abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 21:44 | Komunita

    Hra MineClone2 postavena nad voxelovým herním enginem Minetest byla přejmenována na VoxeLibre.

    Ladislav Hagara | Komentářů: 0
    včera 19:11 | IT novinky

    Společnosti Avast Software s.r.o. byla pravomocně uložena pokuta ve výši 351 milionů Kč. Tu uložil Úřad pro ochranu osobních údajů za neoprávněné zpracování osobních údajů uživatelů jejího antivirového programu Avast a jeho rozšíření internetových prohlížečů (Browser Extensions), k čemuž docházelo prokazatelně po část roku 2019.

    … více »
    Ladislav Hagara | Komentářů: 1
    včera 15:55 | Zajímavý článek

    Bylo vydáno do češtiny přeložené číslo 714 týdeníku WeeklyOSM přinášející zprávy ze světa OpenStreetMap.

    Ladislav Hagara | Komentářů: 0
    včera 15:44 | Pozvánky

    V sobotu 20. dubna lze navštívit Maker Faire Jihlava, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.

    Ladislav Hagara | Komentářů: 0
    včera 14:44 | Zajímavý software

    Knihovna pro potlačení šumu RNNoise byla vydána ve verzi 0.2. Kvalitu potlačení lze vyzkoušet na webovém demu.

    Ladislav Hagara | Komentářů: 0
    včera 04:33 | Nová verze

    FRRouting (FRR) (Wikipedie), tj. softwarová sada pro směrování síťové komunikace, fork Quagga, byl vydán ve verzi 10.0.

    Ladislav Hagara | Komentářů: 0
    včera 03:22 | Nová verze

    Julian Andres Klode vydal APT (Advanced Packaging Tool) ve verzích 2.9.0 a 2.9.1. Jedná se o vývojové verze nové větve APT 3.0. Vylepšuje se uživatelské rozhraní. Přidány byly barvičky. Aktuální náhledy a vývoj lze sledovat na Mastodonu.

    Ladislav Hagara | Komentářů: 3
    14.4. 17:00 | Komunita

    Miguel de Icaza se na svém blogu rozepsal o vložitelných herních enginech. Kdysi slibné projekty UrhoSharp a Urho3D jsou již mrtvé. Zůstává Godot. Aktuálně vývojáři řeší Pull request #90510 s návrhem knihovny LibGodot.

    Ladislav Hagara | Komentářů: 0
    14.4. 03:44 | Nová verze

    Byla vydána nová verze 5.0 linuxové distribuce Lakka, jež umožňuje transformovat podporované počítače v herní konzole. Nejnovější Lakka přichází s RetroArchem 1.17.0.

    Ladislav Hagara | Komentářů: 0
    13.4. 15:33 | Nová verze

    OpenTTD (Wikipedie), tj. open source klon počítačové hry Transport Tycoon Deluxe, byl vydán v nové stabilní verzi 14.0. Přehled novinek v seznamu změn. OpenTTD lze instalovat také ze Steamu.

    Ladislav Hagara | Komentářů: 0
    KDE Plasma 6
     (59%)
     (13%)
     (2%)
     (26%)
    Celkem 386 hlasů
     Komentářů: 4, poslední 6.4. 15:51
    Rozcestník

    Dotaz: Identity manager - jak funguje propojení konektor / cache / vyhledávání

    4.4.2011 23:21 firemADmin
    Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Přečteno: 583×
    Ahoj. Začínám se docela zamýšlet nad Identity Managery. Není mi ale jasné jak to vevnitř vlastně pořádně funguje. Dejme tomu že mám uživatele v Active Directory či nějaké SQL databázi. Každý uživatel může mít několikrát definován nějaký atribut (třeba skupina). Když k tomu budu chtít připojit Identity Manager - jak se s těmito atributy vypořádá? Pokud budu chtít vyhledávat podle nějakého atributu tak musí mít IdM vlastní keš (což by ale byla obrovská zátěž mít takovou keš v normální SQL databázi). Vytváří si IdM takovou keš nebo kešuje jen "neduplicitní" atributy příp. jak umí vyhledávat v záznamech bez keše (dejme tomu že chci najít uživatele kteří jsou v Active Directory jejichž jméno je *zivatel a kteří zároveň existují v jiné db, chci jich zobrazit N a seřadit podle atributu v Active Directory - umí to IdM)? Dále pokud bych si potřeboval napsat vlastní konektor - jaké datové typy to obecně podporuje? Co kdyby byl nějaký binární atribut - třeba certifikát či uživatelská fotka uložená v blob v SQL db - umí to přečíst, nakešovat a zobrazit? Díky za každou odpověď.

