LDAP Wo setzt man es ein und wie. Die Geschichte eines Projekts oder ein Ring sie zu knechten

Transkript

1 LDAP Wo setzt man es ein und wie Die Geschichte eines Projekts oder ein Ring sie zu knechten

2 Gliederung Der Ausgangspunkt: ein babylonisches Gewirr Das Ziel - ein Traum? Die Beteiligten Die Idee Bestandsaufnahme in Domino Die Umsetzung am Host Active Directory Sametime, Connections Drittanwendungen Datenaustausch und Authentifizierung Die Werkzeuge Fragestellungen

3 Der Ausgangspunkt ein babylonisches Gewirr Jeder Anwender verfügte über eine Vielzahl von Logins mit unterschiedlichen Updatezylen: Host: monatliche Änderung, 8 Zeichen, nur Buchstaben, Pflege über Hostemulation Lotus Domino: mindestens 8 Zeichen, 3monatige Änderung, Pflege über Notes Client Internet Access: mindestens 1 Ziffer und 1 Sonderzeichen, keine Zwangsänderung, Pflege über eine kryptische URL Active Directory: mindestens 2 Ziffern und 1 Großbuchstabe, monatliche Änderung, Pflege über Login weitere Logins: Budgetplanung, Service Desk, Webbased Training, nagios, (ca. 20) Für und über jeden Anwender waren in einer Vielzahl von Systemen Daten gespeichert, die an diversen Stellen wieder gebraucht wurden AD: Benutzername, AD-Gruppen Domino: Internetmailadresse, Mailgruppen 6 Orga-Anwendungen: Vorgesetzte, Vertreter, Verfügbarkeiten 2 Telefon-Mgmt: Festnetz- und Mobiltelefonnummer, Fax 4 Ressourcen-Managements: Standortinformationen 3 Personal-Anwendungen: Personalnummer, weitere ca. 60 Personendatenverwaltungslösungen in der Unternehmensgruppe

4 Das Ziel ein Traum? Authentifizierung für inhouse Anwender einmalig bei der Windows Anmeldung für alle Applikationen für das Extranet Single-Sing-On für alle browserbasierten Anwendungen persönliche Daten werden nur noch an einer Stelle gepflegt werden nirgendwo zwischengespeichert Alle Anwendungen greifen auf einen Datenpool zu

5 Die Beteiligten Die Daten hüter jede Gruppe will Ihre Daten weiter dort pflegen wo sie es bisher tun Die Anwender wollen alles möglichst einfach benutzen können Die Geschäftsleitung möchte die IT-Kosten senken für Standard-Prozesse Die Revision fordert die Sicherstellung der internen und gesetzlichen Richtlinien zur Datenspeicherung und zum Informationszugriff Das Projektteam Viele Punkte zu scheitern und nichts zu gewinnen?

6 Die Idee Lass jedem (fast) seinen Willen Wir brauchen eine Instanz, die alle Informationen zur Verfügung stellt Wir brauchen Schnittstellen dazu Host Domino Active Directory Personalanwendungen Orga-Anwendungen Personendatenverwaltungen Telefonanlagen

7 Die Idee Und wie soll das nun alles funktionieren?

8 Bestandsaufnahme im Domino Wir haben einen laufenden LDAP Server auf Basis Domino LDAP-Unterstützung am Host und Active Directory LDAP-Unterstützung in der Entwicklung PHP Java-Klassen Wir brauchen Export-Schnittstellen in allen anzubindenden Systemen um die Quelldaten abzuholen, die dort gepflegt werden Import-Schnittstellen in allen anzubindenen Systemen, um die Zusatzdaten, die die Anwendungen brauchen, aktualisiert werden Die Unterstützung aller Beteiligten Ein Berechtigungskonzept

9 Die Umsetzung Der Host Stammdaten: die 8stellige Benutzerkennung bei der Anlage des Benutzers wird manuell im DD eingetragen Zusatzinformationen: Vorname, Nachname Telefonnummer Adresse, Abteilung per PERL-Script werden auf dem Host die Zusatz-Informationen täglich aktualisiert Domino LDAP Single Sign On: seitens Host-Administration abgelehnt und nicht umgesetzt

