Verzeichnisdienstanwendungen für Hochschulen auf OpenSource Basis

Slides:



Advertisements
Ähnliche Präsentationen
E-Commerce Shop System
Advertisements

Was gibt´s neues im Bereich Sicherheit
Sichere Anbindung kleiner Netze ans Internet
Server- und Dienstestruktur an der Uni Paderborn
OpenLDAP.
Systemverwaltung wie es Ihnen gefällt.
PADLR Submodul Modular Content Archives Ein Content Browser für Lehr- materialien aus der Elektrotechnik Dipl.-Ing. Mark Painter Institut für Nachrichtentechnik.
Basis-Architekturen für Web-Anwendungen
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg
Ulrich Kähler, DFN-Verein
Ulrich Kähler, DFN-Verein
Datenbankzugriff im WWW (Kommerzielle Systeme)
Lightweight Directory Access Protocol
Erweiterung B2B Usermanagement / LDAP-Anbindung
Sicherheit und Personalisierung Internet Portal der Universität München.
DOM (Document Object Model)
Information und Technik Nordrhein-Westfalen Single Sign On mit CAS Düsseldorf, Single Sign On für Webanwendungen am Beispiel von CAS.
Information und Technik Nordrhein-Westfalen Das personalisierte Portal Düsseldorf, Das personalisierte Portal.
WIESEL – Integration von Wissensmanagement und E-Learning auf der Basis von Semantic Web Technologien Matthias Rust, XML-Tage 2004, Berlin WIESEL Integration.
Einführung in die Technik des Internets
Identity für GSI Michael Dahlinger, GSI
Open-Xchange neuer zentraler Kalenderserver der HU
Mailserver-Installation mit LDAP-Schnittstelle für die Firma XYZ GmbH
IBM Workplace Forms - In Kürze © 2007 IBM Corporation XML basierte elektronische Formulare: Effizienzsteigerung und Kostenreduktion durch Automatisierung.
PHProjekt – eine open source Projektmanagementsoftware
Netzwerke Peer-to-Peer-Netz Client-Server Alleinstehende Server
Directory Services für Heterogene IT Landschaften
LDAP Migration (Stand und Ausblick) Torsten Gosch CIS.
Workshop: Active Directory
Nestor Workshop im Rahmen der GES 2007 Digitale Langzeitarchivierung und Grid: Gemeinsam sind wir stärker? Anforderungen von eScience und Grid-Technologie.
Folie 1Präsentation für IWWB im ASP-Betrieb Copyright 2002, Engine Software Solutions GmbH & Co. KG/InfoWeb Weiterbildung IWWB im ASP-Betrieb Nicht alle.
Weltweite Kommunikation mit Exchange Server über das Internet
MDM Systeme im Test Udo Bredemeier
Xenario IES Information Enterprise Server. Xenario Information Enterprise Server (IES) Die neue Architektur des Sitepark Information Enterprise Servers.
LDAP- Verzeichnis und Protokoll
Christian Krause, URZ Jena Bereich P – IDM Arbeitsgruppe
Zauberwort Metadaten Elementares Handwerkszeug des Content- und Wissensmanagement.
Domain Name Service Grundlagen, Implementierung im Active Directory und Integration von Win2k-Domains in bestehende Umgebungen Kay Sander.
Interface systems GmbH | Zwinglistraße 11/13 | Dresden | Tel.: | Fax: | Frank Friebe Consultant.
Realisierung und Einführungskonzept einer standortübergreifenden Vereinheitlichung der Benutzerverwaltung mit LDAP Diplomarbeit bei Continental Temic in.
Zentrale Authentifizierungsplattform mit Open Text Website Management bei Thieme.
Erst Theorie… …dann Praxis. Erst Theorie… …dann Praxis.
Technische Infrastruktur
Datenbanken im Web 1.
Internet-Grundtechnologien. Client / Server Client („Kunde“): fordert Information / Datei an im Internet: fordert Internetseite an, z.B.
Oracle Portal think fast. think simple. think smart. Dieter Lorenz, Christian Witt.
Projekt Meta Directory CODEX- PICA
Informationen zum Novell-Client Roland Mohl 23. November 2005.
Einleitung Vergleich Empfehlung PAVONE Portal / WebSphere Portal - was wann? Olaf Hahnl PAVONE AG.
N ovell Directory Services Bernd Holzmann
Web Services Spezielle Methoden der SWT Liste V – WS 2008/2009 Christian Boryczewski.
Anwendungsintegration an Hochschulen am Beispiel Identity Management
Greenstone. Theoretischer Teil Entstehung: Entwickelt vom New Zealand Digital Library Project an der Universität von Waikato Kooperation mit der UNESCO.
Novell Server mit NetWare 6.5 und Windows 2003 Server Bernd Holzmann
Universität zu Köln IT – Zertifikat der Philosophischen Fakultät / Kurs: Allgemeine Technologien I mit Susanne Kurz M. A. Open Source Anw. vs. proprietäre.
MyCoRe in einem in einem Detlev Degenhardt Jena, den Umfeld - Umfeld.
E-Archiv Durch die Präsentation führt sie: Jack Kraus ScanView ist ein Produkt der Allgeier IT GmbH (Feb 2010)
Eindeutige Personenzuordnung mit lokalen Identifiern via ODATA/LDAP
Optimierung von Geschäftsprozessen durch Webformulare und Webworkflow Rainer Driesen Account Manager.
IT-Dienstleistungen E-Learning Systeme Content Management 1 Fallbeispiel ILIAS: Das Repository-Objekt-Plugin „Centra“
Mainframe und WebServices bei der W. KAPFERER KG Einfache Internet-Lösungen in Verbindung mit vorhandenen Host-Programm-Strukturen.
Technische Universität München, Informatik XI Angewandte Informatik / Kooperative Systeme Verteilte Anwendungen: LDAP Dr. Wolfgang Wörndl
Information Retrieval mit Oracle Text Erfahrungsbericht.
Patrick Richterich Lattwein GmbH Web Services Softwareentwicklung mit SOAP.
Identity Management.  Zentrale Begriffe und Probleme  Modellbildung  Methoden zur Authentisierung über HTTP  Technische Aspekte  Compliance  Hindernisse,
WebServices Vortrag zur Diplomarbeit WebServices Analyse und Einsatz von Thomas Graf FH Regensburg
LINUX II Samba Verbindung mit Windows. Samba Übersicht ● Samba dient zur Verbindung von Linux-Clients mit Windows Rechnern ( samba-client ) sowie von.
Geschichte des Internets
 Präsentation transkript:

