Vraag Praktische tips in gebruikersnaam Normen: problemen vermijden


Ik ben geïnteresseerd in wat de ervaringen van mensen met standaardgebruikersnamen zijn. Ik ben altijd op plaatsen geweest die ik heb gebruikt {FirstInitial} {achternaam} (soms met een lengte-limiet). Nu heb ik gebruikers die willen {voornaam Achternaam} - en nu komt naar voren dat de periode problemen kan veroorzaken.

Concreet:

  • Wat is de beste limiet voor gebruikersnaamlengte om te gebruiken om de compatibiliteit voor alle gebruik te behouden?
  • Welke personages moeten worden vermeden?

BIJWERKEN: De reden dat ik geen bijzonderheden heb vermeld, is dat ik algemeen genoeg wilde zijn om alles te behandelen dat in de toekomst zou kunnen verschijnen. Dat kan echter te algemeen zijn van een vereiste (alles kan gebeuren, toch?).

Dit is onze omgeving: Ubuntu Server Lucid Lynx 10.04 LTS, Red Hat Enterprise Linux 5.6 en hoger, Windows Server 2003 en Windows 2000 Server (met Active Directory in de native modus van Windows 2000), Zimbra 7.x voor e-mail en OpenLDAP in de buurt toekomst.

BIJWERKEN: Ik moet vermelden (voor de volledigheid) die ik zag deze vraag (hoewel het mijn gestelde vraag niet beantwoordde) en ook dit webpost, die beide zeer informatief waren.


55
2018-01-11 16:30


oorsprong


U hebt het besturingssysteem / de applicatie niet genoemd. Wilt u het te algemeen maken om op een OS / app te worden toegepast? - Khaled
Ons bedrijf van 80.000 gebruikte de standaard van {firstInitial} {lastname} voor login en e-mailadres. We veranderden dingen na een boze oproep van meneer Thomas Watts wiens e-mail werd geblokkeerd door onze firewall. Heb genoeg mensen en er zal een probleem zijn. - MaskedPlant
@MaskedPlant: ik hou van grappige gebruikersnamen. We hadden ooit een klant die een IBM RACFID-standaard gebruikte van "eerste vier karakters van achternaam, eerste initiaal, middelste initiaal". "Susan Penington" was hier niet blij mee, zoals je je kunt voorstellen. Noch was "Mary Utt" blij met de eerste voornaam / achternaam op een andere site ...> glimlach < - Evan Anderson
{first initial} {achternaam} lijkt de meest voorkomende en is relatief veilig voor kleine en middelgrote bedrijven. Maakt het de verkoopafdeling veel gemakkelijker om een ​​gemeenschappelijke conventie te hebben bij het voeren van die telefoontjes en het praten met B2B. - Chad Harrison
Ik moet denken aan een Dilbert-strip: search.dilbert.com/comic/Utthead - KeithS


antwoorden:


Dit is een chronisch probleem met grote Identity Management-systemen die proberen heterogene systemen aan elkaar te lijmen. Steevast blijft u beperkt tot de kleinste gemene deler, die maar al te vaak een ASCII-alfanumerieke limiet van acht tekens heeft, dankzij een (waarschijnlijk legacy) Unix-achtig systeem ergens in de ingewanden van het datacenter. Die mooie moderne systemen kunnen willekeurige lengte aannemen. UTF8-gebruikersnamen zullen waarschijnlijk niet wennen.

Ik heb 7 jaar doorgebracht in een instelling voor hoger onderwijs, waar we elk jaar voor 5000 nieuwe studenten 8-karakterige gebruikersnamen moesten berekenen. We hadden tegen de tijd dat ik wegging vijftien jaar lang unieke namen kunnen bedenken. Dit kan gedaan worden, Mr. Smitj510

Dingen die je leven oneindig veel gemakkelijker zullen maken:

