Am IBR werden folgende Daten im eigenen LDAP verwaltet:
ou=users) (Personen und Systemaccounts)ou=computers) (Server, VMs, PCs, Notebooks, Raspis, etc.)ou=groups) von Benutzern und/oder Hostsou=rooms) des Instituts im Informatikzentrumou=ports) der Infrastruktur im InformatikzentrumFür den Abruf von Daten stehen mehrere synchronisierte Slave-Server zur Verfügung: ldap.ibr.cs.tu-bs.de, ldap1.ibr.cs.tu-bs.de, ldap2.ibr.cs.tu-bs.de und ldap3.ibr.cs.tu-bs.de, wobei ldap3.ibr.cs.tu-bs.de auch für Systeme im TU-Netz außerhalb des IBR erreichbar ist. Diese Namen sind teilweise synonym bzw. Aliase für konkrete Hosts.
Änderungen können nur am Master ldap-master.ibr.cs.tu-bs.de nach Authentisierung und unter sehr spezifisch festgelegten Regeln vorgenommen werden. Bitte verwendet den Master nicht zum regelmäßigen Abrufen von Daten oder in der selbst programmierten IBR-Authentisierung.
Die meisten Dienste und Hosts im Netz des IBR sind an unser LDAP angebunden. So sind Accounts, Gruppen und NFS-Verzeichnisse auf allen Hosts gleichermaßen bekannt und nutzbar. Zur Performance-Optimierung findet ein Caching statt, so dass Änderungen erst mit einigen Sekunden bis Minuten Verzögerung wirksam werden. Die hierfür relevanten Linux-Dienste bzw. -Pakete sind nslcd und nscd bzw. unscd.
Für manuelle Zugriffe zum Einsehen und Ändern von Daten existiert das am IBR entstandene Command Line Tool dirac (directory access). Es ist durch eine man-page und eine integrierte help-Funktion rudimentär dokumentiert.
Wer sich ein wenig auskennt, kann auch mit Standardtools (ldapsearch, etc.) oder Libraries auf unser LDAP zugreifen.
Neben einigen Standard-Schemata für POSIX-Datenstrukturen für User, Gruppe, Hosts, NFS, Kerberos, etc. wurde unser LDAP um zahlreiche eigene Attribute und Klassen erweitert, die den Präfix ibr tragen, beispielsweise ibrExpire.
Gruppen können nur von Admins erzeugt werden – gerne auf Wunsch von Mitarbeitenden, beispielsweise für Projektmitglieder. Supervisor können anschließend auch Mitarbeitende sein, um die Mitglieder einer Gruppe selbst zu verwalten.
Gruppen können sowohl User als auch Hosts enthalten – auch gleichzeitig, beispielsweise algadm, was richtig konfiguriert dazu dienen kann bestimmten Personen Zugriff auf bestimmte Hosts zu gewähren.
Gruppen von Accounts können verschiedenen Zwecken dienen:
g+w im Verzeichnis /ibr/www für die Gruppe www,mitarb@ibr.cs.tu-bs.de – sämtliche Gruppen, die User enthalten, sind auch als Mailadressen benutzbar(!),Gruppen von Hosts können hilfreich sein, um beispielsweise mit ibr-for-hosts <group> <command> Kommandos auf den Hosts einer Gruppe auszuführen.
Hier einige der wichtigsten Gruppen:
mitarb: Alle aktiven Mitarbeitenden am IBR.
exmitarb: Ehemalige IBR-Mitarbeitende.
sek: alle IBR-Sekretärinnen.
sek2; Sekretärinnen im 1.OG, also für CM und VSS.
wimis: WiMis am IBR, kann als Mailverteiler wimis@ibr.cs.tu-bs.de genutzt werden und ist wiederum auf der Mailman-Mailingliste cs-wimis@ibr.cs.tu-bs.de angemeldet, so dass alle IBR-Wimis entsprechend verteilte Mails erhalten.
temis: Technische Mitarbeiter am IBR.
www: Für Schreibzugriff auf Verzeichnisse des IBR-Webservers. Als Email-Adresse auch zum Austausch zu WWW-Fragen.
