Best Practices in Benutzername-Standards: Vermeiden von Problemen

59

Ich bin daran interessiert herauszufinden, welche Erfahrungen die Leute mit Standardbenutzernamen machen. Ich war schon immer an Orten, an denen {firstInitial} {lastname} verwendet wurde (manchmal mit einem Längenlimit ). Jetzt habe ich Benutzer, die {Vorname}. {Nachname} wollen - und jetzt kommt es vor, dass der Zeitraum Probleme verursachen kann.

Speziell:

  • Welches ist das beste Längenlimit für Benutzernamen, um die Kompatibilität für alle Verwendungszwecke zu gewährleisten?
  • Welche Zeichen sollten vermieden werden?

UPDATE: Der Grund, warum ich Einzelheiten nicht erwähnt habe, ist, dass ich allgemein genug sein wollte, um mit allem fertig zu werden, was in Zukunft auftauchen könnte. Dies kann jedoch zu allgemein sein (alles kann passieren, oder?).

Dies ist unsere Umgebung: Ubuntu Server Lucid Lynx 10.04 LTS, Red Hat Enterprise Linux 5.6 und höher, Windows Server 2003 und Windows 2000 Server (mit Active Directory im einheitlichen Windows 2000-Modus), Zimbra 7.x für E-Mail und OpenLDAP in der Nähe Zukunft.

UPDATE: Ich sollte (der Vollständigkeit halber) erwähnen, dass ich diese Frage gesehen habe (obwohl sie meine gestellte Frage nicht beantwortet hat) und auch diesen Webpost , die beide sehr informativ waren.

user-accounts best-practices Mei
quelle
4
Sie haben das Betriebssystem / die Anwendung nicht erwähnt. Möchten Sie es zu allgemein machen, um es auf ein Betriebssystem / eine App anzuwenden?
Khaled
13
Unsere 80.000-köpfige Firma verwendete den Standard {firstInitial} {lastname} für Login und E-Mail-Adresse. Nach einem verärgerten Anruf von Herrn Thomas Watts, dessen E-Mail von unserer Firewall blockiert wurde, haben wir die Dinge geändert. Haben Sie genug Leute und es wird ein Problem geben.
MaskedPlant
13
@MaskedPlant: Ich liebe lustige Benutzernamen. Wir hatten einmal einen Kunden, der einen IBM RACFID-Standard von "ersten vier Zeichen des Nachnamens, der ersten Initiale, der mittleren Initiale" verwendete. "Susan Penington" war damit nicht zufrieden, wie Sie sich vorstellen können. "Mary Utt" war auch nicht glücklich mit dem Vor- und Nachnamen an einer anderen Stelle ...> smile <
Evan Anderson
4
{first initial} {last name} scheint die häufigste zu sein und ist für kleine und mittlere Unternehmen relativ sicher. Erleichtert der Verkaufsabteilung das Leben, eine gemeinsame Konvention zu haben, wenn diese Anrufe getätigt und B2B-Gespräche geführt werden.
Chad Harrison
2
Ich erinnere mich an einen Dilbert-Strip: search.dilbert.com/comic/Utthead
KeithS

Antworten:

65

Dies ist ein chronisches Problem bei großen Identitätsmanagementsystemen, die versuchen, heterogene Systeme zusammenzufügen. Ausnahmslos sind Sie auf den kleinsten gemeinsamen Nenner beschränkt, der dank eines (wahrscheinlich älteren) Unix-ähnlichen Systems im Darm des Rechenzentrums nur allzu oft ein 8-stelliges ASCII-Alpha-Zahlen-Limit darstellt. Diese ausgefallenen modernen Systeme können beliebig lang sein. UTF8-Benutzernamen werden wahrscheinlich nicht verwendet.