  • Zoek uit wat uw kleinste gemene deler is, waarvoor elk onderdeel van uw identiteitsbeheersysteem moet worden geanalyseerd om te achterhalen wat de limieten zijn.
    • Dat oude Solaris 7-systeem dwingt de limiet van acht tekens.
    • Kritieke toepassingen die identiteitsgegevens gebruiken, hebben hun eigen limieten die u moet overwegen.
      • Misschien verwachten ze dat gebruikersgegevens van LDAP voldoen aan een uniek-naar-hen 'standaard'.
      • Misschien kan de authenticatiedatabase die ze gebruiken alleen bepaalde opgemaakte gegevens verwerken.
  • Zorg voor een databasetabel met een lijst van de One True Identifier (die accountnaam met 8 tekens), met links / velden met alternatieve ID's zoals firstname.lastname of iets anders dat zou kunnen opduiken.
    • Kant-en-klare software kan sommige echt rare en IDM-onvriendelijke dingen doen, zoals een numerieke ID gebruiken voor de accountnaam, of automatisch account-ID's genereren op basis van profielgegevens. Dat gaat ook allemaal in de databasetabel.
    • Dit helpt ook mensen met niet-[a-z | 0-9] karakters in hun naam zoals Harry O'Neil, of niet-ASCII-personages zoals Alžbêta.
  • Wanneer u uw accountsynchronisatieprocessen bouwt, kunt u die databasetabel gebruiken om ervoor te zorgen dat de juiste accounts de juiste updates ontvangen. Wanneer namen veranderen (huwelijk, echtscheiding, anderen), wilt u dat die wijzigingen zich op de juiste plaatsen verspreiden.
    • Configureer de eigenlijke identiteitsdatabases zelf om lokale wijzigingen waar mogelijk te voorkomen, en het bedrijfsproces om dat sterk te ontmoedigen als het niet mogelijk is. Vertrouw op het centrale account-synchronisatieproces voor alles wat je kunt.
  • Maak gebruik van alias-systemen waar u maar kunt, zoals in e-mail.
  • Beschouw de 8-char ID als onveranderlijk, aangezien het veranderen van dat veld een heleboel hartklachten kan veroorzaken bij IT-personeel omdat accounts opnieuw moeten worden aangemaakt.
    • Dit suggereert een account-ID niet afgeleid van naamgegevens, aangezien een huwelijk / echtscheiding / rechterlijk bevel de naamgegevens in de loop van de tijd kan wijzigen.
  • Houd een systeem bij voor uitzonderingen, want er zullen er altijd een paar zijn.
    • Verschrikkelijke echtscheiding en die door naamgegevens gegenereerde acht-voudige UID brengt telkens als je het moet invoeren dwaze herinneringen met zich mee? Wees aardig voor je gebruikers en laat een mechanisme toe voor deze veranderingen, maar houd het stil.
  • Doe wat je kunt om inloggen met meerdere gebruikers toe te staan ​​in de systemen waar dat een optie is
    • Sommige mensen houden van hun uid met 8 tekens, anderen zoals voornaam.achternaam@voorbeeld.com. Wees flexibel, maak vrienden.
    • Soms vereist dit fronting uw web-gebaseerde systemen met een  raamwerk zoals CAS. Je zult er versteld van staan ​​hoeveel systemen die niet op de plank staan ​​SSO-kaders zoals deze kunnen ondersteunen, dus wees niet ontmoedigd.

Dat wil zeggen, behandel het als een databaseprobleem, want dat is het. Kies een primaire sleutel voor maximale compatibiliteit met uw systemen (waarschijnlijk 8 tekens), bouw een opzoektabel zodat systemen lokale ID's kunnen vertalen naar de primaire sleutel en stel uw gegevenssynchronisatiesystemen samen om verschillende ID's te verwerken.


62
2018-01-11 19:41



Fantastisch en goed geschreven (en verhelderend) antwoord! - Mei
+1 Voor het niet afleiden van gebruikersnamen uit naamgegevens. Het moet irritant zijn om thuismappen te hernoemen vanwege een huwelijk / echtscheiding. Uw verklaring over 'vreemde karakters' doet me denken aan Little Bobby Tables en de conciërge van mijn oude High School, die er ongetwijfeld problemen mee heeft om dingen online te kopen, Mr. Robert Null (ik maak je geen grapje). - Evan Anderson
Ik hou van het "Heb een systeem op zijn plaats voor uitzonderingen, want er zullen er altijd een paar zijn". een deel. Dit is absoluut heel waar. Hoewel ik niet zie hoe smithj510 maakt geweldig acht karakter gebruikersnaam;) - scherand
+1 voor het behandelen van huwelijk en echtscheiding. Dit heeft zoveel problemen veroorzaakt. Veel bedrijven gedragen zich alsof de werknemer de eerste is die zijn naam moet wijzigen. - mhoran_psprep
@mhoran_psprep En als je groot genoeg bent, krijg je iemand die legaal doet eerste naam verandering. Veel systemen die zijn ingesteld voor wijzigingen in de achternaam keren in dat geval door. - sysadmin1138♦


Uw vragen specifiek:

  • Wat is de beste limiet voor gebruikersnaamlengte om te gebruiken om de compatibiliteit voor alle gebruik te behouden?

Zoiets bestaat niet. Er zijn alleen 'uw' gebruiken, waaronder uw toekomstige gebruik. We hebben geen idee wat dat zijn.

  • Welke personages moeten worden vermeden?

Dit is afhankelijk van de computersystemen waarmee u te maken hebt. Windows heeft bijvoorbeeld geen problemen met een punt in de gebruikersnaam. In feite is de UPN geformatteerd als een e-mailadres, dat een periode toestaat.

