Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Identity Management an der Universität Mainz Carsten Allendörfer Zentrum für Datenverarbeitung Johannes Gutenberg-Universität Mainz.

Ähnliche Präsentationen


Präsentation zum Thema: "Identity Management an der Universität Mainz Carsten Allendörfer Zentrum für Datenverarbeitung Johannes Gutenberg-Universität Mainz."—  Präsentation transkript:

1 Identity Management an der Universität Mainz Carsten Allendörfer Zentrum für Datenverarbeitung Johannes Gutenberg-Universität Mainz

2 März C. Allendörfer, ZDV Uni-Mainz Inhalt Rückblick –Alte Benutzerverwaltung von NT4/Unix/Oracle –Probleme, Wunschvorstellung Active Directory Benutzerverwaltung –Unixintegration Metadirectory für was? Demos

3 März C. Allendörfer, ZDV Uni-Mainz Alte Benutzerverwaltung Eingesetzt für NT4, Unix (yp) –implementiert als WWW-Seite mit Daten in Oracle-DB –alle Aktionen werden im Moment der Eingabe in die Datenbank sofort auf NT4 und im YP durchgeführt –Passwortsynchronisierung über WWW-Seite –Push-Verfahren

4 März C. Allendörfer, ZDV Uni-Mainz Probleme der alten BV Push-Verfahren Rollback von Transaktionen Probleme bei Ausfall eines der Systeme keine Delegationsmöglichkeit ! Passwortsynchronisierung unzuverlässig, umständlich für die Benutzer

5 März C. Allendörfer, ZDV Uni-Mainz Wunschvorstellung Nur ein zentrales Verzeichnis Alle Systeme gleichen regelmäßig den Ist- Zustand mit dem Soll-Zustand ab und passen sich entsprechend an. Nicht umsetzbar ! –NetApp Homedirs –Abgleich teilweise nicht möglich (Rename)

6 März C. Allendörfer, ZDV Uni-Mainz Active Directory BV Anforderungen: –Alle Daten sollen nur an einer Stelle gespeichert und verwaltet werden. –Passwort nur an einer Stelle gespeichert –Delegation von einzelnen Aufgaben an FB oder Institute soll möglich sein. Folgerungen: –Kerberos muss von allen Systemen genutzt werden. –LDAP nutzen - falls möglich, sonst Export.

7 März C. Allendörfer, ZDV Uni-Mainz Problem: Delegation Beispiel: FB-Admin hat folgende Rechte: –CCDC User (Create) –RPWP firstname, lastname, title (read/write property) –Attribute sAMAccountName, uidnumber, mail werden automatisch ausgefüllt FB-Admin legt Benutzeraccount an. Einstellung erlaubt nur die Änderung der delegierten Attribute aber: Änderung der ACL ist möglich, damit auch die Änderung von allen Attributen.

8 März C. Allendörfer, ZDV Uni-Mainz Lösung: Delegation CreateObjectService, Aufgaben: –Umwandlung von Objekten vom Typ RequestNewUser, RequestNewGroup, RequestNewOU in User, Group, bzw. OU –RequestObjekte haben nur wenige Attribute wie Name, Vorname, Accountname. –Syntaxprüfung vor Einrichtung des eigentlichen Objekts. –Serialisierung –Delegierte Rechte an User, Group und OU können nicht überschritten werden –Protokollierung

9 März C. Allendörfer, ZDV Uni-Mainz Lösung: Delegation Nachteil: –Quotas im AD (ab Windows 2003) können nicht genutzt werden, dadurch DoS-Angriff möglich. –falls notwendig, dann eigene Verwaltung in CreateObjectService

10 März C. Allendörfer, ZDV Uni-Mainz Komponenten der ADBV Request Objekte –bearbeitet von RequestNewObject Request(User/Group/OU)-* Attribute –werden vom Dispatcher in Startwerte für Workflows umgewandelt –teils für OU Admins schreibbar ADBV-* Dienste, die Einzelschritte der Benutzerverwaltung implementieren, z.B. –User sperren –Mailaccount anlegen

