INHALT VORWORT WISSENSCHAFTS- NETZ INTERNATIONAL CAMPUS SICHERHEIT RECHT DFN-VEREIN. Vorwort Dr. Elisabeth Niggemann

Transkript

1

2 INHALT VORWORT Nachdruck sowie Wiedergabe in elektronischer Form, auch auszugsweise, nur mit schriftlicher Genehmigung des DFN-Vereins und mit vollständiger Quellenangabe. Der Versand erfolgt als Postvertriebsstück. WISSENSCHAFTS- NETZ Vorwort Dr. Elisabeth Niggemann Fliegender Wechsel Re-Design der X-WiN-Topologie in der Ausbaustufe 2 Hans-Martin Adler, Hubert Waibel VIOLA Signalisierung von Ende-zu-Ende-Verbindungen Dr. Peter Kaufmann Sicherer Umgang mit geschützten Ressourcen DFN-AAI nimmt Gestalt an Ulrich Kähler Auf dem Weg zur DFN-AAI: Identity Management Peter Gietz, Prof. Dr. Christian Grimm, Dr. Hans Pfeiffenberger, Dr. Jürgen Rauschenbach, Renate Schroeder 12 DFNNetnews - die Welt der schwarzen Bretter 15 INTERNATIONAL Aktuelles aus dem Wissenschaftsnetz Fasern ohne Grenzen Cross-Border-Fibres als Ergänzung der GÉANT2-Konnektivität Karin Schauerhammer, Martin Wilhelm CAMPUS SICHERHEIT RECHT DFN-VEREIN Deutschlands und Polens Wissenschaftler rücken näher zusammen Kai Hoelzner IP-Performance in Europa Das perfsonar-framework und seine Mess- und Visualisierungstools Birgit König, Dr. Stephan Kraft, Andreas Hanemann, David Schmitz Der erweiterte Sammelauftrag der Deutschen Nationalbibliothek und seine informationstechnischen Konsequenzen Reinhard Altenhöner, Stephan Jockel, Nikola Korb, Thomas Wollschläger Livemusik via Internet Alexander Carôt Für alle Fälle PKI Mehr Sicherheit durch Zertifikate Dr. Marcus Pattloch DFN-PKI: Root im Browser -Problem gelöst Dr. Marcus Pattloch Generelle Vorabprüfung von Online-Foren abgelehnt Heise-Urteil zur Haftung für fremde Beiträge bringt mehr Klarheit Noogie C. Kaufmann Mitgliederverzeichnis Termine Impressum Herausgeber Verein zur Förderung eines Deutschen Forschungsnetzes e.v. DFN-Verein Stresemannstr. 78, Berlin Tel Fax Mail dfn-verein@dfn.de WWW ISSN Redaktion Kai Hoelzner (kh) Redaktionelle Mitarbeit Jens Nestvogel (jn) Gestaltung VISIUS Designagentur Druck D+S GmbH

3 DFN Mitteilungen 71 Dezember 2006 Seite 3 VORWORT D er Wandel in der Informationswelt ist seit mehreren Jahrzehnten ein Thema in den Wissenschaften. Der Übergang vom Buchdruck hin zur digitalen Speicherung und Verfügbarmachung von Wissen ist Gegenstand zahlreicher Publikationen. Die populärwissenschaftliche Vorstellung, der Computer würde dereinst das Buch verdrängen, erweist sich bislang als nicht zutreffend. Für Bibliotheken besteht heute die zentrale Aufgabe darin, die Stärken beider Systeme - die Beständigkeit des gedruckten Wortes auf der einen sowie die große Portabilität, Verfügbarkeit und Reichweite digitaler Medien auf der anderen Seite - möglichst ohne Reibungsverluste miteinander zu vereinen. Seltene, schwer zugängliche oder auch gefährdete Publikationen wie etwa Handschriften und frühe Drucke, quasi die historische Basis unseres Wissens, können so beispielsweise digitalisiert und dem Leser unter Beachtung der Rechte der Urheber elektronisch an die Hand gegeben werden. Nicht minder wichtig ist es jedoch auch, digital veröffentlichte Informationen zu sammeln, zu sichern, zu bewahren und über einen langen Zeitraum hin verfügbar zu