Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Verzeichnisdienstanwendungen für Hochschulen auf OpenSource Basis

Veröffentlicht von:Katrin Lang Geändert vor über 8 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Verzeichnisdienstanwendungen für Hochschulen auf OpenSource Basis"—  Präsentation transkript:

1 Verzeichnisdienstanwendungen für Hochschulen auf OpenSource Basis
6. Tagung der DFN-Nutzergruppe Hochschulverwaltung – Peter Gietz, CEO, DAASI International GmbH

2 Agenda DFN-Verzeichnisdiensprojekte und DAASI International
Eigenschaften von LDAP Anwendungen Kontaktinformationsdienst, Authentifizierung Metadirectory LDAP und PKI LDAP im Bereich Digital Libraries

3 DFN Projekte als Keimzelle der DAASI International GmbH
Seit 1994 vom BMBF finanzierte DFN-Forschungsprojekte zu Verzeichnisdiensten an der Universität Tübingen Wegen Aufbau und Betrieb von Diensten, die nicht durch Forschungsmittel Förderungsfähig sind musste neue Organisationsform gefunden werden Januar 2001 wurde deshalb die DAASI International GmbH gegründet Das letzte DFN-Projekt wurde von DAASI International durchgeführt

4 DFN-Projektergebnisse
AMBIX – Aufnahme von Mailbenutzern in das X.500-Directory verzeichnis für die Forschung in Deutschland mit Webfrontend (ca Datensätze) Zentraler Verzeichnisdienst für Organisationen, die nicht selbst Verzeichnisdienste betreiben Datenschutzkonformität gewährleistet: Wiederspruchslösung mit Minimalset von Datenfeldern Kein Export an Länder mit unzureichender Datenschutzgesetzgebung)

5 Projektergebnis AMBIX
Crawler von potentiellen Spammern werden erkannt und abgewiesen Spamfänger Spezielle Scheineinträge eingefügt deren adresse sonst nirgends veröffentlicht sind Bisher haben wir kein Spam auf diesen Adressen erhalten! Integration neuer Sichtbarkeitsoption: Nur in eigener Domain Nur in Deutschland Nur in Datenschutztreibende Länder Weltweit

6 DFN-Projektergebnisse
IDEV Index Deutscher -Verzeichnisse Deutschlandweiter X.500/LDAP Index Crawler holt regelmäßig neue Daten der integrierten Verzeichnisdienste Insgesamt ca Datensätze Integration des AMBIX Systems Wir integrieren gerne Ihr LDAP oder X.500-Verzeichnis: genügt AMBIX und IDEV könnten zur Unterstützung von DFN-Videokonferenzdienst dienen

7 DAASI International GmbH
Directory Applications for Advanced Security and Information Management Nachfolgeinstitution zum Betrieb der entwickelten Dienste Offizielles Spin-Off der Universität Tübingen International tätig Forschung ist wichtiger Bestandteil des Konzeptes Augenblicklich 7 Mitarbeiter Kooperation mit anderen Firmen und Freelancern für größere Projekte

8 DAASI: Kundenzielgruppen
Durch Kontakte und Erfahrungen sind deutsche Forschungseinrichtungen Hauptzielgruppe Wir kennen die Probleme der Organisatorischen Abläufe an Universitäten Wir kennen die Bedürfnisse und zu integrierende Altsysteme Durch OpenSource Software können wir Ihnen günstige Angebote machen Gesundheitswesen Behörden auf allen Ebenen Mittelständische Betriebe

9 DAASI: Universitätsprojekte
Elektronisches Telefon- und Mitarbeiterverzeichnis an der Universität Tübingen Datenmanagement Produktion des gedruckten Telefonbuchs Aufbau eines Mitarbeiterverzeichnis an der Universität Münster Authorisierungsstruktur Maillistenanbindung Bedarfsanalyse zu einem Metadirectory am Universitätsklinikum Tübingen PKI Consulting Verzeichnisdienst-Consulting am LRZ München Weitere Projekte in Vorbereitung

