngroupedatefin Mo N Date de fin de validité du groupe. supanngroupelecteurdn Mu N DN des personnes ou groupes habilités à consulter les données du groupe. supanngroupeadmindn Mu N DN des administrateurs (personnes ou groupes) autorisés à modifier le contenu de l'entrée La classe udsgroup Cette classe ajoute des informations nécessaires au fonctionnement des applications de l'uds. Obligatoire Description udsdatasource Mu O Source du groupe : MANUEL, SYMPA, etc... mail Mu N Adresse mail associée au groupe (liste de diffusion). UdS - Spécification de l'annuaire d'établissement 39/45

40 Obligatoire Description UdsGroupApp Mu N Chaîne de caractères permettant d identifier les applications devant utiliser le groupe. Permet a ces applications de filtrer sur ce «tag» pour ne recuperer que les groupes la concernant. 4.8 Active Directory L'objectif de proposer un identifiant unique dans le système d'information nécessite la prise en compte des postes de travail clients. Dans cette optique, le problème suivant se pose : le mot de passe chiffré de l'annuaire LDAP n'est pas utilisable directement par les sytèmes Microsoft pour authentifier les utilisateurs. Plusieurs méthodes sont à l'étude pour résoudre cette incompatibilité : 1. Modification de la mire Windows pour authentifier sur le serveur LDAP UdS (application pgina : 2. Mise en place d'un serveur Kerberos, et approbation bidirectionelle des REALMS 3. Approbation du serveur Kerberos dans le cas des postes windows sans réseau AD (même configuration que l'approbation de domaine) 4. Migration des domaines AD vers samba 3 (Intégration fine à l'annuaire) 5. Utilisation de webservice pour la synchronisation de mots de passe entre l'annuaire LDAP et la base Active Directory A part la solution 4, l'emploi d'outils d'approvisionnement complémentaires est nécessaire. Les solutions 2 ou 3 permettent d'avoir un vrai référentiel unique de mot de passe, sans nécessiter la synchronisation de deux bases différentes. De plus, elles permettent d'offrir un vrai SSO complet dès l'ouverture de session. Le changement de mot de passe sur le poste client est possible, avec remontée automatique dans le référentiel. La solution 4 permet de déléguer la gestion complète au serveur LDAP via un domaine samba. 4.9 Authiris Authiris est l'application permettant la modification de paramètres applicatifs relatifs aux comptes de l'annuaire. Elle permet ainsi aux utilisateurs de changer de mot de passe, de configurer leur répondeur et filtres de messagerie. Elle permet aussi au correpondants réseaux d'adopter des comptes pour les gérer (réinitialisation de mot de passe, modification des paramètres). Ceux-ci peuvent aussi crééer des aliases de messagerie ou des comptes wifi conférences et invités. Pour les établissements dont l'annuaire d'établissement n'est pas connecté à l'annuaire UdS, cette application permet également de créer des comptes Arborescence Authiris nécessite la présence d'une branche référençant les différents établissement à gérer. Les informations contenues dans ces entrées sont utilisées par l'application pour la gestion des comptes. La branche en question sera «ou=etablissements,o=annuaire» Les classes d'objets La classe udsrights est utilisée pour définir quels groupes de correspondants réseaux ont la possibilté de gérer des comptes dans un établissement La classe udsorganization Cette classe décrit les attributs d'un établissement dans l'annuaire. uid Mu O Identifiant de l'établissement. cn Mu O Description de l'établissement, affichée dans l'application. UdS - Spécification de l'annuaire d'établissement 40/45

