20.DFN-Arbeitstagung Dipl. Math. Klaus Scheibenberger

Slides:



Advertisements
Ähnliche Präsentationen
Migration der Arbeitsplatzrechner und Benutzerprofile in eine neue Domänenstruktur bei der WetterOnline GmbH Alexander Wiechert Migration der Arbeitsplatzrechner.
Advertisements

Server- und Dienstestruktur an der Uni Paderborn
ReDI als Pilotanwendung für Shibboleth
Terminalserver-Dienste für die HU
Copyright MS Global Consulting GmbH. Andresen Abteilung Konfigurationen Port- nummern Faxnummern Zugriffsrechte URLs Adressen Namen Telefon -nummern.
:33 Architektur Moderner Internet Applikationen – Prolog Copyright ©2003 Christian Donner. Alle Rechte vorbehalten. Architektur Moderner.
Projektentwicklung im IntegraTUM Projekt
DINI Workshop „Informationsmanagement an Hochschulen“ - Duisburg
DINI Symposium Wiss. Publizieren in der Zukunft – Open Access, 23./ B. Diekmann Ein Dokumentenserver kostet ? Ökonomische Aspekte für Serverbetreiber.
Softwareverteilung.
Pflege der Internetdienste
Web-CMS der Universität Ulm
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg
Ulrich Kähler, DFN-Verein
Ulrich Kähler, DFN-Verein
Datenbankzugriff im WWW (Kommerzielle Systeme)
Rechnungswesen und Finanzierung
Lightweight Directory Access Protocol
Erweiterung B2B Usermanagement / LDAP-Anbindung
EGo-AKTUELL Zweckverband Elektronische Verwaltung für Saarländische Kommunen SAAR Dienstag, 27. Mai 2008 big Eppel – Kultur und Kongress, Eppelborn eGo-NET.
Datenmanagement – Quo Vadis? PLANet – Planung von Lehrveranstaltungen am Fachbereich IMN Thomas Matzke
Vorlesung: 1 Betriebssysteme 2008 Prof. Dr. G. Hellberg Studiengang Mechatronik FHDW Vorlesung: Betriebssysteme Hochverfügbarkeit (Einführung) 2. Quartal.
Vorlesung: 1 Betriebliche Informationssysteme 2003 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebliche Informationssysteme Teil2.
Erzeugung, Pflege, Aktualisierung von web-Inhalten
PKJ 2005/1 Stefan Dissmann Zusammenfassung Bisher im Kurs erarbeitete Konzepte(1): Umgang mit einfachen Datentypen Umgang mit Feldern Umgang mit Referenzen.
Universität Heidelberg Rechenzentrum Hartmuth Heldt Sicherheitskonzept - Netzwerk 1.
SQL 2 Order by null Aggregatfunktionen group by Join subselect.
Vermessungsportal Auskünfte – Auszüge – Shop
Physiker Tagung Fachvortrag AKI Leipzig, 22. März 2002 Verteilte Experten-Datenbank Viele Wege – auch ein Ziel? Thomas Severiens.
Aufbau einer Sicherheitsinfrastruktur an der HU Berlin
Identity für GSI Michael Dahlinger, GSI
Grundschutztools
Kurzanleitung für Laptop-Zugang 1. WICHTIG: Bringen Sie Ihr Betriebssystem möglichst "offline" auf den aktuellsten Stand. 2. WICHTIG: Installieren Sie.
Open-Xchange neuer zentraler Kalenderserver der HU
Mailserver-Installation mit LDAP-Schnittstelle für die Firma XYZ GmbH
LDAP Migration (Stand und Ausblick) Torsten Gosch CIS.
Das Projekt Studierendenportal für die Universität Erlangen-Nürnberg Informationsveranstaltung für die FSIn 31. Januar 2008.
Workshop: Active Directory
Mark Doll – 1/21V3D2 Workshop 2003, Frankfurt/Main 19./ http:// Ansätze für eine Web-basierte Initiierung qualitätsbasierter Kommunikationsdienste.
Microsoft Cloud OS Auf dem Weg zum optimierten Rechenzentrum
Internet und Intranet im Krankenhaus
Gliederung Einleitung eID-Infrastruktur und Komponenten
Einführung in CLIX Lehrveranstaltung »Organisationsmanagement«
Proof of Concept (POC) oder DeskTop Virtualisierung mit XenApp von Citrix Erziehungsdepartement Th. Anliker.
Westfälische Wilhelms-Universität Münster 15-JAN-2004 Heinz-Hermann Adam Benutzung von tragbaren Computern Unter Windows in.
Auswirkungen der ID-Reorganisation auf die Dienstleistung (Web)Hosting
Arbeitsgruppen-administration
Technische und organisatorische Aspekte bei der Einführung und dem Betrieb einer universitätsweiten Lernplattform: Herbert STAPPLER Zentraler Informatikdienst.
Publikation auf Knopfdruck Judith Riegelnig Michael Grüebler 19. Oktober 2010 / Statistiktage Neuenburg.
Replikation und Synchronisation
Anbindung von Converis
Analyseprodukte numerischer Modelle
Interface systems GmbH | Zwinglistraße 11/13 | Dresden | Tel.: | Fax: | Frank Friebe Consultant.
Dokumenten- und Publikationsserver
Eike Schallehn, Martin Endig
Zentrale Authentifizierungsplattform mit Open Text Website Management bei Thieme.
1URZ-Info-Tag Zum Ausbau des Uni-Datennetzes URZ-Info-Tag 2009 Dipl.-Inf. Marten Wenzel.
Oracle Portal think fast. think simple. think smart. Dieter Lorenz, Christian Witt.
SSH-Authentifizierung über eine ADS mittels Kerberos 5 Roland Mohl 19. Juli 2007.
Anwendungsintegration an Hochschulen am Beispiel Identity Management
MyCoRe in einem in einem Detlev Degenhardt Jena, den Umfeld - Umfeld.
Verfahrensstand, Planung und Verbindung mit eCampus II AK Verzeichnisdienste des ZKI am
IT-Dienstleistungen E-Learning Systeme Content Management 1 Fallbeispiel ILIAS: Das Repository-Objekt-Plugin „Centra“
Campusmanagement und E-Learning – eine Optimierungsstrategie AMH Frühjahrs-Tagung, März 2011 Dr. Thomas Strauch.
Identity Management.  Zentrale Begriffe und Probleme  Modellbildung  Methoden zur Authentisierung über HTTP  Technische Aspekte  Compliance  Hindernisse,
Verzeichnisdienste im Vergleich
Spontan testen! Das eigene Test Lab, für jeden in der Cloud!
Datenbanken online sowie offline verfügbar machen
Rechenzentrum Zentrum für Kommunikation und Information
 Präsentation transkript:

Integriertes Management von Identitäten im fakultativen und universitätsweiten Kontext 20.DFN-Arbeitstagung Dipl. Math. Klaus Scheibenberger ATIS, Universität Karlsruhe (TH) Dipl. Inform. Horst Wenske Rechenzentrum, Universität Karlsruhe (TH))

Vorstellung Klaus Scheibenberger, Leiter der Abteilung technische Infrastruktur der Fakultät für Informatik (ATIS). Die ATIS ... ist eine zentrale Fakultätseinrichtung. ... betreibt zentrale IT-Dienste für die Informatik (lokaler = fakultativer Kontext). ... erprobt neue Szenarien/Technologien, im Bereich der Informatik. ... bildet die Schnittstelle zum Rechenzentrum der Universität.

Agenda Einführung Entwicklungsschritte ... im fakultativen/lokalen Kontext ... im universitätsweiten Kontext hin zu einem integrierten Identitätsmanagement Aktuelle Schritte und Ausblick

Themeneinführung Dienste benötigen Identitätsinformationen von Nutzern ... zur Authentisierung (Zugang) ... zur Autorisierung (Rollen, Rechte) Identitätsmanagement hat zu tun mit der systematischen Bereitstellung und Pflege von Identitätsinformationen. In die Dienste eingebunden Systeme benötigen Identitätsdaten. Unterschiedliche technologische Ansätze für die Bereitstellung. Vorgestellt werden fünf Entwicklungsschritte (Phasen) für die Bereitstellung (und Pflege) von Identitätsdaten ... ausgehend von einem lokalen Ansatz ... ... hin zu einem universitätsweiten, kooperierenden Ansatz

Begriffe Lokaler (fakultativer) Kontext: Dienste eines Betreibers, die für eine oder mehrere Fakultäten bereitstellt werden („geschlossene Nutzergruppe“). Universitätsweiter Kontext: In universitätsweiten Prozessen interagieren Dienste unterschiedlicher Betreiber. Identität: Menge der Identitätsattribute die einem Nutzer von einem Betreiber zugeordnet sind. Teilidentität: Teilmenge einer Identität. Identitätenbasis: Menge von einheitlich strukturierten Identitäten.

