Objekter - innholdet i katalogen

Her er en detaljert liste over hva slags objekter som finnes i katalogen, hvilke attributter de inneholder og hvilke av disse som er indeksert så man kan søke etter dem.

dc=uio,dc=no

Dette objektet beskriver Universitetet. Søk med base dc=uio,dc=no og scope=sub (subtree) søker bare i selve UiO-objektet, personer og organisasjons­enheter og litt mer, men ikke i brukere, filgrupper o.a.

Innholdet følger FEIDE sitt skjema. Dette ene objektet har følgende DN og attributter:

• dn: dc=uio,dc=no.
• objectClass: organization, norEduOrg o.a.
• dc: uio.
• o: Organisasjonens navn og forkortelser.
• labeledURI: WWW hjemmeside.
• eduOrgHomePageURI: WWW hjemmeside (samme som labeledURI).
• eduOrgLegalName: organisasjonens formelle navn.
• postalAddress: postadresse (administrasjonen). ('$' og '\' er spesialtegn i postalAddress.)
• street: postadresse (administrasjonen).
• telephoneNumber: telefon (sentralbordet).
• l: sted (Oslo).
• description: Kort beskrivelse av Universitetet.
• businessCategory: University, Education, Universitet, Utdanning.
• norEduOrgNIN: NO971035854 (landskode + org.nummer i Brønnøysund).
• norEduOrgSchemaVersion: Versjon av FEIDE sitt skjema som er i bruk.
• norEduOrgUniqueIdentifier: 00000185. Landskode 000 + Universitetets institusjonsnummer 00185, fra Samordna Opptak (SO) og Felles Studentsystem (FS).
• norEduOrgUniqueNumber: eldre variant av norEduOrgUniqueIdentifier.

cn=people,dc=uio,dc=no

Her ligger objekter for ansatte og studenter, samt andre tilknyttede fra SAP (personal- og lønnssystemet). Fast ansatte er synlige hvis de ikke har reservert seg, mens andre er usynlige hvis de ikke har git samtykke til publisering.

Innholdet følger FEIDE sitt skjema. Hvert objekt kan ha følgende DN og attributter:

• dn: uid=<primærbruker>,cn=people,dc=uio,dc=no.
• objectClass: top, person, organizationalPerson, inetOrgPerson, eduPerson, norEduPerson.
• uid: primærbruker.
• cn: fullt navn.
• displayName: samme som cn.
• givenName: fornavn.
• sn: etternavn.
• eduPersonAffiliation: employee, student, faculty, staff, member og/eller affiliate (multiple verdier). Innholdet av denne vil endres til å stemme med FEIDE.
• norEduPersonBirthDate: fødselsdato (yyyymmdd). Beskyttet så bare eieren kan lese det.
• norEduPersonNIN: fødselsnummer. Beskyttet så bare eieren kan lese det.
• eduPersonLegalName: samme som cn.
• eduPersonOrgDN: dc=uio,dc=no.
• eduPersonPrimaryOrgUnitDN: DN under cn=organization,dc=uio,dc=no til enheten der personen har sin primærtilknytning.
• eduPersonPrimaryAffiliation: Primærtilknytningen en person har til sin enhet.
• eduPersonOrgUnitDN: DN under cn=organization,dc=uio,dc=no til hver av enhetene personen er knyttet til (multiple verdier).
• eduPersonPrincipalName: <primærbruker>@uio.no. Dette er den ID vi midlertidig vil bruke i FEIDE-sammenheng.
• labeledURI: URL til hjemmeside på folk.uio.no.
• mail: e-postadresse ved UiO. [Kunne tidligere ha multiple verdier.]
• postalAddress: intern postadresse. ('$' og '\' er spesialtegn i postalAddress.)
• street: besøksadresse.
• title: stillingstittel.
• title;lang-<språk>: tittel på engelsk, bokmål og nynorsk (hvis tilgjengelig).
• telephoneNumber: telefonnr på jobben (multiple verdier).
• facsimileTelephoneNumber: faksnummer på jobben (multiple verdier).
• mobile: jobbmobil. Merk: private mobilnumre blir aldri registrert her.
• userPassword: kryptert passord. Beskyttet så det bare kan autentiseres, ikke leses, og bare over forbindelser kryptert med TLS/SSL.
• uioShortPhone: UiO-internt 5-sifret telefonnummer.
• uioPersonScopedAffiliation: "primary:" eller "secondary:" fulgt av affiliation som den ser ut til bofh.  F.eks "primary:ANSATT/tekadm@351220".