Mijn verdere gedachten:

  • Laat uw gebruikers het niet vragen - vertel hen wat de norm is, en sta open voor het bedrijf (niet voor individuele gebruikers) dat u wijzigingen in de norm aanvraagt ​​wanneer de vereisten veranderen.
  • Maak een "uitzonderingsbeleid" in de standaard, zodat je arme Susan Penington en Mary Utt kunt helpen (uit bovenstaande opmerkingen) zonder een vice-president te hoeven betrekken. Laat IT er goed uitzien, toch?

24
2018-01-11 16:40



Die laatste opmerking is een +50 waard :) - Mei
Het is van cruciaal belang om verstandige uitzonderingen te bedenken. We hebben in de loop der jaren veel uitzonderingen gehad: meerdere gebruikers met dezelfde voor- en achternaam, gebruikers met zeer lange voornamen, gebruikers van wie de voor- en achternaam hetzelfde waren, gebruikers die vanuit China kwamen en HR kregen hun naam volledig gecodeerd, iemand wiens naam werd gespeld als 'Raymond Luxury-Yacht', maar werd uitgesproken als 'Throatwobbler Mangrove' ... - Ward♦
BobHope, BobHope01, BobHope3, BobHopeAccounting, BobHopeHartford - mfinni
Ja voor de uitzondering! Sommige landen in Afrika kennen niet eens het concept van een 'voornaam' en 'achternaam': de voornaam van de vader wordt de achternaam van de zoon en de zoon krijgt een nieuwe voornaam ... - Konerak
Ik zou aanraden verder te gaan dan alleen een uitzonderingsbeleid te hebben en gebruikers te identificeren die er waarschijnlijk van zouden profiteren bij het maken van de initiële accounttijd. "Mijn gebruikersnaam is vreselijk" zou niet iets moeten zijn dat een nieuwe verhuurder op zijn eerste dag zou moeten bedenken. Een uitleg van het standaardbeleid in combinatie met de erkenning dat het misschien niet geschikt is voor een persoon samen met een voorgesteld alternatief, is veel minder stressvol. Eventueel zelfs contactgegevens van HR zodat je het probleem voor de eerste dag kunt oplossen. - Dan Neely


Mijn ervaring is dat, voor een voldoende grote onderneming, elke beslissing altijd problemen zal hebben. Zelfs als het vandaag werkt, is er altijd het systeem dat u morgen implementeert dat problemen heeft met de vorige standaard (lengte problemen, karakterproblemen, enz.).

Controleer of de push voor Firstname.Lastname betrekking heeft op e-mail en niet noodzakelijk op inlognamen. Ik zou het moeilijk vinden om te geloven dat de gebruiker "John.Smith" in plaats van "jsmith" wil typen bij het inloggen, maar ik ben veel meer verkocht op het idee dat hij "John.Smith@company.com "als zijn e-mailadres. Zoals @Mfinni opmerkt, is er altijd de mogelijkheid voor gebruikers om mutliple e-mailaliassen, forwards, enz. Te hebben. Als gebruikers gewoon laten weten dat de optie bestaat om hun gebruikersnaam van hun e-mailadres te ontkoppelen, kan de dynamiek van het verzoek veranderen.


19
2018-01-11 16:37



En het is niet zo dat gebruikers slechts één e-mailadres kunnen hebben. Er zijn altijd aliassen en doorsturen. - mfinni
Onze gebruikers UPN's en primaire e-mailadressen zijn te allen tijde identiek, dus we vertellen onze gebruikers eenvoudigweg om zich aan te melden met hun e-mailadres, waar ze ook proberen in te loggen. Werkt prima omdat we geen oude software hebben die afhankelijk is van netbios. - pauska
Mijn ervaring is dat, voor een voldoende grote onderneming, elke beslissing altijd problemen zal hebben. Zelfs als het vandaag werkt, is er altijd een systeem dat je morgen implementeert met problemen. "- Kunnen we deze wet van Anderson noemen? - Freiheit
@Freiheit: mijn verklaring verdient geen eigen naam ...> smile <Het wordt eigenlijk alleen veroorzaakt door de algemene toepassing van Murphy's Law to IT. Murphy levens in het... - Evan Anderson
Ik wou dat ik Community Wiki deze nu niet had ...> lach < - Evan Anderson


Voor Unix- en Linux-systemen is {firstInitial} {lastname} duidelijk ideaal.

...

om redenen die duidelijk moeten zijn uit de naam die aan dit account is gekoppeld.