halten. Flüchtigkeit und ubiquitäre Verfügbarkeit erscheinen bei Netzpublikationen als zwei Seiten einer Medaille. Wissen wird im Netz schnell transportiert, läuft aber auch Gefahr, viel schneller wieder in Vergessenheit zu geraten, als dies bei klassischen Medien der Fall wäre. Sei es aufgrund von veralteten Dateiformaten und Datenträgern oder aufgrund ungenügender Erfassung und Katalogisierung. Um dem entgegenzuwirken, benötigt die Wissenschaft tragfähige Konzepte für den Umgang mit digitalem Wissen, um zu erreichen, dass Worte, Zahlen, Grafiken, Bilder und Tondateien auch über Jahrhunderte hinweg als solche lesbar bleiben. Dr. Elisabeth Niggemann Generaldirektorin der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek ist die zentrale Archivbibliothek und das nationalbibliografische Zentrum der Bundesrepublik Deutschland. Sie hat die für Deutschland einzigartige Aufgabe, lückenlos alle deutschen und deutschsprachigen Publikationen ab 1913 zu sammeln, dauerhaft zu archivieren, umfassend zu dokumentieren und bibliografisch zu verzeichnen sowie der Öffentlichkeit zur Verfügung zu stellen. Dieser Sammelauftrag ist durch den Gesetzgeber seit Juni diesen Jahres auf so genannte Netzpublikationen erweitert worden. Er umfasst nun auch elektronische Tageszeitungen, Zeitschriften und Monografien, Lexika und andere Nachschlagewerke. Daneben sind auch so genannte webspezifische Publikationen zu sammeln, die sich durch ihre dynamische Entwicklung, interaktive Kommunikationsfunktionen und multimediale Komponenten definieren. Um dies zu leisten, ist nicht nur erhebliche Entwicklungsarbeit nötig, sondern auch eine technische Infrastruktur, die sowohl leistungsfähige Datennetze als auch Speicher- und Backup- Systeme umfasst. Mit dem DFN verfügt die Wissenschaft in Deutschland über ein Kommunikationswerkzeug, das auf aktuelle und künftige Bedarfe beim Speichern und Verfügbarmachen digitalen Wissens hervorragend zugeschnitten ist. Ihre Elisabeth Niggemann

4 Wissenschaftsnetz Fliegender Wechsel Re-Design der X-WiN-Topologie in der Phase 2 DFN Mitteilungen 71 Dezember 2006 Seite 4 S chon bei der Planung des X-WiN wurde berücksichtigt, dass der Umstieg vom bestehenden G-WiN zum neuen X- WiN nicht in einem Schritt erfolgen kann. Deshalb wurde die Migration in zwei Phasen aufgeteilt. In einem ersten Schritt sollten nur die G-WiN-Kernnetzleitungen durch X-WiN Wellenlängen ersetzt (X-WiN Phase 1) und in einem zweiten Schritt dann die Routerplattform einer Überprüfung unterzogen und die Topologie den aktuellen Anforderungen angepasst werden (X-WiN Phase 2). Beide Zielstellungen sind nur in enger Abstimmung optimal realisierbar. Hauptziel der Phase 2 war es, den Nutzern des DFNInternet-Dienstes eine hoch zuverlässige und leistungsfähige Routerplattform für ihre Anwendungen zur Verfügung zu stellen Die Ablösung der G-WiN-Wellenlängen wurde im Dezember 2005 abgeschlossen. Der Austausch der Routerplattform und die Implementierung der neuen Topologie werden bis auf wenige Restarbeiten bis Ende 2006 erfolgt sein. Redesign der Routerplattform Abbildung 1 zeigt die Routerinfrastruktur an den X-WiN-Standorten nach der Migration vom G-WiN zum X-WiN. Besonders an den ehemaligen Level1-Standorten waren teilweise bis zu 