Følgende attributter er indeksert:

 

cn, sn, givenName, mail, telephoneNumber:

Indeksert for equality, substring.

objectClass, eduPersonAffiliation, eduPersonOrgUnitDN, uid:

Indeksert for equality.

eduPersonPrincipalName:

Indeksert for equality, men denne indeksen vil antakelig fjernes hvis ingen protesterer.

Man kan ikke søke etter "title"-attributtet.

En persons stedkode(r) for organisatorisk tilhørighet (tilsetninger o.a.) bestemmer hvilke steder det listes at han er tilknyttet (eduPersonOrgUnitDN). Hva som settes som primær tilhørighet (både enhet to type tilhørighet) gjøres ved vekting av tilhørighet. Eksempelvis er ANSATT/vitenskapelig vektet høyest etterfulgt av ANSATT/takadm. Deretter følger ulike TILKNYTTET- og STUDENT-tilhørigheter. Enheten i eduPersonPrimaryOrgUnitDN er den enheten der personen har tilhørigheten satt i eduPersonPrimaryAffiliation.

cn=organization,dc=uio,dc=no

Her ligger organisasjons­treet til UiO, med de enheter som har merket av i SAP at de skal med i katalogen.

Innholdet følger FEIDE sitt skjema. Hvert objekt kan ha følgende DN og attributter:

• dn: <ou + evt. norEduOrgUnitUniqueNumber>,ou=sted over dette>,...,cn=organization,dc=uio,dc=no.
• objectClass: top, organizationalUnit, norEduOrgUnit.
• ou: fullt navn, forkortelse og akronym (multiple verdier).
• ou;lang-<språk>: ou på <språk>.
• cn: fullt navn.
• cn;lang-<språk>: cn på <språk>.
• norEduOrgAcronym: enhetens akronym.
• norEduOrgAcronym;lang-<språk>: akronym på <språk>.
• mail: enhetens e-postadresser (multiple verdier).
• labeledURI: enhetens hjemmeside.
• postalAddress: postadresse. ('$' og '\' er spesialtegn i postalAddress.)
• street: besøksadresse.
• telephoneNumber: telefon (multiple verdier).
• facsimileTelephoneNumber: faksnumre (multiple verdier).
• norEduOrgUnitUniqueIdentifier: enhetens stedkode fra SAP.
• norEduOrgUnitUniqueNumber: eldre navn på norEduOrgUnitUniqueIdentifier.
• norEduOrgUniqueNumber: 00000185, samme som i topp-objektet "dc=uio,dc=no".

Følgende attributter er indeksert:

 

cn, ou, mail, telephoneNumber:

Indeksert for equality, substring.

objectClass, norEduOrgUnitUniqueNumber:

Indeksert for equality.

cn=system,dc=uio,dc=no

Dette treet inneholder trærne med brukere, filgrupper og nettgrupper.

Treet er beskyttet så det bare kan leses fra UiO-adresser.

cn=users,cn=system,dc=uio,dc=no

Her ligger alle brukerne ved UiO.

Treet er beskyttet så det bare kan leses fra UiO-adresser. For tiden kan man likevel autentisere som brukere fra utenfor UiO, men vi håper å slå av det siden.

Vi håper å etterhvert beskytte disse slik at brukere - eller kanskje bare reserverte brukere - ikke er synlig for andre brukere.

Hvert objekt kan ha følgende DN og attributter:

• dn: uid=<brukernavn>,cn=users,cn=system,dc=uio,dc=no.
• objectClass: top, account, posixAccount, sambaSamAccount, uioAccountObject.
• cn: fullt navn eller gecos-felt.
• uid: brukernavn.
• uidNumber: bruker-ID.
• gidNumber: gruppe-ID for default-gruppen til brukeren.
• gecos: feltet gecos (navn) i NIS.
• homeDirectory: hjemmeområde.
• loginShell: shellet til brukeren.
• userPassword: MD5-passord eller crypt-passord. Beskyttet så det bare kan autentiseres, ikke leses, og bare over forbindelser kryptert med TLS/SSL.
• eduPersonAffiliation: Samme verdier som i persontreet (multiple verdier).
• sambaNTPassword: MD4-hashen til passordet. Beskyttet så den bare kan brukes av enkelte tjenester.
• sambaSID: bruker-ID, samme som uidNumber. Beskyttet så den bare kan brukes av enkelte tjenester.

Følgende attributter er indeksert:

 

objectClass, uid, uidNumber:

Indeksert for equality.