Verzeichnisdienstanwendungen für Hochschulen auf OpenSource Basis 6. Tagung der DFN-Nutzergruppe Hochschulverwaltung – Verwaltung@eUniversity Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de

Agenda DFN-Verzeichnisdiensprojekte und DAASI International Eigenschaften von LDAP Anwendungen Kontaktinformationsdienst, Authentifizierung Metadirectory LDAP und PKI LDAP im Bereich Digital Libraries

DFN Projekte als Keimzelle der DAASI International GmbH Seit 1994 vom BMBF finanzierte DFN-Forschungsprojekte zu Verzeichnisdiensten an der Universität Tübingen Wegen Aufbau und Betrieb von Diensten, die nicht durch Forschungsmittel Förderungsfähig sind musste neue Organisationsform gefunden werden Januar 2001 wurde deshalb die DAASI International GmbH gegründet Das letzte DFN-Projekt wurde von DAASI International durchgeführt

DFN-Projektergebnisse AMBIX – Aufnahme von Mailbenutzern in das X.500-Directory Emailverzeichnis für die Forschung in Deutschland mit Webfrontend (ca 60.000 Datensätze) Zentraler Verzeichnisdienst für Organisationen, die nicht selbst Verzeichnisdienste betreiben Datenschutzkonformität gewährleistet: Wiederspruchslösung mit Minimalset von Datenfeldern Kein Export an Länder mit unzureichender Datenschutzgesetzgebung)

