Mejores prácticas en estándares de nombre de usuario: evitar problemas

59

Estoy interesado en descubrir cuáles son las experiencias de las personas con los nombres de usuario estándar. Siempre he estado en lugares que usaban {firstInitial} {lastname} (a veces con un límite de longitud). Ahora tengo usuarios que quieren {firstname}. {Lastname} , y ahora resulta que el período puede causar problemas.

Específicamente:

  • ¿Cuál es el mejor límite de longitud de nombre de usuario para mantener la compatibilidad en todos los usos?
  • ¿Qué personajes se deben evitar?

ACTUALIZACIÓN: La razón por la que no mencioné detalles es que quería ser lo suficientemente general como para manejar cualquier cosa que pueda surgir en el futuro. Sin embargo, eso puede ser un requisito demasiado general (puede pasar cualquier cosa, ¿verdad?).

Este es nuestro entorno: Ubuntu Server Lucid Lynx 10.04 LTS, Red Hat Enterprise Linux 5.6 y superior, Windows Server 2003 y Windows 2000 Server (con Active Directory en modo nativo de Windows 2000), Zimbra 7.x para correo y OpenLDAP en un futuro cercano futuro.

ACTUALIZACIÓN: Debo mencionar (para completar) que vi esta pregunta (aunque no respondió a mi pregunta) y también esta publicación web , que fueron muy informativas.

user-accounts best-practices Mei
fuente
44
No mencionó el sistema operativo / aplicación. ¿Desea que sea demasiado general para aplicarse a cualquier sistema operativo / aplicación?
Khaled
13
Nuestra compañía de 80,000 usó el estándar de {firstInitial} {lastname} para iniciar sesión y dirección de correo electrónico. Cambiamos las cosas después de una llamada enojada del Sr. Thomas Watts cuyo correo electrónico estaba siendo bloqueado por nuestro firewall. Tener suficientes personas y habrá un problema.
MaskedPlant
13
@MaskedPlant: me encantan los nombres de usuario divertidos. Una vez tuvimos un Cliente que utilizó un estándar IBM RACFID de "primeros cuatro caracteres de apellido, primera inicial, inicial del segundo nombre". "Susan Penington" no estaba contenta con esto, como puedes imaginar. Tampoco estaba "Mary Utt" feliz con la primera inicial / apellido en otro sitio ...> sonrisa <
Evan Anderson
44
{first initial} {last name} parece ser el más común y es relativamente seguro para negocios pequeños y medianos. Hace que el departamento de ventas sea mucho más fácil tener una convención común cuando se hacen esas llamadas telefónicas y se habla B2B.
Chad Harrison el
2
Me recuerda una tira de Dilbert: search.dilbert.com/comic/Utthead
KeithS

Respuestas:

65

Este es un problema crónico con grandes sistemas de gestión de identidad que intentan unir sistemas heterogéneos. Invariablemente, estará limitado al mínimo común denominador, que con demasiada frecuencia es un límite ASCII-alfanumérico de 8 caracteres gracias a algún sistema (probablemente heredado) similar a Unix en algún lugar de las entrañas del centro de datos. Esos sofisticados sistemas modernos pueden tomar una longitud arbitraria. Es poco probable que se usen nombres de usuario UTF8.

Pasé 7 años en una institución de educación superior donde tuvimos que encontrar nombres de usuario de 8 caracteres para 5000 nuevos estudiantes cada año. Para cuando me fui, habíamos encontrado nombres únicos para 15 años de estudiantes. Esto se puede hacer, Sr. smitj510

Cosas que harán tu vida mucho más fácil:

