Afferenza organizzativa in Directory di Ateneo e Dominio Active Directory

Recentemente ci e’ stato chiesto di avere dati relativi all’afferenza organizzativa piu’ puntuali di quelli attualmente disponibili sulla Directory di Ateneo, nonche’ di renderli consultabili anche su il dominio Active Directory <ad.unipi.it>.

Come sapete attualmente l’afferenza organizzativa e’ espressa nelle entry LDAP tramite l’attributo unipiOrgCsaCod, che contiene il codice dell’organizzazione CSA a cui la persona afferisce. Il dato purtroppo ha delle grosse lacune poiche’ viene preso da una vista sui DB di Ateneo che non contempla l’afferenza multipla, e quindi riportava solo l’ultimo evento di carriera. Quindi ad es. un Collega che si vede assegnato al 30% ad altra struttura, veniva poi riferito come afferente solo a quell’ultima struttura, generando confusione. Faccio presente che sui DB di Ateneo (UGOV-CSA) non e’ attualmente possibile inferire l’afferenza primaria.

Abbiamo quindi cambiato strada: abbiamo creato dei gruppi rappresentanti le organizzazioni CSA, ovvero Dipartimenti, Direzioni, Settori, Segreterie, Servizi Amministrativi, Unita’ (sia delle direzione che dei dipartimenti), ecc., e vi abbiamo iscritto il personale come membri. Questo preserva l’afferenza multipla e rende obsoleto l’attributo unipiOrgCsaCod, quest’ultimo verra’ infine eliminato una volta che tutte le procedure basate su di esso saranno state migrate alla consultazione dell’afferenza sui gruppi.

Tali gruppi sono stati anche esportati sul dominio Active Directory<ad.unipi.it>, ovviamente i membri sono iscritti con il DN del dominio.
I gruppi presentano due utili caratteristiche:

  • chi si trova nel gruppo di un’organizzazione figlia, si trova anche nel gruppo dell’organizzazione padre. In termini piu’ pratici, dato il Polo Informatico N con dentro 7 membri, questi si trovano sia nel gruppo del Polo Informatico N, sia nel gruppo del SID.
  • sia nella Directory di Ateneo, sia nel dominio Active Directory <ad.unipi.it>, nelle entry delle persone il gruppo di appartenenza e’ riferito tramite l’attributo memberOf;

Informazioni tecniche

Directory di Ateneo

BASE DN dei gruppi

ou=csaorgs,ou=groups,dc=unipi,dc=it

DN di un gruppo

cn=CODICECSA,ou=csaorgs,ou=groups,dc=unipi,dc=it

LDIF di esempio di un gruppo

 dn: cn=489999,ou=csaorgs,ou=groups,dc=unipi,dc=it
 objectClass: groupOfNames
 objectClass: top
 objectClass: unipiOrg
 cn: 489999
 member: uid=XXXXXXX,dc=di,ou=people,dc=unipi,dc=it
 ...
 description: Dipartimento di Informatica
 unipiOrgCsaCod: 489999

Dominio Active Directory <ad.unipi.it>

BASE DN dei gruppi

OU=csaorgs,OU=Groups,OU=unipi,DC=ad,DC=unipi,DC=it

DN di un gruppo

CN=CODICECSA,OU=Groups,OU=unipi,DC=ad,DC=unipi,DC=it

LDIF di esempio di un gruppo

dn: CN=489999,OU=csaorgs,OU=Groups,OU=unipi,DC=ad,DC=unipi,DC=it
objectClass: group
objectClass: top
cn: 489999
description: Dipartimento di Informatica
member: CN=XXXXXX,OU=Accounts,OU=unipi,DC=ad,DC=unipi,DC=it
...
name: 489999