Frage Best Practices in Benutzernamen Standards: Vermeiden von Problemen


Ich bin daran interessiert, herauszufinden, was die Leute mit Standard-Nutzernamen machen. Ich war schon immer an Orten, wo ich gebraucht habe {firstInitial} {Nachname} (manchmal mit einer Längenbegrenzung). Jetzt habe ich Benutzer, die wollen {Vorname Nachname} - und jetzt kommt es darauf an, dass der Zeitraum Probleme verursachen kann.

Speziell:

  • Was ist das beste Limit für die Länge des Benutzernamens, das verwendet werden kann, um Kompatibilität für alle Anwendungen zu gewährleisten?
  • Welche Charaktere sollten vermieden werden?

AKTUALISIEREN: Der Grund, warum ich keine Besonderheiten erwähnte, war, dass ich allgemein genug sein wollte, um mit allem fertig zu werden, was in der Zukunft auftauchen könnte. Dies kann jedoch zu allgemein sein (alles kann passieren, oder?).

Dies ist unsere Umgebung: Ubuntu Server Lucid Lynx 10.04 LTS, Red Hat Enterprise Linux 5.6 und höher, Windows Server 2003 und Windows 2000 Server (mit Active Directory im nativen Modus von Windows 2000), Zimbra 7.x für Mail und OpenLDAP in der Nähe Zukunft.

AKTUALISIEREN: Ich sollte (zur Vollständigkeit) erwähnen, dass ich gesehen habe diese Frage (obwohl es meine gestellte Frage nicht beantwortet hat) und auch dies WebpostBeide waren sehr informativ.


55
2018-01-11 16:30


Ursprung


Sie haben das Betriebssystem / die Anwendung nicht erwähnt. Möchtest du es zu allgemein machen, um auf ein beliebiges OS / App angewendet zu werden? - Khaled
Unser 80.000 Unternehmen hat den Standard {firstInitial} {lastname} für Login und E-Mail-Adresse verwendet. Nach einem wütenden Anruf von Mr. Thomas Watts, dessen E-Mail von unserer Firewall blockiert wurde, haben wir die Dinge geändert. Habe genug Leute und es wird ein Problem geben. - MaskedPlant
@MaskedPlant: Ich liebe lustige Benutzernamen. Wir hatten einmal einen Kunden, der einen IBM RACFID-Standard von "ersten vier Buchstaben des Nachnamens, erster Anfang, mittlerer Anfang" verwendete. "Susan Penington" war nicht glücklich damit, wie Sie sich vorstellen können. Auch "Mary Utt" war nicht glücklich mit dem ersten Vor- / Nachnamen auf einer anderen Seite ...> smile < - Evan Anderson
{first initial} {Nachname} scheint am gebräuchlichsten zu sein und ist relativ sicher für kleine und mittlere Unternehmen. Lässt die Verkäufer viel einfacher leben, um eine gemeinsame Konvention zu haben, wenn sie diese Anrufe tätigen und B2B sprechen. - Chad Harrison
Ich werde an einen Dilbert-Strip erinnert: search.dilbert.com/comic/Utthead - KeithS


Antworten:


Dies ist ein chronisches Problem bei großen Identitätsmanagementsystemen, die versuchen, heterogene Systeme zusammen zu kleben. Unweigerlich sind Sie auf den kleinsten gemeinsamen Nenner beschränkt, der zu oft eine 8-stellige ASCII-alphanumerische Grenze hat, dank eines (wahrscheinlich alten) Unix-ähnlichen Systems irgendwo im Inneren des Rechenzentrums. Diese schicken modernen Systeme können eine beliebige Länge haben. UTF8-Benutzernamen werden sich wahrscheinlich nicht nutzen lassen.