Entwicklungsschritte Lokaler Kontext: Drei Phasen in der Bereitstellung von Identitätsdaten: Hochgradige Verteilung Reduzierung der Verteilung Eliminierung der Verteilung Hintergrund: Lokalen Betrieb optimieren. Universitätsweiter Kontext: Zwei weitere Phasen: Kopplung heterogener Identitätenbasen Integriertes Identitätsmanagement Hintergrund: Flexibilität universitätsweiter Prozesse optimieren.

Teil I – Lokaler Kontext

Phase 1: Typisches Szenario File- server Nutzer Linux Windows Authentifizierung / Autorisierung Arbeits- plätze Mail- Server RADIUS ADS NIS (+) Dial-In VPN Dienste „Passwd“ Problemzone Administrator(en) Datenbank für Nutzerkonten Verteilung per Skript Pflege der Benutzerverwaltung Identitätsdaten Management

Defizite Sicherheitsrelevante Defizite Unverschlüsselte Passwörter in der zentralen Nutzerdatenbank. Verteilung = Vervielfachung Betriebliche Defizite Speziell angepasste Verfahren (z.B. scripts) Spezielle Synchronisationsmechanismen erforderlich. Defizite aus Nutzersicht Häufig keine zeitnahen Änderungen verfügbar.

LDAP-Orientierung Die ATIS setzt für zentrale Dienste nahezu ausschließlich Solaris-/ Linux-basierte Systeme ein. Orientierung zu LDAP als einheitlicher Ansatz für verschiedene Dienste Andere Betreiber tendieren aufgrund anderer Randbedingungen zum Active Directory Service. „Viele Wege führen nach Rom“.

Phase 2: Reduzierung der Verteilung Mail Studenten- pool LDAP Dienste Identitätsdaten Dial-In ADS RADIUS SQL-DB Web- interface Management: dezentral (Forschungsbereiche) zentral (ATIS) Nutzerkonten 2. SQL-DB

Defizite – Vorteil Sicherheitsrelevante Defizite Voneinander unabhängige Datenbestände mit Identitätsdaten. Betriebliche Defizite Unterschiedlich strukturierte LDAP-Verzeichnisse. Anpassungsaufwand für neue Dienste. Defizite aus Nutzersicht Unterschiedliche Authentisierungsdaten. Vorteil: Zunehmende Nutzung einer standardisierten Schnittstelle um die Verteilung von Identitätsdaten zu reduzieren.

(Forschungsbereiche) Übergang Mail Studenten- pool LDAP Dienste Identitätsdaten Dial-In ADS RADIUS Verbesserungs- potential Zentrales LDAP- Verzeichnis SQL-DB Web- interface Management: dezentral (Forschungsbereiche) zentral (ATIS) Nutzerkonten 2. SQL-DB

Phase 3: Zielarchitektur ... Replikate Mail Studenten- pool Dial-In Zentrales LDAP- Verzeichnis Dienste Identitätsdaten/ Nutzerkonten Web- interface Management dezentral zentral

Dienstorientierte LDAP-Struktur dc = Einrichtung B Fakultät dc = Stud ou = Groups ou = People dc = Einrichtung A Nutzerkonten Nutzerkonto Vorname Nachname Institut ... Mail-Server Mail-Aliase Benutzerkennung Passwort VPN-IP-Adresse Nutzerzertifikat Attribute Person Unix-Zugang Dial-In-Dienst VPN-Dienst Mail-Dienst Klassen

Einbindung neuer Dienste Beispiel VPN: Eigene Klasse enthält die VPN-spezifischen Attribute: Nutzerspezifische VPN-IP-Adresse Nutzer-Zertifikat nach X.509-Standard Test Name Mail URL

LDAP und Active Directory Ablösung von AD durch LDAP im Studentenpool: Derzeit Synchronisation von Accounts über Scripts von LDAP nach AD. Passwortänderungen über SfU. Aufwändiger und damit „fehleranfälliger“ Prozess. Einsatz von Samba 3.x als Domaincontroller. Tests bzgl. Windows-Grouppolicies

