1 / 27

Zentraler Verzeichnisdienst an Hochschulen

Zentraler Verzeichnisdienst an Hochschulen. Fluch oder Segen? petersen@uni-bonn.de. Zentrale Benutzer-Verwaltung. Fluch oder Segen? petersen@uni-bonn.de. Universität Bonn. Rheinische Friedrich-Wilhelms-Universität 8 Fakultäten Ca. 400 Institute und Seminare 38.000 Studenten

dana
Download Presentation

Zentraler Verzeichnisdienst an Hochschulen

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de Dipl.-Inform Hans Dieter Petersen

  2. Zentrale Benutzer-Verwaltung Fluch oder Segen? petersen@uni-bonn.de Dipl.-Inform Hans Dieter Petersen

  3. Universität Bonn • Rheinische Friedrich-Wilhelms-Universität • 8 Fakultäten • Ca. 400 Institute und Seminare • 38.000 Studenten • 7.000 Mitarbeiter (inkl. Medizinische Einr.) •  jeder Angehörige ein Account Dipl.-Inform Hans Dieter Petersen

  4. Dipl.-Inform Hans Dieter Petersen

  5. Dipl.-Inform Hans Dieter Petersen

  6. Tivoli Landeslizenz NRW • Dezember 2002 • Software und Unterstützungstage • Performance and Availability • Configuration Management • Storage • Security • Projektgruppen und Lenkungskreis • Enge Zusammenarbeit mit Business-Partner (Triaton und Sparkassen Informatik) Dipl.-Inform Hans Dieter Petersen

  7. Tivoli-Arbeitskreis • 24./25.03.2004 in Darmstadt Dipl.-Inform Hans Dieter Petersen

  8. Benutzerverwaltung • Seit 1975 Benutzerverwaltung • Für MVS und TSO • Einsatz bis 1999 • Für MVS/TSO/VM mit 3000 Nutzern • Benutzerverwaltung 2000 • Für AFS/AIX mit 25.000 Nutzern • Benutzerverwaltung 2004 Dipl.-Inform Hans Dieter Petersen

  9. Warum neue Benutzerverwaltung • Oracle-Datenbank und Forms • Keine Web-Schnittstelle • Provisionierung nur nach AFS • Keine Reconciliation • Keine dezentrale Admin-Schnittstelle • Zentrales LDAP ist keine Lösung! Dipl.-Inform Hans Dieter Petersen

  10. Personen vs. Account(1) • Systemadmins sprechen von Accounts • Authentifizierung • Zugriffsrechte • Abrechnung (accounting) • personenbezogene Daten zwecks Rücksprache • notwendige System-Accounts • Welche Accounts gehören zu welcher Person? Dipl.-Inform Hans Dieter Petersen

  11. Personen vs. Accounts(2) • Personalverwaltung  Personendaten • Organisationsstruktur  Rolle • Eine Person hat weitere Rollen • Rollen führen zu accounts • Automatismen und Workflow • Provisionierung der Accounts • Zuordnung von Accounts zu Personen • Reconciliation der Accounts Dipl.-Inform Hans Dieter Petersen

  12. Heterogene Systeme • Genau 1 Authoriserungsservice? • Single Sign on • Kerberos • LDAP • Genau 1 Verzeichnisdienst? • Meta-Directory  LDAP • Anpassung der Anwendung • Authentifizierung ja, Login nein? Dipl.-Inform Hans Dieter Petersen

  13. Daten für Benutzerverwaltung • Suche der Datenquellen • Personendaten • Accountdaten im weitesten Sinne • Erfassung der Prozesse • Immatrikulation • Einstellung von Mitarbeitern • Gäste/Tagungen • Zuordnung von Zugriffsrechten • Statisch <-> Rollenbasiert • Dezentrale Administration • Zustimmungspflichtig Dipl.-Inform Hans Dieter Petersen

  14. Bib.- system AD Exchange Verwalt. AD HRZ AIX - NIS CM TSM BuiSy IBM Tivoli Access Manager Mail: In Out Box Samba - Radius Telefon IBM Tivoli Identity ManagerArchitektur für Duisburg-Essen HISSOS HISSVA „Mein Profil“ Erfassung Gäste- Gruppen (Konferenz) HISMBS Erfassung Telefondat. Erfassung Email Erfassung Inf.Selbst. IBM Directory Integrator (IDI) IDI Web Admin Erfassung Gäste IBM Tivoli Identity Manager DB. Zentrales LDAP Provisioning IDI Externe Directories/ Anwendungen Dipl.-Inform Hans Dieter Petersen

  15. Umsetzung • Zentrale Aufgabe • Möglichst alle Betroffenen an einem Tisch • Datenschutz • Workflow • Wer, wo, warum ein/ausgetragen wird • Rollenänderung  Änderung der Zugriffsrechte • Personalräte • Es steht fest, wo personenbezogene liegen Dipl.-Inform Hans Dieter Petersen

  16. Eingesetze Produkte • IBM Tivoli Directory Server (LDAP) • IBM Tivoli Identity Manager (ITIM 4.5) • IBM Directory Integrator (IDI) • IBM Tivoli Access Manager eBusiness (TAM) Dipl.-Inform Hans Dieter Petersen

  17. ITIM 4.5 • IBM Tivoli Identity Manager • Servlet basierender LDAP Editor • 70 Agents für gängige Account-Verwaltung • ADS, UNIX, Novell, RACF, Database, LDAP, CLI, Exchange, etc. • GUI für User Self Service • Password Management • Dezentrale Admin Delegation • LifeCycle und Workflow • Directory Integrator  beliebige Datenquellen Dipl.-Inform Hans Dieter Petersen

  18. Highlights • GUI editor für alle GUIs • Workflow editor • Alle Daten liegen im LDAP • Javascript • Erweiterung mit Servlets möglich • Syntaxcheck bei Eingabe • Eskalationsfeature bei Workflow • Accept, Reject oder Request for Input Dipl.-Inform Hans Dieter Petersen

  19. Einsatz im HRZ • Februar 03: TIM 4.4 installiert • März 03: Workshop zu TIM 4.4 • Datenquellen • Welche Rollen • Welche Zielsysteme • Juni 03: ESP zu TIM 4.5 • Dezember 03: TIM 4.5 • Festlegen der Organisation • Agenten auf Basis von CLI-X • Erweiterung der Servlets • März 04: • Festlegung der Datenmatrix Dipl.-Inform Hans Dieter Petersen

  20. Was fehlt(e) in TIM? • Studentendaten über Datenaustausch • Student kann Account frei wählen (eindeutig!) • Student/Nutzer kann e-Mail Adresse frei wählen • Account wird erst durch den Nutzer frei geschaltet (implizite Zustimmung zur Benutzungsordnung!) • Accounts haben ein Ende-Datum • Verlängerung Dipl.-Inform Hans Dieter Petersen

  21. Schlußfolgerungen • LDAP löst nicht die Probleme sondern zentralisiert sie! • Es besteht ein Unterschied zwischen Personen und Accounts! • Beginne mit wenigen Datenquellen! • Aus Sicherheitsgründen müssen sich nicht nur Personen sondern auch Rechner authentifizieren! Dipl.-Inform Hans Dieter Petersen

  22. ITIM Login Dipl.-Inform Hans Dieter Petersen

  23. Organisation Dipl.-Inform Hans Dieter Petersen

  24. Accounts Dipl.-Inform Hans Dieter Petersen

  25. GUI Editor Dipl.-Inform Hans Dieter Petersen

  26. Services Dipl.-Inform Hans Dieter Petersen

  27. Workflow Editor Dipl.-Inform Hans Dieter Petersen

More Related