Ich verbrachte 7 Jahre an einer Hochschule, wo wir jedes Jahr 8-stellige Benutzernamen für 5000 neue Studenten herausfinden mussten. Es war uns gelungen, bis zu meiner Abreise eindeutige Namen für 15 Jahre Studenten zu finden. Das kann gemacht werden, Mr. smitj510

Dinge, die dein Leben unermesslich erleichtern:

  • Finden Sie heraus, was Ihr niedrigster gemeinsamer Nenner ist, und analysieren Sie jeden Teil Ihres Identitätsmanagementsystems, um herauszufinden, wo die Grenzen liegen.
    • Dieses alte Solaris 7-System erzwingt die Begrenzung auf 8 Zeichen.
    • Kritische Anwendungen, die Identitätsdaten verwenden, haben ihre eigenen Grenzen, die Sie berücksichtigen müssen.
      • Vielleicht erwarten sie, dass Benutzerdaten von LDAP einem eindeutigen "Standard" entsprechen.
      • Möglicherweise kann die von ihnen verwendete Authentifizierungsdatenbank nur bestimmte formatierte Daten verarbeiten.
  • Habe eine Datenbanktabelle mit einer Liste der One True Identifier (dieser 8-stellige Account-Name), mit Links / Feldern, die alternative IDs auflisten firstname.lastname oder irgendetwas anderes, das vielleicht auftauchen könnte.
    • Standard-Software kann einige wirklich seltsame und IDM-unfreundliche Dinge tun, wie eine numerische ID für Kontoname verwenden, oder automatisch Konto-IDs basierend auf Profildaten generieren. All das geht auch in die Datenbanktabelle.
    • Dies hilft auch Menschen mit nicht-a-z | 0-9-Zeichen in ihren Namen wie Harry O'Neil oder Nicht-ASCII-Zeichen wie Alžbêta.
  • Wenn Sie Ihre Kontosynchronisierungsprozesse erstellen, nutzen Sie diese Datenbanktabelle, um sicherzustellen, dass die richtigen Konten die richtigen Updates erhalten. Wenn sich Namen ändern (Heirat, Scheidung, andere), möchten Sie, dass sich diese Änderungen an den richtigen Stellen verbreiten.
    • Konfigurieren Sie die eigentlichen Identitätsdatenbanken selbst, um mögliche lokale Änderungen zu vermeiden, und wenn dies nicht möglich ist, wird dies vom Geschäftsprozess stark unterbunden. Verlassen Sie sich auf den zentralen Konto-Synchronisierungsprozess für alles, was Sie können.
  • Nutzen Sie Alias-Systeme wo immer Sie können, z. B. in E-Mails.
  • Betrachten Sie die 8-stellige ID als unveränderlich, da das Ändern dieses Felds eine Menge Herzschmerz bei IT-Mitarbeitern auslösen kann, da Konten neu erstellt werden müssen.
    • Dies deutet auf eine Konto-ID hin nicht abgeleitet von Namensdaten, da Ehe / Scheidung / Gerichtsbeschluss die Namensdaten im Laufe der Zeit ändern können.
  • Habe ein System für Ausnahmen, da es immer welche geben wird.
    • Schreckliche Scheidung und diese Namensdaten generierten 8-Char UID bringt jedes Mal, wenn Sie es betreten müssen, schmerzhafte Erinnerungen? Sei nett zu deinen Benutzern und erlaube einen Mechanismus für diese Änderungen, aber halte sie ruhig.
  • Tun Sie, was Sie können, um mehrere Benutzernamen Logins in den Systemen zu erlauben, wo das eine Option ist
    • Manche mögen ihre 8-stellige UID, andere wie firstname.lastname@example.com. Sei flexibel, freunde dich an.
    • Manchmal erfordert dies, Ihre web-basierten Systeme mit einem Frontend zu konfrontieren  Framework wie CAS. Sie werden überrascht sein, wie viele Standardsysteme solche SSO-Frameworks unterstützen, also lassen Sie sich nicht entmutigen.

Das heißt, behandeln Sie es wie ein Datenbankproblem, weil es das ist, was es ist. Wählen Sie einen Primärschlüssel für maximale Kompatibilität mit Ihren Systemen aus (wahrscheinlich 8 Zeichen), erstellen Sie eine Nachschlagetabelle, damit Systeme lokale IDs in den Primärschlüssel übersetzen können, und bauen Sie Ihre Datensynchronisationssysteme so auf, dass sie mit verschiedenen IDs umgehen können.


