1 Forkortelser

Forkortelser benyttet i denne dokumentasjonen ligger i dokumentet Forkortelser benyttet i dokumentasjonen

2 Innhold

Dette dokumentet vil beskrive hvordan:

3 Forutsetninger

Det forutsettes at leser har en viss kjennskap til teknologier som:

4 Informasjon

Når det i dokumentet refereres til mapper så menes det, om ikke annet er beskrevet, mapper som ligger i katalogen ’Buddy Version 4.1’.

Dokumentet viser installasjon av ADAM og oppsett av Feide på en Windows 2003 Server SP2 og ILM 2007 FP1. Fremgangsmåte for å installere på andre operativsystem og/eller andre MIIS/ILM/FIM versjoner er tilnærmet lik.

5 Installasjon av ADAM/AD LDS

  1. Start med å logge på WIN2003S med en brukerkonto som tilhører lokal administrator gruppe.
  2. Kjør filen ”enADAMSP1_x86_English.exe” (kan lastes ned via link som finnes i kapittel Linker).
  3. Installasjonsprogrammet for ADAM SP1 foreberedes og vinduet nedenfor åpnes.

    Følg instruksjonene i skjermbildet og trykk ”Next >”.

  4. Les igjennom lisensavtalen. Dersom du godtar den velger du ”I Agree” og trykker på knappen ”Next >” (dersom du velger ”I Do Not Agree” avsluttes installasjonen).

  5. Installasjonsprogrammet vil nå installere og konfigurere ADAM.

  6. Når installasjonsprogrammet er ferdig vises dette skjermbildet.

Trykk på knappen ”Finish” for å avslutte installasjonsprogrammet. ADAM er nå installert.

6 Opprettelse av ADAM instans

  1. Start med å logge på WIN2003S med en brukerkonto som tilhører lokal administrator gruppe.

  2. Start ”Active Directory Application Mode Setup Wizard” (Start --> Alle programmer --> Adam --> Create an ADAM instance). Følgende vindu skal da vises på skjermen:

    Trykk på knappen ”Next >”.

  3. På ”Setup Options” siden sørg for at ”A unique instance” er valgt og trykk ”Next >”.

  4. I dette skjermbildet skal du angi navnet på ADAM instansen. I skjermbildet nedenfor er instansen gitt navnet ”Feide”. Service navnet til ADAM blir da ”ADAM_Feide”. Når du har skrevet inn ønsket navn, trykk ”Next >”.

  5. På neste side – ”Ports” – skal du angi hvilke porter ADAM skal kommunisere på. Standard er portene angitt til 389 for LDAP kommunikasjon og 636 for kommunikasjon over Secure Socket Layer (SSL) protokollet. Så fremt det ikke finnes andre applikasjoner eller servicer (for eksempel Active Directory) på serveren som allerede benytter, eller på et senere tidspunkt skal benytte, disse portene så bør standard verdiene velges (hvis ikke benyttes porter fra området som strekker seg fra 1025 til 65535). Når du har angitt portene du ønsker å benytte, trykk ”Next >”.

  6. I siden ”Application Directory Partition” skal du sørge for at ”Yes, create an application directory partition” er markert og angi et ”distinguished name” (DN) for denne partisjonen (DC=[din organisasjon],DC=no). I dette eksempelet er det benyttet standard DNS-stil (Domain Name System), men det er også mulig å benytte X.500 stil (o=organization,c=no). Trykk ”Next >” når du har angitt navn på partisjonen.

  7. På ”File Locations” siden skal du angi hvor data filene skal lagres. Det er anbefalt at datafilene og gjenoppretningsfilene lagres på to ulike disker. Trykk på knappen ”Next >” når du har angitt hvor de ulike filene skal lagres.

  8. I siden for oppsett av ”Service Account Selection” skal du angi hvilken konto som denne ADAM instansen skal kjøre under. Du kan velge å benytte den lokal nettverks service kontoen (marker Network service account) eller, hvis serveren er tilknyttet et domene, en domene bruker (marker This account og velg bruker).

