[ProjectSCZ-FIAM] lokale uid mapping naar comange identifier

M.A.Santcroos at lumc.nl M.A.Santcroos at lumc.nl
Fri Nov 10 08:57:50 CET 2017 

Beste collega's,

Aannames:
- voor de HPC clusters gaan we ervan uit dat er geen globale PosixAccount uids/gids in COmanage zijn
- feitelijk hebben we dus alleen een identifier (daarover meer in een andere mail) en een public SSH key
- gebruiker ssh't naar identifier at sp en magic happens
- clusters werken lokaal wel met uid/gids
- er moet dus een uid gekozen/aangemaakt worden voor elke identifier
- deze moet opgeslagen worden om bij een volgende login van dezelfde identifier weer gebruikt te kunnen worden
- deze opslag vindt "lokaal" plaats, en niet in de centrale comanage ldap
- in theorie zou ik ook de eerste keer dat een nieuwe identifier voorbij komt een lokale account kunnen maken, maar dat lijkt me geen briljant idee qua deprovisioning

(Ik laat group mappings even uit de discussie nu)

Mijn eerste vraag is, zijn jullie het eens met deze aannames? En welke andere aanvullingen moeten er nog bij?

Er vanuitgaande dat dit grofweg de juiste aannames zijn, dan kunnen we stellen dat de oplossing een lokale aangelegenheid is. Dat is natuurlijk ook de bedoeling in een federatief model.
Dat neemt niet weg dat het geen kwaad zou kunnen om best practices te delen.

Voor ik het wiel mogelijk ga heruitvinden, zijn er al mensen die hier concrete oplossingen voor hebben?
Zo niet, dan wil ik ook eens een vraag met een ldap tag op stackexchange gaan plaatsen.

Hoe ik het momenteel ingericht hebt en wat al werkt:
- lokale LDAP server die ingespoeld wordt door COmanage
- LDAP authenticatie toegevoegd aan linux systeem
- SSH public keys worden via de sshd direct uit LDAP gehaald
- pam_mkhomedir voor het aanmaken van homedirs nieuwe gebruikers die via LDAP binnenkomen

TODO:
- momenteel moet ik nog lokaal (handmatig) een account aanmaken voor een uid/gid
- het enige ontbrekende puzzelstukje is nu een uid/gid die ik kan (her)gebruiken

Iemand suggesties en of ervaringen hiermee?!

Alvast bedankt!

Groet,

Mark

ps. zijn er inmiddels genoeg mensen op deze lijst om de discussie al nuttig te maken?

More information about the ProjectSCZ-FIAM mailing list