  • Averigua cuál es tu mínimo común denominador, lo que requiere analizar cada parte de tu sistema de gestión de identidad para descubrir cuáles son los límites.
    • Ese viejo sistema Solaris 7 está forzando el límite de 8 caracteres.
    • Las aplicaciones críticas que usan datos de identidad tienen sus propios límites que deberá tener en cuenta.
      • Quizás esperan que los datos de usuario de LDAP se ajusten a un 'estándar' exclusivo para ellos.
      • Quizás la base de datos de autenticación que usan solo puede manejar ciertos datos formateados.
  • Tenga una tabla de base de datos con una lista del One True Identifier (ese nombre de cuenta de 8 caracteres), con enlaces / campos que enumeren identificaciones alternativas firstname.lastnameo cualquier otra cosa que pueda aparecer.
    • El software estándar puede hacer algunas cosas realmente extrañas y poco amigables con los IDM, como usar una identificación numérica para el nombre de la cuenta o generar automáticamente ID de la cuenta en función de los datos del perfil. Todo lo que entra en la tabla de la base de datos también.
    • Esto también ayuda a las personas con caracteres que no son [az | 0-9] en sus nombres como Harry O'Neil, o que no son ASCII como Alžbêta.
  • Cuando cree los procesos de sincronización de su cuenta, aproveche la tabla de la base de datos para asegurarse de que las cuentas correctas reciban las actualizaciones correctas. Cuando los nombres cambian (matrimonio, divorcio, otros), desea que esos cambios se propaguen a los lugares correctos.
    • Configure las propias bases de datos de identidad para evitar cambios locales cuando sea posible, y el proceso comercial para desalentarlo cuando no sea posible. Confíe en el proceso central de sincronización de cuentas para todo lo que pueda.
  • Aproveche los sistemas de alias siempre que pueda, como en el correo electrónico.
  • Considere la identificación de 8 caracteres inmutables, ya que cambiar ese campo puede desencadenar una gran cantidad de dolor de corazón entre el personal de TI, ya que las cuentas deben recrearse.
    • Esto sugiere una identificación de cuenta no derivada de los datos del nombre, ya que el matrimonio / divorcio / orden judicial puede cambiar los datos del nombre con el tiempo.
  • Tenga un sistema para excepciones, ya que siempre habrá algunas.
    • ¿Un divorcio horrible y ese UID de 8 caracteres generado por datos de nombre trae recuerdos desgarradores cada vez que tiene que ingresar? Sea amable con sus usuarios y permita un mecanismo para estos cambios, pero manténgalo en silencio.
  • Haga lo que pueda para permitir múltiples inicios de sesión de nombre de usuario en los sistemas donde esa es una opción
    • A algunas personas les gusta su uid de 8 caracteres, a otras les gusta [email protected]. Sé flexible, haz amigos.
    • A veces, esto requiere poner al frente sus sistemas basados ​​en la web con un marco de inicio de sesión único como CAS . Se sorprenderá de cuántos sistemas listos para usar pueden admitir marcos SSO como este, así que no se desanime.

Es decir, trátelo como un problema de base de datos porque eso es lo que es. Elija una clave principal para obtener la máxima compatibilidad con sus sistemas (probablemente de 8 caracteres), cree una tabla de búsqueda para permitir que los sistemas traduzcan las identificaciones locales a la clave principal e ingenie sus sistemas de sincronización de datos para manejar diversas identificaciones.

sysadmin1138
fuente
44
¡Respuesta fantástica y bien escrita (e iluminadora)!
Mei
12
+1 Por no derivar nombres de usuario de datos de nombre. Tener que renombrar directorios de inicio por matrimonio / divorcio es irritante. Su declaración sobre "personajes extraños" me hace pensar en Little Bobby Tables y el conserje de mi antigua escuela secundaria, que estoy seguro tiene problemas para comprar cosas en línea, Sr. Robert Null (no es broma).
Evan Anderson el
Me gusta "Establecer un sistema para excepciones, ya que siempre habrá algunas". parte. Esto definitivamente es muy cierto. Aunque no veo cómo smithj510es un gran nombre de usuario de ocho caracteres;)
esquema y
2
+1 para abordar el matrimonio y el divorcio. Esto ha causado muchos problemas. Muchas compañías actúan como si el empleado fuera el primero en cambiar su nombre.
mhoran_psprep
55
@mhoran_psprep Y si usted es lo suficientemente grande, vas a conseguir a alguien haciendo un legal primer cambio de nombre. Muchos sistemas configurados para cambios de apellido se rompen en ese caso.
sysadmin1138
26

Sus preguntas específicamente:

  • ¿Cuál es el mejor límite de longitud de nombre de usuario para mantener la compatibilidad en todos los usos?

No hay tal cosa. Solo hay "sus" usos, que pueden incluir sus usos futuros. No tenemos idea de cuáles son esos.

  • ¿Qué personajes se deben evitar?

Esto dependerá de con qué sistemas informáticos esté lidiando. Windows, por ejemplo, no tiene problemas con un punto en el nombre de usuario. De hecho, el UPN está formateado como una dirección de correo electrónico, lo que permite un punto.

