270 likes | 396 Views
Zentraler Verzeichnisdienst an Hochschulen. Fluch oder Segen? petersen@uni-bonn.de. Zentrale Benutzer-Verwaltung. Fluch oder Segen? petersen@uni-bonn.de. Universität Bonn. Rheinische Friedrich-Wilhelms-Universität 8 Fakultäten Ca. 400 Institute und Seminare 38.000 Studenten
E N D
Zentraler Verzeichnisdienst an Hochschulen Fluch oder Segen? petersen@uni-bonn.de Dipl.-Inform Hans Dieter Petersen
Zentrale Benutzer-Verwaltung Fluch oder Segen? petersen@uni-bonn.de Dipl.-Inform Hans Dieter Petersen
Universität Bonn • Rheinische Friedrich-Wilhelms-Universität • 8 Fakultäten • Ca. 400 Institute und Seminare • 38.000 Studenten • 7.000 Mitarbeiter (inkl. Medizinische Einr.) • jeder Angehörige ein Account Dipl.-Inform Hans Dieter Petersen
Tivoli Landeslizenz NRW • Dezember 2002 • Software und Unterstützungstage • Performance and Availability • Configuration Management • Storage • Security • Projektgruppen und Lenkungskreis • Enge Zusammenarbeit mit Business-Partner (Triaton und Sparkassen Informatik) Dipl.-Inform Hans Dieter Petersen
Tivoli-Arbeitskreis • 24./25.03.2004 in Darmstadt Dipl.-Inform Hans Dieter Petersen
Benutzerverwaltung • Seit 1975 Benutzerverwaltung • Für MVS und TSO • Einsatz bis 1999 • Für MVS/TSO/VM mit 3000 Nutzern • Benutzerverwaltung 2000 • Für AFS/AIX mit 25.000 Nutzern • Benutzerverwaltung 2004 Dipl.-Inform Hans Dieter Petersen
Warum neue Benutzerverwaltung • Oracle-Datenbank und Forms • Keine Web-Schnittstelle • Provisionierung nur nach AFS • Keine Reconciliation • Keine dezentrale Admin-Schnittstelle • Zentrales LDAP ist keine Lösung! Dipl.-Inform Hans Dieter Petersen
Personen vs. Account(1) • Systemadmins sprechen von Accounts • Authentifizierung • Zugriffsrechte • Abrechnung (accounting) • personenbezogene Daten zwecks Rücksprache • notwendige System-Accounts • Welche Accounts gehören zu welcher Person? Dipl.-Inform Hans Dieter Petersen
Personen vs. Accounts(2) • Personalverwaltung Personendaten • Organisationsstruktur Rolle • Eine Person hat weitere Rollen • Rollen führen zu accounts • Automatismen und Workflow • Provisionierung der Accounts • Zuordnung von Accounts zu Personen • Reconciliation der Accounts Dipl.-Inform Hans Dieter Petersen
Heterogene Systeme • Genau 1 Authoriserungsservice? • Single Sign on • Kerberos • LDAP • Genau 1 Verzeichnisdienst? • Meta-Directory LDAP • Anpassung der Anwendung • Authentifizierung ja, Login nein? Dipl.-Inform Hans Dieter Petersen
Daten für Benutzerverwaltung • Suche der Datenquellen • Personendaten • Accountdaten im weitesten Sinne • Erfassung der Prozesse • Immatrikulation • Einstellung von Mitarbeitern • Gäste/Tagungen • Zuordnung von Zugriffsrechten • Statisch <-> Rollenbasiert • Dezentrale Administration • Zustimmungspflichtig Dipl.-Inform Hans Dieter Petersen
Bib.- system AD Exchange Verwalt. AD HRZ AIX - NIS CM TSM BuiSy IBM Tivoli Access Manager Mail: In Out Box Samba - Radius Telefon IBM Tivoli Identity ManagerArchitektur für Duisburg-Essen HISSOS HISSVA „Mein Profil“ Erfassung Gäste- Gruppen (Konferenz) HISMBS Erfassung Telefondat. Erfassung Email Erfassung Inf.Selbst. IBM Directory Integrator (IDI) IDI Web Admin Erfassung Gäste IBM Tivoli Identity Manager DB. Zentrales LDAP Provisioning IDI Externe Directories/ Anwendungen Dipl.-Inform Hans Dieter Petersen
Umsetzung • Zentrale Aufgabe • Möglichst alle Betroffenen an einem Tisch • Datenschutz • Workflow • Wer, wo, warum ein/ausgetragen wird • Rollenänderung Änderung der Zugriffsrechte • Personalräte • Es steht fest, wo personenbezogene liegen Dipl.-Inform Hans Dieter Petersen
Eingesetze Produkte • IBM Tivoli Directory Server (LDAP) • IBM Tivoli Identity Manager (ITIM 4.5) • IBM Directory Integrator (IDI) • IBM Tivoli Access Manager eBusiness (TAM) Dipl.-Inform Hans Dieter Petersen
ITIM 4.5 • IBM Tivoli Identity Manager • Servlet basierender LDAP Editor • 70 Agents für gängige Account-Verwaltung • ADS, UNIX, Novell, RACF, Database, LDAP, CLI, Exchange, etc. • GUI für User Self Service • Password Management • Dezentrale Admin Delegation • LifeCycle und Workflow • Directory Integrator beliebige Datenquellen Dipl.-Inform Hans Dieter Petersen
Highlights • GUI editor für alle GUIs • Workflow editor • Alle Daten liegen im LDAP • Javascript • Erweiterung mit Servlets möglich • Syntaxcheck bei Eingabe • Eskalationsfeature bei Workflow • Accept, Reject oder Request for Input Dipl.-Inform Hans Dieter Petersen
Einsatz im HRZ • Februar 03: TIM 4.4 installiert • März 03: Workshop zu TIM 4.4 • Datenquellen • Welche Rollen • Welche Zielsysteme • Juni 03: ESP zu TIM 4.5 • Dezember 03: TIM 4.5 • Festlegen der Organisation • Agenten auf Basis von CLI-X • Erweiterung der Servlets • März 04: • Festlegung der Datenmatrix Dipl.-Inform Hans Dieter Petersen
Was fehlt(e) in TIM? • Studentendaten über Datenaustausch • Student kann Account frei wählen (eindeutig!) • Student/Nutzer kann e-Mail Adresse frei wählen • Account wird erst durch den Nutzer frei geschaltet (implizite Zustimmung zur Benutzungsordnung!) • Accounts haben ein Ende-Datum • Verlängerung Dipl.-Inform Hans Dieter Petersen
Schlußfolgerungen • LDAP löst nicht die Probleme sondern zentralisiert sie! • Es besteht ein Unterschied zwischen Personen und Accounts! • Beginne mit wenigen Datenquellen! • Aus Sicherheitsgründen müssen sich nicht nur Personen sondern auch Rechner authentifizieren! Dipl.-Inform Hans Dieter Petersen
ITIM Login Dipl.-Inform Hans Dieter Petersen
Organisation Dipl.-Inform Hans Dieter Petersen
Accounts Dipl.-Inform Hans Dieter Petersen
GUI Editor Dipl.-Inform Hans Dieter Petersen
Services Dipl.-Inform Hans Dieter Petersen
Workflow Editor Dipl.-Inform Hans Dieter Petersen