Projektergebnis AMBIX Crawler von potentiellen Spammern werden erkannt und abgewiesen Spamfänger Spezielle Scheineinträge eingefügt deren Emailadresse sonst nirgends veröffentlicht sind Bisher haben wir kein Spam auf diesen Adressen erhalten! Integration neuer Sichtbarkeitsoption: Nur in eigener Domain Nur in Deutschland Nur in Datenschutztreibende Länder Weltweit

DFN-Projektergebnisse IDEV Index Deutscher Email-Verzeichnisse Deutschlandweiter X.500/LDAP Index Crawler holt regelmäßig neue Daten der integrierten Verzeichnisdienste Insgesamt ca. 120.000 Datensätze Integration des AMBIX Systems Wir integrieren gerne Ihr LDAP oder X.500-Verzeichnis: Email genügt AMBIX und IDEV könnten zur Unterstützung von DFN-Videokonferenzdienst dienen

DAASI International GmbH Directory Applications for Advanced Security and Information Management Nachfolgeinstitution zum Betrieb der entwickelten Dienste Offizielles Spin-Off der Universität Tübingen International tätig Forschung ist wichtiger Bestandteil des Konzeptes Augenblicklich 7 Mitarbeiter Kooperation mit anderen Firmen und Freelancern für größere Projekte

DAASI: Kundenzielgruppen Durch Kontakte und Erfahrungen sind deutsche Forschungseinrichtungen Hauptzielgruppe Wir kennen die Probleme der Organisatorischen Abläufe an Universitäten Wir kennen die Bedürfnisse und zu integrierende Altsysteme Durch OpenSource Software können wir Ihnen günstige Angebote machen Gesundheitswesen Behörden auf allen Ebenen Mittelständische Betriebe

DAASI: Universitätsprojekte Elektronisches Telefon- und Mitarbeiterverzeichnis an der Universität Tübingen http://X500.uni-tuebingen.de Datenmanagement Produktion des gedruckten Telefonbuchs Aufbau eines Mitarbeiterverzeichnis an der Universität Münster Authorisierungsstruktur Maillistenanbindung Bedarfsanalyse zu einem Metadirectory am Universitätsklinikum Tübingen PKI Consulting Verzeichnisdienst-Consulting am LRZ München Weitere Projekte in Vorbereitung

Eigenschaften von LDAP

Was ist LDAP? Lightweight Directory Access Protocol Ein Datenbankmodell (X.500) Hierarchische Datenstruktur Objektorientierter Ansatz Erweiterbar für beliebige Daten Ein Netzwerkprotokoll Internetstandard Flexibel erweiterbar Verteilung der Daten im Netz Spiegelung der Daten im Netz

Directory Information Base DIB Entry Entry Entry Entry ... Entry attribute attribute attribute ... attr. type attr. value(s) Distinguished attr. value attr. value attr. value ...

Möglichkeit der modularen Datenmodellierung durch Objektklassen Strukturelle Objektklassen: jeder Eintrag hat eine strukturelle Objektklassen und davon abgeleitete Objektklasse person Name, Vorname, ... Davon abgeleitet organizationalPerson Raumnummer, ... Davon abgeleitet inetOrgPerson Mailadresse, ... Hilfs-Objektklassen: können beliebig viele zu einem Eintrag hinzugefügt werden Objektklasse PKI user X.509 Zertifikat Objektklassen für spezielle Anwendungen z.B. Objektklasse Student Immatrikulationsnummer

Directory Information Tree (DIT) Daten werden in Einträgen gespeichert Einträge werden als Baumknoten gespeichert Jeder Knoten hat 0 bis n Kinderknoten Jeder Knoten hat genau 1 Elternknoten Mit Ausnahme des Wurzelknotens Jeder Knoten hat einen eindeutigen Namen RDN (Relative Distinguished Name) DN (Distinguished Name)