41 udsorganizationbasedn Mo O DN dans l'annuaire UdS. Indique dans quelle branche sont stockés comptes appartenant à cette établissement Exemple L'exemple suivant présente la définition de l'établissement UdS. o=annuaire ou=etablissements comptes uid: uds cn: UDS udsorganizationbasedn: ou=uds,ou=people,o=annuaire udsauthorizedgroup: geographie udsauthorizedgroup: geologie udsauthorizedgroup: gersulp udsauthorizedgroup: haguenau udsauthorizedgroup: hemato Durée de vie des Suppression des comptes Lorsqu'un compte UdS personnel n'est plus considéré comme valide (contrat valide) dans la base Harpège, un sursis de 6 mois lui est accordé. Si le compte redevient valide dans la base Harpège, le compte est à rebours est remis à zéro. Les attributs «udsdatasource», «udssourcepresent» et «udsharpegedeletiondate» sont utilisés pour déterminer si le compte doit être supprimé. Les comptes UdS étudiants sont valide jusqu'à la fin de l'année N+2 de leur dernière année N d'inscription (soit théoriquement 1 an après l'obtention de leur dernier diplôme). Exemple : Un étudiant inscrit en aura l'attribut «udsacademicyear» à Son compte sera valide jusqu'au 31 décembre Les comptes UdS étudiants et personnels sont supprimés quand ils remplissent les condition de suppression de ces deux catégories. Cependant, les informations liées au statut d'étudiant sont supprimés quand la date de suppression du compte étudiant est atteinte. Ce «nettoyage» des comptes UdS «périmés» est effectué toutes les 24 heures. Les comptes INSA et ENGEES sont synchrones avec les annuaires source de ces deux établissements. Ils sont donc supprimés en temps réel dès la suppression dans l'annuaire d'établissement source. Les comptes des autres établissements, gérés manuellement, sont supprimés par l'action du correspondant informatique de l'établissement. Les opérations de suppressions de comptes sont stockés dans un branche spécifique de l'annuaire. Celle-ci peut être parcourue par les applications tierces pour répercuter les suppressions dans leur bases internes Arborescence Les comptes expirés sont stockés dans la sous-branche «ou=expire,o=annuaire». Cette sous branche contient une entrée par jour. Cette entrée contient la liste des dn supprimés. UdS - Spécification de l'annuaire d'établissement 41/45

42 La classe groupofnames Cette classe standard (rfc 2256) permet de créer des groupes au sein d'un annuaire LDAP. Dans la branche «ou=expire», les attributs seront utilisés de la façon décrite dans ce tableau. cn Mu O Date de suppression du compte, au format AAAA- MM-JJ. member Mu O Dn du compte supprimés Exemple Le schéma suivant présente un exemple d'utilisation de la branche «ou=expire». o=annuaire ou=expire cn: member: uid=robert,ou=uds,ou=people,o=annuaire member: uid=pierre,ou=uds,ou=people,o=annuaire member: uid=paul,ou=insa,ou=people,o=annuaire Evolution Cette branche pourrait aussi liste les attributs «udsdirectoryid» correspondants aux comptes supprimés Paramètres d'applications Certaines applications peuvent avoir la nécessité de partager des informations avec d'autres instances d'elle même, ou des applications avec lesquelles elles sont en interaction : paramétrage, valeur partagée. L'annuaire offre une branche destinée à stocker ces informations. L'intérêt de consever ces informations dans l'annuaire est d'éviter de mettre en place un éventuel support tierce (SGBD, partage de fichier) uniquement pour partager quelques informations. Un autre avantage est aussi de pouvoir rendre ces paramétrages accessibles sans accès sur le serveur exécutant l'apllications. Les possibilités sont ouvertes, et à adapter aux applications. Bien entendu, cette structure ne vise pas à remplacer le SGBD complet et nécessaire d'une application. Elle n'a pas vocation à stocker des informations utilisateurs manipulées par l'application Arborescence Ces informations seront stockés dans la branche «ou=param,o=annuaire». Chaque applications pourra avoir dans cette branche un entrée, qui selon le besoin pourra elle même être arborescente Schémas Chaque applications bénéfieciera d'un schéma propre, à définir avec le responsable de celle ci Classe udsldapudsparam L'objet décrit par cette classe contient des paramètres et informations communes à toutes les applications intrasèquement liées à l'annuaire et son alimentation: Authiris, connecteurs d'alimentation, etc... UdS - Spécification de l'annuaire d'établissement 42/45