    Angi service bruker og trykk på knappen ”Next >”.

    OBS! Dersom du velger ”Network service account” uten at serveren er tilknyttet en domene kontroller og trykker ”Next >” vil følgende melding vises.

    Trykk ”Yes” dersom du godtar at du ikke kan replikere data med andre ADAM instanser på andre datamaskiner.

  9. I ”ADAM Administrators” siden skal du angi en bruker eller gruppe som skal ha administrator rettigheter for denne ADAM instansen. Dersom du ønsker å velge en annen bruker enn den du benytter nå markerer du ”This account” og skriver inn eller velger en annen bruker/gruppe.

    Trykk på knappen ”Next >” når du har valgt bruker/gruppe som skal ha administrative rettigheter.

  10. I siden ”Importing LDIF Files” skal du angi hvilke skjemaer som skal importers inn i denne ADAM instansen. Det er tre skjema filer som må importeres nå. Senere vil du også importere Feide skjema filer. For å velge hvilke de filene som skal importeres gjør du som følger:

    1. Marker ”Import the selected LDIF files for this instance of ADAM” .

    2. I listen over tilgjengelige filer, marker ”MS-InetOrgPerson.LDF” og trykk på knappen ”Add ->”.

    3. I listen over tilgjengelige filer, marker ”MS-User.LDF” og trykk på knappen ”Add ->”.

    4. I listen over tilgjengelige filer, marker ”MS-UserProxy.LDF” og trykk på knappen ”Add ->”.

    Trykk på knappen ”Next >” når du har gjort som beskrevet ovenfor.

  11. Du er nå klar til å starte installasjonen av denne ADAM instansen. Du kan gå igjennom listen og kontrollere at konfigurasjonen stemmer.

    Når du er sikker på at alt stemmer trykk på knappen ”Next >” for å starte installasjonen.

  12. ADAM instansen installeres nå.

  13. Når skjermbildet nedenfor vises er installasjonen klar. Du avslutter installasjonsveiviseren ved å trykke på knappen ”Finish”.

7 Installasjon av FEIDE skjema

  1. Kopier mappen “Feide 1.5” (med innhold) fra denne pakken til ADAM server.
  2. På ADAM serveren åpner du mappen “Feide 1.5”, høyreklikker på filen ’InstallFeideSkjema.bat’ og velger rediger.
  3. Erstatt alle ”[ADAM SERVER NAVN]” med navnet på serveren som ADAM er installert på. Endre om nødvendig port nummer også (default er 389).
  4. Lagre endringene og steng filen.
  5. Dobbeltklikk på filen ”InstallFeideSkjema.bat”. Et kommandovindu vil åpnes.
  6. Kommandofilen vil nå kopiere nødvendige filer, installere skjemaene i ADAM instansen.
  7. Når kommandovinduet lukkes er denne oppgaven ferdig.

TIPS! Start et kommandovindu og kjør “InstallFeideSkjema.bat” fra dette. Da er det mulig å gå igjennom resultatet for å sjekk om alt gikk bra.

8 Oppsett av struktur på ADAM instans

Du må opprette en logisk struktur på ADAM instansen hvor MIIS kan legge inn objekter (for eksempel brukere). Du kan opprette denne strukturen på følgende måte:

  1. Start programmet ’ADAM ADSI Edit’.
  2. Høyre klikk på ’ADAM ADSI Edit’ og velg ’Connect to...’.
  3. Gi tilkoblingen et navn (Connection name).
  4. La ’Server name’ stå til ’localhost’ og la port nummeret være det samme som ble angitt for LDAP kommunikasjon i punkt 5 under ’Opprettelse av ADAM instans’ (default 389).
  5. Marker for ’Distinguished name (DN) or naming context’ og angi verdi som ble satt i punkt 6 under ’Opprettelse av ADAM instans’.
  6. Marker ’The account of the currently logged on user’.
  7. Trykk ’OK’.
  8. Dobbeltklikk på rotnivået slik at innholdet i denne vises i vinduets høyre del.
  9. Høyre klikk i vinduets høyre del og velg ’New --> Object…’.
  10. I listen over klasser – velg klassen ’organizationalUnit’ (OU) og trykk ’Next>’.
  11. Angi verdien til attributtet ’distinguishedName’ (for eksempel ”feidekatalog”) og trykk ’Next>’.
  12. Dersom du ikke ønsker å legge til flere verdier i andre attributter trykk ’Finish’.
  13. Dersom du ønsker å legge til flere OU’er i den nye OU’en du nå har skapt kan du enten høyre klikke direkte på OU’en og velge ’New --> Object…’ eller dobbeltklikke på den og i vinduets høyre del velge ’New --> Object…’ og gjøre punkt 10 til 12 igjen.

Du bør som et minimum angi en struktur som skiller på objektene enheter, elev og ansatte. Dvs. at du får en struktur som ser liknende ut som denne:

[Topp nivå] ? OU=Feidekatalog o OU=Enheter o OU=Ansatte o OU=Elever

8.1 Oppsett av systembruker på ADAM server

  1. Opprette en ny lokal bruker på serveren og kall den ’sysMIISService’.
  2. Start programmet ’ADAM ADSI Edit’.
  3. Høyre klikk på ’ADAM ADSI Edit’ og velg ’Connect to...’.
  4. Gi tilkoblingen et navn (Connection name).
  5. La ’Server name’ stå til ’localhost’ og la port nummeret være det samme som ble angitt for LDAP kommunikasjon i punkt 5 under ’Opprettelse av ADAM instans’ (default 389).
  6. Marker for ’Distinguished name (DN) or naming context’ og angi verdi som ble satt i punkt 6 under ’Opprettelse av ADAM instans’.
  7. Marker ’The account of the currently logged on user’.
  8. Trykk OK.
  9. Utvid trestrukturen slik at du ser ’CN=Roles’. Dobbeltklikk på denne slik at alle rollene vises i vinduets høyre del.
  10. Høyre klikk på ’CN=Administrators’ og velg ’Properties’.
  11. I listen over attributter – søk opp attributtet ’member’ og dobbelklikk på dette.
  12. Trykk på knappen ’Add Windows Account’.
  13. Skriv inn navnet på brukeren du la til i punkt 1 (sysMIISService) og trykk på knappen ’Check names’.
  14. Dersom brukeren blir understreket kan du trykke på knappen ’OK’ (hvis ikke må du søke etter brukeren for eksempel via ’Advanced’ knappen).
  15. Lukk alle vinduene ved å trykke på OK knappene.

9 Oppsett av FEIDE agent

Når du skal sette opp en ny agent mot et ADAM kan du benytte den ferdige agenten som ligger vedlagt i installasjonspakken.

  1. Start ’Identity Manager’ på MIIS serveren.
  2. Velg visning av ’Management Agents’.
  3. Trykk på ’Import Management Agent’ fra vinduets høyre menyliste eller via ’Actions --> Import Management Agent…’.

  4. I det nye vinduet som åpnes - bla deg frem til mappen som heter “MAs”. I mappen “MAs” velg filen “FEIDE [ORG] ADAM MA.xml” og trykk “Open”.

  5. Angi navn på agenten (bytt ut [ORG] med din fylkeskommune/kommunes navn) og trykk “Next >”. Eventuelt kan du også legge inn en beskrivelse av agenten i feltet “Description”.