    Odpovědi

    4.4.2011 23:24 firemADmin
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    A ještě např. zde v http://www.abclinuxu.cz/blog/zdenduv_blog/2006/9/sprava-uzivatelu-v-siti#id3032066 v sekci Spravované systémy jsou rozepsané různé relační databáze. Dá se nakonfigurovat IdM na správu nějaké struktury které je např. v 3NF? Něco jako seznam uživatelů v jedné tabulce, skupiny ve druhé, vazební tabulka ... nebo to podporuje jen 1 tabulku? A co duplicitní záznamy - umí?
    5.4.2011 05:47 MMichal | skóre: 21
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Treba Tivoli Identity Manager (TIM) ma na svem LDAP serveru ulozene kompletni obrazy uctu na cilovych systemech a vuci temto obrazum provadi veskere hledani a porovnavani. V pravidelnych intervalech je spousten proces "reconciliation", ktery ziska aktualni stav uctu z ciloveho systemu a zapise na svuj LDAP server.

    Co se tyce konektoru, TIM ma sadu vlastnich konektoru (napr. AD, SAP) a API knihovny slouzici pro tvorbu libovolneho konektoru v prostredi Tivoli Directory Integrator produktu.
    Max avatar 5.4.2011 07:19 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Třeba Sun IDM má vlastní databázi účtů, kterou je možné naimportovat třeba z AD. Vlastní databázi účtů pak syncuje s ostatními db. Účty může mít uloženo v LDAPu, nebo třeba v mysql, nebo jinde.
    Obsahuje connector pro AD, nebo pro přístup k účtům na Netware. Není problém dopsat primitivních řádků třeba pro případ, že má někdo účty v nějaké db v tabulkách (Oracle, MSSQL apod.)
    OSS verze Sun IDM (8.1) je ještě podporováno a vychází na něj aktualizace, nicméně možná bych se zkusil podívat i na jeho fork : OpenIDM, který vznikl po převzetí Sunu Oraclem.
    Ovšem třeba Sun IDM mi přijde jako docela moloch :-/.
    Zdar Max
    Měl jsem sen ... :(
    5.4.2011 08:22 firemADmin
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Jak funguje ta vlastní databáze účtů? Je tam všechno nebo jen některé informace? Máte zkušenosti jakým způsobem to ukládá tu vlastní databázi třeba do mysql (ty vícenásobné atributy by vedly na složitou db časově náročnou na přístup v případě mysql). A jsou tam nějakým způsobem řešena práva jednotlivých administrátorů (admin1 má právo přidávat uživatele odpovídající masce, spravovat to a to ...).
    Max avatar 5.4.2011 09:12 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    To nevím. My jsme to řešili hlavně pro sync "uživatel:heslo", další atributy nás nezajímají.
    Zdar Max
    Měl jsem sen ... :(
    5.4.2011 11:52 firemADmin
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Mohl byste mi alespoň prosím napsat jakou strukturu má ta vytvořená IdM db (tedy jestli nepoužíváte ldap). I ze samotné struktury db mohu leccos vyčíst.
    Max avatar 5.4.2011 14:28 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Příloha:
    Dump struktury db "waveset" viz příloha.
    Zdar Max
    Měl jsem sen ... :(
    5.4.2011 18:09 firemADmin
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Díky moc. Ze struktury mi připadá že musí docela špatně fungovat vyhledávání a řazení záznamů. Lze záznamy v tomto IdM řadit např. podle vícenásobných sloupců a provádět filtrování výpisu uživatelů?
    6.4.2011 17:46 firemADmin
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Po přečtení dokumentace a shlédnutí několika obrázků mi není jisté, zdali tento IdM umí vyhledávat podle "atributů synchronizovaných systémů". Dejme tomu že bych chtěl zobrazit uživatele, jejichž home adresář (uložený v nějakém ze spravovaných systémů) začíná na /home a seřadit je podle kvóty definované v jiném spravovaném systému. Tyto požadavky jsou pro mě docela důležité. Umí to?
    5.4.2011 12:36 kub
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Novell IDM, se kterým jsem se zběžně setkal, funguje tak, že nad eDirectory (fungující jako centrální úložiště identit) vytvoří ještě jakýsi metaadresář obsahující všechny potřebné údaje k synchronizaci (celé se to nazývá Identity Vault). Po připojení systémů prochází data během synchronizaci různými filtry, převodníky, maskami apod. (přes XSLT transformace) aby se synchronizovaly a správně mapovaly(což je asi ta vaše "keš") všechny atributy. A to buď jenom do eDirectory, jen do připojeného systému nebo oboustranně. Hledat nad eDir můžete potom klasicky přes LDAP a bude obsahovat i atributy, které jste nechal synchronizovat z databáze. IDM JDBC konektor by měl být rozšiřitelný podle vašich potřeb, ale zatím jsem s tím nedělal, tak konkrétněji neporadím.
    5.4.2011 14:41 kub
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Příloha:
    Že jste to vy tak i s obrázkem :)
    22.6.2011 10:31 honzag
    Rozbalit Rozbalit vše Re: Identity manager - jak funguje propojení konektor / cache / vyhledávání
    Ahoj, popíšu způsob, jak tuto problematiku řeší naše CzechIdM a také Sun IdM (Oracle Waveset).