Ich verbrachte 7 Jahre an einer Hochschule, wo wir jedes Jahr für 5000 neue Studenten 8-stellige Benutzernamen herausfinden mussten. Als ich ging, hatten wir es geschafft, eindeutige Namen für 15 Jahre Studenten zu finden. Dies ist möglich, Mr. Smitj510

Dinge, die Ihr Leben unermesslich erleichtern werden:

  • Finden Sie heraus, was Ihr kleinster gemeinsamer Nenner ist. Dazu müssen Sie jeden Teil Ihres Identitätsverwaltungssystems analysieren, um herauszufinden, wo die Grenzen liegen.
    • Dieses alte Solaris 7-System erzwingt die Beschränkung auf 8 Zeichen.
    • Kritische Anwendungen, die Identitätsdaten verwenden, haben ihre eigenen Grenzen, die Sie berücksichtigen müssen.
      • Möglicherweise erwarten sie, dass die Benutzerdaten von LDAP einem eindeutigen Standard entsprechen.
      • Möglicherweise kann die von ihnen verwendete Authentifizierungsdatenbank nur bestimmte formatierte Daten verarbeiten.
  • Erstellen Sie eine Datenbanktabelle mit einer Liste der One True Identifier (dem 8-stelligen Kontonamen), mit Links / Feldern, in denen alternative IDs firstname.lastnameoder andere Informationen aufgeführt sind.
    • Standard-Software kann einige wirklich seltsame und IDM-unfreundliche Dinge tun, z. B. die Verwendung einer numerischen ID für den Kontonamen oder die automatische Generierung von Konto-IDs basierend auf Profildaten. All das geht auch in die Datenbanktabelle.
    • Dies hilft auch Personen mit Nicht-[az | 0-9] -Zeichen im Namen wie Harry O'Neil oder Nicht-ASCII-Zeichen wie Alžbêta.
  • Nutzen Sie beim Erstellen Ihrer Kontosynchronisierungsprozesse diese Datenbanktabelle, um sicherzustellen, dass die richtigen Konten die richtigen Aktualisierungen erhalten. Wenn sich Namen ändern (Ehe, Scheidung, andere), möchten Sie, dass sich diese Änderungen an den richtigen Stellen verbreiten.
    • Konfigurieren Sie die eigentlichen Identitätsdatenbanken selbst, um lokale Änderungen nach Möglichkeit zu verhindern, und halten Sie Geschäftsprozesse davon ab, wenn dies nicht möglich ist. Verlassen Sie sich bei allem, was Sie können, auf den zentralen Konto-Synchronisierungsprozess.
  • Nutzen Sie Alias-Systeme, wo immer Sie können, beispielsweise in E-Mails.
  • Betrachten Sie die 8-stellige ID als unveränderlich, da eine Änderung dieses Feldes eine Menge Herzschmerz bei den IT-Mitarbeitern auslösen kann, da die Konten neu erstellt werden müssen.
    • Dies deutet auf eine Konto-ID hin, die nicht aus Namensdaten abgeleitet wurde, da Ehe / Scheidung / Gerichtsbeschluss die Namensdaten im Laufe der Zeit ändern können.
  • Haben Sie ein System für Ausnahmen, da es immer einige geben wird.
    • Eine schreckliche Scheidung und die von Namensdaten generierte 8-stellige UID bringen jedes Mal, wenn Sie sie eingeben müssen, schlimme Erinnerungen? Seien Sie nett zu Ihren Benutzern und lassen Sie einen Mechanismus für diese Änderungen zu, aber halten Sie ihn ruhig.
  • Tun Sie, was Sie können, um mehrere Benutzernamen-Anmeldungen in den Systemen zuzulassen, bei denen dies eine Option ist
    • Einige Leute mögen ihre 8-stellige UID, andere mögen [email protected]. Flexibel sein, Freunde finden.
    • Manchmal müssen Sie Ihre webbasierten Systeme mit einem Single-Sign-On- Framework wie CAS ausstatten . Sie werden überrascht sein, wie viele Standardsysteme SSO-Frameworks wie dieses unterstützen können. Lassen Sie sich also nicht entmutigen.

