 |
Archivierte alte Webseite - Datenschutzerklärung, Adressen und Links zu externen Seiten sind vielfach ungültig - Bitte besuchen Sie www.PROJECT-CONSULT.com
Archived old Web Site - Privacy declaration, addresses and links to external web sites may be invalid - Please visit www.PROJECT-CONSULT.com |
|
| LDAP und X.500 - Directory Services: Grundlage für das Ressourcen-Management |
 |
| Funktionsbereiche |
| Begriffsbestimmungen |
| | | | Administratoren und Anwender stehen heute vor der Aufgabe, verschiedene Directories verwalten zu müssen. Das können beispielsweise E-Mail-Directoryse, gesonderte Adreßdirectoryse oder die Benutzerverwaltung eines großen Netzwerks sein. Es liegt nahe, diese teilweise redundant vorliegenden Informationen in einem einheitlichen Directory zu verwalten.
| | |
|
| | | | Davon verspricht man sich die Senkung der Kosten für die Erfassung, Verwaltung und die Integration in Anwendungen und vor allem die Vermeidung von Sicherheitsproblemen durch inkonsistente oder nicht aktuelle Directoryeinträge. Heutzutage bleibt beispielsweise eine Zugangsberechtigung häufig bestehen, obwohl der Mitarbeiter bereits ausgeschieden ist.
| | |
|
| | | | Werden einem solchen Directory noch die entsprechenden Verwaltungsdienste zur Verfügung gestellt, spricht man von einem Directory Service oder Directory Service. Entwickeln wir diesen Gedanken weiter, indem wir sämtliche Directoryse und Directory Services auch über verteilte Umgebungen hinweg einbeziehen, entsteht die Idee von einem Unternehmensdirectory oder Enterprise Directory als wichtige Infrastrukturkomponente.
| | |
|
| | | | Directory Services sind spezialisierte Datenbanksysteme und daher prinzipiell wie universelle Datenbanken organisiert. Im Unterschied zu diesen sind Directory Services jedoch vorrangig für den lesenden Zugriff aus relativ kleinen und einfachen Anwendungen heraus optimiert worden.
| | |
|
| | | | Directory Services sind also Spezialdatenbanken mit limitierter Funktionalität. Weil auf die Unterstützung komplexer Transaktionen verzichtet werden kann, arbeitet ein Directory Service auch bei einer sehr großen Anzahl von Einträgen noch performant.
| | |
|
 |
|
| Funktionsbereiche |
| | | | Ein Directory Service stellt in vernetzten Rechnersystemen einen Basisdienst zur Verfügung. Dabei stellt er seine Dienste im Regelfalle über die Benutzungsoberfläche von Client-Systemen dem Anwender zur Verfügung. Administratoren können die Verwaltungswerkzeuge des Dienstes nutzen. Ein Directory Service deckt vier wesentliche Funktionsbereiche ab:
| | |
|
| | | | | | Security
| | Zum Schutz von Informationen vor unberechtigter Benutzung stellen Directory Services Mechanismen zur Vergabe und Anwendung von Schutzrechten, zur Authentifizierung, Autorisierung und Verschlüsselung bereit.
| | | | | Partitionierung
| | Directories werden zur Bewältigung großer Informationsmengen technisch auf verschiedene Speicher oder Rechner aufgeteilt, um so die erforderliche Performance zu erreichen.
| | | | | Verteilung
| | Directories werden darüber hinaus geographisch auf mehrere, über ein Netzwerk verteilte Rechner aufgeteilt. Diese Rechner arbeiten wie ein einziges Directory zusammen. Suchanfragen werden von einem Directory zu anderen Directoryservern im Netz weitergeleitet.
| | | | | Replikation
| | Directories mit ganz oder teilweise identischem Inhalt werden durch Replikationsmechanismen in definierter Weise synchron gehalten werden, d. h. daß Informationen auf andere Directoryserver im Netz kopiert werden. So sind diese Directories auch entfernten Anwendern schnell und sicher zugänglich, ohne daß diese dabei Inkonsistenzen in Kauf nehmen müssen.