11 März C. Allendörfer, ZDV Uni-Mainz ADBV Workflow Beispiel 1 UserMARequestFull –ADBVUserSyntaxCheck –ADBVUserDisable –ADBVUserMailWinCreate –ADBVUserUIDCreate –ADBVUserPrintAccountCreate –ADBVUserHomeDirCreate –ADBVUserProfileCreate –ADBVUserEnable

12 März C. Allendörfer, ZDV Uni-Mainz ADBV Workflow Beispiel 2 UserLDRequestFull –ADBVUserSyntaxCheck –ADBVUserDisable –ADBVUserUIDCreate –ADBVUserPrintAccountCreate –ADBVUserEnable

13 März C. Allendörfer, ZDV Uni-Mainz ADBV Useranlegen RequestNewUser Active Directory Uni-Mainz.DE anlegen suchenRequest Dis-patcher CreateObjectService UserReq. del Sucht User mit RequestFull User Setzt Workflow auf UIDCreate SyntaxCheck Enable Disable PrintAccountCreate Sucht 11000, 21000, Findet Setzt Workflow auf Sucht 11010, 21010, Findet Setzt Workflow auf Sucht 11020, Findet Setzt Workflow auf Sucht 21030, Findet Setzt Workflow auf Sucht 11040, 21040, Findet Setzt Workflow auf Sucht 11080, 21090, Findet Löscht Workflow Request User

14 März C. Allendörfer, ZDV Uni-Mainz ADBV-Dienste Jeder Service liest seine Konfiguration aus dem AD aus – teils global, teils von OU abhängig. 4 Accounttypen: –Mitarbeiter –Studierender –Nur Login –Nur Login und Druckkonto Workflows für Gruppen und OUs Erweiterung sehr einfach im laufenden Betrieb möglich

15 März C. Allendörfer, ZDV Uni-Mainz Datenimport Studierende: –Abgleich über Textdatei –werden zunächst normale Accounts, bei Freischaltung wird ADBVRequestFull gesetzt Mitarbeiteracconts –Antrag über WWW-Formular, erzeugt RequestObject, das nicht umgewandelt wird –Umwandlung kann durch ZDV oder OU Admin gestartet werden.

16 März C. Allendörfer, ZDV Uni-Mainz Unixintegration YP Tabellen werden durch Export aus AD erzeugt. Solaris kann AD (aLDAP/Krb5) statt YP nutzen MIT Kerberos zur Authentisierung –Heimdal inzwischen auch Probleme bei Windows 2003 Umstellung –UDP/TCP für NFSv4 auch Tickets unter Unix notwendig –Problem: Computeraccounts

17 März C. Allendörfer, ZDV Uni-Mainz Metadirectory ADBV kann alle Delegations- und Administrationsaufgaben erfüllen Zusatznutzen: –Synchronisierung mit nicht LDAP-aware Applikationen –Synchronisierung von Teildaten zu FB Datenbanken MetaDirectory kann mit bestehender ABDV zusammenarbeiten Tests Anfang 2003, MIIS Ende 2003 gekauft.

18 März C. Allendörfer, ZDV Uni-Mainz MIIS Konzept (MS) Connected Data Source (CD) –Any source and/or destination containing identity data Management Agent (MA) –Facilitates the communication between MIIS and the CD Connector Space (CS) –Staging area for inbound or outbound synchronized attributes Metaverse (MV) –Central (SQL) store of identity information –Matching CS entries to a single MV entry is called join CD MIIS CS MV MA

19 März C. Allendörfer, ZDV Uni-Mainz Metadirectory Konzept Eigene Ergänzungen: –keine Hierarchie

20 März C. Allendörfer, ZDV Uni-Mainz Metadirectory Connectors Active Directory 2000/2003 Exchange 2000/2003 ADAM SunOne Directory (iPlanet) SQL Oracle DSML 2.0 LDAP Directory Interchange Format (LDIF) Delimited Text Fixed-Width Text Attribute-Value Pair Text NT4 Exchange 5.5 Lotus Notes 4.6 and 5.0 Novell eDirectory 8.62/8.7