Das heißt, behandeln Sie es wie ein Datenbankproblem, denn das ist es auch. Wählen Sie einen Primärschlüssel für maximale Kompatibilität mit Ihren Systemen (wahrscheinlich 8 Zeichen), erstellen Sie eine Nachschlagetabelle, damit Systeme lokale IDs in den Primärschlüssel übersetzen können, und konstruieren Sie Ihre Datensynchronisationssysteme für die Verarbeitung verschiedener IDs.

sysadmin1138
quelle
4
Fantastische und gut geschriebene (und aufschlussreiche) Antwort!
Mi
12
+1 Um Benutzernamen nicht aus Namensdaten abzuleiten. Das Umbenennen von Home-Verzeichnissen aufgrund von Heirat / Scheidung ist ärgerlich. Ihre Aussage über "merkwürdige Charaktere" lässt mich an Little Bobby Tables und den Hausmeister an meiner alten High School denken, der sicher Probleme hat, Dinge online zu kaufen, Mr. Robert Null (ich mache Ihnen nichts vor).
Evan Anderson
Ich mag das "Haben Sie ein System für Ausnahmen, da es immer einige geben wird." Teil. Das ist definitiv sehr wahr. Obwohl ich nicht verstehe, wie man smithj510einen tollen Benutzernamen mit acht Zeichen macht ;)
scherand
2
+1 für die Behandlung von Ehe und Scheidung. Dies hat so viele Probleme verursacht. Viele Unternehmen verhalten sich so, als müsse der Mitarbeiter als erster seinen Namen ändern.
mhoran_psprep
5
@mhoran_psprep Und wenn du groß genug bist, wirst du jemand macht einen Rechts bekommen erste Namensänderung. In diesem Fall brechen viele Systeme ab, die für Änderungen des Nachnamens eingerichtet wurden.
sysadmin1138
26

Ihre Fragen speziell:

  • Welches ist das beste Längenlimit für Benutzernamen, um die Kompatibilität für alle Verwendungszwecke zu gewährleisten?

Das gibt es nicht. Es gibt nur "Ihre" Verwendungen, einschließlich Ihrer zukünftigen Verwendungen. Wir haben keine Ahnung, was das sind.

  • Welche Zeichen sollten vermieden werden?

Dies hängt davon ab, mit welchen Computersystemen Sie es zu tun haben. Windows hat beispielsweise keine Probleme mit einem Punkt im Benutzernamen. Tatsächlich ist der UPN wie eine E-Mail-Adresse formatiert, die einen Zeitraum zulässt.

Meine weiteren Gedanken:

  • Lassen Sie Ihre Benutzer nicht fragen - sagen Sie ihnen, was der Standard ist, und seien Sie offen für Unternehmen (nicht einzelne Benutzer), die Änderungen am Standard anfordern, wenn sich die Anforderungen ändern.
  • Machen Sie im Standard eine "Ausnahmeregelung", damit Sie der armen Susan Penington und Mary Utt (aus den obigen Kommentaren) helfen können, ohne einen Vizepräsidenten hinzuziehen zu müssen. Lassen Sie die IT gut aussehen, oder?
mfinni
quelle
15
Dieser letzte Kommentar ist eine +50 wert :)
Mei
2
Es ist wichtig, vernünftige Ausnahmen zu finden. Wir hatten im Laufe der Jahre viele Ausnahmen: mehrere Benutzer mit dem gleichen Vor- und Nachnamen, Benutzer mit sehr langen Nachnamen, Benutzer mit dem gleichen Vor- und Nachnamen, Benutzer aus China und der Personalabteilung, die ihren Namen besucht haben, haben sich total verwirrt, jemand dessen Name war geschrieben "Raymond Luxus-Yacht", aber ausgesprochen "Throatwobbler Mangrove" ...
Ward
BobHope, BobHope01, BobHope3, BobHopeAccounting, BobHopeHartford
mfinni
2
Ja für die Ausnahme! Einige afrikanische Länder kennen nicht einmal die Begriffe "Vorname" und "Nachname": Der Vorname des Vaters wird zum Nachnamen des Sohnes, und der Sohn erhält einen neuen Vornamen ...
Konerak
2
Ich würde empfehlen, nicht nur eine Ausnahmeregelung zu haben, sondern auch Benutzer zu identifizieren, die bei der erstmaligen Kontoerstellung wahrscheinlich davon profitieren würden. "Mein Benutzername ist schrecklich" sollte für einen neuen Mitarbeiter am ersten Tag keine Sorge sein. Eine Erläuterung der Standardrichtlinie in Verbindung mit der Erkenntnis, dass sie möglicherweise nicht für eine Einzelperson geeignet ist, sowie eine vorgeschlagene Alternative sind weitaus weniger anstrengend. Möglicherweise erhalten Sie sogar Kontaktinformationen von der Personalabteilung, damit Sie das Problem vor dem ersten Tag beheben können.
Dan Neely
20