7 Router für die Vermittlung im Kernnetz und als Accessrouter für die Anwenderanschlüsse installiert. Eines der Hauptprobleme bei diesem Aufbau war die Kopplung der Router mit 1GE und einem Ethernet-Switch. Durch den stetig steigenden Kapazitätsbedarf der Anwender wurde dies immer mehr zu einem Engpass, welchen man nicht in skalierbarer Form mit der installierten Routerbasis beheben konnte. Darüber hinaus stammten die CISCO7507 noch aus B-WiN Zeiten, und hatten somit technologisch gesehen schon ein betagtes Alter erreicht. Ähnlich verhielt es sich mit den CISCO12008 und einer Vielzahl der eingesetzten Interfaces. Insgesamt waren mehr als 90 Router von unterschiedlichem Typus installiert. Die hohe Anzahl der Router unterschiedlicher Generationen führte zu einem vergleichsweise hohen betrieblichen Aufwand für das DFN-NOC und in der Ersatzteilhaltung. Ziel war es deshalb, die Anzahl der Router pro Standort deutlich zu verringern. Zum anderen stieg auf Seiten der Anwender der Wunsch nach Ausfallsicherheit. Aus dem Blickwinkel der Router bedeutet dies, dass Komponenten mit einer potentiell niedrigen MTBF (Mean Time Between Failure) redundant ausgelegt werden müssen und für diese Komponenten durch geschickte Ersatzteilbevorratung die MTTR (Mean Time To Repair) so gering als möglich gehalten werden muss. Es hätte einige Anstrengungen gekostet, die im X-WiN eingesetzten Router hierfür nachzurüsten. Ein weiterer aber sehr gewichtiger Grund, warum die bestehende Routerplattform ersetzt werden sollte, war der enorm gestiegene Bedarf an Bandbreite bei den Anwendern. Setzte man im G-WiN im Kernnetz Verbindungen mit 10 Gbit/s und 2.5 Gbit/s und bei den Anwenderanschlüssen höchstenfalls 2.5 Gbit/s ein, so war abzusehen, dass der Bedarf nach 10 Gbit/s Anwenderanschlüssen stetig steigen wird, und deshalb natürlich auch im Kernnetz Vorkehrungen getroffen werden mussten, um diesen Bedarf abzudecken. Dies konnte mit der bestehenden Routertechnologie größtenteils überhaupt nicht, oder nur mit sehr teuren neuen Hardwarekomponenten (LineCards) bewerkstelligt werden. Von der Routertechnik wurde daher gefordert, dass neue Router für das X-WiN - Kernnetzverbindungen bis zu 10 Gbit/s vermitteln und Anwenderanschlüsse von 2 Mbit/s - 10 GE bedienen können und - durch redundante Ausführung der wichtigsten Komponenten eine hohe Verfügbarkeit bei möglichst geringen Wartungskosten garantieren. X-WiN Phase 2 Seit einigen Monaten wird die neue Topologie des Kernnetzes für den DFNInternet-Dienst aufgebaut. Dabei wird das Kernnetz unter Berücksichtigung der Glasfaserstrecken auf Fehlertoleranz und Leistungsfähigkeit optimiert. Den inneren Kern der Topologie (Supercore) bilden die vier Standorte Potsdam, Erlangen, Frankfurt/Main und Hannover, die mit Verbindungen von 2*10 Gbit/s voll vermascht sind. Alle anderen Standorte des X-WiN sind entlang der Fasertrassen miteinander zu Ketten verbunden (i.d.r. 10 Gbit/s) und an den Supercore redundant angeschlossen. Einige Anschlüsse mit hohen Bedarfen (z.b. Dresden) erhalten neben den Verbindungen zu den Nachbarstandorten entlang der Fasertrasse zusätzlich direkte optische Verbindungen zum Supercore. Standort des Kernnetzknotens Potsdam an der Universität gegenüber dem Neuen Palais.