21 März C. Allendörfer, ZDV Uni-Mainz Metadirectory Connectors Updates in 2004: –IBM DB2 MA OS/390, AS/400, NT, Unix –IBM Directory Server –Corporate MA Development Kit –Simple XML –Generic LDAPv3 MA Kit

22 März C. Allendörfer, ZDV Uni-Mainz State- vs. Event- based (MS) State-based systems are more robust –Storing state information means the system knows what to expect on the connected system –The system can respond if things go wrong Event-based systems can be quicker to respond –Events fire in response to changes in systems, but… –…events can get lost MIIS provides the best of both –Our state based approach allows us to take a pessimistic view of connected system uptime/connectivity –Our architecture allows high flexibility Runs can be controlled via schedules, events via WMI, etc. System can process only changes in the connected systems Microsoft OTG runs runs per day

23 März C. Allendörfer, ZDV Uni-Mainz Definitionen (MS) Connected Directory –A connected directory is a directory, database, or other data repository that contains data that is integrated into the metadirectory Connector Space –Connector Space is a storage area that is used by management agents to import data from a connected directory. In other words, the connector namespace is a staging area that is used by management agents to move data into and out of the metadirectory –Each connected directory has its own area in the connector namespace, which is managed by its corresponding management agent. The contents in the connector namespace are the attributes of interest to the connected directory Management Agent (MA) –A management agent connects a specific connected directory to the metadirectory. A management agent takes data from the connected directory and imports that data into the metadirectory. When data in the metadirectory is modified, the management agent also exports the data to the connected directory to keep the metadirectory synchronized with the connected directory. There is one management agent for each connected directory

24 März C. Allendörfer, ZDV Uni-Mainz Definitionen (MS) Metadirectory –The MMS metadirectory stores and integrates information from connected directories. The metadirectory consists of two logical namespaces: Connector Space and the Metaverse Metaverse –The metaverse is the area of the metadirectory that contains the integrated identity information from multiple connected directories. The metaverse contains entries that represent the global, integrated view of combined objects. Therefore, all identity information about a specific person, which is stored in multiple connected directories, is synthesized into a single entry in the metaverse

25 März C. Allendörfer, ZDV Uni-Mainz Scenarios (MS) Hire Scenario Fire Scenario Join Scenario Identity Data Aggregation Identity Data Brokering (Identity Convergence) Identity Data Integrity Enforcement

26 März C. Allendörfer, ZDV Uni-Mainz Hire Scenario (MS) HRSystem Metadirectory Notes ContractorSystem AD App Mode SQLServer iPlanetDirectory ActiveDirectory LotusNotes File LDAP SQL LDAP

27 März C. Allendörfer, ZDV Uni-Mainz Fire Scenario (MS) HRSystem Metadirectory Notes ContractorSystem AD App Mode SQLServer iPlanetDirectory ActiveDirectory LotusNotes File LDAP SQL LDAP

28 März C. Allendörfer, ZDV Uni-Mainz Identity Joining (MS) HRSystem Metadirectory iPlanetDirectory ActiveDirectory LotusNotes givenName sn title mail employeeID telephone Klarek Cenntt 008 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Clark Kennttt 007 givenName sn title mail employeeID telephone Klarke Kent Superhero Clark Kent 007 Reporter Clark Kent Reporter 007 Project to Metaverse givenName sn title mail employeeID telephone Clark Kent 007 Join on employeeID JOINED 007 Join on employeeID JOINED Join on employeeID JOINED Manual Join

29 März C. Allendörfer, ZDV Uni-Mainz Attribute Flow (MS) HRSystem Metadirectory iPlanetDirectory ActiveDirectory LotusNotes FirstName LastName EmployeeID Title Telephone givenName sn title mail employeeID telephone Klarek Cenntt 008 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Clark Kennttt 007 givenName sn title mail employeeID telephone Klarke Kent Superhero 007 givenName sn title mail employeeID telephone Clark Kent 007 Reporter Clark Kent Reporter 007 Identity Data Aggregation givenName sn title mail employeeID telephone 007 Clark Kent 007 Reporter