    Při konfiguraci každého systému se definuje mapování skutečných názvů atributů účtu na "abstraktní" názvy, se kterými pracuje IdM. Pokud k IdM připojíme například LDAP, který bude mít účty s atributem "group" a také nějakou relační databázi, kde se bude odpovídající atribut jmenovat "skupina", můžeme každý z nich namapovat na stejný název "userGroup".

    Identity manager se pak bude snažit tyto atributy synchronizovat tak, aby měli stejnou hodnotu. Samozřejmě záleží na tom, který z obou systému je pro tento atribut autoritativním zdrojem a tedy svojí hodnotou přepíše ten druhý.

    Pokud tyto atributy nemají mít stejnou hodnotu, tak musí být každý z nich namapován na rozdílný název. Napříkalad "group" -> "ldap_userGroup" a "skupina" na "db_userGroup". Pak lze tyto atributy nastavovat nezávisle na sobě.

    Pokud jde o keš, tak CzechIdM ani Sun IdM nestahují atributy do svého úložiště. Všechny data nechávají na systémech a pouze propagují změny z jednoho systému na jiný (tomu se říká provisioning). Jediné, co si tyhle Identity Managery uchovávají je informace o tom, které identitě (uživateli) patří který účet a dále pak jméno a email. Tyto informace je ale možné rozšířit o tzv. extended atributes. Pokud tedy víte, že budete často vyhledávat podle atributy "homeDirectory" v systému AD, tak nastavíte IdM tak, aby si tento atribut ukládal ve své repository. Pak je možné pomocí něho snadno vyhledávat.

    Vyhledávat je možné i podle atributů, které nejsou kešované v IdM. Ale tam hodně záleží na tom, zda to konkrétní konektor nebo adaptér použitý pro připojení k systému umožňuje.

    Například v Sun IdM lze za tímto účelem použí metodu ze třídy com.waveset.ui.FormUtils
    public static java.util.List getResourceObjects(
             com.waveset.object.LighthouseContext session,
             java.lang.String objectType,
             java.lang.String resourceId,
             java.util.Map options)
    
    Do parametru "options" se pak nadefinuje patřičný "searchFilter".

    O tom jak si napsat vlastní konektor, který používá jak CzechIdM tak Sun IdM, se lze dočíst v tomto článku, který napsal kolega: Vývoj identity konektoru pro systém CzechIdM. Pro rychlou informaci jen napíšu, že binární data nejsou nejmenší problém.

    V případě zájmu se na mne neváhej obrátit. Rád zodpovím dotazy.

    Kontakt na mě nebo mé kolegy naleznete na stránce věnované CzechIdM

    První Identity Management, který umí česky: CzechIdM

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.