| | | |
|
| | | | Auf Directories wird üblicherweise nach dem Client-/Server-Modell zugegriffen. Zum Lesen oder Schreiben von Informationen greift eine Anwendung über eine Funktion oder ein Application Programming Interface (API) zu, um die entsprechende Anfrage an einen Serverprozeß weiterzuleiten, der sie dann bearbeitet und die Ergebnisse zurückmeldet.
| | |
|
|
|
| Begriffsbestimmungen |
| | | | Zum Verständnis der nachfolgenden Diskussion ist es erforderlich, drei nicht gleichgewichtige Themenkomplexe zu erläutern. Diese sind:
| | |
|
| | | | - X.500: Der umfassende Standard
| | | | | - LDAP: der leichte Zugang zu X.500
| | | | | - Metadirectories: Neue und alte Welt
| | | |
|
|
| X.500 - Der umfassende Standard |
| | | | Auslöser zur Entwicklung des Standards X.500 für Directory Services war der Gedanke, ein international zugängliches Telefondirectory für letztlich alle Bürger dieser Welt zu entwickeln. X.500 war daher ursprünglich ein Standard der International Telecommunications Union (ITU). Es stellte sich schnell heraus, daß der verfolgte Ansatz weit mehr Möglichkeiten bietet, als ”nur” Telefonnummern zu verwalten. Deshalb hat auch die International Standard Organization (ISO) diesen Standard aufgegriffen und als eigenen Standard festgeschrieben.
| | |
|
| | | | X.500- Directories sind hierarchisch aufgebaut. Jede Informationskategorie wie Land, Stadt, Organisation etc. ist in eigenen Ebenen (Levels) abgebildet. Durch die Beschreibung eines Netzwerks von Directories wirkt ein X.500-Directory-Verbund wie ein einziges, globales Directory.
| | |
|
| | | | Die Verbindung von den Directory User Agents (DUA) zu den Directory Systems Agents (DSA) wird mit dem Directory Access Protocol (DAP) hergestellt
| | |
|
| | | | Der Erfolg dieses umfassenden Standards für Directory Services wurde jedoch durch einige Probleme behindert:
| | |
|
| | | | | | | | -
| | X.500-Protokolle basieren auf dem Ressourcenintensiven OSI-Protokoll-Stack. Der hohe Verbrauch an Hauptspeicher und CPU-Zeit auf der Client-Seite verhindert den Zugriff durch schlanke Clients.
| |
| | | | | -
| | Die X.500-Einträge werden nach einer Syntax gemäß Abstract Syntax Notation 1 (ASN.1) kodiert und sind damit erst nach entsprechender -Dekodierung zugänglich.
| |
| | | | | -
| | Das DAP-API (Application Programming Interface des Directory Access Protokolls) von X.500 ist in der Verwendung umständlich und wird von den Programmierern weithin abgelehnt.
| |
| | | | | -
| | Aufgrund der angewachsenen Mitgliederzahl in den Standardisierungsgremien kommt es in den Standardisierungsgrmien häufig zu verzögerten Entscheidungen oder politisch motivierten Kompromissen.
| |
| | | |
|
| | | | Von diesen Einschränkungen einmal abgesehen, enthält die X.500-Spezifikation ausgereifte Konzepte, Modelle und Dienste (Services). Wenn die Protokollprobleme künftig statt mittels DAP mit Hilfe des Lightweight Directory Access Protocol (LDAP) gelöst werden können, steht ein Standard zur Verfügung, der den Aufbau einheitlicher Unternehmensdirectoryse (Enterprise Directories) ermöglicht. Seine Akzeptanz wird sich damit wieder erhöhen.