cm, vss, alg: Mitarbeitende der entsprechenden Abteilungen.
cmhiwis, vsshiwis, alghiwis: HiWis der entsprechenden Abteilungen.
admins: Haben erweiterte Rechte. Mails zu administrativen Fragen sollten möglichst an diese Rollenadresse admin@ibr.cs.tu-bs.de (Alias für admins) gesendet werden, so dass der jeweils zuständige oder erreichbare Admin zuerst antworten kann.
ibrusers: Inhaber von regulären POSIX-Accounts.
extusers: Inhaber von "externen" Accounts (ohne $HOME, ohne IBR-Mailaccount).
rzusers: y-Accounts.
orders: Mitarbeitende im 1.OG, die die Adresse orders@ibr.cs.tu-bs.de für Bestellungen nutzen.
fai: Alle per FAI verwalteten Hosts.
g40: Alle Hosts im Poolraum G40.
u.v.m.
Mitarbeitende sollten bitte auch den Artikel zu Accounts beachten!
ibrSupervisorDn: DN (LDAP distinguished name) (in dirac zur Vereinfachung als einfacher Username angezeigt und einzugeben) des verantwortlichen Mitarbeiters oder der verantwortlichen Mitarbeiterin. Es kann auch mehrere Verantwortliche geben. Verliert die letzte verantwortliche Person den Mitarbeiter-Status, so sorgt ein Automatismus dafür, dass ein Admin als Supervisor eingesetzt wird.ibrExpire: Voraussichtliches Ablaufdatum. An diesem Datum wird der Account gesperrt und Daten des Accounts gelöscht. (Tatsächlich findet dies manuell in unregelmäßigen Abständen nach Ablauf statt. Darauf darf sich aber niemand verlassen!) In den Wochen und Tagen vor Ablauf werden automatisch mehrere Hinweis-Mails zunächst an den/die Supervisor und dann auch an den Accountinhaber gesendet, so dass der Account von einem Supervisor verlängert werden kann. In dirac zu verwenden im ISO-Format yyyy-mm-dd.ibrContractExpire: Voraussichtliche Laufzeit eines Hiwi-Vertrages. Dies wird für die automatisch erstellte Liste der Nachtarbeitsgenehmigungen verwendet.ibrAccountEnabled: Dieses Flag kontrolliert, ob der Account aktiv genutzt werden kann. Persönliche Accounts werden zum Ende ihrer Nutzung nicht gelöscht sondern deaktiviert.displayName: Der vollständige Name, so wie er beispielsweise auf Webseiten angezeigt werden soll.title: Akademischer Titel, falls vorhanden.givenName: Vorname.sn: Familienname.o: Organisation, hier: TU Braunschweig.ou: Einrichtung innerhalb der Organisation, hier: Institut für Betriebssysteme und Rechnerverbund.street: Straße und Hausnummer der dienstlichen Anschrift, hier: Mühlenpfordtstraße 23.postalCode: Postleitzahl der dienstlichen Anschrift, hier: 38106.l: Ort der dienstlichen Anschrift, hier: Braunschweig.st: State/Bundesland der dienstlichen Anschrift, hier: Niedersachsen.co: Land der dienstlichen Anschrift, vorzugsweise in englischer Sprache (dann setzt dirac implizit auch das Attribut c, siehe unten), hier: Germany.telephoneNumber: Dienstliche Telefonnummer. Im Format +CC LLL NNNN. TU-Nummern können in dirac vereinfacht in kurzer Form der Durchwahl NNNN eingegeben werden.facsimileTelephoneNumber: Stirbt wohl nie aus.ibrHomeStreet: Straße und Hausnummer der privaten Anschrift. Freiwillige Angabe.ibrHomePostalCode: Postleitzahl der privaten Anschrift. Freiwillige Angabe.ibrHomeL:Ort der privaten Anschrift. Freiwillige Angabe.ibrHomeSt: State/Bundesland der privaten Anschrift. Freiwillige Angabe.ibrHomeCo: Land der privaten Anschrift. Freiwillige Angabe.homePhone: Private Festnetztelefonnummer. Freiwillige Angabe.mobile, Private Mobilfunknummer. Freiwillige Angabe.buildingName: Gebäude, hier: Informatikzentrum.ibrPosition: Aktuelle Position der Person am IBR, angezeigt unter anderem auf den Webseiten. Für Studierende ohne Hiwi-Tätigkeit o.