62
2018-01-11 19:41



Fantastische und gut geschriebene (und erhellende) Antwort! - Mei
+1 Um Benutzernamen nicht aus Namensdaten abzuleiten. Die Heimatverzeichnisse wegen Heirat / Scheidung umzubenennen ist irritierend. Deine Aussage über "seltsame Charaktere" lässt mich an Little Bobby Tables und den Hausmeister meiner alten High School denken, der sicher Probleme hat, Sachen online zu kaufen, Mr. Robert Null (ich mache mir keine Sorgen). - Evan Anderson
Ich mag das "Habe ein System für Ausnahmen, da es immer welche geben wird." Teil. Das ist definitiv sehr wahr. Obwohl ich nicht sehe wie smithj510 macht einen super acht Zeichen Benutzername;) - scherand
+1 für die Adressierung von Ehe und Scheidung. Dies hat so viele Probleme verursacht. Viele Unternehmen verhalten sich so, als ob der Mitarbeiter als Erster seinen Namen ändern muss. - mhoran_psprep
@mhoran_psprep Und wenn du groß genug bist, wirst du jemanden legal machen lassen zuerst Namensänderung. Viele Systeme, die für Änderungen von Nachnamen eingerichtet sind, brechen in diesem Fall. - sysadmin1138♦


Ihre Fragen speziell:

  • Was ist das beste Limit für die Länge des Benutzernamens, das verwendet werden kann, um Kompatibilität für alle Anwendungen zu gewährleisten?

Das gibt es nicht. Es gibt nur "Ihre" Verwendungen, die Ihre zukünftigen Verwendungen enthalten können. Wir haben keine Ahnung, was das ist.

  • Welche Charaktere sollten vermieden werden?

Dies hängt davon ab, mit welchen Computersystemen Sie es zu tun haben. Windows zum Beispiel hat keine Probleme mit einem Punkt im Benutzernamen. In der Tat ist der UPN wie eine E-Mail-Adresse formatiert, die einen Zeitraum erlaubt.

Meine weiteren Gedanken:

  • Lassen Sie Ihre Benutzer nicht fragen - sagen Sie ihnen, was der Standard ist, und seien Sie offen für das Unternehmen (nicht einzelne Benutzer), die Änderungen an der Norm fordern, wenn sich die Anforderungen ändern.
  • Machen Sie eine "Ausnahmerichtlinie" im Standard, damit Sie den armen Susan Penington und Mary Utt (aus den obigen Kommentaren) helfen können, ohne einen Vizepräsidenten einzubeziehen. Lass es gut aussehen, oder?

24
2018-01-11 16:40



Der letzte Kommentar ist ein +50 wert :) - Mei
Es ist wichtig, sinnvolle Ausnahmen zu finden. Wir hatten im Laufe der Jahre viele Ausnahmen: mehrere Benutzer mit dem gleichen Vor- und Nachnamen, Benutzer mit sehr langen Nachnamen, Benutzer mit Vor- und Nachnamen, Benutzer aus China und HR haben ihren Namen völlig durcheinander gebracht, jemand dessen Name "Raymond Luxury-Yacht" geschrieben wurde, aber ausgesprochen "Throatwobbler Mangrove" ... - Ward♦
BobHope, BobHope01, BobHope3, BobHopeAccounting, BobHopeHartford - mfinni
Ja für die Ausnahme! Einige Länder in Afrika kennen nicht einmal das Konzept eines "Vornamens" und "Nachnamens": Der Vorname des Vaters wird zum Nachnamen des Sohnes, und der Sohn erhält einen neuen Vornamen ... - Konerak
Ich würde empfehlen, nicht nur eine Ausnahmerichtlinie zu verwenden, sondern Nutzer zu identifizieren, die bei der Erstellung des ersten Kontos wahrscheinlich davon profitieren würden. "Mein Benutzername ist schrecklich" sollte nicht etwas sein, das ein neuer Mitarbeiter an seinem ersten Tag ausdenken sollte. Eine Erklärung der Standard-Politik kombiniert mit der Erkenntnis, dass es für eine Person nicht geeignet ist, zusammen mit einer vorgeschlagenen Alternative, ist viel weniger stressig. Möglicherweise erhalten Sie sogar Kontaktinformationen von HR, damit Sie das Problem vor dem ersten Tag lösen können. - Dan Neely


