Best practice negli standard dei nomi utente: evitare problemi

59

Sono interessato a scoprire quali sono le esperienze delle persone con nomi utente standard. Sono sempre stato in luoghi che hanno usato {firstInitial} {lastname} (a volte con un limite di lunghezza). Ora ho utenti che vogliono {firstname}. {Lastname} - e ora viene fuori che il periodo può causare problemi.

In particolare:

  • Qual è il limite di lunghezza del nome utente migliore da utilizzare per mantenere la compatibilità per tutti gli usi?
  • Quali personaggi dovrebbero essere evitati?

AGGIORNAMENTO: Il motivo per cui non ho menzionato i dettagli è che volevo essere abbastanza generale da gestire qualsiasi cosa potesse emergere in futuro. Tuttavia, questo potrebbe essere un requisito troppo generale (tutto può succedere, giusto?).

Questo è il nostro ambiente: Ubuntu Server Lucid Lynx 10.04 LTS, Red Hat Enterprise Linux 5.6 e versioni successive, Windows Server 2003 e Windows 2000 Server (con Active Directory in modalità nativa di Windows 2000), Zimbra 7.x per la posta e OpenLDAP nel vicino futuro.

AGGIORNAMENTO: dovrei menzionare (per completezza) che ho visto questa domanda (anche se non ha risposto alla mia domanda posta) e anche questo post sul web , entrambi molto istruttivi.

user-accounts  best-practices 
Mei
fonte
4
Non hai menzionato il sistema operativo / l'applicazione. Vuoi renderlo troppo generico per essere applicato a qualsiasi sistema operativo / app?
Khaled,
13
La nostra società di 80.000 utenti ha utilizzato lo standard di {firstInitial} {lastname} per l'accesso e l'indirizzo e-mail. Abbiamo cambiato le cose dopo una telefonata rabbiosa da parte del signor Thomas Watts la cui posta elettronica veniva bloccata dal nostro firewall. Avere abbastanza persone e ci sarà un problema.
MaskedPlant l'
13
@MaskedPlant: adoro nomi utente divertenti. Una volta avevamo un cliente che utilizzava uno standard IBM RACFID di "primi quattro caratteri con cognome, prima iniziale, seconda metà". "Susan Penington" non era contento di questo, come puoi immaginare. Né "Mary Utt" era contenta del primo nome / cognome in un altro sito ...> smile <
Evan Anderson,
4
{first iniziale} {cognome} sembra essere il più comune ed è relativamente sicuro per i biz piccoli e medi. Rende il reparto vendite molto più facile avere una convenzione comune quando si effettuano quelle telefonate e si parla B2B.
Chad Harrison,
2
Mi viene in mente una striscia di Dilbert: search.dilbert.com/comic/Utthead
KeithS

Risposte:

65

Questo è un problema cronico con grandi sistemi di Identity Management che tentano di incollare sistemi eterogenei. Invariabilmente, sarai limitato al minimo comune denominatore, che troppo spesso è un limite ASCII alfa-numerico di 8 caratteri grazie ad un sistema (probabilmente legacy) simile a Unix da qualche parte nelle viscere del datacenter. Quei sistemi moderni fantasiosi possono impiegare una lunghezza arbitraria che è improbabile che vengano utilizzati nomi utente UTF8.

Ho trascorso 7 anni in un istituto di istruzione superiore dove dovevamo capire ogni anno nomi utente di 8 caratteri per 5000 nuovi studenti. Al momento della mia partenza, eravamo riusciti a trovare nomi univoci per 15 anni di studenti. Questo può essere fatto, signor smitj510

Cose che renderanno la tua vita incredibilmente più semplice:

  • Scopri qual è il tuo minimo comune denominatore, che richiede l'analisi di ogni parte del tuo sistema di gestione delle identità per scoprire quali sono i limiti.
    • Quel vecchio sistema Solaris 7 sta forzando il limite di 8 caratteri.
    • Le applicazioni critiche che utilizzano i dati di identità hanno i loro limiti che dovrai considerare.
      • Forse si aspettano che i dati degli utenti da LDAP siano conformi a uno "standard" unico per loro.
      • Forse il database di autenticazione che usano può gestire solo determinati dati formattati.
  • Avere una tabella di database con un elenco di One True Identifier (quel nome account di 8 caratteri), con collegamenti / campi che elencano ID simili come firstname.lastnameo qualsiasi altra cosa che potrebbe venire fuori.
    • Il software standard può fare alcune cose davvero strane e ostili all'IDM come usare un ID numerico per il nome dell'account o generare automaticamente ID account in base ai dati del profilo. Tutto ciò va anche nella tabella del database.
    • Questo aiuta anche le persone con caratteri non [az | 0-9] nei loro nomi come Harry O'Neil o quelli non ASCII come Alžbêta.
  • Quando si creano i processi di sincronizzazione degli account, sfruttare quella tabella del database per assicurarsi che gli account giusti ottengano gli aggiornamenti giusti. Quando i nomi cambiano (matrimonio, divorzio, altri) vuoi che questi cambiamenti si propaghino nei posti giusti.
    • Configurare gli stessi database di identità effettivi per impedire cambiamenti locali ove possibile e processi aziendali per scoraggiarli fortemente quando ciò non è possibile. Affidati al processo di sincronizzazione dell'account centrale per tutto ciò che puoi.
  • Sfrutta i sistemi alias ovunque tu sia, ad esempio via e-mail.
  • Considera immutabile l'ID a 8 caratteri, poiché la modifica di quel campo può causare MOLTO dolore al personale IT poiché gli account devono essere ricreati.
    • Ciò suggerisce un ID account non derivato dai dati del nome, poiché il matrimonio / divorzio / ordine del tribunale può modificare i dati del nome nel tempo.
  • Predisporre un sistema per le eccezioni, poiché ce ne saranno sempre alcune.
    • Il divorzio orribile e che i dati dei nomi generati da UID a 8 caratteri portano ricordi sconvolgenti ogni volta che devi accedervi? Sii gentile con i tuoi utenti e consenti un meccanismo per queste modifiche, ma tieni il silenzio.
  • Fai il possibile per consentire l'accesso con più nomi utente nei sistemi in cui è presente un'opzione
    • Ad alcune persone piace il loro uid di 8 caratteri, ad altri piace firstname.lastname@example.com. Sii flessibile, fai amicizia.
    • A volte questo richiede il fronting dei sistemi basati sul Web con un framework single sign-on come CAS . Rimarrai sorpreso da quanti sistemi standardizzati possono supportare framework SSO come questo, quindi non scoraggiarti.

Vale a dire, trattalo come un problema di banca dati perché è quello che è. Scegli una chiave primaria per la massima compatibilità con i tuoi sistemi (probabilmente 8 caratteri), crea una tabella di ricerca per consentire ai sistemi di tradurre gli ID locali nella chiave primaria e progetta i tuoi sistemi di sincronizzazione dei dati per gestire vari ID.

sysadmin1138
fonte
4
Risposta fantastica e ben scritta (e illuminante)!
Mei,
12
+1 Per non derivare nomi utente dai dati del nome. Dover rinominare le home directory a causa del matrimonio / divorzio è irritante. La tua affermazione sui "personaggi strani" mi fa pensare ai tavolini Bobby e al bidello della mia vecchia scuola superiore, che sono sicuro che abbia problemi ad acquistare cose online, signor Robert Null (non ti scherzo).
Evan Anderson,
Mi piace il "Avere un sistema in atto per le eccezioni, poiché ce ne saranno sempre alcuni". parte. Questo è sicuramente vero. Anche se non vedo come sia smithj510un ottimo nome utente di otto caratteri;)
scherand
2
+1 per affrontare il matrimonio e il divorzio. Ciò ha causato così tanti problemi. Molte aziende si comportano come se il dipendente fosse il primo a dover cambiare nome.
mhoran_psprep,
5
@mhoran_psprep E se sei abbastanza grande, si sta andando ad ottenere qualcuno che fa un legale prima cambio di nome. In tal caso, molti sistemi impostati per le modifiche del cognome si rompono.
sysadmin1138
26

Le tue domande in particolare:

  • Qual è il limite di lunghezza del nome utente migliore da utilizzare per mantenere la compatibilità per tutti gli usi?

Non esiste una cosa del genere. Esistono solo i "tuoi" usi, che possono includere i tuoi usi futuri. Non abbiamo idea di cosa siano.

  • Quali personaggi dovrebbero essere evitati?

Ciò dipenderà dai sistemi informatici con cui hai a che fare. Windows, ad esempio, non ha problemi con un punto nel nome utente. In effetti, l'UPN è formattato come un indirizzo e-mail, che consente un punto.

