• VANHENTUNUT / ARKISTOITU
  • Käyttäjätunnus konsultille
  • Ylläpitotunnus palvelimelle
    • Tilausprosessi
    • Tunnuksen muoto
    • Ylläpitotunnuksen kytkös henkilöön/pääkäyttölupaan
  • Hallintaoikeus (admin-tunnus) yliopiston työasemalle

VANHENTUNUT / ARKISTOITU

Käyttäjätunnus konsultille

PO:n tai projektipäällikön tehtävä on hoitaa uudelle ulkopuoliselle konsultille HY:n käyttäjätunnus kuntoon. Katso ja sovella ohjeet DigiHUBin sivuilta: https://workgroups.helsinki.fi/pages/viewpage.action?pageId=124163668. Huomaa myös salassapitositoumus! 

Lyhyesti: käyttölupahakemus tehdään tavalliseen tapaan samalla lomakkeella kuin henkilökunnalle, https://helpdesk.it.helsinki.fi/ohjeet/kirjautuminen-ja-yhteydet/kayttajatunnus/kayttajatunnuksen-hakeminen. Kiireellisissä tapauksissa muutamilla henkilöillä DigiHUBissa on mahdollisuus kiirehtiä käyttöluvan luontia, mutta yleensä kannattaa varata prosessiin pari päivää.

Huomioi että esim. GitHub-tunnuksen lisääminen HY:n GitHub-repoon, kasitunnuksen lisääminen tiettyyn IDM-ryhmään, pääsyoikeuksien antaminen wiki-sivustoihin jne. pitää hoitaa erikseen, ei sisälly luontiprosessiin suoraan.

Ylläpitotunnus palvelimelle

Linux- (ja muidenkin) palvelinten ylläpito-oikeuksia (sudo) annetaan nykyisen linjauksen mukaan vain erillisille ylläpitotunnuksille (alaviivallisia, muotoa adm_xxxx tai lu_xxxx). Olemassaoleva normaali AD-tunnus (kasitunnus) ei siis kelpaa ylläpitotunnukseksi uusiin palvelimiin. Olemassaoleville palvelimille jo myönnetyt ylläpito-oikeudet pysyvät kuitenkin, niitä vaihdetaan ylläpitotunnuksiin hiljakseen tai palvelimia uusittaessa.

Alaviivallinenkin käyttäjätunnus on teknisesti aivan normaali AD-tunnus. Ylläpitotunnus siitä tulee vasta, kun palvelinylläpitäjät lisäävät sille tarvittavat valtuudet.

TODO: Palvelinylläpidon taustoitus, miksi tällainen linjaus ja mitä sillä tavoitellaan?

Tiken TukiWikissä kuvaus tunnusten hallinnointiprosessista: Ylläpitotunnukset (avoin vain tikeläisille)

Tilausprosessi

Työntekijät:

• Ks. Helpdeskin tukisivu: Ylläpito- ja pääkäyttäjätunnukset tietotekniikkatehtävissä yliopistolla työskenteleville
• Tilaus e-lomakkeella https://elomake.helsinki.fi/lomakkeet/71855/lomake.html → Haettava tunnus: ylläpito- tai pääkäyttäjätunnus itselle. Lisätietoihin selvennys/perustelu: "Haen ylläpitotunnusta muotoa jotain_xxxx, asian YYY ylläpitoon" tms.

Ulkopuoliset konsultit:

• Virallisen ohjeistuksen mukaan aina paperilomakkeella (sama lomake kuin kasitunnuksen hakemisessa, https://helpdesk.it.helsinki.fi/ohjeet/kirjautuminen-ja-yhteydet/kayttajatunnus/kayttajatunnuksen-hakeminen) 
• Ulkopuolisen on ehdottomasti täytettävä hakemuksen keskiosan kohdat:
  • Hakijan tiedekunta / yksikkö / tutkimusryhmä Helsingin yliopistossa - jollei muuta ole annettu, tunnus luodaan yhteyshenkilön yksikön alaisuuteen
  • Hakijan rooli tai tehtävä Helsingin yliopistossa
  • HY:n henkilökuntaan kuuluvan yhteyshenkilön tiedot - yhteyshenkilö mm. päättää, saako tunnukselle jatkoa
  • Perustelut käyttäjätunnukselle, "Haen ylläpitotunnusta muotoa jotain_xxxx, asian YYY ylläpitoon" tms.

Tunnuksen muoto

Alaviivallinen tunnus ei itsessään anna oikeuksia - eri alkuosilla yritetään vain saada aikaan järjestystä ja logiikkaa, että pystytään edes karkeasti päättelemään, mihin tunnusta käytetään. Pyritään siksi noudattamaan seuraavaa nimentää:

• adm_xxxx: Yliopiston palkkalistoilla työskenteleville (ei ulkopuolisille), xxxx on nimikirjaimia tai alkua kasitunnuksesta, esim. 'abvirtan' → 'adm_abvi'
• lu_xxxxx: Linux-palvelimen ylläpitotunnus ulkopuolisille (L=linux, U=ulkopuolinen)
• on myös muita riippuen kontekstista, esim. la_xxxxx = admin-tunnus omalle Linux-työasemalle

Ylläpitotunnuksen kytkös henkilöön/pääkäyttölupaan

HY:n tunnistautumisjärjestelmässä hetu voi olla kytketty vain yhteen käyttäjätunnukseen. Hetua tarvitaan mm. pankkitunnistautumisessa salasanan resetoimiseksi. Näin ollen ylläpitotunnukseen ei pysty  kytkemään hetua, eikä sen salasanaa voi myöskään resetoida pankkitunnuksilla, ainoastaan käsityönä ja tiskipalveluna tms. 

Ylläpitotunnukseen voi ja kannattaa kuitenkin lisätietoihin kirjata mm. syntymäaika ja "varsinainen" kasitunnus. Tällöin tunnus pystytään edes välillisesti yhdistämään henkilöön ja hetuun, mikä helpottaa salasanan resetoinnissa manuaalisena palveluna.

Hallintaoikeus (admin-tunnus) yliopiston työasemalle

Oman koneen hallintaoikeuden hakeminen: https://elomake.helsinki.fi/lomakkeet/42471/lomake.html

Tätä tarvitset, jos sinulla on HY:n ylläpitämä työasema ja sinun täytyy saada normaalia järeämmät valtuudet mm. asentaa ohjelmistoja ja säätää koneen asetuksia.