43 cn Mo O Utilisé pour identifier le nom de l'application concerné. Valeur placé à «ldapuds» pour cette classe. udsnextdirectoryid Mo O Valeur numérique indiquant la prochaine valeur à utiliser pour remplir l'attribut udsdirectoryid d'une personne. Les applications créant des entrée de personne doivent veiller à incrémenter cette valeur à chaque attribution de la valeur. Elles doivent également mettre en place une gestion de section critique pour la consultation et mise à jour de cet information. udsnextdirectoryidlock Mo N Attribut faisant office de verrou sur l'attribut udsnextdirectoryid. Si l'attribut udsnextdirectoryidlock existe, l'accès à udsnextdirectoryid est interdit. Doit être rempli avec le nom de l'application s'étant approprié le droit d'accès à udsnextdirectoryid. 5 Interaction avec les composantes 5.1 Objectifs La mise en place du nouvel annuaire représente l'occasion de proposer aux composantes et aux laboratoires un nouveau service d'hébergement de leur annuaire local. Pour les composantes, l'intérêt est multiple : disposer d'une offre «clefs en main» d'hébergement d'annuaire, matérielle et logicielle ; disposer d'un hébergement performant et à haute disponibilité ; disposer de données en provenance directe des bases de gestion ; offrir un identifiant et un mot de passe uniques à tous les utilisateurs de la composante (personnels, étudiants, etc.) ; simplification des procédures de gestion des comptes : un seul annuaire à alimenter pour toutes les applications. Pour l'établissement, l'adoption d'une telle offre d'hébergement constitue un environnement favorable pour améliorer la fiabilité des données présentes dans l'annuaire. Par ailleurs, une telle offre représente une économie d'échelle tant sur le plan humain que sur le plan matériel. 5.2 Schémas supportés Un certain nombre de schémas applicatifs est proposé. Les applications concernées sont celles le plus souvent utilisées dans la gestion d'un système informatique de composante ou de laboratoire : NIS : gestion des utilisateurs sur systèmes UNIX (nis.schema et cosine.schema) Samba : Partage de données entre systèmes UNIX et Windows (samba.schema) Pykota : gestion des quotas d'impression (pykota.schema) Automount : montage NFS automatique sur un poste client (automount.schema) Les demandes de schémas supplémentaires seront examinées au cas par cas. 5.3 La branche «ou=composantes» Les données propres aux composantes sont stockées dans la branche «ou=composantes». Chaque composante ou laboratoire utilisant l'annuaire d'établissement dispose de sa sous-branche spécifique. Celleci comporte d'office une branche «ou=people», contenant les utilisateurs de la composante. Ces derniers sont définis par une «adoption» des utilisateurs par la composante. Cette opération manuelle est effectuée par le(s) correspondant(s) informatiques de chaque composante. Les informations d'authentification (identifiant et mot de passe), les informations d'état civil (nom, prénom, UdS - Spécification de l'annuaire d'établissement 43/45

44 etc.) et les informations de contact (téléphone, adresse de messagerie, etc.) des utilisateurs adoptés sont répliquées et synchrones avec la branche «ou=people» principale. Hormis pour ces informations, les correspondants réseau ont la possibilité de gérer le contenu de leur branche à leur guise (dans la limite des schémas supportés). Ils ont la possibilité d'ajouter des attributs aux personnes, de créer des branches supplémentaires pour y déclarer des paramètres applicatifs (ex: groupes POSIX). Une même personne peut être adoptée par plusieurs composantes différentes. Chaque composante pourra lui attribuer ses paramètres propres, sans interférer avec ceux des autres composantes. 5.4 Accès à l'annuaire Les accès à l'annuaire sont effectués directement via le protocole LDAP. Les autorisations d'accès sont décrites dans le paragraphe Exemple L'exemple fictif ci-après présente un aperçu de la sous-branche «ou =composantes», ainsi que l'affection d'un correspondant réseau au groupe autorisé à gérer les utilisateurs de sa composante. UdS - Spécification de l'annuaire d'établissement 44/45

45 o=annuaire ou=people ou=uds userpassword: mdplechef... uid=lechef userpassword: mdpbofh... uid=bofh ou=composantes ou=mai Réplication automatique ou=people uid=lechef userpassword: mdplechef uidnumber: 1100 gidnumber: 2010 homedirectory: /home/lechef... ou=posixgroup Données gérées par la composante cn=direction gidnumber: 2010 description: groupe de la direction ou=operateurs ou=groups cn=math-info description: administrateurs de math-info member: uid=bofh,ou=uds,ou=people,o=annuaire... UdS - Spécification de l'annuaire d'établissement 45/45