DIT, RDN, DN RDN: c=DE (countryName) c=DE c=SE c=NL RDN: o=Universität Y (organizationName) o=Firma X o=Universität Y RDN: cn=Mister X (commonName) cn=Mister X DN: cn=Mister X, o=Universität Y, c=DE

AliasObjectName seeAlso C=DE … C=NL … C=SE … … O=company … … … … O=University Y … O=company … O=University X … cn=Mister Y Telephone= +49 98765 … cn=Mister X Telephone= +49 34567 … cn=Mister X Telephone = +30 12345 SeeAlso = cn= Mister X O=University Y, c=DE cn=Mister Y AliasObjectName = cn=Mister Y, O=University Y, c=DE

Verteilung der Daten Daten können auf verschiedene Server, sog. Directory Service Agents (DSA) verteilt werden: DSA 3 c=DE c=US o= Firma X o=Universität Y DSA 2 DSA 1 cn=Mister X

Funktionsmodell Authentifizierungs-Operationen: bind unbind abandon Abfrage-Operationen: search compare Update-Operationen: add delete modify modifyDN

LDAPv3 Standard Fertige IETF Standards: Das Informationsmodell Ein Namensraum Ein Netzwerkprotokoll (Client-Server) Sichere Authentifizierungs- und Verschlüsselungsmechanismern Ein Referierungsmodell (Referral) Erweiterungsmechanismen LDAP URL Datenaustauschformat (LDIF) APIs für C und Java (de facto)

LDAP-Server-Implementierungen Native LDAP-Server OpenLDAP (Open Source) Netscape Directory Server SUN One Directory Server IBM Secure Way X.500(93) Implementierungen Siemens DirX ISODE Novell Directory Service (NDS): eDirectory Microsoft Active Directory

Clients mit LDAP-Schnittstelle Mailagenten (für Emailrecherche) Browser (LDAP-URL) Verschlüsselungsprogramme S/MIME, PGP In vielen Standardimplementierungen berücksichtigt IMAP, SMTP Auth, etc. Apache Webserver ...

Open LDAP Open Source Implementierung von LDAPv3 Internationales Entwicklerteam Hauptentwickler Kurt Zeilenga von IBM finanziert Sehr nah an Standardisierungsgremien Stetige Weiterentwicklung Wird in vielen Projekten im Produktionsbetrieb eingesetzt Im Forschungsbereich Im kommerziellen Bereich http://www.openldap.org

Vorteile von OpenLDAP LDAPv3 Standardkonform Stabil und performant Verschiedene Datenbank-Backends einsetzbar Gute Sicherheitsmechanismen (TLS, etc.) Gute Zugriffskontrollmechanismen, z.B. abhängig von: Subtree Einzelnen Attributen Authentifizierungsgrad IP-Adresse Stabiler Replikationsmechanismus Auch Teilreplikation möglich

Zusammenfassung: Vorteile von LDAP Objektorientierte Datenmodellierung Offener Standard ermöglicht Unabhängigkeit von Herstellern Verteilung ermöglicht beliebige Skalierbarkeit Replikation ermöglicht beliebig hohe Ausfallssicherheit Hohe Sicherheit durch Zugriffskontrolle und Authentifizierung Daten sind über TCP/IP basiertes Netzwerkprotokoll zugänglich Die gleichen Daten können von verschiedenen Anwendungen verwendet werden Es gibt eine stabile Open-Source-Implementierung

Anwendungsmöglichkeiten

Kontaktdateninformationsdienste Die klassische Anwendung (ITU) Entsprechendes Schema bereits im Standard definiert Personendaten (White Pages) Organisationsdaten (Yellow Pages) Organisationsstruktur abbildbar Elektronisches Telefonbuch Elektronisches Emailverzeichnis Grundlage für viele weitere Anwendungen, z.B: elektronisches Vorlesungsverzeichnis