| | |
|
|
| LDAP – Der leichte Zugang zu X.500 |
| | | | Das LDAP wurde als vereinfachter Ersatz für das X.500-Zugriffsprotokoll DAP entwickelt. Mittels DAP kommunizieren die Directory User Agents (DUA) mit den Directory System Agents (DSA) der X.500-Welt (s. Abb. 3). Ziel der Entwicklung von LDAP war es, 90% der DAP-Funktionalität bei 10% der Kosten zur Verfügung zu stellen. Dies wird durch den Transport über TCP und einem dementsprechend reduzierten Overhead, den Verzicht auf selten benutzte Funktionen, die Verwendung einfach zu verarbeitender Zeichenkettenformate anstelle der ASN.1 sowie eine einfachere Kodierung der Daten für den Transport erreicht.
| | |
|
| | | | LDAP bietet damit einen einheitlichen Zugriff und eine einheitliche Kommunikation mit Directory Services. Die ursprüngliche Idee, ein Gateway für den Zugriff auf X.500- Directories zu schaffen, ist inzwischen weiterentwickelt worden. Über die einheitliche LDAP-Schnittstelle lassen sich auch andere proprietäre Directory Services ansprechen oder eigenständige ”LDAP-Server” bauen. Eine leistungsfähige Kommunikation zwischen LDAP-Servern ist zur Zeit jedoch noch nicht standardisiert. Interessenten sind hier entweder auf ein Produkt eines Herstellers angewiesen, oder die Kommunikation läuft über den Client bzw. die Client-Schnittstelle ab. Bis zu dem Zeitpunkt, bis eine zufriedenstellende Lösung angeboten wird, kann die Verwendung des Lightweight Data Interchange Format (LDIF) als einfacher Ersatz für eine Replikation zwischen jeweils zwei Servern helfen.
| | |
|
| | | | Der LDAP-Standard wird von der Internet Engeneering Task Force (IETF) betreut, die für ihre Entwicklung einen Bottom-Up-Ansatz verfolgt: Interessierte Personen oder Organisationen können ihre Lösungen zur Standardisierung einreichen. Dieser Ansatz hat sich als sehr viel schneller und dynamischer erwiesen, und damit letztlich erfolgreicher, als der herkömmliche Top-Down-Ansatz, bei dem zunächst die Spezifikationen erarbeitet, diese in aufwendigen Prozeduren in den Standardisierungsgremien abgestimmt und aus diesen dann Produkte abgeleitet werden.
| | |
|
|
| Metadirectories – Neue und alte Welt |
| | | | Viele Organisationen, die heute einen Directory Service einsetzen wollen, nutzen bereits andere Directoryse in ihren Systemen, wie z. B. Personalsysteme, Netzwerkdienste oder Mailsysteme.
| | |
|
| | | | Ziel von sogenannten Metadirectorysen (Metadirectory) ist es, diese zu synchronisieren. Ein Metadirectory besteht aus einem Directory Service und aus Werkzeugen für die Befüllung und Synchronisation. Metadirectories können Anwendungen mit konsistenten Informationen aus vielfältigen Datenquellen versorgen. Der Directory Service dient als Konsolidierungspunkt und als ”normales” Directory zur Versorgung der Anwendungen. Die Integrationswerkzeuge übernehmen die Aufgaben der Datenextraktion, -modifikation und -umformatierung. Dabei stellen sich besondere Anforderungen:
| | |
|
| | | | | | Triggersteuerung
| | Bei Änderungen der Inhalte eines Directories muß ein Impuls an das Metadirectory gelangen, damit diese Änderungen verwaltet und auch anderen Anwendungen zur Verfügung gestellt werden können (Event Notification).
| | | | | Join-Regeln
| | In den Join-Regeln wird festgelegt, welche Objekte und Attribute eines bestimmten Directory führend für andere Directories sind.
| | | | | Filtermechanismen
| | Durch Filtermechanismen können die verzeichneten Informationen in der Art den verschiedenen Directories zur Verfügung gestellt werden, daß diese von den unterschiedlichsten Anwendungen verarbeitet werden können.