10 Eigenschaften von LDAP

11 Was ist LDAP? Lightweight Directory Access Protocol
Ein Datenbankmodell (X.500) Hierarchische Datenstruktur Objektorientierter Ansatz Erweiterbar für beliebige Daten Ein Netzwerkprotokoll Internetstandard Flexibel erweiterbar Verteilung der Daten im Netz Spiegelung der Daten im Netz

12 Directory Information Base
DIB Entry Entry Entry Entry ... Entry attribute attribute attribute ... attr. type attr. value(s) Distinguished attr. value attr. value attr. value ...

13 Möglichkeit der modularen Datenmodellierung durch Objektklassen
Strukturelle Objektklassen: jeder Eintrag hat eine strukturelle Objektklassen und davon abgeleitete Objektklasse person Name, Vorname, ... Davon abgeleitet organizationalPerson Raumnummer, ... Davon abgeleitet inetOrgPerson Mailadresse, ... Hilfs-Objektklassen: können beliebig viele zu einem Eintrag hinzugefügt werden Objektklasse PKI user X.509 Zertifikat Objektklassen für spezielle Anwendungen z.B. Objektklasse Student Immatrikulationsnummer

14 Directory Information Tree (DIT)
Daten werden in Einträgen gespeichert Einträge werden als Baumknoten gespeichert Jeder Knoten hat 0 bis n Kinderknoten Jeder Knoten hat genau 1 Elternknoten Mit Ausnahme des Wurzelknotens Jeder Knoten hat einen eindeutigen Namen RDN (Relative Distinguished Name) DN (Distinguished Name)

15 DIT, RDN, DN RDN: c=DE (countryName) c=DE c=SE c=NL
RDN: o=Universität Y (organizationName) o=Firma X o=Universität Y RDN: cn=Mister X (commonName) cn=Mister X DN: cn=Mister X, o=Universität Y, c=DE

16 AliasObjectName seeAlso C=DE … C=NL … C=SE … … O=company … … … …
O=University Y O=company O=University X cn=Mister Y Telephone= cn=Mister X Telephone= cn=Mister X Telephone = SeeAlso = cn= Mister X O=University Y, c=DE cn=Mister Y AliasObjectName = cn=Mister Y, O=University Y, c=DE

17 Verteilung der Daten Daten können auf verschiedene Server, sog. Directory Service Agents (DSA) verteilt werden: DSA 3 c=DE c=US o= Firma X o=Universität Y DSA 2 DSA 1 cn=Mister X

18 Funktionsmodell Authentifizierungs-Operationen: bind unbind abandon
Abfrage-Operationen: search compare Update-Operationen: add delete modify modifyDN

19 LDAPv3 Standard Fertige IETF Standards: Das Informationsmodell
Ein Namensraum Ein Netzwerkprotokoll (Client-Server) Sichere Authentifizierungs- und Verschlüsselungsmechanismern Ein Referierungsmodell (Referral) Erweiterungsmechanismen LDAP URL Datenaustauschformat (LDIF) APIs für C und Java (de facto)

20 LDAP-Server-Implementierungen
Native LDAP-Server OpenLDAP (Open Source) Netscape Directory Server SUN One Directory Server IBM Secure Way X.500(93) Implementierungen Siemens DirX ISODE Novell Directory Service (NDS): eDirectory Microsoft Active Directory

21 Clients mit LDAP-Schnittstelle
Mailagenten (für recherche) Browser (LDAP-URL) Verschlüsselungsprogramme S/MIME, PGP In vielen Standardimplementierungen berücksichtigt IMAP, SMTP Auth, etc. Apache Webserver ...