30 März C. Allendörfer, ZDV Uni-Mainz Attribute Flow (MS) HRSystem Metadirectory iPlanetDirectory ActiveDirectory LotusNotes FirstName LastName EmployeeID Title Telephone givenName sn title mail employeeID telephone Klarek Cenntt 007 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Clark Kennttt 007 givenName sn title mail employeeID telephone Klarke Kent Superhero 007 givenName sn title mail employeeID telephone Clark Kent 007 Reporter Clark Kent Reporter 007 Clark Kent Reporter Reporter Clark Kent Clark Reporter Identity Data Brokering (Convergence)

31 März C. Allendörfer, ZDV Uni-Mainz Attribute Flow (MS) HRSystem Metadirectory iPlanetDirectory ActiveDirectory LotusNotes FirstName LastName EmployeeID Title Telephone givenName sn title mail employeeID telephone 007 givenName sn title mail employeeID telephone givenName sn title mail employeeID telephone Clark 007 givenName sn title mail employeeID telephone Kent 007 givenName sn title mail employeeID telephone Clark Kent Clark Kent Reporter 007 Kent Reporter Reporter Clark Kent Clark Reporter Identity Data Integrity Enforcement 007 Superhero ReporterSuperhero

32 März C. Allendörfer, ZDV Uni-Mainz Polyarchy (MS)

33 März C. Allendörfer, ZDV Uni-Mainz Demo Datenquellen: –Windows 2003 AD –Telefondatenbank (TelefonNr, Vorname, Nachname, Anzeigename, ) –Personaldatenbank (PersonalNr, Vorname, Nachname, Titel) Ziele: –AD, Telefon- und Personaldatenbank importieren und Objekte verbinden –Telefonnummer und Titel in AD Exportieren

34 März C. Allendörfer, ZDV Uni-Mainz Demo AD MA Installation MIIS –Service läuft als User miis MetaVerse Schema bearbeiten bzw. laden AD MA aufsetzen –Rechte im AD einstellen –User miis zum Zugriff auf AD –Container nur OU=User,DC=Uni-Mainz,DC=DE –Attribute: cn, comment, displayName, givenName, mail, name, ou, sAMAccountName, sn, telephoneNumber, title –Attributmapping: … –AD Run Profile Full Import and Sync

35 März C. Allendörfer, ZDV Uni-Mainz Demo TelefonDB MA Telefon DB MA aufsetzen, –User miis zum Zugriff auf DB –Join an Mailadresse ( -> mail) –Attributmapping: TelefonNr -> telephoneNumber –Run Profile definieren und ausführen

36 März C. Allendörfer, ZDV Uni-Mainz Demo PersonalDB MA PersonalDB –User miis zum Zugriff auf DB –Join: ? –Attributmapping: Titel -> title, PersonalNr -> employeeID –Runprofile festlegen und ausführen

37 März C. Allendörfer, ZDV Uni-Mainz Demo Export Objekte im Metaverse / CS kontrollieren Attribut Precedence definieren Runprofile AD Export definieren Export erneut durchführen

38 März C. Allendörfer, ZDV Uni-Mainz Geplanter Einsatz AD Import –fertig Export zu SunOne Directory auf Mailserver der Studierenden –fertig Export zu Applix Helpdesk –z. Zt. mit eigenem Script mit AD abgeglichen Synchronisierung mit UniVIS –??? Synchronisierung mit Telefonanlage, UMS, CTI –??? Import der Studierendendaten –zum nächsten Semesteranfang Import der Personaldaten –??? Synchronisierung mit FB Datenbanken (Mathematik, Pharmazie) –nächste Woche


Herunterladen ppt "Identity Management an der Universität Mainz Carsten Allendörfer Zentrum für Datenverarbeitung Johannes Gutenberg-Universität Mainz."

Ähnliche Präsentationen


Google-Anzeigen