13
2018-01-12 10:30



Ik ben het niet oneens, maar kun je uitleggen waarom je dit zegt? - mfinni
Sterker nog, ik ben het daar niet mee eens. Op de AIX-systemen bij mijn laatste baan waren we beperkt tot 8 tekens. Dus, mfinnigan zou onmogelijk zijn geweest; Ik moest mfinniga zijn. Dus alsjeblieft, breid je antwoord een beetje uit. - mfinni
Dit is een subjectief antwoord zonder uitleg. Je zou net zo goed kunnen zeggen dat, voor UNIX, {FirstInitial} {middelsteInitiaal} {lastInitial} is "ideaal" omdat UNIX daarmee begon en zo was het al jaren (totdat bedrijven met duizenden werknemers met gebruikersnamen het gingen gebruiken ...). - Mei
Ik denk dat het een grap is. Zijn naam zou "root" zijn, een belangrijke gebruiker op Unix-systemen. - Jeffrey
... R obert oot... ouch! GRAPPIG! Ik weet niet hoe ik het heb gemist. - Mei


Een ding om op te letten bij het instellen van naamgevingsstandaarden op verschillende platforms is een specifiek cosmetisch probleem in ps in Linux (en mogelijk andere Unix-besturingssystemen). Je kunt hier misschien wel of geen rekening mee houden (maar het kan alarmerend zijn voor iemand die het niet verwacht ... Ik heb veiligheidsproblemen gehad met deze).

In de kolom UID worden maximaal 8 tekens van een gebruikersnaam weergegeven. Als de gebruikersnaam langer is dan 8 tekens, schakelt deze over naar het afdrukken van de feitelijke numerieke UID. U KUNT dit oplossen door een aangepast ps-kolomindeling te hebben die het GEBRUIKER-veld bevat, maar ALLEEN als GEBRUIKER de laatste kolom is (uit mijn empirische testen).

De meeste mensen geven er waarschijnlijk niet om, maar als je een soort verwerking van ps-uitvoer doet en verwacht dat de echte gebruikersnamen verschijnen, moet je voorzichtig zijn met je naamlengtes (anders plaats je hacks in je code om ps het goede te laten doen).

Bijvoorbeeld:

Dit is de standaard kolomindeling voor de vermelding op volledig formaat. Houd er rekening mee dat mijn uid in numerieke indeling is, omdat mijn gebruikersnaam> 8 tekens is.

[tcampbell@tst-agg1 ~]$ ps -f
  UID        PID  PPID  C STIME TTY          TIME CMD
 2108      1368  1367  0 Jan10 pts/3    00:00:00 -bash
 2108     22303  1368  0 12:07 pts/3    00:00:00 ps -f

Laten we het opnieuw maken met behulp van een aangepaste kolomindeling. Merk op dat ik de USER-kolom heb toegevoegd. Merk op dat het ook in numeriek formaat is.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd    
  UID USER      C STIME TT           TIME CMD
 2108 2108      0 Jan10 pts/3    00:00:00 -bash
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty,time,cmd

Laten we USER naar het einde van de regel verplaatsen. Het wordt uitgebreid naar de "juiste" uitvoer.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd,user
  UID USER      C STIME TT           TIME CMD                         USER
 2108 2108      0 Jan10 pts/3    00:00:00 -bash                       tcampbell
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty, tcampbell

Maar zodra we iets nieuws toevoegen aan het einde van de kolomlijst, keert het terug naar de numerieke vorm.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd,user,pid
  UID USER      C STIME TT           TIME CMD                         USER       PID
 2108 2108      0 Jan10 pts/3    00:00:00 -bash                       2108      1368
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty, 2108     21756

7
2018-01-11 18:12



Op welk besturingssysteem is dit van toepassing? - mfinni
Interessant! Ik heb me altijd afgevraagd - waarom nummers werden gebruikt. De last opdracht heeft een gerelateerd probleem: het kapt zijn records af tot 8 tekens. - Mei
Bewerkt om te laten zien dat ik het over Linux had. Ik weet niet hoe dat voorbij is gegaan in mijn originele bewerkingen. - Travis Campbell


[sommige letters van voornaam] [enkele letters van achternaam] [nnn]

foreg: Als naam Bill Gates is, kun je ' biga00 of bilgat000

als de volgende rekeningpoorten komen, zal het 'biga01' of bilgat001 'voor hem zijn


-1
2018-01-12 12:27





Welnu, vanuit een oogpunt van Operations, Administration en Maintenance (OAM) moet de gebruikersnaam gemakkelijk worden onderscheiden. Vanuit zakelijk oogpunt moet de gebruikersnaam (a / k / a e-mailalias) echter gemakkelijk door anderen worden onthouden of worden opgeroepen.

Het kan zijn als:

  • first.last.index@domain
  • eerste (initiële) .last.index @ domein

-1
2018-01-12 06:42