| | | | | Scheduling
| | Nicht alle Anwendungen liefern den benötigten Impuls für die Triggersteuerung. Um einen Abgleich der verschiedenen Directories zu gewährleisten, müssen die Zeitpunkte bestimmt werden, zu denen der Abgleich durchgeführt wird.
| | | |
|
| | | | Um das Zusammenspiel mit verschiedenen Directories zu verdeutlichen, soll das folgende Beispiel dienen:
| | |
|
| | | | Wird z. B. ein neuer Mitarbeiter eingestellt, so müssen Einträge in den verschiedensten Directories getätigt werden. Im Personalsystem wird ein Datensatz zum neuen Mitarbeiter angelegt. Dieser neue Datensatz wird dem Metadirectory bekannt gemacht. Das Metadirectory nimmt daraufhin z. B. Kontakt mit dem E-Mail- und dem Telephondirectory auf, macht den Namen des neuen Mitarbeiters bekannt und fordert eine entsprechende E-Mail-Adresse und eine Telephonummer zurück. In diesem Beispiel soll keine Aussage darüber getroffen werden, in welchem Directory welche Daten gespeichert werden. Es soll lediglich deutlich gemacht werden, daß das Metadirectory eine entsprechende Sicht (in diesem Beispiel ein Adreßeintrag) generiert. Diese Sicht ist zentral durch das Metadirectory zu verwalten.
| | |
|
| | | | Die Verwendung von Metadirectories erlaubt nicht nur die flexibelste Integration von Altanwendungen in einen Directory Service, sondern auch die beste Möglichkeit, Informationen aus anderen Directory Service zu konsolidieren:
| | |
|
| | | | Eine Integration kann nach den Wegen des Informationsflusses und den Arten der Bereitstellung unterschieden werden.
| | |
|
|
| Wege des Informationsflusses sind: |
|
| | | | Die Directoryinformationen werden in ausreichenden Abständen aus den Quelldirectorysen in das Metadirectory überführt.
| | |
|
|
| | | | Die Informationen fließen in beide Richtungen, um z. B. Maildirectoryse mit dem Directory der Personalabteilung abzugleichen. Das kann diskontinuierlich über Import und Export oder quasikontinuierlich über Replikationsmechanismen vorgenommen werden.
| | |
|
|
| | | | Mehrere Directoryse werden untereinander durch Replikation oder Import / Export miteinander abgeglichen. Hier sind nur noch sehr ausgefeilte Replikationsmechanismen durchführbar.
| | |
|
| | | | Arten der Informationsbereitstellung sind:
| | |
|
|
| | | | Die Directoryinformationen verbleiben in den lokalen Directories. Im Metadirectory wird lediglich ein Verweis auf das lokale Directory eingetragen.
| | |
|
|
| | | | Daten aus Directorysen von Altanwendungen werden nicht physisch in ein anderes Directory kopiert, sondern in realtime und transparent durchgereicht. Das Metadirectory bildet ein virtuelles Directory.
| | |
|
|
| | | | Die Informationen werden diskontinuierlich in größeren Abstanden komplett neu geladen. Damit ist nur ein Transport in eine Richtung möglich (Distribution, zentraler Sammler). Das LDIF-Format arbeitet nach diesem Verfahren.
| | |
|
|
| | | | Zwei oder mehrere Directories werden untereinander in festgelegten Abständen oder, wenn ein bestimmter Änderungsbestand aufgelaufen ist, abgeglichen. Dabei werden nur geänderte Einträge oder sogar nur die geänderten Teile der Einträge übertragen. Änderungshistorien werden auf beiden Seiten verfolgt und ausgewertet, damit immer nur der zuletzt geänderte Eintrag als gültiger Wert übertragen wird.