22 Open LDAP Open Source Implementierung von LDAPv3
Internationales Entwicklerteam Hauptentwickler Kurt Zeilenga von IBM finanziert Sehr nah an Standardisierungsgremien Stetige Weiterentwicklung Wird in vielen Projekten im Produktionsbetrieb eingesetzt Im Forschungsbereich Im kommerziellen Bereich

23 Vorteile von OpenLDAP LDAPv3 Standardkonform Stabil und performant
Verschiedene Datenbank-Backends einsetzbar Gute Sicherheitsmechanismen (TLS, etc.) Gute Zugriffskontrollmechanismen, z.B. abhängig von: Subtree Einzelnen Attributen Authentifizierungsgrad IP-Adresse Stabiler Replikationsmechanismus Auch Teilreplikation möglich

24 Zusammenfassung: Vorteile von LDAP
Objektorientierte Datenmodellierung Offener Standard ermöglicht Unabhängigkeit von Herstellern Verteilung ermöglicht beliebige Skalierbarkeit Replikation ermöglicht beliebig hohe Ausfallssicherheit Hohe Sicherheit durch Zugriffskontrolle und Authentifizierung Daten sind über TCP/IP basiertes Netzwerkprotokoll zugänglich Die gleichen Daten können von verschiedenen Anwendungen verwendet werden Es gibt eine stabile Open-Source-Implementierung

25 Anwendungsmöglichkeiten

26 Kontaktdateninformationsdienste
Die klassische Anwendung (ITU) Entsprechendes Schema bereits im Standard definiert Personendaten (White Pages) Organisationsdaten (Yellow Pages) Organisationsstruktur abbildbar Elektronisches Telefonbuch Elektronisches verzeichnis Grundlage für viele weitere Anwendungen, z.B: elektronisches Vorlesungsverzeichnis

27 Authentifizierungsdienst
Problem: Benutzer haben Zugriff auf viele Rechner Auf jedem Rechner eigene LoginID und Passwort Benutzer muss sich viele Passwörter merken Unterschiedliche Password-Policies  sehr hoher Administrationsaufwand Lösung: Unified Login durch zentralen verzeichnisdienst-basierten Authentifizierungsdienst

28 Zentraler verzeichnisdienstbasierter Authentifizierungsdienst
Unix-Clients Können mittels NSS / PAM-LDAP direkt auf LDAP-Server zugreifen Kann gecashed werden: nscd (Name Service Caching Daemon) Aber auch Anbindung an MS Active Directory (AD) möglich mit Kerberos Windows-Clients Einfache Integration in AD Aber auch über SAMBA Anbindung an LDAP-Server möglich NT4 Domäne (Samba 2.x) AD-Simulation (Samba 3.0)

29 Architektur im Überblick

30 Single Sign On (SSO) Mit dem Authentifizierungsdienst lässt sich nicht nur das Login realisieren Er lässt sich auch in verschiedene Netzanwendungen integrieren, z.B.: IMAP, POP, SMTP auth, FTP, SSH, ... Viele Produkte bereits „LDAP-Enabeled“ Wo noch nicht vorhanden, lassen sich LDAP-Schnittstellen einbauen (Voraussetzung: Open Source) SSO-Lösung: Unified Login mit OpenLDAP mit Einbindung von Kerberos

31 Zusammenfassung Authentifizierungsdienst
Vorteil: Ein Passwort für alle Rechner Der User muss sich weniger merken Der Administrator und Help Desk wird erheblich entlastet Passwortqualität zentral kontrollierbar Vereinheitlichung der Authentifizierungsschnittstellen Zwingt zu einem Gesamtkonzept Nachteil: Ein Passwort für alle Rechner Single point of failure Größerer Schaden bei Kompromittierung

32 Erweiterbarkeit von Verzeichnisdiensten
Gleiche Daten - Verschiedene Dienste Z.B.: Eine Datenstruktur, beliebig verteilt und/oder (teil)repliziert für: verzeichnis elektronisches Telefonbuch Benutzerverwaltung und Authentifizierungsdienst Elektronisches Vorlesungsverzeichnis Einfach weitere Objektklassenattribute zum Eintrag hinzufügen und neues Benutzerinterface (z.B. über das WWW) implementieren Dies führt zu erheblichen Kosteneinsparungen