I miei ulteriori pensieri:

  • Non lasciare che i tuoi utenti chiedano: dì loro qual è lo standard e sii aperto al business (non ai singoli utenti) richiedendo modifiche allo standard quando cambiano i requisiti.
  • Stabilisci una "politica di eccezione" nello standard, in modo da poter aiutare la povera Susan Penington e Mary Utt (dai commenti sopra) senza dover coinvolgere un vicepresidente. Rendi l'IT bello, vero?
mfinni
fonte
15
L'ultimo commento vale +50 :)
Mei,
2
È fondamentale trovare eccezioni sensate. Abbiamo avuto molte eccezioni nel corso degli anni: più utenti con lo stesso nome iniziale e cognome, utenti con cognomi molto lunghi, utenti il ​​cui nome e cognome erano gli stessi, gli utenti che visitavano la Cina e le risorse umane avevano il loro nome completamente confuso, qualcuno il cui nome era scritto "Raymond Luxury-Yacht", ma pronunciava "Throatwobbler Mangrove" ...
Ward
BobHope, BobHope01, BobHope3, BobHopeAccounting, BobHopeHartford
mfinni
2
Sì per l'eccezione! Alcuni paesi in Africa non conoscono nemmeno il concetto di "nome" e "cognome": il nome del padre diventa il cognome del figlio e il figlio ottiene un nuovo nome ...
Konerak,
2
Consiglierei di andare oltre il semplice fatto di avere una politica di eccezione e di identificare gli utenti che probabilmente ne trarrebbero vantaggio al momento della creazione dell'account iniziale. "Il mio nome utente è orribile" non dovrebbe essere qualcosa di cui un nuovo assunto dovrebbe preoccuparsi il primo giorno. Una spiegazione della politica standard unita al riconoscere che potrebbe non essere adatto a un individuo insieme a un'alternativa suggerita è molto meno stressante. Forse anche ottenere informazioni di contatto da risorse umane in modo da poter risolvere il problema prima del loro primo giorno.
Dan Neely,
20

La mia esperienza è stata che, per un'azienda sufficientemente grande, qualsiasi decisione presa avrà sempre problemi. Anche se funziona oggi, c'è sempre il sistema che implementerai domani che ha problemi con lo standard precedente (problemi di lunghezza, problemi di carattere, ecc.).

Assicurati di scoprire se il push per Firstname. Lastname si riferisce all'email e non necessariamente ai nomi di accesso. Troverei difficile credere che l'utente voglia digitare "John.Smith" invece di "jsmith" quando accede, ma sono molto più venduto all'idea che vuole "John.Smith@company.com "come il suo indirizzo email. Come sottolinea @Mfinni, c'è sempre la possibilità per gli utenti di avere alias e-mail multipli, forward, ecc. Solo far sapere agli utenti che esiste l'opzione per disaccoppiare il loro nome utente dal loro indirizzo e-mail può cambiare la dinamica della richiesta.

Evan Anderson
fonte
1
E non è che gli utenti possano avere un solo indirizzo email. Ci sono sempre alias e inoltri.
mfinni,
3
Gli utenti UPN e gli indirizzi e-mail primari sono sempre identici, quindi diciamo semplicemente ai nostri utenti di accedere con il loro indirizzo e-mail ovunque provino ad accedere. Funziona alla grande poiché non abbiamo alcun vecchio software su cui fare affidamento NetBIOS.
pauska,
La mia esperienza è stata che, per un'azienda sufficientemente grande, qualsiasi decisione presa avrà sempre problemi. Anche se funziona oggi, c'è sempre il sistema che implementerai domani che ha problemi. "- Possiamo chiamare questa legge di Anderson?
Freiheit,
@Freiheit: La mia affermazione non merita il proprio nome ...> smile <È davvero solo causata dall'applicazione generale della Legge di Murphy all'IT. Murphy vive in IT ...
Evan Anderson l'
1
Vorrei che non avessi fatto Wiki Community questo ora ...> smile <
Evan Anderson,
13

Per i sistemi Unix e Linux, {firstInitial} {lastname} è chiaramente l' ideale.

...

per motivi che dovrebbero essere evidenti dal nome associato a questo account.