Man kan ikke søke etter "cn"-attributtet.

gidNumber har også en indeks, men denne virker bare for grupper med få medlemmer og vil kanskje fjernes i fremtiden.

cn=filegroups,cn=system,dc=uio,dc=no

Filgrupper ved UiO.

Treet er beskyttet så det bare kan leses fra UiO-adresser.

Merk at innholdet er litt forskjellig fra filgrupper i NIS:

I NIS (Network Information Service, tidl. "YP") deler vi "for store" filgrupper opp i flere grupper med samme gid (gruppe-ID) men forskjellig navn. I LDAP representeres disse med ett gruppe-objekt med ett navn. Det er dermed en del gruppenavn i NIS som ikke finnes i LDAP.

Har du funnet en gruppe i NIS og skal finne den i LDAP, bør du derfor søke etter gidNumber i stedet for gruppenavn. (Kjenner du navnet på annet vis kan du bruke navnet som normalt.) Dette har imidlertid en bug, se nedenfor.

Når vi en gang i fremtiden bytter ut NIS med LDAP er det mulig vi må endre på dette, hvis restriksjonene i bl.a. glibc på gruppestørrelser fremdeles finnes og også gjelder LDAP-grupper.

Hvert objekt kan ha følgende DN og attributter:

• dn: cn=<gruppenavn>,cn=filegroups,cn=system,dc=uio,dc=no.
• objectClass: top, posixGroup.
• cn: gruppenavn.
• gidNumber: gruppe-ID.
• description: beskrivelse/kommentar om gruppen.
• memberUid: Brukernavn til hvert medlem (multiple verdier).

Følgende attributter er indeksert:

 

objectClass, cn, gidNumber, memberUid:

Indeksert for equality.

Enkelte søk etter filgrupper er merkbart tregere med søkebase cn=system,... enn med søkebase cn=filegroups,cn=system,... Det samme gjelder kanskje brukere og søk under cn=users,...

cn=netgroups,cn=system,dc=uio,dc=no

Nettgrupper ved UiO - bare med brukere, ikke maskiner.

Treet er beskyttet så det bare kan leses fra UiO-adresser.

Hvert objekt kan ha følgende DN og attributter:

• dn: cn=<gruppenavn>,cn=netgroups,cn=system,dc=uio,dc=no.
• objectClass: top, nisNetGroup.
• cn: gruppenavn.
• description: beskrivelse/kommentar om gruppen.
• nisNetgroupTriple: (,<brukernavn til hvert medlem>,) (multiple verdier). Ett brukernavn med "_" i navnet tas for tiden ikke med, p.g.a. en restriksjon i LDAP-syntaksen for nisNetgroupTriple.
• memberNisNetgroup: navn på hver medlemsgruppe (multiple verdier).

Følgende attributter er indeksert:

 

objectClass, cn:

Indeksert for equality.

cn=automount,cn=system,dc=uio,dc=no

Automount-map for filsystemer på Unix.

Treet er beskyttet så det bare kan leses fra UiO-adresser.

Struktur:

• dn: ou=<kart-navn>,cn=automount,cn=system,dc=uio,dc=no.
• objectClass: automountMap.
• ou: kart-navn.

Dette er ett automount-kart - et container-objekt med andre objekter under seg som beskriver filsystemer. De ser slik ut:

• dn: cn=<filområde>,ou=<kart-navn>,cn=automount,cn=system,dc=uio,dc=no.
• objectClass: automount.
• cn: <filområde> (f.eks / eller /uio/kant).
• automountInformation: Beskrivelse av filsystemet. Dette kan enten være "ldap:<DN på et automountMap> eller mount-opsjoner osv.

Start-kartet heter "ou=auto.master,cn=automount,cn=system,dc=uio,dc=no". Under dette ligger filsystemene, f.eks. "cn=/uio/kant,ou=auto.master,cn=automount,cn=system,dc=uio,dc=no". Disse har "ldap:" i automountInformation med referanse til et nytt kart-objekt. Under det ligger et nytt automount-objekt med cn="/", og det objektet sitt automountInformation beskriver hvordan filsystemet monteres.

cn=hosts,cn=system,dc=uio,dc=no

Info om maskiner ved UiO, supplement til det som finnes i DNS.

Treet er beskyttet så det bare kan leses fra UiO-adresser.

