Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Aplikacija za održavanje sadržaja imenika (AOSI)

LDAP imenik matične ustanove je referentno mjesto na kojemu se čuvaju podaci o elektroničkim identitetima osoba povezanih s tom ustanovom.

Da bi se olakšao pristup podacima u imeniku, ispred samog imenika je postavljena aplikacija za održavanje sadržaja imenika (AOSI). Sama aplikacija napisana je u programskom jeziku Perl, a sastoji se od dva dijela: poslužiteljski dio i klijentski dio.

AOSI server (web servis):

AOSI poslužitelj realiziran je kao web servis čiji je cilj olakšati pristup imeniku na nekoliko načina:

  • Za dohvat i razmjenu podataka koristi se Simple Object Access Protocol (SOAP) za koji postoji podrška u praktički svim programskim i skriptnim jezicima te se stoga već postojeće aplikacije mogu razmjerno jednostavno prepraviti za komunikaciju s imenikom;
     
  • Za opis podataka koristi se Extended Markup Language (XML), koji je također implemenetiran u gotovo sve programske i skriptne jezike zbog čega je priprema i obrada podataka koji se razmjenjuju tijekom komunikacije s AOSI servisom također razmjerno jednostavna;
     
  • Funkcije AOSI web servisa maskiraju posebnosti i nepravilnosti koje se skrivaju u neposrednom pristupu LDAP imeniku, čime je olakšano pisanje klijentskih aplikacija koje dohvaćaju podatke iz LDAP imenika;
     
  • Komunikacija između SOAP klijenta i SOAP web servisa je zaštićena (HTTPS), na taj način je povećana razina sigurnosti prilikom dohvata i razmjene podataka;
     
  • Administrator imenika ne mora znati administratorsku zaporku LDAP imenika, već se u sučelje za administraciju imenika prijavluje s vlastitim elektroničkim identitetom;

Za korištenje AOSI web servisa potrebno je:

  • Implementirati SOAP API unutar aplikacije koja koristi AOSI;
     
  • Poznavati adresu (URL) WSDL datoteke koja opisuje AOSI servis pojedine ustanove. Putanju bi trebao znati sistemac na ustanovi (obično je to nešto poput: http://dns_naziv_poslužitelja/aosi/aosi/wsdl). Primjer WSDL datoteke i detaljniji opis funkcija.

Novosti i otklonjeni nedostaci kod AOSI web servisa:

ver. 3.0 [20101015]

  • Prilagodbe u skladu sa shemom 1.3.1

ver. 2.5 [20090320]

  • Podrška za Lenny inačicu distribucije
  • Lozinke se enkriptiraju (SHA) ako su u clear textu
  • Dodane funkcije za rukovanje hrEduOrg atributima: ldapOrgAdd, ldapOrgModify i ldapOrgDelete
  • Prilikom promjene atributa o, l i postalAddress u hrEduOrg shemi se automatski mjenjaju isti atributi svim identitetima u imeniku
  • AOSI web servis unaprijed rezervira odredjen broj (po defaultu 3) procesa za obradu zahtjeva

ver. 2.2 [20080911]

  • AOSI web servis sam poslužuje WSDL datoteku - novisnost o papche-ju.
  • U WSDL datoteci soap namespace promijenjen u wsdlsoap kako bi ga SOAP::Lite 0.65+ klijenti mogli koristiti.
  • U log datoteku se upisuju obavijesti o neispravnoj administratorskoj lozinki za LDAP
  • Dodan action.log, kako bi se lakše moglo pratiti tko je kada učinio kakve promjene (dodao/uklonio korisnika, dodao/uklonio/promijenio vrijednosti atributa)
  • Razdvojeni parametri za konfirguriranje web servisa u dvije datoteke:
    • osnovni parametri: config.pm
    • parametri koji se rijetko mijenjaju: params.pm
  • Dodana funkcija za monitoring ldapInfo

ver. 2.0 [20071022]