| | |
|
| | | | Die Information im Directory kann verwendet werden, um
| | |
|
| | | | | |  | | Anwender so zu authentifizieren, daß sie sich mit einem Namen und Paßwort bei verschiedenen Systemen anmelden können,
| | | | | | | Web-Seiten zu personalisieren,
| | | | | | | ein Network Quality of Service (QoS), z. B. Netzwerkbandbreite gemäß dem Status des Anwenders, aufzubauen,
| | | | | | | Gruppenzugehörigkeiten von sich anmeldenden Anwendern zu erkennen,
| | | | | | | Konfigurationsinformation netzwerkweit für den Travelling User bereit zu stellen,
| | | | | | | Ereignisse auszulösen. Ereignisse können z. B. das Ausscheiden eines Mitarbeiters, oder eine Beförderung sein.
| | | |
|
| | | | Die Einsatzmöglichkeiten und Nutzenpotentiale werden in der folgenden Auflistung zusammengefaßt wiedergegeben:
| | |
|
| | | | | | | | Daten von verschiedenen Anwendungen werden von einem Directory Service verfügbar und konsistent gehalten. Dieses bezieht im Innenverhältnis alle Mitarbeiter und im Außenverhältnis sämtliche Kundenstammdaten ein:
| | | | | | | Vermeidung inkonsistenter, redundanter Speicherung,
| | | | | | | Ein Dienst für alle Arten von Adreßstammdaten im Innen- und Außenverhältnis,
| | | | | | | Keine eigenständige Pflege von Anwendungen, die Adreßinformationen verarbeiten, sondern gemeinsame konsolidierte Bereitstellung in einem Dienst.
| | | | | | | Durch die Berücksichtigung internationaler Standards wird eine kontrollierte Kommunikation mit Filialen ermöglicht. Eine größt mögliche Flexibilität an die örtlichen Gegebenheiten oder spätere Migrationen werden gewährleistet:
| | | | | | | Zentrale und verteilte Lösungen auf Basis internationaler Standards,
| | | | | | | Austausch, Replikation und Harmonisierung auf Basis einheitlicher Formate und Protokolle,
| | | | | | | Kontrollierbarkeit der Nutzung und Bereitstellung durch beliebig konfigurierbare Sichten und Rechteprofile.
| | | | | | | Zentrale Administration und Konfiguration für multiple Anwendungen:
| | | | | | | Unterstützung beliebiger Rollen, Gruppen und anderer Organisationsformen,
| | | | | | | Nutzbar als zentraler Speicher für beliebige Benutzerverwaltungssysteme,
| | | | | | | Einheitliche Pflegekomponente für den Dienst,
| | | | | | | Verringerung des Systemadministrationsaufwandes.
| | | | | | | LDAP wird durch seine zentrale Bedeutung zu einer strategischen Komponente:
| | | | | | | Geregelte Verteilung von Teilbeständen auf lokale Installationen und Konsolidierung lokaler Bestände in zentralen Diensten,
| | | | | | | Nutzung von, oder übergreifende Integration mit Directorydiensten, die zukünftig Bestandteil von Betriebssystemen, Groupware oder ”Back-Office”-Suiten sind,
| | | | | | | Zunehmende Bereitschaft der Softwareindustrie anstelle eigener Adreßstammdaten und Benutzerverwaltung die Standardschnittstelle LDAP für Directory Services zu unterstützen,
| | | | | | | Einheitliche Strategie für die Softwareentwicklung durch Nutzung von standardisierten Diensten.
| | | | | | | Der Directory Service ist eine flexible Infrastrukturkomponente, die verschiedene Sichten und Verdichtungen auf die verzeichneten Daten zuläßt:
| | | | | | | Mittel- und langfristige hohe Rentabilität durch anwendungs- und plattformunabhängige Bereitstellung von Adreß- und vergleichbaren Daten,
| | | | | | | Vielfältigste Einsatzgebiete von der herkömmlichen Adreßverwaltung, über E-Mail-Directoryse, Internet-Services, Raumplanung, Inventare, Benutzerdaten etc.,
| | | | | | | Universelle Auswertungs- und Verdichtungsmöglichkeiten (Ressource-Warehouse).
| | | |
|
|
|
|