Objekter:

• dn: host=<fullt navn>,cn=hosts,cn=system,dc=uio,dc=no.
• objectClass: uioHostinfo.
• host: fullt navn (f.eks login.uio.no).
• uioHostContact: "contact"-feltet fra bofh.
• uioHostComment: "comment"-feltet fra bofh.
• uioHostMacAddr: MAC-adresse (for statisk DHCP).

uioHostContact og uioHostComment kan bare leses fra utvalgte adresser/nett, samt nettgruppe unix-drift.

Alle attributtene er indeksert så de er søkbare.

cn=subnets,cn=system,dc=uio,dc=no

Subnett ved UiO, for oppslag av hvilket nett en IPv4-adresse tilhører.

Treet er beskyttet så det bare kan leses fra UiO-adresser.

For å finne nettet til en adresse, konverter først adressen til et heltall. F.eks. 129.240.12.4 = (((129*256) + 240)*256 + 12)*256 + 4 = 2179992580. Søk deretter etter et nett som inkluderer denne adressen, med filter "(&(uioIpAddressRangeStart<=2179992580)(uioIpAddressRangeEnd>=2179992580))".

Objektene ser slik ut:

• dn: cn=<IPv4-range>,cn=subnets,cn=system,dc=uio,dc=no.
• objectClass: ipNetwork, uioIpNetwork.
• cn: IPv4-range (f.eks 129.240.0.0/16).
• description: Tekstlig beskrivelse.
• ipNetmaskNumber: netmask, f.eks. 255.255.0.0 (tilsvarer "/16")
• ipNetworkNumber: nettverk, f.eks. 129.240.0.0
• uioIpAddressRangeStart: første adresse representert som et heltall.
• uioIpAddressRangeEnd: siste adresse representert som et heltall.

cn=mail,dc=uio,dc=no

Dette treet inneholder trærne med "mail targets" (for e-postadresser etc) og DNS-info (maildomener og maskiner).

Treet er beskyttet så det bare kan leses fra utvalgte maskiner.

cn=targets,cn=mail,dc=uio,dc=no

targets-treet brukes av Exim til å finne ut hvor og hvordan e-post skal leveres, av IMAP for å finne på hvilken IMAP-tjener en bruker har sin e-post, og for å autentisere Webmail-, IMAP- og POP-brukere. Ett objekt tilsvarer en post i Cerebrum-tabellen email_target.

Treet er beskyttet så det bare kan leses fra utvalgte maskiner.

Objektene inneholder følgende attributter. De vil antakelig byttes ut.

• dn: uniqueIdentifier=...,cn=targets,cn=mail,dc=uio,dc=no.
• objectClass: top, mailAddr.
• uniqueIdentifier: ...
• mail: Alle e-postadressene til en post i mailaddress eller maildestination tabellen.
• targetType: Mailman, deleted, file, forwardAddress, multi, pipe eller user.

Objekter med targetType: Mailman eller user har også attributtene:

• spamLevel: 9999 (ingen filtrering), 20 (standard), 12 (forhøyet) eller 6 (eksklusiv).
• spamAction: tall (0 for ingen filtrering).
• virusScanning: TRUE eller FALSE.
• virusFound: tall (normalt 1).
• virusRemoved: tall (normalt 1).

I tillegg inneholder objektene en av disse variantene:

• targetType: pipe.
• target: |shell-kommando.
• uid: brukernavn kommandoen skal kjøres som.

• targetType: file.
• target: filnavn.
• uid: brukernavn på eieren av fila.

• targetType: forwardAddress eller multi.
• forwardDestination: e-postadresse(r) som posten skal videresendes til, eller en destinasjon som ":fail: feilmelding".

• targetType: deleted.
• forwardDestination: tekst, gjerne med :fail: foran. Tas ikke med hvis den er ikke-ASCII eller bare whitespace.

• targetType: Mailman.
• target: |shell-kommando for å sende post til mailman-liste.
• uid: brukernavn kommandoen skal kjøres som.

• targetType: user.
• target: <brukernavn>.
• defaultMailAddress: adresse som original­adressen skal skrives om til. Kan være utelatt hvis det er feil eller problemer i kildesystemet når LDAP-data genereres.
• mailPause: TRUE -- satt hvis e-post midlertidig ikke skal leveres hit.
• IMAPserver: Navn på IMAP-tjeneren med brukerens e-postkasse. (Brukerne kobler til imap.uio.no, som viderekobler dit.)
• hardQuota: tall -- default er ingen kvote.
• softQuota: tall -- default er ingen kvote.
• forwardDestination: adresser som e-post hit skal forwardes til. Hvis e-post også skal leveres til brukerens mailbox, er brukerens adresse nevnt som forwardDestination.
• tripnote: UTF-8 kodet tekst for brukerens aktive eller siste fraværsmelding.
• tripnoteActive: TRUE -- satt hvis fraværsmeldinger skal sendes for brukeren.