  6. Angi server, port, brukernavn, passord og domene navn for ADAM instans og trykk ’Next >’.

  7. Dersom det åpnes et vindu kalt “Partition Matching” må du koble den registrerte partisjonen (som ligger i listen “Updates Partitions:”) med en eksisterende partisjon (som ligger i listen “Existing Partitions:”) fra din ADAM instans. Dette gjøres ved å først markere partisjonen i listen under “Updates Partitions:”, så markeres den partisjonen i din ADAM instans som skal benyttes fra listen under “Existing Partitions:” og trykk så på knappen “Match”. Marker resterende partisjoner i listen under “Existing Partitions:” og trykk på knappen “Deselect”. Når det ikke lengre finnes partisjoner i listen under “Existing Partitions:” kan du trykke på knappen “OK” for å lukke vinduet.

  8. Velg rett partisjon (ta bort hake for partisjoner som ikke skal benyttes og hak av for partisjoner som skal benyttes). Trykk på knappen “Containers…”.

  9. Kryss av for de containerne som agenten skal behandle og trykk ’OK’. Trykk så ’Next >’.

  10. Kontroller at rett objekttyper er markert og trykk ’Next >’. OBS! Legg merke til avkrysnings boksen ’Show all’.

  11. Kontroller at rett attributter er avkrysset og trykk ’Next >’. OBS! Legg merke til avkrysnings boksen ’Show all’.

  12. Angi om nødvendig filter for de ulike objekttypene og trykk ’Next >’.

  13. Kontroller at de angitte koblingsreglene stemmer for de ulike objekttypene og trykk ’Next >’.

  14. Kontroller at de angitte flytreglene stemmer og trykk ’Next >’.

  15. Kontroll innstillingen for frakobling av objekter og trykk ’Next >’.

  16. Kontroller at riktig ’Rules Extension’ er angitt og trykk ’Finish’. OBS! Innstillinger for passord håndtering blir tatt for seg i egen manual.

10 FEIDE: Hvordan sette rettigheter i ADAM

Nb! Denne prosedyren er ikke grundig testet og benyttes derfor på eget ansvar. Det anbefales å teste prosedyren i et testmiljø.

Dette dokumentet beskriver hvordan rettigheter skal settes opp i ADAM for FEIDE. Merk at det forutsettes at man har følgende struktur i ADAM:

MERK at strengen ”DC=ffk,DC=vgs,DC=no” angitt under må erstattes med riktig domenenavn i FEIDE-katalogen.

Start ”ADAM Tools Command Prompt” på serveren som har FEIDE-katalogen installert.

10.1 For at brukere skal kunne lese egen informasjon

Disse kommandoene gir brukeren tillatelse til å se all informasjon om seg selv:

dsacls \\localhost:389\DC=ffk,DC=vgs,DC=no /I:T /G "NT AUTHORITY\SELF":GR

dsacls \\localhost:389\DC=ffk,DC=vgs,DC=no /G "NT AUTHORITY\Authenticated Users":LC dsacls \\localhost:389\OU=Feidekatalog,DC=ffk,DC=vgs,DC=no /G "NT AUTHORITY\Authenticated Users":LC dsacls \\localhost:389\OU=Ansatte,OU=Feidekatalog,DC=ffk,DC=vgs,DC=no /G "NT AUTHORITY\Authenticated Users":LC dsacls \\localhost:389\OU=Elever,OU=Feidekatalog,DC=ffk,DC=vgs,DC=no /G "NT AUTHORITY\Authenticated Users":LC

10.2 For at brukere skal kunne lese info om skolen de tilhører

Denne kommandoen gir brukeren tillatelse til å se all informasjon på alle skoleobjekter:

dsacls \\localhost:389\OU=Skoler,OU=Feidekatalog,DC=ffk,DC=vgs,DC=no /I:T /G "NT AUTHORITY\Authenticated Users":GR

10.3 For at brukere skal kunne lese info om fylkeskommunen/kommunen de tilhører

Denne kommandoen gir brukeren tillatelse til å se all informasjon på organisasjonsobjektet:

dsacls \\localhost:389\O=Finnmark fylkeskommune,DC=ffk,DC=vgs,DC=no /G "NT AUTHORITY\Authenticated Users":GR

Overnevnte virket ikke. Brukte LDP for å gi leserettigheter på dette objektet.