Mis otros pensamientos:

  • No permita que sus usuarios pregunten: dígales cuál es el estándar y esté abierto a la empresa (no a los usuarios individuales) que soliciten cambios al estándar a medida que cambian los requisitos.
  • Haga una "política de excepción" en el estándar, para que pueda ayudar a las pobres Susan Penington y Mary Utt (de los comentarios anteriores) sin tener que involucrar a un vicepresidente. Haz que se vea bien, ¿verdad?
mfinni
fuente
15
Ese último comentario vale +50 :)
Mei
2
Proponer excepciones sensatas es fundamental. Hemos tenido muchas excepciones a lo largo de los años: múltiples usuarios con el mismo nombre y apellido, usuarios con apellidos muy largos, usuarios cuyo nombre y apellido eran los mismos, los usuarios que visitaban desde China y RR.HH. tenían su nombre totalmente codificado, alguien cuyo nombre se deletreaba 'Raymond Luxury-Yacht', pero se pronunciaba 'Throatwobbler Mangrove' ...
Ward
BobHope, BobHope01, BobHope3, BobHopeAccounting, BobHopeHartford
mfinni
2
Sí por la excepción! Algunos países de África ni siquiera conocen el concepto de "nombre" y "apellido": el nombre del padre se convierte en el apellido del hijo, y el hijo recibe un nuevo nombre ...
Konerak
2
Recomiendo ir más allá de tener una política de excepción e identificar a los usuarios que probablemente se beneficiarían de ella en el momento de la creación de la cuenta inicial. "Mi nombre de usuario es horrible" no debería ser algo que un nuevo empleado deba preocuparse en su primer día. Una explicación de la política estándar combinada con el reconocimiento de que podría no ser adecuada para un individuo junto con una alternativa sugerida es mucho menos estresante. Posiblemente incluso obteniendo información de contacto de Recursos Humanos para que pueda resolver el problema antes de su primer día.
Dan Neely
20

Mi experiencia ha sido que, para una empresa suficientemente grande, cualquier decisión que tome siempre tendrá problemas. Incluso si funciona hoy, siempre existe el sistema que implementará mañana que tenga problemas con el estándar anterior (problemas de longitud, problemas de caracteres, etc.).

Asegúrese de averiguar si la búsqueda de Firstname. Lastname se relaciona con el correo electrónico y no necesariamente con los nombres de inicio de sesión. Me resulta difícil creer que el usuario quiera escribir "John.Smith" en lugar de "jsmith" al iniciar sesión, pero estoy mucho más convencido de la idea de que quiere "[email protected] "como su dirección de correo electrónico. Como señala @Mfinni, siempre existe la opción de que los usuarios tengan múltiples alias de correo electrónico, reenvíos, etc. Solo hacerles saber a los usuarios que existe la opción de desvincular su nombre de usuario de su dirección de correo electrónico puede cambiar la dinámica de la solicitud.

Evan Anderson
fuente
1
Y no es que los usuarios solo puedan tener una dirección de correo electrónico. Siempre hay alias y reenvíos.
mfinni
3
Las direcciones de correo electrónico principales y de UPN de nuestros usuarios son idénticas en todo momento, por lo que simplemente les decimos a nuestros usuarios que inicien sesión con su dirección de correo electrónico donde sea que intenten iniciar sesión. Funciona muy bien ya que no tenemos ningún software antiguo que se base en netbios
Pauska
Mi experiencia ha sido que, para una empresa suficientemente grande, cualquier decisión que tome siempre tendrá problemas. Incluso si funciona hoy, siempre existe el sistema que implementará mañana que tenga problemas. "- ¿Podemos llamar a esta Ley Anderson?
Freiheit
@Freiheit: Mi declaración no merece su propio nombre ...> sonrisa <En realidad es solo causada por la aplicación general de la Ley de Murphy a TI. Murphy vive en TI ...
Evan Anderson
1
Ojalá no hubiera hecho Community Wiki'd este ahora ...> sonrisa <
Evan Anderson
13

Para sistemas Unix y Linux, {firstInitial} {lastname} es claramente ideal.

...

por razones que deberían ser obvias por el nombre asociado con esta cuenta.