Følgende attributter er indeksert:

 

objectClass, mail, target:

Indeksert for equality.

cn=dns,cn=mail,dc=uio,dc=no

dns-treet inneholder maskiner og maildomener, og brukes også til mail-levering.

Treet er beskyttet så det bare kan leses fra utvalgte maskiner.

Treet inneholder to slags poster, med følgende attributter. Attributtene vil kanskje byttes ut.

En post pr host ved UiO som ikke er maildomene, men har en A record i DNS, og i tillegg har prioritert (lavest nummerert) MX record som en av pat, mons, goggins, miss eller smtp:

• dn: host=<fullt kvalifisert hostnavn>,cn=dns,cn=mail,dc=uio,dc=no.
• objectClass: top, uioHost.
• host: fullt kvalifisert hostnavn.
• cn: hostnavn samt alle CNAMEs.

En post pr maildomene ved UiO:

• dn: cn=<fullt kvalifisert maildomene>,cn=dns,cn=mail,dc=uio,dc=no.
• objectClass: uioHost.
• cn: fullt kvalifisert maildomene.

Hvis maildomenet også er navnet på en host som beskrevet over, inneholder denne posten også attributtene:

• host: fullt kvalifisert maildomene.
• cn: alle CNAMEs for hostnavnet.

Følgende attributter er indeksert:

 

objectClass, cn, host:

Indeksert for equality.

cn=voip,dc=uio,dc=no

Dette treet brukes av VoiP. Det inneholder trær med adresser, klienter og maskinere/domener.

Treet er beskyttet så det bare kan leses fra utvalgte maskiner.

cn=uris,cn=voip,dc=uio,dc=no

Adresser for voip

• dn: voipOwnerId=<id>,cn=uris,cn=voip,dc=uio,dc=no
• cn: personnavn
• mail: e-post
• mobile: mobiltelefon
• objectClass: voipAddress
• uid: brukernavn (multiple verdier)
• voipE164Uri: f.eks "sip:+4722854321@voip.uio.no"
• voipExtensionUri: f.eks "sip:54321@uio.no"
• voipOwnerId: entity ID fra Cerebrum
• voipOwnerType: person
• voipPrimaryUid: brukernavn
• voipSKO: stedkode
• voipSipPrimaryUri: sip:<e-postadresse>.
• voipSipUri: sip URIer relatert til objektet (multiple verdier).

cn=clients,cn=voip,dc=uio,dc=no

Voip-klienter

• dn: sipMacAddress=<mac-adresse>,cn=clients,cn=voip,dc=uio,dc=no
• objectClass: sipClient
• sipClientInfo: specific model code.
• sipClientType: voip_hardphone eller voip_softphone.
• sipEnabled: TRUE, FALSE eller quarantined.
• sipMacAddress: MAC-adresse uten skilletegn, f.eks 946cbfb123a2.
• sipSecret: hemmelig.
• sipVoipAddressDN: DN til objekt under cn=uris,cn=voip,dc=uio,dc=no.

cn=sipDomains,cn=voip,dc=uio,dc=no

Dette er en kopi av cn=dns,cn=mail,dc=uio,dc=no.

cn=services,dc=uio,dc=no

Her ligger objekter som tjenester ved UiO kan binde opp som hvis de trenger at LDAP-tjeneren gir dem spesiell aksesskontroll e.l.

Man kan slå opp et navngitt objekt under services (dvs. søke med scope=base), men ikke søke etter objekter på annet vis.

Et objekt ser typisk slik ut:

• dn: cn=<tjenestenavn>,cn=services,dc=uio,dc=no.
• objectClass: top, applicationProcess, simpleSecurityObject.
• cn: tjenestenavn.
• description: beskrivelse av tjenesten og dens kontaktadresse.
• userPassword: Tjenestens MD5-passord. Beskyttet så det bare kan autentiseres, ikke leses, og bare over forbindelser kryptert med TLS/SSL.

cn=null

Dette er LDAP-ekvivalenten til /dev/null, og kan brukes til testing, f.eks å sjekke om en LDIF er gyldig og kan legges inn. Man må autentisere for å bruke den, anonyme forbindelser har ikke skriveaksess.

F.eks "ldapadd -ZZ -h ldap.uio.no -x -w -D "DN til en bruker å binde som" < data.ldif", der hver DN i data.ldif ender med ,cn=null.