ZKI, März 04 1Dipl.-Inform Hans Dieter Petersen
Zentraler Verzeichnisdienst an Hochschulen
Fluch oder Segen?
ZKI, März 04 2Dipl.-Inform Hans Dieter Petersen
Zentrale Benutzer-Verwaltung
Fluch oder Segen?
ZKI, März 04 3Dipl.-Inform Hans Dieter Petersen
Universität Bonn
• Rheinische Friedrich-Wilhelms-Universität
• 8 Fakultäten
• Ca. 400 Institute und Seminare
• 38.000 Studenten
• 7.000 Mitarbeiter (inkl. Medizinische Einr.)
jeder Angehörige ein Account
ZKI, März 04 4Dipl.-Inform Hans Dieter Petersen
ZKI, März 04 5Dipl.-Inform Hans Dieter Petersen
ZKI, März 04 6Dipl.-Inform Hans Dieter Petersen
Tivoli Landeslizenz NRW
• Dezember 2002
• Software und Unterstützungstage– Performance and Availability– Configuration Management– Storage– Security
• Projektgruppen und Lenkungskreis– Enge Zusammenarbeit mit Business-Partner
(Triaton und Sparkassen Informatik)
ZKI, März 04 7Dipl.-Inform Hans Dieter Petersen
Tivoli-Arbeitskreis
• 24./25.03.2004 in Darmstadt
ZKI, März 04 8Dipl.-Inform Hans Dieter Petersen
Benutzerverwaltung
• Seit 1975 Benutzerverwaltung– Für MVS und TSO
• Einsatz bis 1999– Für MVS/TSO/VM mit 3000 Nutzern
• Benutzerverwaltung 2000– Für AFS/AIX mit 25.000 Nutzern
• Benutzerverwaltung 2004
ZKI, März 04 9Dipl.-Inform Hans Dieter Petersen
Warum neue Benutzerverwaltung
• Oracle-Datenbank und Forms– Keine Web-Schnittstelle– Provisionierung nur nach AFS– Keine Reconciliation– Keine dezentrale Admin-Schnittstelle
• Zentrales LDAP ist keine Lösung!
ZKI, März 04 10Dipl.-Inform Hans Dieter Petersen
Personen vs. Account(1)
• Systemadmins sprechen von Accounts– Authentifizierung– Zugriffsrechte– Abrechnung (accounting)– personenbezogene Daten zwecks Rücksprache– notwendige System-Accounts– Welche Accounts gehören zu welcher Person?
ZKI, März 04 11Dipl.-Inform Hans Dieter Petersen
Personen vs. Accounts(2)
• Personalverwaltung Personendaten
• Organisationsstruktur Rolle
• Eine Person hat weitere Rollen
• Rollen führen zu accounts
• Automatismen und Workflow– Provisionierung der Accounts
• Zuordnung von Accounts zu Personen– Reconciliation der Accounts
ZKI, März 04 12Dipl.-Inform Hans Dieter Petersen
Heterogene Systeme
• Genau 1 Authoriserungsservice?– Single Sign on – Kerberos– LDAP
• Genau 1 Verzeichnisdienst?– Meta-Directory LDAP– Anpassung der Anwendung– Authentifizierung ja, Login nein?
ZKI, März 04 13Dipl.-Inform Hans Dieter Petersen
Daten für Benutzerverwaltung
• Suche der Datenquellen– Personendaten– Accountdaten im weitesten Sinne
• Erfassung der Prozesse– Immatrikulation– Einstellung von Mitarbeitern– Gäste/Tagungen
• Zuordnung von Zugriffsrechten– Statisch <-> Rollenbasiert– Dezentrale Administration– Zustimmungspflichtig
ZKI, März 04 14Dipl.-Inform Hans Dieter Petersen
IBM Tivoli Identity ManagerArchitektur für Duisburg-Essen
HISSOS HISSVA ErfassungInf.Selbst.
ErfassungEmail
ErfassungTelefondat.