  • Podrška za Etch inačicu distribucije
  • Podrška za novi (0.69+) SOAP::Lite modul
  • Novi sustav plug-inova za sinkronizaciju s drugim repozitorijima. Više o plug-inovima.
  • AOSI web servis za svaki zahtjev pokreće novi proces
  • Dodano upozorenje o nedostupnosti LDAP poslužitelja
  • Poboljšana podrška za UTF-8 u cjeloj aplikaciji

ver. 1.5

  • podržava URN oblik atributa hrEduPersonRole (odn. oblik urn:administrator imenika:hrEduPersonAffiliation:student)
  • dodana funkcija ldapAdminInfo koja vraća podatke o svim vrstama administratora
  • dodana je funkcija userOrgInfo koja funkcionira isto kao i ldapOrgInfo
  • dodana je funkcija userBind koja funkcionira isto kao i ldapBind
  • funkcija ldapAddUserLE ignorira vrijednost atributa hrEduPersonAffiliation i automatski ju postavlja
    na vrijednost hrEduPersonPrimaryAffiliation
  • funkcija ldapList je optimizirana za dohvat iz velikih imenika (s više od 50000 zapisa)
  • dodane su funkcije anonSearch i anonBinSearch za anonymous pristup imeniku, funkcioniraju kao
    funkcija userSearch i userBinSearch uz ograničenja koja nameću hrEdu sheme
  • funkcija ldapSearch uzima u obzir vrijednosti atributa hrEduPersonRole (urn:administrator imenika)
    i na osnovu njih filtrira rezultate
  • dodano kontroliranje veze između atributa hrEduPersonAffiliation i hrEduPersonPrimaryAffiliation
  • ugrađena mogućnost korištenja pluginova. Više pročitajte ovdje.

 

AOSI klijent (web sučelje):

AOSI klijent je jedan od mogućih klijenata i namijenjen je ustanovama koje nemaju vlastiti sustav za održavanje elektroničkih identiteta.

Odnos AOSI web servisa (AOSI-WS) i AOSI klijenta (AOSI (PHP)) prikazan je na sljedećoj slici:

AAI komponente dostupne su u obliku instalacijskih paketa. Više informacija potražite na stranicama Koji sve servisi moraju biti instalirani na lokanom poslužitelju matične ustanove i Aktualne verzije AAI@EduHr instalacijskih paketa.

Novosti i otklonjeni nedostaci kod AOSI web klijenta:

ver. 1.6

  • podrška za Lenny inačicu distribucije
  • uporaba php5 SOAP ekstenzije umjesto pear-ove implementacije SOAP-a
  • provjera da je zaporka (kod promjene) duga minimalno 8 znakova (do sad je bilo 6)
  • omogućeno postavljanje logo-a ustanove kroz web sučelje
  • poboljšana podrška za pluginove (prikaz svih pogrešaka i kodova, kod promjene zaporke novu zaporku kriptira AOSI web servis)
  • kod dodavanja korisnika podrazumna vrijednost atributa hrEduPersonPrimaryAffiliation je student
  • omogućeno brisanje korisnika iz tekstualne datoteke
  • omogućeno je ažuriranje hrEduOrg zapisa ustanove
  • pregled log-a akcija (log u koji AOSI zapisuje svaku akciju izvršenu nad imenikom)
  • lista korisnika je podrazumno prazna, rezultati se dobiju tek klikom na Pretraži

ver. 1.5

  • promjena vizualnog identiteta sučelja
  • korisničko i administratorsko sučelje odvojeni su u dva direktorija
  • encoding sučelja je UTF-8
  • omogućeno odvojeno administriranje imenika za neke ou-ove i hrEduPersonAffiliation-e: uvedeni su "ograničeni administratori" - administratori koji, ovisno o svojim ovlastima, mogu administrirati samo dio korisnika iz imenika
  • mogućnost grupne promjene datuma isteka korisnicima
  • mogućnost ažuriranja podataka o korisnicima iz tekstualne datoteke
  • intuitivniji način promjene zaporke iz administratorskog sučelja
  • intuitivniji način dodavanja nove vrijednosti atributa
  • mogućnost ispisa obrasca s podacima o novootvorenom korisničkom računu
  • mogućnost ispisa obrasca s podacima nakon promjene zaporke
  • mogućnost konfiguriranja liste atributa po kojima je moguće pretraživati listu korisnika
  • kod pretraživanja, za atribute koji imaju šifrarnik, vrijednosti se mogu odabrati s padajuće liste
  • kod pojedinačnog dodavanja korisnika i kod promjene zaporke predložena je slučajno odabrana zaporka
  • ako je tako postavljeno u konf. datoteci, kod dodavanja korisnika u formi je odmah popunjen defaultni datum isteka
  • format datuma je promjenjen u dd.mm.gggg.
  • podaci o korisnicima (za sve korisnike dobivene pretragom) se mogu exportirati u tekstualnu datoteku
  • dodana je padajuća lista za izbor prefiksa pri unosu unos brojčanog identifikatora
  • provjera snage zaporke (min 6 znakova, od toga bar 2 slova i 2 znamenke, ne smije biti isti kao uid)