ä. nicht maßgeblich.description: Wird ggf. ebenfalls auf den Webseiten angezeigt und kann beispielsweise bei Hiwi für die betreffende Lehrveranstaltung oder das betreffende Projekt verwendet werden.ibrGitzAccount: Name des Accounts derselben Person im GITZ. Dies kann für Admins (DV-Koordinatoren) hilfreich sein, um IBR-Mitarbeitern im GITZ bestimmte Rechte (beispielsweise für GITZ-Druckdienste und Instituts-WLAN) einzuräumen.roomNumber: Raumnummer. Maßgeblich für unseren Raumplan und die Mailverteiler 1og@ibr.cs.tu-bs.de und 3og@ibr.cs.tu-bs.de.ibrInRoomLocation: Bei doppelt belegten Büroräumen left oder right, um die Anordnung auf dem Türschild zu bestimmen.jpegPhoto: Ein Porträtfoto im JPEG-Format im Seitenverhältnis 3:4 (z.B. 360:480). Bitte keine Spaßfotos – man sollte wirklich zu erkennen sein. Alle Mitarbeitenden sollten ein Foto hinterlegt haben, da diese auf den Webseiten eingebettet werden. Auch für Hiwis wäre das schön, ist aber nicht zwingend erforderlich. Ein Upload ist in dirac mittels upload jpegPhoto <filename> möglich.ibrDoorplatePicture: Hier kann ein Bild hochgeladen werden, dass im Falle von Mitarbeitern mit auf das Türschild gedruckt werden soll, beipielsweise für Projektlogos.labeledURI: URL der persönlichen Webseite. Für Mitarbeitende erforderlich. Wird vom Admin gesetzt.ibrBirthday: Geburtstag, in dirac im ISO-Format yyyy-mm-dd. Für Mitarbeitende nett, um an Geburtstage zu erinnern, aber natürlich keine Pflicht. Wer sein Alter nicht verraten möchte, kann als Jahr 9999 verwenden (bitte nichts anderes).mail: Die "offizielle" IBR-Mailadresse. Sie wird unter anderem auf Webseiten angezeigt und bei Versendung automatischer Mails verwendet. Mitarbeitende, deren Nachname länger ist als der Username, erhalten in der Regel einen Mailalias (siehe ibrMailAlias) in voller Namenslänge und können (und sollten) diesen dann auch als offizielle Adresse verwenden.ibrMailAlias: optionale Aliase zur Verwendung zum Mailempfang. Sie können auf begründeten Wunsch an Mitarbeitende vergeben werden. Typische Fälle: Namenswechsel nach Heirat und längere Nachnamen.ibrSecondaryMail: eine hinterlegte externe Mailadresse, also nicht ...@ibr.cs.tu-bs.de. Hierhin werden beispielsweise Hinweise auf ablaufende Accounts zusätzlich zur IBR-Adresse gesendet. Bei "externen" Accounts sind mail und ibrSecondaryMail (und auch maildrop) identisch.maildrop: wird vom IBR-Mailserver zur Zustellung von lokalen Mails genutzt. Es ist in der Regel der Username. "Externe" Accounts können hier aber auch eine volle externe Mailadresse enthalten, so dass dorthin auch IBR-lokal adressierte Mails weitergeleitet werden.ibrMailReject: Auf Wunsch kann hier nach Deaktivierung eines Accounts eine spezielle SMTP-Response für Mailzustellversuche hinterlegt werden. Beispiel: 550 User has moved. You might want to try user@my-new-home.example.com.ibrXMPP: XMPP/Jabber-Adresse.ibrMailQuotaMb: Obsolet, da inzwischen Mails im $HOME-Verzeichnis (~/.maildir) gespeichert werden.ibrHomeQuotaMb: Quota-Limit für das persönliche $HOME-Verzeichnis. Im LDAP-Attribut in Megabytes – in dirac aber kompakt mit M/G/T-Suffixes angezeigt und einzugeben.ibrCloudQuotaBytes: Quota-Limit für den persönlichen IBR-Nextcloud-Account. Im LDAP-Attribut in Bytes – in dirac aber kompakt mit M/G/T-Suffixes angezeigt und einzugeben.ibrCallSign: Mindestens eine Person im IBR hat eine Amateurfunklizenz.ibrOrcidURI: Vollständiger URI einer persönlichen ORCID, typischerweise für Publikationen.ibrGreenlightRole: wird von unserem BBB/Greenlight-Server als zugewiesene Rolle genutzt. Dieses Attribut wird durch einen Automatismus aufgrund von Gruppenzugehörigkeiten gesetzt und sollte nicht manuell verändert werden.uidNumber: Die POSIX UID, natürlich nur für vollwertige POSIX-Accounts.gidNumber: Die primäre POSIX GID, natürlich nur für vollwertige POSIX-Accounts.ibrSupposedGroup: Eine Liste von Gruppen, denen der Account angehört bzw. angehören soll. Dieses Attribut können nur Admins verändern. Supervisor einer Gruppe können in dirac aber in der Gruppe Mitglieder hinzufügen oder entfernen. Ein Automatismus sorgt dafür, dass manuelle Änderungen eine Anpassung der bidrektionalen Verlinkung zur Folge haben.homeDirectory: $HOME-Verzeichnis des Benutzers. In aller Regel für IBR-Accounts /ibr/home/<username> und für y-Accounts /ibr/y-home/<username>.loginShell: Wer seine Login-Shell ändert, sollte wissen, was er/sie tut. Es hat evtl. ungeahnte Seiteneffekte. Manche Leute benutzen abweichend von der Standardeinstellung /bin/bash aber beispielsweise /bin/zsh und sind zufrieden.ibrSSHPubKey: Hier können zeilenweise bis zu fünf SSH public keys hinterlegt werden. Manche Dienste und Kommandos im IBR können Benutzer hierdurch authentifizieren.ibrPGPPubKey: Derzeit ungenutzt. Hieraus wurden mal experimentell OPENPGPKEY-RRs im DNS gebaut.ibrPrivateMacAddress: Hier können private Geräte verzeichnet werden, die im Institutsnetz genutzt werden sollen (BYOD). Für dienstliche Geräte, auch Smartphone und Notebooks, sollten aber Hosts angelegt werden.ibrEmergencyNote: Hier können Benutzer:innen selbst Informationen hinterlegen, die nur von Mitarbeiter:innen gelesen werden können und in Notfällen (Unfälle, Bewusstlosigkeit) von Bedeutung sein könnten. Typische Beispiele sind Telefonnummern der engsten Angehörigen oder Hinweise auf Erkrankungen oder Medikationen, etwa bei Diabetes.ibrUserNote: Hier kann der Benutzer selbst Bemerkungen zum Account hinterlegen. Kann darüberhinaus nur von Mitarbeitern gelesen werden.ibrSupervisorNote: Hier können Supervisor eines Accounts Bemerkungen zum Account hinterlegen. Kann nur von Mitarbeitern gelesen werden.ibrAdminNote: Hier können Admins Bemerkungen zum Account hinterlegen. Kann nur von Mitarbeitern gelesen werden. In manchen Fällen wird hier automatisch Bemerkungen eingetragen, beispielsweise wenn der Supervisor eines aktiven Accounts seinen Mitarbeiterstatus verliert und der Account an einen Admin als Supervisor übertragen wird.workurl: Wird von dirac automatisch anhand von labeledURI synchronisiert. Wird in manchen Applikationen genutzt.c: Wird von dirac automatisch anhand von co synchronisiert. Wird in manchen Applikationen genutzt.birthyear: Wird von dirac automatisch anhand von ibrBirthday synchronisiert. Wird in manchen Applikationen genutzt.ibrPasswordKey: Wird von unserem Passwortänderungsservice genutzt.ibrUID: Obsolet.cn: LDAP cannonical name, hier der displayName.krb*: Attribute, die von Kerberos verwendet werden.samba*: Attribute, die von Samba verwendet werden.