Authentifizierungsdienst Problem: Benutzer haben Zugriff auf viele Rechner Auf jedem Rechner eigene LoginID und Passwort Benutzer muss sich viele Passwörter merken Unterschiedliche Password-Policies  sehr hoher Administrationsaufwand Lösung: Unified Login durch zentralen verzeichnisdienst-basierten Authentifizierungsdienst

Zentraler verzeichnisdienstbasierter Authentifizierungsdienst Unix-Clients Können mittels NSS / PAM-LDAP direkt auf LDAP-Server zugreifen Kann gecashed werden: nscd (Name Service Caching Daemon) Aber auch Anbindung an MS Active Directory (AD) möglich mit Kerberos Windows-Clients Einfache Integration in AD Aber auch über SAMBA Anbindung an LDAP-Server möglich NT4 Domäne (Samba 2.x) AD-Simulation (Samba 3.0)

Architektur im Überblick

Single Sign On (SSO) Mit dem Authentifizierungsdienst lässt sich nicht nur das Login realisieren Er lässt sich auch in verschiedene Netzanwendungen integrieren, z.B.: IMAP, POP, SMTP auth, FTP, SSH, ... Viele Produkte bereits „LDAP-Enabeled“ Wo noch nicht vorhanden, lassen sich LDAP-Schnittstellen einbauen (Voraussetzung: Open Source) SSO-Lösung: Unified Login mit OpenLDAP mit Einbindung von Kerberos

Zusammenfassung Authentifizierungsdienst Vorteil: Ein Passwort für alle Rechner Der User muss sich weniger merken Der Administrator und Help Desk wird erheblich entlastet Passwortqualität zentral kontrollierbar Vereinheitlichung der Authentifizierungsschnittstellen Zwingt zu einem Gesamtkonzept Nachteil: Ein Passwort für alle Rechner Single point of failure Größerer Schaden bei Kompromittierung

Erweiterbarkeit von Verzeichnisdiensten Gleiche Daten - Verschiedene Dienste Z.B.: Eine Datenstruktur, beliebig verteilt und/oder (teil)repliziert für: Emailverzeichnis elektronisches Telefonbuch Benutzerverwaltung und Authentifizierungsdienst Elektronisches Vorlesungsverzeichnis Einfach weitere Objektklassenattribute zum Eintrag hinzufügen und neues Benutzerinterface (z.B. über das WWW) implementieren Dies führt zu erheblichen Kosteneinsparungen

Beispiel für zentrales Verzeichnis IMAP server LDAP LDAP login- server web gateway Email- verzeichnis LDAP-master LDAP Telefon- verzeichnis web-gateway Replikation LDAP Datenmanagement web-gateway Vorlesungs- verzeichnis Administrations- interface 1 Administrations- interface 2 Intranet DMZ

Metadirectory Verknüpfung verschiedener Datenbanken, die verwandte Daten enthalten, z.B.: Emailbenutzerdatenbank Personaldatenbank Telefondatenbank Die gleichen Daten müssen nur einmal eingegeben, bzw. gepflegt werden In den verknüpften Datenbanken werden sie automatisch angelegt bzw. geändert Eine übergreifende Sicht auf alle Daten Prozesse sind flexibel an Organisationsabläufe anpassbar

Metadirectory Beispiel Mitarbeiterdatenbank Metadirectory Beispiel Name Vorname ... Benutzerdatenbank Personalverwaltung Telefonnummern-datenbank Firewall Öffentlicher Verzeichnisdienst Metadirectory Telefonapparate-datenbank Benutzer Telefonnr. Raumnr. ... Vorlesungsdatenbank Administrator Telefonverwaltung

Metadirectory Implementierungen Verschiedene Implementierungen (alphabet. Ordnung) IBM Tivoli Identity Manager Microsoft Metadirectory Service Novell DirXML Siemens DirX Metahub SUN One Directory Server Metadirectory Lösung OpenLDAP kann Grundlage für eine OpenSource-Lösung sein Bei allen Lösungen fehlen hochschulspezifische Konnektoren