Ich habe die Erfahrung gemacht, dass für ein ausreichend großes Unternehmen jede Entscheidung, die Sie treffen, immer Probleme bereitet. Auch wenn es heute funktioniert, gibt es immer das System, das Sie morgen implementieren und das Probleme mit dem vorherigen Standard hat (Längenprobleme, Zeichenprobleme usw.).

Stellen Sie sicher, dass Sie herausfinden, ob sich der Push für Vorname.Nachname auf E-Mail-Adressen bezieht und nicht unbedingt auf Anmeldenamen. Es fällt mir schwer zu glauben, dass der Benutzer beim Anmelden "John.Smith" anstelle von "jsmith" eingeben möchte, aber die Idee, dass er "[email protected]" möchte, ist mir weitaus wichtiger "als seine E - Mail - Adresse. Wie @Mfinni betont, besteht für Benutzer immer die Möglichkeit, mehrere E-Mail-Aliase, Weiterleitungen usw. zu verwenden. Wenn Benutzer lediglich wissen, dass die Option zum Entfernen ihres Benutzernamens von ihrer E-Mail-Adresse vorhanden ist, kann dies die Dynamik der Anforderung ändern.

Evan Anderson
quelle
1
Und es ist nicht so, dass Benutzer nur eine E-Mail-Adresse haben können. Es gibt immer Aliase und Weiterleitungen.
MFINNI
3
Die UPNs und die primären E-Mail-Adressen unserer Benutzer sind zu jeder Zeit identisch. Daher teilen wir unseren Benutzern einfach mit, dass sie sich bei jedem Anmeldeversuch mit ihrer E-Mail-Adresse anmelden sollen Netbios.
Pause
Ich habe die Erfahrung gemacht, dass für ein ausreichend großes Unternehmen jede Entscheidung, die Sie treffen, immer Probleme bereitet. Auch wenn es heute funktioniert, gibt es immer das System, das Sie morgen implementieren und das Probleme hat. "- Können wir dieses Andersons-Gesetz nennen?
Freiheit
@Freiheit: Meine Aussage hat keinen eigenen Namen verdient ...> smile <Das liegt wirklich nur an der allgemeinen Anwendung von Murphys Gesetz auf die IT. Murphy lebt in IT ...
Evan Anderson
1
Ich wünschte, ich hätte jetzt kein Community-Wiki erstellt ...> smile <
Evan Anderson
13

Für Unix- und Linux-Systeme ist {firstInitial} {lastname} eindeutig ideal.

...

aus Gründen, die sich aus dem mit diesem Konto verknüpften Namen ergeben sollten.

Robert Oot
quelle
3
Ich bin nicht anderer Meinung, aber können Sie erklären, warum Sie das sagen?
mfinni
In der Tat werde ich nicht zustimmen. Auf den AIX-Systemen waren wir bei meinem letzten Job auf 8 Zeichen beschränkt. Somit wäre Mfinnigan unmöglich gewesen; Ich musste mfinniga sein. Bitte erweitern Sie Ihre Antwort ein wenig.
Mfinni
2
Dies ist eine subjektive Antwort ohne Erklärung. Genauso einfach könnte man sagen, dass {firstInitial} {middleInitial} {lastInitial} für UNIX "ideal" ist, da UNIX damit begann und das seit Jahren so war (bis Unternehmen mit Tausenden von Mitarbeitern mit Benutzernamen damit anfingen ...).
Mei
10
Ich denke, es könnte ein Witz sein. Sein Name wäre "root", ein bedeutender Benutzer auf Unix-Systemen.
Jeffrey
4
... R obert Oot ... autsch ! LUSTIG! Ich weiß nicht, wie ich es verpasst habe.
Mei
7

Eine Sache, die Sie beachten sollten, wenn Sie plattformübergreifende Namensstandards festlegen, ist ein spezielles kosmetisches Problem bei ps unter Linux (und möglicherweise anderen Unix-Betriebssystemen). Sie mögen sich darum kümmern oder auch nicht (aber es kann für jemanden alarmierend sein, der es nicht erwartet ... Ich hatte Sicherheitsleute, die diesbezüglich zuckten).

