Especificaciones funcionales de un directorio para la UdelaR en el Interior¶

Por directorio se entiende un servicio, o un conjunto de servicios, de información relativa a las personas y recursos en la institución, gestionado de manera segura y eficiente.

LDAP es la norma o especificación de las estructuras de datos y protocolos relativos a la gestión de directorios en internet.

Estas son las especificaciones funcionales para el desarrollo de un sistema para brindar un servicio de directorio, que operará en la plataforma de servidores de la Red de Unidades Informáticas de la UdelaR en el Interior. Lo específicamos, no obstante, de manera genérica, capaz de integrar múltiples entidades, pudiendo así atender también, más allá de los Centros Universitarios Regionales (CENURES) cualquier unidad de la UdelaR.

Si se observan las tendendias en otras Universidades, y tomando en cuenta otras iniciativas ya en curso en la UdelaR (en psrticular el proyecto Sauce), es probable que varios servicios de directorio se extiendan en diferentes perímetros en la UdelaR, y que luego se estructure una federación de directorios, con servicios como CAS o Shibboleth, que también exploramos.

Globalmente, el sistema deberá brindar dos grandes áreas de servicio:

1. Por un lado un servicio de aprovisionamiento por inscripción en línea de la gente. El directorio de personas que así se constituye podrá ser administrado, para identificar y autenticar a las personas de la UdelaR - Estudiantes, Docentes, Funcionarios. De esos datos se darán servicios de información al usuario final, por ejemplo de "libreta de direcciones".
2. Por otro lado se ofrecerá una interfaz LDAPS hacia otros servicios de información y les dará, por lo menos un servicio de autenticación con login y contraseña, pudiendo evolucionar por un lado hacia la seguridad fuerte (firma electrónica), y por otro hacia la integración funcional de gestión de grupos y de perfiles de aplicación.

Benchmark - modelo de desarrollo¶

El sistema deberá estar a un nivel de amigabilidad de uso comparable al de los grandes servicios masivos en líneea: google, facebook, yahoo, amazon, bancos, etc. Podrá en todo sentido inspirarse de las interfaces y los mecanismos innovadores que se observen en internet.

Proceso de auto-aprovisionamiento¶

El directorio permitirá a cualquier persona en el mundo suscribirse al servicio en línea, declarándose algo como "amigo de la UdelaR", y aceptando un "pacto de utilización y de conducta apropiada".

En este proceso la persona deberá dar un correo electrónico válido, que será verificado, y responderá a alguna prueba -- como un captcha -- para demostrar que no es un robot.

Al solicitar el correo electrónico se pormoverá que las personas de la UdelaR que tienen uno,proporcionen su correo institucional. Si el correo es validado, la persona será identificada con cierto grado de seguridad, como integrante del servicio o división que identifica el dominio.

Se le pedirá a la gente de la UdelaR - estudiantes, docentes, funcionarios - ciertas informaciones académicas o profesionales. Un proceso permitirá que una persona del servicio o división correspondiente verifique y valide estos datos.

Progresivamente se podrá dar niveles de seguridad a la identificación de la persona (encuentro físico, presentación de identificación, ...) que podrán ser necesarios para acceder a ciertos niveles de adminsitración de datos y de servicios. Así de este directorio se podrá gestar un sistema de PKI, es decir de gestión de firmas electrónicas.

Iniciamos este servicio de aprovisionamiento con el software PWN, e hicimos un fork para nuestras necesidades:

• especificaciones para el primer prototipo operacional del auto-aprovisionamiento,
• Documentación usuario de la auto-inscripción,
• Documentación soporte al servicio de auto-inscripción

Servicio de autenticación a aplicaciones¶

La base LDAP ofrecerá un servicio propio de gestión de contraseña de autenticación de usuario. El almacenamiento de ésta será seguro, en particular en el sentido que sólo se guardará un hashcode de la contraseña. Será recuperable por mail, a condición que éste esté "previamente validado".

También podrá almacenar de manera segura contraseñas para otras aplicaciones.

Se configurarán, integrarán o desarrollarán interfaces aplicativas con el LDAP, de manera a ofrecer servicios de autenticación, que lo transformen en la base de usuarios de las siguientes aplicaciones:

• zimbra:
  • por un lado el directorio cielito será lugar de autenticación de los usuarios,
  • por otro será visible como Libreta de Direcciones global para todos los usuari*s.
• Sympa:
  • se aplicará el concepto de intranet de Sympa, mediante una conexión dual LDAP y gestión poropia de usuarios sympa:
  • en el sitio https://listas.softwarelibre.edu.uy/
• TikiWiki, en particular en las wikis:
  • wiki de la CCI
  • wiki de la CSIC
  • softwarelibre.edu.uy
• Drupal, en particular en los sitios:
  • el sitio de la CCI
• SPIP, en particular en los sitios:
  • el sitio de la CHEA
  • el sitio de la CCDT
  • el gestor de medios y recursos
• Joomla, en particular los sitios:
  • el sitio del CUP
  • el sitio del CURE
• Redmine, el gestor de proyectos
• GLPI, el gestor de soporte
• El sistema de Chat & IRC

Conviene escribir especificaciones de las modalidades de autenticacipón de aplicaciones.

servicios de cloud¶

Los proveedores podrán porponer diversos servicios de cloud alrededor de esta plataforma LDAP.

Se apreciaría, por ejemplo:

• un servicio de almacenamiento en línea, que se pueda montar de manera estándar, por ejemplo en WebDAV, al mismo tiempo que accesible por interfaz web.