Allgemeines

Ein KIT-Service-Konto (auch KIT-Service-Account) ermöglicht es, Dienste in einer IT-Umgebung einer OE mittels eines eigenen Accounts zu etablieren. Damit gilt ein Service-Konto nicht als „persönliches Konto“, wird aber in jedem Fall sowohl einer Organisationseinheit als auch einem verantwortlichen Besitzer zugeordnet.

Diese Konten sind erforderlich, wenn z.B. zentrale Dienste des SCC genutzt werden sollen, etwa wenn ein Scanner automatisiert Dokumente in einen Ordner auf den zentralen Fileservern des SCC speichern soll.

Es wird empfohlen, für jeden Dienst ein eigenes Service-Konto einzurichten.

Ein solches Konto kann später nicht umbenannt werden, bitte veranlassen Sie stattdessen die Einrichtung eines neuen Kontos und stellen Sie dann den Dienst um.

Allgemeiner Fall

Alle Servicekonten erhalten einen Eintrag in den zentralen Verzeichnisdiensten des KIT. Die Einrichtung von Ressourcen für dieses Konto muss separat beauftragt werden, z.B. Datenbanken o.ä. Die Verwaltung des Kontos, z. B. die Änderung des Besitzers, Änderung der Beschreibung, Deaktivierung, Vergabe von Berechtigungen in der Gruppenverwaltung, erfolgt durch die zuständigen ITB der OE.

Namenskonvention

Aus technischen Gründen ist die Länge des Namens auf 20 Zeichen beschränkt. Ursprünglich wurden Servicekonten mit dem Kürzel der Organisationseinheit als Präfix sowie einer vierstelligen laufenden Nummer als Suffix angelegt, um die Zuordnung zu vereinfachen,  z.B. „OE-Scanner-0001“

Inzwischen werden Servicekonten einheitlich mit dem Präfix "svc" als Präfix angelegt, im Gegenzug wird das Suffix auf fünf Ziffern verlängert. Ein Beispiel nach neuer Konvention ist also z.B. "svc-Scanner-00001". Die Zuordnung zur Organisationseinheit wird dabei in den Verzeichnisdiensten über das übliche Abteilungsattribut gewährleistet. Neben einer eigenen unixUidNumber erhält jedes Konto auch eine eigene Gruppe nach Schema "Kontoname-g", im Beispiel also „svc-Scanner-00001-g“ mit eigener unixGidNumber und wird nicht automatisch den OE-Gruppen zugeordnet. Diese Änderungen verbessern die Sicherheit und ermöglicht insbesondere einen einfachen Wechsel des Kontos zwischen verschiedenen Organisationseinheiten, etwa bei Umbenennung der Organisationseinheiten oder bei Änderungen der Zuständigkeit.

Einrichtung/Beauftragung

Beantragung mittels einer Mail an den Service-Desk des SCC. ITB können ein Service-Konto direkt mittels Antragsformular beantragen.

Es sind folgende Angaben nötig: OE-Kürzel, Dienstname, verantwortlicher Besitzer des Kontos, KIT-Login des ITB der OE (d.h. des Beantragenden), Kurzbeschreibung des Dienstes, der unter diesem Account etabliert werden soll, z.B. „Dienstkonto für Faxserver“ oder „Netzwerkscanner“ ...

Nach Eintragung des Service-Kontos erhält die ITB-Verteilerliste der beantragenden OE eine E-Mail mit den wichtigen Parametern des Kontos und wie z. B. das Passwort geändert werden kann.

Abmeldung

Über die ITB der jeweiligen Organisationeinheit in der zentralen Gruppen- und Benutzerverwaltung oder per Ticket Antragsformular an den Service-Desk des SCC, dieser sperrt dann das entsprechende Konto.

Sonderfälle

Service-Konten für Webauftritte (Web-Service-Konten)

Für Webauftritte, die auf den zentralen Webservern des KIT betrieben werden, beispielsweise bei Nutzung von OpenText, ist ein Service-Konto für den Betrieb zwingend erforderlich und gilt als Bestandteil des Dienstes.

Daher gehen Einrichtung und Außerbetriebnahme des Web-Service-Kontos einher mit der Einrichtung und Außerbetriebnahme des Dienstes.

Jedem Web-Service-Konto wird eine Account-verantwortliche Person zugeordnet, die vom ServiceDesk oder dem zuständigen ITB in der Benutzer-/Gruppenverwaltung geändert werden kann.

Bei der Nutzung des Formulars „Antrag für virtuelle Webserver“ wird automatisch auch ein Web-Service-Konto eingerichtet, eigenständig kann ein solches Konto nicht beauftragt werden.

Eine spezielle Abmeldung eines Web-Service-Kontos ist nicht möglich, ohne gleichzeitig den von diesem Konto bereitgestellten Web-Auftritt außer Betrieb zu nehmen. Bitte nehmen Sie daher zunächst Kontakt zu webmaster@kit.edu auf, um den Dienst mitsamt zugehörigem Konto zu kündigen.

Enthaltene Leistungen

Eintrag als eigenes Konto im KIT-AD und KIT-LDAP mit eigener User-ID (unixUidNumber) und der entsprechenden unixGidNumber. Das Konto wird der globalen AD-Gruppe "Domain Users" hinzugefügt.

Nicht enthaltene Leistungen

Keine Verwaltung des Kontos, d. h. keine Anpassungen des "neutralen" Kontos durch SCC, hierfür ist der ITB der Organisationseinheit verantwortlich. Mit diesem Konto ist keine KIT.edu-E-Mail-Adresse / kein KIT-E-Mail-Postfach verbunden.

Organisatorische Voraussetzungen

Beantragende Person muss ITB der beantragenden OE sein.

Es muss eine verantwortliche Person (Besitzer, Owner) für das Konto definiert sein. Diese Person soll gewährleisten, dass das Servicekonto deaktiviert wird, sobald der ursprünglich damit verbundene Dienst wieder eingestellt wird. Weiterhin ist zu gewährleisten, dass das Konto nicht für andere Zwecke eingesetzt wird, das keine regelmäßige interaktive Nutzung erfolgt und das bekannt ist, wer genau über die Zugangsdaten für das Servicekonto verfügt. Bei Änderung der Zuständigkeit ist die Übergabe an eine neue verantwortliche Person sicherzustellen.

Technische Voraussetzungen

OE muss als organisatorische Einheit auch im Active-Directory zur Verfügung stehen.