5 DFN Mitteilungen 71 Dezember 2006 Seite 5 Hans-Martin Adler DFN-Verein adler@dfn.de Hubert Waibel DFN-Verein noc@noc.dfn.de Redesign der Kernnetztopologie für die Routerplattform Parallel zu Fragen der Ausstattung der Routerplattform wurden Überlegungen zur optimalen Gestaltung der Kernnetztopologie durchgeführt. Ziel war es dabei, eine Topologie zu gestalten, die - robust und ausfallsicher ist, - geringe Paketlaufzeiten garantiert und - skalierbar und flexibel ist. Abbildung 1: Typische Routertechnik in Phase 1 Deshalb wurde beschlossen, die 1999 bereitgestellte Core-Routertechnik vom Typ CISCO12416 gegen 4 Router des hochverfügbarem Systems des Typs CRS-1 auszutauschen und die weiteren Anforderungen mit dem CISCO7609 zu bedienen. Die CRS-1 Technik stellt CISCO dem DFN kostenlos zur Verfügung. Der CSR-1 Router wird als 8-Port-Cassi s-system mit redundanten Route-Prozessoren, Switch-Fabrics und Power Supplies zum Einsatz kommen. Für spezielle Anforderungen können auf den System logische Router implementiert werden. Die CISCO7609 wurden schon für die Ausrüstung der neuen X-WiN-Standorte eingesetzt. Insbesondere auf der 10-GE-Wellenlängenkette von Frankfurt/Main nach Hannover wurde die Vermittlungsleistung für Transitverkehr erfolgreich getestet. Abbildung 2 zeigt die Eigenschaften des neuen X-WiN- Routers (XR). Durch die konsequente Verringerung der Anzahl der Router konnten die Wartungskosten deutlich gesenkt werden und die Austauschzeit von Ersatzteilen für alle Standort auf 3 Stunden gesenkt werden. Die Ersatzteile werden in 9 Depots deutschlandweit bereit gehalten. Abbildung 2: Neue Routertechnik in Phase 2 Die bisherigen Topologien des Wissenschaftsnetzes wurden in Ausbaustufen realisiert, die durch Randbedingungen wie Anzahl der verfügbaren Interfaces pro Standort, Anzahl der schaltbaren Kernnetzkapazitäten und relativ feste Zuordnung der Standorte untereinander bestimmt waren. Insbesondere waren an das 10- Knoten-Level-1-Kernnetz die anderen Knoten sternförmig angebunden. Nach dem die Ausschreibung des X-WiN einen Reihe von Bausteinen zur optimalen Gestaltung eines Netzes zur Verfügung gestellte hatte, war zu entscheiden, wie man diese Bausteine zur Erfüllung der obigen Anforderungen einsetzt. Der Vergleich mit der bisherigen Topologie zeigt z. B., dass einige der bisherigen Kernnetzknoten ungünstig zur nun bekannten Faserstruktur lagen. Die erste Entscheidung war also, ob man weiterhin ein hierachiches Kernnetz gestaltet oder ob man den konträren Ansatz einer flachen Topologie wählt. Eine flache Topologie unterstützt allerdings die Forderung nach einer skalierbaren Topologie wenig, da sie nur den Anforderungen eines Verkehrsflusses folgen kann. Somit war der Weg frei für den neuen sogenannten SuperCore (FRA-HAN- POT-ERL), welcher sich auf natürlicher Weise aus den Schnittstellen der Glasfasern und der geographischen Verteilung über Deutschland ergab. Wobei davon ausgegangen wird, dass die Glasfasertopologie sehr statisch ist was natürlich nicht heißen soll, dass sie in Zukunft nicht weiter ergänzt wird. Wie der nun gebildete SuperCore leiten sich auch die folgenden Prinzipien aus dem Follow the fibre Prinzip ab. Die Fasern- und Wellenlängen-Struktur ist in Abbildung 3 dargestellt. Der natürlichste Weg, die restlichen XWiN Standorte an den SuperCore anzuschließen, ist das Auffädeln der Standorte an einer Kette, wobei die beiden Endpunkte im SuperCore liegen. Dieses Auffädeln erfüllt auch in herrlicher Weise die Forderung vieler Anwender, dass nachbarschaftlicher IP-Verkehr sehr kurze Wege gehen soll. Jeder Standort dieser Kette ist damit doppelt angebunden und eine Unterbrechung der Kette führt nicht zu seiner Isolation. Zur