Ich habe die Erfahrung gemacht, dass jede Entscheidung, die Sie treffen, für ein ausreichend großes Unternehmen immer Probleme mit sich bringt. Auch wenn es heute funktioniert, gibt es immer das System, das Sie morgen implementieren, das Probleme mit dem vorherigen Standard hat (Längenprobleme, Zeichenprobleme, usw.).

Stellen Sie sicher, dass Sie wissen, ob der Push für Firstname.Lastname sich auf E-Mail bezieht und nicht unbedingt Login-Namen. Es fällt mir schwer zu glauben, dass der Benutzer "John.Smith" anstelle von "jsmith" eingeben möchte, wenn ich mich anmelde, aber ich bin viel mehr auf die Idee verkauft, dass er "John.Smith@company.com" möchte "Als seine E-Mail-Adresse. Wie @Mfinni darauf hinweist, gibt es immer die Möglichkeit für Benutzer, mehrere E-Mail-Aliase, Weiterleitungen usw. zu haben. Wenn man den Nutzern einfach mitteilt, dass die Möglichkeit besteht, ihren Benutzernamen von ihrer E-Mail-Adresse zu trennen, kann die Anfrage dynamisiert werden.


19
2018-01-11 16:37



Und es ist nicht so, dass Benutzer nur eine E-Mail-Adresse haben können. Es gibt immer Aliasnamen und Weiterleitungen. - mfinni
Unsere Benutzer UPNs und primäre E-Mail-Adressen sind zu jeder Zeit identisch, also teilen wir unseren Nutzern einfach mit, dass sie sich mit ihrer E-Mail-Adresse einloggen müssen, wenn sie sich anmelden. Funktioniert gut, da wir keine alte Software haben Netbios. - pauska
Ich habe die Erfahrung gemacht, dass jede Entscheidung, die Sie treffen, für ein ausreichend großes Unternehmen immer Probleme mit sich bringt. Auch wenn es heute funktioniert, gibt es immer das System, das Sie morgen implementieren, das Probleme hat. "- Können wir dieses Anderson-Gesetz nennen? - Freiheit
@ Freiheit: Meine Aussage verdient keinen eigenen Namen ...> smile <Es ist wirklich nur durch die allgemeine Anwendung von Murphys Gesetz auf IT verursacht. Murphy lebt drin... - Evan Anderson
Ich wünschte, ich hätte dieses Wiki jetzt nicht ...> smile < - Evan Anderson


Für Unix- und Linux-Systeme ist {firstInitial} {lastname} deutlich Ideal.

...

aus Gründen, die aus dem mit diesem Account verbundenen Namen ersichtlich sein sollten.


13
2018-01-12 10:30



Ich stimme dir nicht zu, aber kannst du erklären, warum du das sagst? - mfinni
In der Tat werde ich nicht zustimmen. Auf den AIX-Systemen bei meinem letzten Job waren wir auf 8 Zeichen begrenzt. Somit wäre Mfinnigan unmöglich gewesen; Ich musste mfinniga sein. Also, bitte erweitern Sie Ihre Antwort ein wenig. - mfinni
Dies ist eine subjektive Antwort ohne Erklärung. Man könnte genauso gut sagen, dass für UNIX {firstInitial} {middleInitial} {lastInitial} ist "ideal", denn das ist der Anfang von UNIX und so war es jahrelang (bis Unternehmen mit tausenden von Angestellten mit Benutzernamen anfingen, es zu benutzen ...). - Mei
Ich denke, es könnte ein Witz sein. Sein Name wäre "root", ein bedeutender Benutzer auf Unix-Systemen. - Jeffrey
... R ober Oot... Autsch! LUSTIG! Ich weiß nicht, wie ich es verpasst habe. - Mei


Eine Sache, auf die man achten sollte, wenn man plattformübergreifende Benennungsstandards festlegt, ist ein bestimmtes kosmetisches Problem in ps unter Linux (und möglicherweise anderen Unix-Betriebssystemen). Du magst es vielleicht oder auch nicht mögen (aber es kann für jemanden alarmierend sein, der es nicht erwartet ... Ich hatte Sicherheitsleute, die zu diesem Thema zucken).