ErfassungGäste-
Gruppen(Konferenz)
HISMBS
IBM Directory Integrator (IDI)
IBM Tivoli Identity Manager DB.
Web AdminErfassung
Gäste
„Mein Profil“
Provisioning
IDI
IDI
ZentralesLDAP
Bib.-system
ADExchangeVerwalt.
ADHRZ Mail: In Out Box
Samba - Radius
AIX - NISCM TSM
BuiSy
Telefon
IBM Tivoli
AccessManager
ExterneDirectories/
Anwendungen
ZKI, März 04 15Dipl.-Inform Hans Dieter Petersen
Umsetzung
• Zentrale Aufgabe– Möglichst alle Betroffenen an einem Tisch
• Datenschutz– Workflow
• Wer, wo, warum ein/ausgetragen wird
– Rollenänderung Änderung der Zugriffsrechte
• Personalräte– Es steht fest, wo personenbezogene liegen
ZKI, März 04 16Dipl.-Inform Hans Dieter Petersen
Eingesetze Produkte
• IBM Tivoli Directory Server (LDAP)
• IBM Tivoli Identity Manager (ITIM 4.5)
• IBM Directory Integrator (IDI)
• IBM Tivoli Access Manager eBusiness (TAM)
ZKI, März 04 17Dipl.-Inform Hans Dieter Petersen
ITIM 4.5
• IBM Tivoli Identity Manager– Servlet basierender LDAP Editor– 70 Agents für gängige Account-Verwaltung
• ADS, UNIX, Novell, RACF, Database, LDAP, CLI, Exchange, etc.
– GUI für User Self Service• Password Management
– Dezentrale Admin Delegation– LifeCycle und Workflow– Directory Integrator beliebige Datenquellen
ZKI, März 04 18Dipl.-Inform Hans Dieter Petersen
Highlights
• GUI editor für alle GUIs
• Workflow editor
• Alle Daten liegen im LDAP
• Javascript– Erweiterung mit Servlets möglich– Syntaxcheck bei Eingabe
• Eskalationsfeature bei Workflow
• Accept, Reject oder Request for Input
ZKI, März 04 19Dipl.-Inform Hans Dieter Petersen
Einsatz im HRZ
• Februar 03: TIM 4.4 installiert• März 03: Workshop zu TIM 4.4
– Datenquellen– Welche Rollen– Welche Zielsysteme
• Juni 03: ESP zu TIM 4.5• Dezember 03: TIM 4.5
– Festlegen der Organisation– Agenten auf Basis von CLI-X– Erweiterung der Servlets
• März 04:– Festlegung der Datenmatrix
ZKI, März 04 20Dipl.-Inform Hans Dieter Petersen
Was fehlt(e) in TIM?
• Studentendaten über Datenaustausch– Student kann Account frei wählen (eindeutig!)– Student/Nutzer kann e-Mail Adresse frei wählen– Account wird erst durch den Nutzer frei
geschaltet (implizite Zustimmung zur Benutzungsordnung!)
• Accounts haben ein Ende-Datum– Verlängerung
ZKI, März 04 21Dipl.-Inform Hans Dieter Petersen
Schlußfolgerungen
• LDAP löst nicht die Probleme sondern zentralisiert sie!
• Es besteht ein Unterschied zwischen Personen und Accounts!
• Beginne mit wenigen Datenquellen!
• Aus Sicherheitsgründen müssen sich nicht nur Personen sondern auch Rechner authentifizieren!
ZKI, März 04 22Dipl.-Inform Hans Dieter Petersen
ITIM Login
ZKI, März 04 23Dipl.-Inform Hans Dieter Petersen
Organisation
ZKI, März 04 24Dipl.-Inform Hans Dieter Petersen
Accounts
ZKI, März 04 25Dipl.-Inform Hans Dieter Petersen
GUI Editor
ZKI, März 04 26Dipl.-Inform Hans Dieter Petersen
Services
ZKI, März 04 27Dipl.-Inform Hans Dieter Petersen
Workflow Editor