6 Wissenschaftsnetz DFN Mitteilungen 71 Dezember 2006 Seite 6 Realisierung einer geringen Paketlaufzeit kann die Kette durch Verbindungs-Querspangen verkürzt oder ihre Leistungsfähigkeit durch parallele Schaltung von zusätzlichen Wellenlängen erhöht werden. Eine besondere Lösung sind gegenwärtig Dreiecke, die Standorte an unterschiedliche SuperCore-Standorte anbinden. Ein weiteres Gestaltungsmittel, welches mit den Grundbausteinen des X-WiN zur Verfügung steht, ist die Verlängerung von Wellenlängen. Hat man beispielsweise eine 10-GE-Verbindung, die in Hamburg terminiert, so kann diese Wellenlänge quasi an jeden X-WiN Standort mit der Glasfaserveredelungstechnik kostengünstig verlängert werden. Geht man davon aus, dass die Vermittlung von IP-Verkehr auf Layer2-Ebene sehr viel günstiger als auf Layer3-Ebene ist, ist man gut beraten breitbandige und dedizierte Verkehrsströme nicht auf Layer3-Ebene, sondern auf Layer2-Ebene in und aus den XWiN-Regionen zu bringen. Ein Anwendungsfall ist die gegenläufige Anordnung von großen Peerings und Upstreams und die Zuführung dieser zu den SuperCore-Standorten, wie es z. B. mit dem Upstream-Anschluß von Telia in Hamburg realisiert wurde, der auf den SuperCore-Standort Potsdam geschaltet wurde. Ein weiteres Beispiel ist der Anschluss der Anwender an den Standorten AWI Bremerhaven und Jülich. Dort wurde der Kundenrouter (KR) direkt mit einer Wellenlänge auf eine geeigneten XR zugeführt. Die neue Routertechnik zeichnet sich insbesondere durch sehr kostengünstige 10-GE-Interfaces aus. Da diese Wellenlänge auf der optischen Plattform gegenüber der 10-Gbit/s-SDH-Technik kostenneutral ist, wurde für das X-WiN-Kernnetz die 10-GE-Schnittstelle im WAN gewählt. Die optische Plattform für das X-WiN bestand im Monat Oktober 2006 aus 43 Glasfaserabschnitten mit insgesamt ca km Länge, die sowohl für den DFNInternet-Dienst als auch VPN-Verbindungen genutzt werden. Am DFNInternet-Dienst haben im Oktober Anwender und 276 Mitnutzer teilgenommen. 26 Anwender nutzen das Port-Dienstangebot, weitere 87 Anwender sind über 29 Cluster an das X-WiN angebunden. X-WiN-Kernnetztopologie Phase 2

7 DFN Mitteilungen 71 Dezember 2006 Seite 7 Abbildung 3: Logische Topologie der optischen Plattform für den DFNInternet-Dienst Ergebnisse Die nach diesem Prinzipien gebildete Topologie wurde mit den aktuellen und entsprechend hochgerechneten Verkehrsflüssen überprüft und optimiert. Es entstand ein vollvermaschter Super- Core mit jeweils 2x10-GE-Verbindungen. Ein Ausbau auf 40 Gbit/s ist mit der eingesetzten Routertechnik heute schon möglich. Auf dem SuperCore sind auch die Upstreams ins globale Internet mit jeweils 10 GE geschaltet. Entsprechend den aktuellen Verkehrsbeziehungen der Anwender wurden notwendige Querspangen zur Verkürzung der Paketlaufzeiten eingezogen. Die Topologie ist in Abbildung 4 dargestellt. von Virtuellen Privaten Netzten (VPN) für Anwender und Anwendergruppen zur Verfügung, die neben dem DFNInternet-Dienst den Austausch des Datenverkehrs effektiv unterstützen. Die Umstellung auf die neuen Accessrouter (XR) hat im Juli 2006 begonnen. In der Regel wurden die XRs mit