Robert Oot
fonte
3
Non sono in disaccordo, ma puoi spiegare perché lo dici?
mfinni,
In realtà, non sarò d'accordo. Sui sistemi AIX nel mio ultimo lavoro, eravamo limitati a 8 caratteri. Pertanto, il Mfinnigan sarebbe stato impossibile; Dovevo essere mfinniga. Quindi, per favore, espandi un po 'la tua risposta.
mfinni,
2
Questa è una risposta soggettiva senza spiegazioni. Si potrebbe altrettanto facilmente affermare che, per UNIX, {firstInitial} {middleInitial} {lastInitial} è "ideale" poiché è così che UNIX ha iniziato e così è stato per anni (fino a quando le società con migliaia di dipendenti con nomi utente hanno iniziato a usarlo ...).
Mei,
10
Penso che potrebbe essere uno scherzo. Il suo nome sarebbe "root", un utente significativo sui sistemi Unix.
Jeffrey,
4
... R obert Oot ... ahi! DIVERTENTE! Non so come mi sia perso.
Mei,
7

Una cosa da tenere presente quando si definiscono gli standard di denominazione su piattaforme è un particolare problema estetico in ps in Linux (e forse in altri sistemi operativi Unix). Potrebbe interessarti o meno di questo (ma può essere allarmante per qualcuno che non se lo aspetta ... Ho avuto delle persone che si occupano di sicurezza su questo).

La colonna UID mostrerà solo fino a 8 caratteri di un nome utente. Se il nome utente è più lungo di 8 caratteri, passerà alla stampa dell'UID numerico effettivo. È possibile aggirare il problema avendo un formato di colonna ps personalizzato che contiene il campo USER, ma SOLO se USER è l'ultima colonna (dal mio test empirico).

La maggior parte delle persone probabilmente non si preoccupa di questo, ma se stai facendo una sorta di elaborazione dell'output ps e ti aspetti che appaiano i nomi utente reali, dovresti stare attento alle lunghezze dei tuoi nomi (altrimenti, inserirai degli hack nel tuo codice per fare in modo che ps faccia la cosa giusta).

Per esempio:

Ecco il formato colonna predefinito per l'elenco di formati completi. Nota che il mio uid è in formato numerico perché il mio nome utente è> 8 caratteri.

[tcampbell@tst-agg1 ~]$ ps -f
  UID        PID  PPID  C STIME TTY          TIME CMD
 2108      1368  1367  0 Jan10 pts/3    00:00:00 -bash
 2108     22303  1368  0 12:07 pts/3    00:00:00 ps -f

Ricreamolo usando un formato colonna personalizzato. Nota che ho aggiunto la colonna USER. Si noti che è anche in formato numerico.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd    
  UID USER      C STIME TT           TIME CMD
 2108 2108      0 Jan10 pts/3    00:00:00 -bash
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty,time,cmd

Spostiamo USER alla fine della riga. Viene espanso all'output "giusto".

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd,user
  UID USER      C STIME TT           TIME CMD                         USER
 2108 2108      0 Jan10 pts/3    00:00:00 -bash                       tcampbell
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty, tcampbell

Ma, non appena aggiungiamo qualcosa di nuovo alla fine dell'elenco delle colonne, torna alla forma numerica.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd,user,pid
  UID USER      C STIME TT           TIME CMD                         USER       PID
 2108 2108      0 Jan10 pts/3    00:00:00 -bash                       2108      1368
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty, 2108     21756
Travis Campbell
fonte
A quale sistema operativo hai trovato questo vale?
mfinni,
Interessante! Mi sono sempre chiesto: perché i numeri venivano usati. Il lastcomando ha un problema correlato: tronca i suoi record a 8 caratteri.
Mei,
Modificato per riflettere sul fatto che stavo parlando di Linux. Non so come sia passato nelle mie modifiche originali.
Travis Campbell,
-1

[alcune lettere dal nome] [alcune lettere dal cognome] [nnn]

foreg: se il nome è Bill Gates, puoi usare ' biga00 ' o bilgat000

se arrivano le prossime porte del conto, per lui sarà 'biga01' o bilgat001 '

SKumar
fonte
-1

Bene, dal punto di vista delle operazioni, amministrazione e manutenzione (OAM), il nome utente deve essere facilmente distinto. Tuttavia, dal punto di vista aziendale, il nome utente (a / k / a e-mail alias) deve essere facilmente ricordato o richiamato da altri.

Può essere come:

  • first.last.index@domain
  • prima (iniziale) del dominio .last.index @
Eddie
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.