In der Spalte UID werden nur bis zu 8 Zeichen eines Benutzernamens angezeigt. Wenn der Benutzername länger als 8 Zeichen ist, wird auf das Drucken der tatsächlichen numerischen UID umgeschaltet. Sie können dies umgehen, indem Sie ein benutzerdefiniertes ps-Spaltenformat verwenden, das das USER-Feld enthält, aber NUR, wenn USER die letzte Spalte ist (aus meinen empirischen Tests).

Die meisten Leute interessieren sich wahrscheinlich nicht dafür, aber wenn Sie eine Art Verarbeitung der ps-Ausgabe durchführen und erwarten, dass die echten Benutzernamen angezeigt werden, sollten Sie mit Ihren Namenslängen vorsichtig sein (andernfalls werden Sie Hacks in Ihren Code einfügen ps dazu bringen, das Richtige zu tun).

Zum Beispiel:

Hier ist das Standardspaltenformat für die vollständige Formatauflistung. Beachten Sie, dass meine UID im numerischen Format vorliegt, da mein Benutzername> 8 Zeichen ist.

[tcampbell@tst-agg1 ~]$ ps -f
  UID        PID  PPID  C STIME TTY          TIME CMD
 2108      1368  1367  0 Jan10 pts/3    00:00:00 -bash
 2108     22303  1368  0 12:07 pts/3    00:00:00 ps -f

Erstellen wir es mit einem benutzerdefinierten Spaltenformat neu. Beachten Sie, dass ich die Spalte USER hinzugefügt habe. Beachten Sie, dass es auch im numerischen Format ist.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd    
  UID USER      C STIME TT           TIME CMD
 2108 2108      0 Jan10 pts/3    00:00:00 -bash
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty,time,cmd

Bewegen wir USER an das Ende der Zeile. Es wird auf die "richtige" Ausgabe erweitert.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd,user
  UID USER      C STIME TT           TIME CMD                         USER
 2108 2108      0 Jan10 pts/3    00:00:00 -bash                       tcampbell
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty, tcampbell

Sobald wir jedoch am Ende der Spaltenliste etwas Neues hinzufügen, wird die numerische Form wiederhergestellt.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd,user,pid
  UID USER      C STIME TT           TIME CMD                         USER       PID
 2108 2108      0 Jan10 pts/3    00:00:00 -bash                       2108      1368
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty, 2108     21756
Travis Campbell
quelle
Für welches Betriebssystem haben Sie dies gefunden?
Mfinni
Interessant! Ich habe mich immer gefragt, warum Zahlen verwendet werden. Der lastBefehl hat ein verwandtes Problem: Er schneidet seine Datensätze auf 8 Zeichen ab.
Mi
Bearbeitet, um zu reflektieren, dass ich über Linux sprach. Ich weiß nicht, wie das in meinen ursprünglichen Bearbeitungen vergangen ist.
Travis Campbell
-1

[einige Buchstaben vom Vornamen] [einige Buchstaben vom Nachnamen] [nnn]

foreg: Wenn der Name Bill Gates ist, können Sie ' biga00 ' oder ' bilgat000 ' verwenden

Wenn das nächste Rechnungstor kommt, ist es für ihn 'biga01' oder bilgat001 '

SKumar
quelle
-1

Nun, aus Sicht von Operations, Administration und Maintenance (OAM) muss der Benutzername leicht zu unterscheiden sein. Aus geschäftlicher Sicht muss sich der Benutzername (ein / k / ein E-Mail-Alias) jedoch leicht merken oder von anderen Personen abgerufen werden können.

Es kann sein wie:

  • first.last.index@domain
  • erste (initiale) .last.index @ domain
Eddie
quelle