Metadirectory-Projektidee Erhebung der spezifischen Hochschulanforderungen Erstellung von allgemeinen Richtlinien zum Aufbau von Metadirectories Anpassung an Organisationsprozesse Datenstrukturen gemeinsames Datenschema Auch für Interdomain-Authentifizierung wichtig Herstellerunabhängige Evaluation verschiedener kommerzieller Produkte Entwicklung von Konnektoren für OpenLDAP Erstellung von Implementierungsspezifischen „Kochbüchern“

Metadirectory Initiative Verschiedene Hochschulen haben sich mit Metadirectories beschäftigt Andere sehen Bedarf an Metadirectories Gemeinsames Projekt wäre für alle vorteilhaft Kostenminimierung Erfahrungsaustausch Einfache lokale Implementierung In Planung ist eine ZKI-Arbeitsgruppe zu Metadirectory

Zertifikatsserver für PKI Der Verzeichnisdienst hält Zertifikate im Netz vor Ermöglicht Zugriff durch Anwendungen Dokumentiert zurückgerufene Zertifikate in sog. Certificate Revocation Lists (CRL) Kann somit Grundlage eines Online Certificate Status Protocol (OCSP) Dienst bilden Entweder betreibt eine CA den Verzeichnisdienst selber, oder liefert Zertifikate auf einem gesicherten Weg an den Betreiber

Verzeichnisdienste im Bereich Digital Libraries Metadaten sind in der einfachsten Definition Daten über Daten, also z.B. Daten über einen Text, wie Author, Titel, Erscheinungsjahr, etc. LDAP-Datenmodell für Dublin Core Schwierige Metadaten sind Verschlagwortungsdaten Wie kann man sicherstellen das selbe Schlagwort für dasselbe Thema zu verwenden? Kontrolliertes Vokabular

Kontrolliertes Vokabular Klassifikationssysteme Z.B. Dewey Decimal Classification (DDC) Klassen, Subklassen, Subsubklassen, ... Eine Beziehungsart zwischen den Begriffen Thesaurus Ansammlung von Homonymen Kann auch Antinyme und einige weitere Relationen enthalten Begrenzte Anzahl von Beziehungsarten zwischen den Begriffen

Ontologien Wiederum Begriffe und die Beziehungen zwischen den Begriffen Aber Keine Limitierung der Anzahl der Beziehungsarten Einschließlich Unterklasse/Oberklasse Einschließlich Homonyme und Antinyme Beliebige weitere Relationsarten Ontologien sind perfekte Wissensspeicher Metadaten und Ontologien können mit LDAP verwaltet werden, mit allen Vorteilen von LDAP

Metadaten und Ontologien Nicht nur im Bereich Digital Libraries interessant: Semantic Web mit Suchmaschienen, die Begriffe kennen und nicht nur Strings Content Management Systeme E-Learning Intelligente Agentenprogramme, die Daten von Portalen via Web Services (SOAP, WSDL) beziehen Kann auch z.B. zur Erschließung des elektronischen Vorlesungsverzeichnis verwendet werden

Ressourcen-Verwaltung Daten über Computer, Drucker, Netzknoten, etc. können mit LDAP verwendet werden Dieses Nutzungspotential wird im Grid Computing genutzt Software Lizenzmanagement, Updateverwaltung Facility Management Raumbelegungspläne Auch diese Anwendungen lassen sich in ein zentralen Verzeichnisdienst integrieren

Zusammenfassung LDAP-Implementierungen stellen verlässliche und perfomante Lösungen zur Verfügung auch mit Replikation Authentifizierung Granulare Zugriffskontrolle Zugriff über standardisiertes Netzprotokoll Verzeichnisdienst kann Basis für verschiedenste Anwendungen sein. OpenSource-Lösungen mit Supportvertrag, die preiswertere Alternative

Vielen Dank für Ihre Aufmerksamkeit DAASI International GmbH http://www.daasi.de Info@daasi.de DFN Directory Services http://www.directory.dfn.de Info@directory.dfn.de

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.