33 Beispiel für zentrales Verzeichnis
IMAP server LDAP LDAP login- server web gateway - verzeichnis LDAP-master LDAP Telefon- verzeichnis web-gateway Replikation LDAP Datenmanagement web-gateway Vorlesungs- verzeichnis Administrations- interface 1 Administrations- interface 2 Intranet DMZ

34 Metadirectory Verknüpfung verschiedener Datenbanken, die verwandte Daten enthalten, z.B.: benutzerdatenbank Personaldatenbank Telefondatenbank Die gleichen Daten müssen nur einmal eingegeben, bzw. gepflegt werden In den verknüpften Datenbanken werden sie automatisch angelegt bzw. geändert Eine übergreifende Sicht auf alle Daten Prozesse sind flexibel an Organisationsabläufe anpassbar

35 Metadirectory Beispiel
Mitarbeiterdatenbank Metadirectory Beispiel Name Vorname ... Benutzerdatenbank Personalverwaltung Telefonnummern-datenbank Firewall Öffentlicher Verzeichnisdienst Metadirectory Telefonapparate-datenbank Benutzer Telefonnr. Raumnr. ... Vorlesungsdatenbank Administrator Telefonverwaltung

36 Metadirectory Implementierungen
Verschiedene Implementierungen (alphabet. Ordnung) IBM Tivoli Identity Manager Microsoft Metadirectory Service Novell DirXML Siemens DirX Metahub SUN One Directory Server Metadirectory Lösung OpenLDAP kann Grundlage für eine OpenSource-Lösung sein Bei allen Lösungen fehlen hochschulspezifische Konnektoren

37 Metadirectory-Projektidee
Erhebung der spezifischen Hochschulanforderungen Erstellung von allgemeinen Richtlinien zum Aufbau von Metadirectories Anpassung an Organisationsprozesse Datenstrukturen gemeinsames Datenschema Auch für Interdomain-Authentifizierung wichtig Herstellerunabhängige Evaluation verschiedener kommerzieller Produkte Entwicklung von Konnektoren für OpenLDAP Erstellung von Implementierungsspezifischen „Kochbüchern“

38 Metadirectory Initiative
Verschiedene Hochschulen haben sich mit Metadirectories beschäftigt Andere sehen Bedarf an Metadirectories Gemeinsames Projekt wäre für alle vorteilhaft Kostenminimierung Erfahrungsaustausch Einfache lokale Implementierung In Planung ist eine ZKI-Arbeitsgruppe zu Metadirectory

39 Zertifikatsserver für PKI
Der Verzeichnisdienst hält Zertifikate im Netz vor Ermöglicht Zugriff durch Anwendungen Dokumentiert zurückgerufene Zertifikate in sog. Certificate Revocation Lists (CRL) Kann somit Grundlage eines Online Certificate Status Protocol (OCSP) Dienst bilden Entweder betreibt eine CA den Verzeichnisdienst selber, oder liefert Zertifikate auf einem gesicherten Weg an den Betreiber

40 Verzeichnisdienste im Bereich Digital Libraries
Metadaten sind in der einfachsten Definition Daten über Daten, also z.B. Daten über einen Text, wie Author, Titel, Erscheinungsjahr, etc. LDAP-Datenmodell für Dublin Core Schwierige Metadaten sind Verschlagwortungsdaten Wie kann man sicherstellen das selbe Schlagwort für dasselbe Thema zu verwenden? Kontrolliertes Vokabular

41 Kontrolliertes Vokabular
Klassifikationssysteme Z.B. Dewey Decimal Classification (DDC) Klassen, Subklassen, Subsubklassen, ... Eine Beziehungsart zwischen den Begriffen Thesaurus Ansammlung von Homonymen Kann auch Antinyme und einige weitere Relationen enthalten Begrenzte Anzahl von Beziehungsarten zwischen den Begriffen