Die UID-Spalte zeigt nur bis zu 8 Zeichen eines Benutzernamens an. Wenn der Benutzername länger als 8 Zeichen ist, wird auf die tatsächliche numerische UID umgeschaltet. Sie können dies umgehen, indem Sie ein benutzerdefiniertes ps-Spaltenformat haben, das das Feld USER enthält, aber NUR, wenn USER die letzte Spalte ist (aus meinen empirischen Tests).

Die meisten Leute interessieren sich wahrscheinlich nicht dafür, aber wenn Sie eine Art der Verarbeitung von ps-Ausgaben durchführen und erwarten, dass die echten Benutzernamen angezeigt werden, sollten Sie auf Ihre Namenslänge achten (sonst werden Sie Hacks in Ihren Code einfügen) ps die richtige Sache machen).

Zum Beispiel:

Hier ist das Standardspaltenformat für die vollständige Formatauflistung. Beachten Sie, dass meine UID im numerischen Format ist, da mein Benutzername> 8 Zeichen ist.

[tcampbell@tst-agg1 ~]$ ps -f
  UID        PID  PPID  C STIME TTY          TIME CMD
 2108      1368  1367  0 Jan10 pts/3    00:00:00 -bash
 2108     22303  1368  0 12:07 pts/3    00:00:00 ps -f

Lassen Sie uns es mit einem benutzerdefinierten Spaltenformat neu erstellen. Beachten Sie, dass ich die Spalte USER hinzugefügt habe. Beachten Sie, dass es auch im numerischen Format ist.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd    
  UID USER      C STIME TT           TIME CMD
 2108 2108      0 Jan10 pts/3    00:00:00 -bash
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty,time,cmd

Lassen Sie uns USER an das Ende der Zeile bewegen. Es wird auf den "richtigen" Ausgang erweitert.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd,user
  UID USER      C STIME TT           TIME CMD                         USER
 2108 2108      0 Jan10 pts/3    00:00:00 -bash                       tcampbell
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty, tcampbell

Aber sobald wir am Ende der Spaltenliste etwas Neues hinzufügen, wird es zurück in die numerische Form gebracht.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd,user,pid
  UID USER      C STIME TT           TIME CMD                         USER       PID
 2108 2108      0 Jan10 pts/3    00:00:00 -bash                       2108      1368
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty, 2108     21756

7
2018-01-11 18:12



Auf welches Betriebssystem hast du das gefunden? - mfinni
Interessant! Ich habe mich immer gefragt, warum Zahlen benutzt wurden. Das last Befehl hat ein ähnliches Problem: Er schneidet seine Datensätze auf 8 Zeichen ab. - Mei
Bearbeitet, um zu reflektieren, dass ich über Linux sprach. Ich weiß nicht, wie das bei meinen ursprünglichen Bearbeitungen vorbeigekommen ist. - Travis Campbell


[einige Briefe aus dem Vornamen] [einige Briefe aus dem Nachnamen] [nnn]

Foreg: Wenn der Name Bill Gates ist, können Sie ' biga00 ' oder Bilgat000

Wenn das nächste Rechnungsgatter kommt, wird es für ihn "biga01" oder "bilgat001" sein


-1
2018-01-12 12:27





Aus der Sicht von Betrieb, Verwaltung und Wartung (OAM) muss der Benutzername leicht unterschieden werden. Aus geschäftlicher Sicht muss der Benutzername (a / k / a E-Mail-Alias) jedoch leicht gespeichert oder von anderen Benutzern abgerufen werden.

Es kann sein wie:

  • first.last.index@domain.de
  • erster (initialer) .last.index @ domain

-1
2018-01-12 06:42