Lokaler Kontext – Aktueller Stand VPN – ok Mailsystem – ok Studentenpool – ok (Windows / LDAP – Testphase) Wireless (802.1x) – To Do Dial-In – To Do Umstellung von Einrichtungen in der Fakultät – Testphase (entspricht i.P. Studentenpool) Konsequente Ausrichtung in Richtung LDAP im lokalen Kontext

Teil II - Universitärer Kontext

KIM-LPS KIM-Projekt Karlsruher integriertes InformationsManagement (www.kim.uni-karlsruhe.de) Beispiele für universitätsweite Prozesse: Lehrveranstaltungsmanagement Prüfungsmanagement Studienassistenz Teilprojekt KIM-LPS

KIM-LPS – Architektur (Ausschnitt) Legacy- System Anwendungs- Dienste Basisdienste <<Task>> Prozesse Infrastrukturdienste (Verzeichnisdienste, Sicherheit, ...) WS-Wrapper WS- ... <<Prozess>> Betreiber2 Betreiber1 Idenitätenbasis1 Idenitätenbasis2 Identitäten? Identitätsmanagement als wichtiger Faktor Teilprojekt KIM-IdM

Integration von Identitätenbasen Ausrichtung an den eigenen Anforderungen, nicht an einem Produkt. Zunächst: Einfachheit der Architektur Tests, erste Implementierungsschritte mit einfachen Tools um generelle Zusammenhänge zu verifizieren. Spätere Flexibilität in der Produktauswahl.

Begriffe Satellit: Organisatorische Einheit (Betreiber) die eine eigenständige Identitätenbasis pflegt (z.B. ATIS). Gesamtidentität: Zusammenfassung aller, in den Satelliten, einem Nutzer zugeordneten Identitäten. Identität: Menge der Identitätsattribute die einem Nutzer in einem Satelliten zugeordnet sind. Teilidentität: Teilmenge einer Identität.

Anforderungen Heterogenität: Unterschiedliche Satelliten. Selbstverwaltung: Lokale Flexibilität. Autonomie: Dezentrale Identitätenbasen. aber Eindeutigkeit: Identitäten in verschiedenen Satelliten. Datenharmonisierung: Synchronisation und Sicherstellung der Konsistenz im gesamten Verbund. Datenminimalität, Datenschutz: Nur notwendige Informationen.

Zentrale Kernidentität GUID Name Vorname Email Matrikel- nummer Titel Externer erbt von „Person“ Objektklasse „Person“ Mitarbeiter Student

Phase 4: Verteilte Identitätenbasen Verwaltung Initiale Datensätze Satellit HIS RZ Satellit ADS UB Updates Satellit LDAP Zentrale Kernidentität Mitarbeiter Student Externer … GUID … … ATIS Student ATIS-Student Satellit LDAP WiWi CIP Satellit ADS

Phase 5: Gesamtszenario KIM Lokaler Kontext Informatik Studierender/ Mitarbeiter ATIS-Dienste VPN Mail Drucken Zugriff auf lokale Dienste (Home, Mail) Windows Unix Zugriff auf KIM-Dienste im Prozessablauf KIM-Kontext Basis- dienst Anwendungs- dienste Trust Relation Planungs- Noten- erfassung Anwendungsdienste – KIM-LPS Zentrale Kern- identitäten ADS WiWi LDAP RZ UB Verw. Verwaltung z.B. LDAP-Verzeichnisse (oder ADS) ATIS Direkte Authentisierung und Autorisierung Identitätsmanagement – KIM-IdM WS Autorisierung

Aktuelle Schritte

Fricard Datendistribution Nur erforderlicher Attribute werden synchronisiert. Chip- number Satellit Verwaltung HIS Fricard Personalisierung Syn Satellit RZ ADS Siport Syn Selektiver Synchronisationslayer Kernidentitaten Synchronisationsschnittstelle eines Satelliten Satellit … LDAP Syn

Ausblick

IDM Architektur

Phasenplanung

Untergang der (Informations-)Inseln ! Ziele Integriertes Informationsmanagement bedeutet: Untergang der (Informations-)Inseln ! (s. unikath 01/2006) Eine notwendige Grundlage: Integriertes Identitätsmanagement d.h. Übergang von unabhängigen Identitäten-Inseln zu einem kooperierenden System !

Vielen Dank für Ihre Aufmerksamkeit Fragen?

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.