Objekter - innholdet i katalogen - Universitetet i Oslo

Indekser vs. uindekserte søk
Max-grenser
Aksessbegrensninger

Indekser vs. uindekserte søk

Bare enkelte utvalgte attributter er indeksert slik at man kan søke etter dem. Søkefiltre kan gjerne sjekke andre attributter i tillegg (med noen unntak), men søket vil feile hvis indeksene ikke kutter ned antall søkeresultater tilstrekkelig. Søk med scope=base, altså direkte oppslag av et navngitt objekt, trenger ikke indekser. Kontakt katalog-drift@usit.uio.no hvis en ny indeks trengs.

Vi har to typer indekser: Equality for søk etter "(attributt=komplett verdi)" og Substring for søk som "(attributt=*verd*i*)".

Merk at i Substring-søk indekseres bare substrings med 3 eller flere bytes, eller 2 bytes for substrings som ikke har "*" på begge sider. Det er ingen tilsvarende begrensning på Equality-søk.

Max-grenser

Et søk kan ikke returnere mer enn 50 objekter, eller 1 enkelt objekt under "services" og "mail" trærne. Grensen på 50 er satt høyere for enkelte tjenester som bruker katalogen.

Søk som tar mer enn 15 sekunder vil normalt feile.

Aksess-begrensninger

Begrensninger på trær:

Trærne under cn=mail,... er bare synlige fra utvalgte maskiner.
Trærne under cn=system,... kan bare leses fra UiO-adresser (129.240.*.*).

Begrensninger på attributter:

userPassword er usynlig, det kan bare brukes til autentisering.
sambaNTPassword og sambaSID kan bare brukes av enkelte tjenester.
norEduPersonBirthDate og norEduPersonNIN under cn=people,... er usynlige for andre enn eieren.
Man kan ikke søke etter title under cn=people,... eller cn under cn=users,...

Annet:

Man kan bare autentisere over forbindelser kryptert med TLS/SSL. Ukrypterte forbindelser må dermed være anonyme.
Mange person-objekter er beskyttet slik at bare eieren kan lese dem. Fastlønnede er synlige hvis de ikke har reservert seg, studenter og andre hvis de har gitt tillatelse til å vises.
Bruker-objekter er leselige i katalogen uansett om personen som eier brukeren har reservert seg eller ikke. I fremtiden kommer det til å endres, enten slik at brukerne til reserverte personer ikke er leselige for andre, eller slik at ingen bruker-objekter er leselige for andre.
Brukere (under "system"-treet) kan foreløpig autentisere seg fra adresser utenfor UiO, men vi håper å kunne legge ned støtte for det etterhvert. Derimot kan man alltid autentisere seg som personer (under people-treet).