10 Die Umsetzung Das Active Directory Stammdaten: Windows Berechtigungsgruppen Zusatzinformationen: Vorname, Nachname Telefonnummer Adresse, Abteilung tägliche automatisierte Updates per Java Agent auf dem Domino Server Konsolidierung der Domino Berechtigungsgruppen Domino Directory

11 Die Umsetzung Das Active Directory Notes Client: Aktivierung des Dienstes Gemeinsame Anmeldung Domino Browser Apps: SPNEGO

12 Die Umsetzung Lotus Sametime Stammdaten: ST nutzt als Directory den Domino LDAP Single Sign On: SPNEGO Domino LDAP

13 Die Umsetzung Lotus Connections Stammdaten: Connections nutzt als Directory den Domino LDAP Single Sign On: SPNEGO

14 Die Umsetzung Internet Access ein Squid HTTP Proxy Stammdaten: braucht s nicht SSO: dank SQUID-Wiki mehr als Braucht s nicht

15 Die Umsetzung Austausch von personenbezogenen Informationen mit Telefonanlage etc. außerhalb Notes LDAP Webservices ODBC ASCII-Files

16 Die Umsetzung Austausch von personenbezogenen Informationen innerhalb Notes Für Eigenentwicklungen Domino Directory LS-Klasse für klassische Notes-Anwendungen WebService nix anderes als die LS-Klasse, nur halt als WS Für 3rd Party Anwendungen, die ihre eigenen Directories verwalten Gedys Intraware CRM Suite, Pavone Projektmanagement, FOCONIS ZAK, GIS, K7,

17 Die Umsetzung Authentifizierung im Browser für eigene Anwendungen 2.LTPA Token gesetzt? 1.Zugriff durch den Anwender (HTTP Request) nein 3.LTPA Token gesetzt? ja ja 5.Auslieferung der Site (HTTP Response) 4. Anmeldemaske

18 Die Werkzeuge Softera LDAP Browser DSAPI Filter für nicht-windows Dominos %20Windows%20Servers LDAP Class Libraries for Java (JLDAP) Tonnen von IBM Dokumentationen TS Pump (ODBC und ASCII-Datenaustausch) by TS Consulting

19 Fragestellungen Passwort Policies Websphere Security Cache vs. Performance LTPA Token Expiration Time Websphere- und Domino LTPA Token Monitoring LDAP Policies

20 Details: SPNEGO einrichten Domino Konfiguration Multiserver SSO konfigurieren, ggf. Websphere Keys einbinden Website Konfiguration anpassen Maximum cached users anpassen SPN service principal name domspnego setspn Name Mapping Domino Internet Address <-> Mail im AD AD-Namen im Domino Directory Browser Konfiguration IE: Automatic logon only in Intranet zone & Domino Server zu Local Intranet hinzufügen FF: Domino Server über about:config in network.negotiate-auth.trusted-uris eintragen

21 Details: SPNEGO einrichten Domino Konfiguration Multiserver SSO konfigurieren, ggf. Websphere Keys einbinden Website Konfiguration anpassen Maximum cached users anpassen SPN service principal name domspnego setspn Name Mapping Domino Internet Address <-> Mail im AD AD-Namen im Domino Directory Browser Konfiguration IE: Automatic logon only in Intranet zone & Domino Server zu Local Intranet hinzufügen FF: Domino Server über about:config in network.negotiate-auth.trusted-uris eintragen

22 Details: SQUID einrichten SQUID Server AD MSKUtil ( oder SAMBA installieren Kerberos Konfiguration (krb5.conf) SQUID Konfiguration (Kerberos aktivieren) Kerberos im SQUID Startup hinzufügen Squid Host im AD eintragen mit msktutil oder SAMBA

23 TS Consulting Thomas Schneider Schneekopfstraße 9, Suhl