Robert Oot
fuente
3
No estoy en desacuerdo, pero ¿puedes explicar por qué dices esto?
mfinni
De hecho, no estaré de acuerdo. En los sistemas AIX en mi último trabajo, estábamos limitados a 8 caracteres. Por lo tanto, Mfinnigan habría sido imposible; Tenía que ser Mfinniga. Entonces, por favor, expanda su respuesta un poco.
mfinni
2
Esta es una respuesta subjetiva sin explicación. Se podría decir con la misma facilidad que, para UNIX, {firstInitial} {middleInitial} {lastInitial} es "ideal", ya que así fue con UNIX y así fue durante años (hasta que las corporaciones con miles de empleados con nombres de usuario comenzaron a usarlo) ...)
Mei
10
Creo que podría ser una broma. Su nombre sería "root", un usuario importante en los sistemas Unix.
Jeffrey
44
... R obert Oot ... ¡ay! ¡GRACIOSO! No sé cómo me lo perdí.
Mei
7

Una cosa a tener en cuenta al establecer estándares de nomenclatura en las plataformas es un problema cosmético particular en ps en Linux (y posiblemente en otros sistemas operativos Unix). Puede que le importe esto o no (pero puede ser alarmante para alguien que no lo está esperando ... He tenido contracciones de seguridad en este caso).

La columna UID solo mostrará hasta 8 caracteres de un nombre de usuario. Si el nombre de usuario tiene más de 8 caracteres, pasará a imprimir el UID numérico real. PUEDE evitar esto teniendo un formato de columna ps personalizado que contenga el campo USUARIO, pero SOLO si USUARIO es la última columna (de mi prueba empírica).

La mayoría de las personas probablemente no se preocupe por esto, pero si está haciendo algún tipo de procesamiento de la salida ps y espera que aparezcan los nombres de usuario reales, debe tener cuidado con las longitudes de sus nombres (de lo contrario, pondrá hacks en su código hacer que ps haga lo correcto).

Por ejemplo:

Aquí está el formato de columna predeterminado para el listado de formato completo. Tenga en cuenta que mi uid está en formato numérico porque mi nombre de usuario es> 8 caracteres.

[tcampbell@tst-agg1 ~]$ ps -f
  UID        PID  PPID  C STIME TTY          TIME CMD
 2108      1368  1367  0 Jan10 pts/3    00:00:00 -bash
 2108     22303  1368  0 12:07 pts/3    00:00:00 ps -f

Vamos a recrearlo usando un formato de columna personalizado. Tenga en cuenta que he agregado la columna USUARIO. Tenga en cuenta que también está en formato numérico.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd    
  UID USER      C STIME TT           TIME CMD
 2108 2108      0 Jan10 pts/3    00:00:00 -bash
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty,time,cmd

Pasemos al USUARIO al final de la línea. Se expande a la salida "correcta".

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd,user
  UID USER      C STIME TT           TIME CMD                         USER
 2108 2108      0 Jan10 pts/3    00:00:00 -bash                       tcampbell
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty, tcampbell

Pero, tan pronto como agreguemos algo nuevo al final de la lista de columnas, vuelve a la forma numérica.

[tcampbell@tst-agg1 ~]$ ps -o uid,user,c,stime,tty,time,cmd,user,pid
  UID USER      C STIME TT           TIME CMD                         USER       PID
 2108 2108      0 Jan10 pts/3    00:00:00 -bash                       2108      1368
 2108 2108      0 12:05 pts/3    00:00:00 ps -o uid,user,c,stime,tty, 2108     21756
Travis Campbell
fuente
¿A qué sistema operativo has encontrado que esto se aplica?
mfinni
¡Interesante! Siempre me preguntaba sobre eso, por qué se usaban los números. El lastcomando tiene un problema relacionado: trunca sus registros a 8 caracteres.
Mei
Editado para reflejar que estaba hablando de Linux. No sé cómo pasó eso en mis ediciones originales.
Travis Campbell
-1

[algunas letras del nombre] [algunas letras del apellido] [nnn]

foreg: Si el nombre es Bill Gates, puede usar ' biga00 ' o bilgat000

si viene la próxima factura, será 'biga01' o bilgat001 'para él

SKumar
fuente
-1

Bueno, desde el punto de vista de Operaciones, Administración y Mantenimiento (OAM), el nombre de usuario debe distinguirse fácilmente. Sin embargo, desde el punto de vista comercial, el nombre de usuario (a / k / a alias de correo electrónico) debe ser fácilmente recordado o recuperado por otros.

Puede ser como:

  • first.last.index@domain
  • primer (inicial) .last.index @ dominio
Eddie
fuente