42 Ontologien Wiederum Begriffe und die Beziehungen zwischen den Begriffen Aber Keine Limitierung der Anzahl der Beziehungsarten Einschließlich Unterklasse/Oberklasse Einschließlich Homonyme und Antinyme Beliebige weitere Relationsarten Ontologien sind perfekte Wissensspeicher Metadaten und Ontologien können mit LDAP verwaltet werden, mit allen Vorteilen von LDAP

43 Metadaten und Ontologien
Nicht nur im Bereich Digital Libraries interessant: Semantic Web mit Suchmaschienen, die Begriffe kennen und nicht nur Strings Content Management Systeme E-Learning Intelligente Agentenprogramme, die Daten von Portalen via Web Services (SOAP, WSDL) beziehen Kann auch z.B. zur Erschließung des elektronischen Vorlesungsverzeichnis verwendet werden

44 Ressourcen-Verwaltung
Daten über Computer, Drucker, Netzknoten, etc. können mit LDAP verwendet werden Dieses Nutzungspotential wird im Grid Computing genutzt Software Lizenzmanagement, Updateverwaltung Facility Management Raumbelegungspläne Auch diese Anwendungen lassen sich in ein zentralen Verzeichnisdienst integrieren

45 Zusammenfassung LDAP-Implementierungen stellen verlässliche und perfomante Lösungen zur Verfügung auch mit Replikation Authentifizierung Granulare Zugriffskontrolle Zugriff über standardisiertes Netzprotokoll Verzeichnisdienst kann Basis für verschiedenste Anwendungen sein. OpenSource-Lösungen mit Supportvertrag, die preiswertere Alternative

46 Vielen Dank für Ihre Aufmerksamkeit
DAASI International GmbH DFN Directory Services

Herunterladen ppt "Verzeichnisdienstanwendungen für Hochschulen auf OpenSource Basis"

Ähnliche Präsentationen

E-Commerce Shop System

E-Commerce Shop System
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
Server- und Dienstestruktur an der Uni Paderborn

Server- und Dienstestruktur an der Uni Paderborn
OpenLDAP.

OpenLDAP.
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
PADLR Submodul Modular Content Archives Ein Content Browser für Lehr- materialien aus der Elektrotechnik Dipl.-Ing. Mark Painter Institut für Nachrichtentechnik.

PADLR Submodul Modular Content Archives Ein Content Browser für Lehr- materialien aus der Elektrotechnik Dipl.-Ing. Mark Painter Institut für Nachrichtentechnik.
Basis-Architekturen für Web-Anwendungen

Basis-Architekturen für Web-Anwendungen
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Lightweight Directory Access Protocol

Lightweight Directory Access Protocol
Erweiterung B2B Usermanagement / LDAP-Anbindung

Erweiterung B2B Usermanagement / LDAP-Anbindung
Sicherheit und Personalisierung Internet Portal der Universität München.

Sicherheit und Personalisierung Internet Portal der Universität München.
DOM (Document Object Model)

DOM (Document Object Model)
Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, 30.10.2009 1 Single Sign On für Webanwendungen am Beispiel von CAS.

Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, Single Sign On für Webanwendungen am Beispiel von CAS.
Information und Technik Nordrhein-Westfalen Das personalisierte Portal Düsseldorf, 30.10.20091 Das personalisierte Portal.

Information und Technik Nordrhein-Westfalen Das personalisierte Portal Düsseldorf, Das personalisierte Portal.
WIESEL – Integration von Wissensmanagement und E-Learning auf der Basis von Semantic Web Technologien Matthias Rust, XML-Tage 2004, Berlin WIESEL Integration.

WIESEL – Integration von Wissensmanagement und E-Learning auf der Basis von Semantic Web Technologien Matthias Rust, XML-Tage 2004, Berlin WIESEL Integration.

Ähnliche Präsentationen

Google-Anzeigen