der notwendigen Anzahl der Anschlussinterfaces an den Standorten aufgebaut und in das Router-LAN des Phase1-Netzes eingebunden. Mit Bereitstellung der neuen Kettenwellenlängen im September wurden dann Kette für Kette der neuen Topologie in Betrieb genommen und die Anwender umgeschaltet. Bis zur Bereitstellung des SuperCores waren diese Ketten über sieben 10 GE-Gateways mit dem Phase1- Netz verbunden. Die CRS-1 wurden Ende Oktober / Anfang November aufgebaut und in Betrieb genommen. Nach erfolgreichen Tests der neuen Technik erfolgt die Integration in das aufgebaute Kettennetz. Damit wurde der vorgegebene Zeitplan für die Realisierung der Phase 2 eingehalten. Mit den Grundbausteinen des X- WiN stehen weiterhin vielfältige Möglichkeiten für die Gestaltung

8 Wissenschaftsnetz VIOLA Signalisierung von Ende-zu-Ende-Verbindungen DFN Mitteilungen 71 Dezember 2006 Seite 8 I m Projekt VIOLA werden neue Netztechniken zusammen mit Middleware-Entwicklungen und Anwendungen untersucht. Im Netzbereich sind dabei vor allem drei Aspekte von Interesse: Virtual Private Networks Next Generation SDH Signalisierung in Transportnetzen Dr. Peter Kaufmann DFN-Verein kaufmann@dfn.de Der folgende Beitrag stellt Ergebnisse aus dem Arbeitsbereich Signalisierung in Transportnetzen vor. Weitergehende Informationen über den Stand von VIOLA können unter gefunden werden. Signalisierung in optischen Transportnetzen In den Datentransportnetzen werden die Leitungsverbindungen zwischen den Netzknoten geschaltet. Diese Leitungsverbindungen werden heutzutage in den Wissenschaftsnetzen i.d.r. durch SDH- Verbindungen, Ethernet-Punkt-zu-Punkt-Verbindungen oder optische Wellenlängen dargestellt. Über diese Leitungsverbindungen läuft dann z.b. der IP-Dienst. Die Einrichtung neuer Leitungsverbindungen geschieht bisher durch die Bedienung von Managementsystemen, ist also mit mehr oder weniger viel Handarbeit verbunden. Das ist in etwa vergleichbar mit den Anfängen beim Telefondienst, wo eine Telefonistin vom Amt auf Anruf neue Verbindungen aufbaute. Ähnlich wie im IP-Paket-Dienst oder im heutigen Telefon-Leitungsdienst würde eine Signalisierung bei den Transportnetzdiensten die Einrichtung von Leitungsverbindungen enorm vereinfachen und beschleunigen. Mit Implementierungen und Test derartiger Signalisierungsverfahren hat sich das VIOLA-Testbed befasst. Für die Entwicklung einer Signalisierung in den Transportnetzen wird das in IP-Netzen entwickelte MPLS-Konzept als Ausgangspunkt genommen und verallgemeinert: Generalized MPLS (GMPLS). GMPLS bildet das allgemein anerkannte Fundament für die Signalisierung von paket- und leitungsvermittelnden Transportdiensten. Die Implementierung dieses Konzeptes ist vielschichtig, insbesondere stellen sich wichtige Architektur-Fragen zum Verhältnis der beteiligten Netzgeräte. Dazu gehören z.b.: Unterschiede von Interdomain- und Intradomainverbindungen und flache (Peermodell) oder mehrstufige (Overlaymodell) Gerätehierarchien. Die Implementierung des GMPLS-Konzeptes erfordert daher noch viele Festlegungen und Absprachen, in die sowohl die IETF wie auch die einschlägige Industrie involviert sind. Ein Forum für diese Absprachen bildet das Optical-Internet-Forum (OIF). Zu den bisherigen Ergebnissen des OIF zählen Festlegungen für User-Network-Interfaces (UNI) und Network-Network-Interfaces (NNI), die auf Basis von GMPLS konzipiert sind. Das NNI ist in den Versionen External NNI (E-NNI) und Internal NNI (I-NNI) entwickelt worden. Solche Interfaceimplementierungen sind von den Herstellern in VIOLA durchgeführt und ausführlich getestet worden. Die Schnittstelle zwischen Transportnetz (Provider Edge) und Anwender (User Edge) wird durch das UNI definiert und stand während der Projektlaufzeit in den Versionen UNI 1.0 Release 2 und UNI 2.0 zur Verfügung. Die Version 1 des UNI ermöglicht den Aufbau von durchgehenden SDH-Verbindungen von Anwender-zu-Anwender über das dazwischen liegende SDH-Transportnetz. Damit sind die Arbeiten in VIOLA begonnen worden: Die Implementierung des UNI 1.0, Release 2 (RSVP, LMP) ist für die Netz- und die Clientseite abgeschlossen. Die Netzseite steht für die Geräte Alcatel-1678 und Sycamore-SN zur Verfügung. Die Clientseite steht als (Alcatel) Proxy-UNI 1.0R2 zur Verfügung. Das Interworking der UNI 1.0 Release 2 mit E-NNI konnte bis zum Frühjahr 2006 mit den Systemen Alcatel-1678 und Sycamore-SN erfolgreich gezeigt werden. Darüber hinaus war zwischen St. Augustin (FhG IMK, VIOLA) und Berlin (T-Systems, MUPBED) eine E-NNI-Schnittstelle implementiert worden. Damit konnten zwischen MUPBED und VIOLA eine Reihe von weiteren E-NNI und UNI Tests (Aufbau von Soft-Permanent- und Switched-Connections) durch geführt werden. Vorführungen dazu gab es auf dem VIOLA-Workshop im März Viele Anwender in den Wissenschaftsnetzen sind inzwischen mit Giga-Ethernet an das Transportnetz angeschlossen. Insofern gibt es einen starken Bedarf für ein UNI, das den Aufbau einer Ethernetverbindung ermöglicht, die dann wiederum im Backbone mittels NNI weitergeleitet wird (siehe Abbil dung 1). Die entsprechenden UNI 2.0-Implementierungen stehen sukzessive seit Frühjahr 2006 in VIOLA für Tests zur Verfügung: Die netzseitige Implementierung der UNI 2.0 Schnittstelle steht für den Alcatel-1678, den Siemens-hiT-7070 und den Sycamore-SN zur Verfügung. Die Clientseite steht als (Alcatel) Proxy-UNI 2.0 zur Verfügung. Bisher konnte das Interworking der UNI 2.0 mit der I-NNI- Schnittstelle auf dem hit-7070 erfolgreich gezeigt werden. Das NNI dient der Signalisierung innerhalb des Transportnetzes. Die Version E-NNI verknüpft unterschiedliche (Provider-) Domains, während das I-NNI für die Kommunikation innerhalb einer (Provider-) Domain entwickelt wurde. Die meisten Hersteller haben sich auf die Entwicklung eines E-NNI konzentriert, das auch in VIOLA vorrangig getestet wurde. Seit kurzem kamen dann auch I-NNI- Tests hinzu: Die Implementierung der E-NNI Schnitt stelle steht für den Alcatel-1678 und den Sycamore-SN zur Verfügung. Die Interoperabilitätstests mit beiden Netzgeräten konnten erfolgreich durchgeführt werden. Seit Frühjahr 2006 standen die ersten I-NNI-Implementierungen zur Verfügung. Bisher konnten das I-NNI-Interworking zwischen Sycamore-SN und hit-7070, sowie das Interworking der UNI 2.0 mit der I-NNI-Schnittstelle auf dem hit erfolgreich gezeigt werden.

9 DFN Mitteilungen 71 Dezember 2006 Seite 9 Abbildung 1: Interaktion der OIF-Schnittstellen E-NNI, I-NNI und UNI 2.0 in VIOLA In Abbildung 1 werden die verfügbaren Geräte mit ihren mit ihren OIF-Interfaces und den daraus ableitbaren Verbindungsaufbauten gezeigt. Die aktuell in diesem Bereich stattfindenden VIOLA-Arbeiten konzentrieren sich dabei auf Tests verschiedener Verbindungsszenarien in einer Multi-Domain-Umgebung. In Abbildung 2 sind verschiedene Sichtweisen auf die OIF- Interfaces dargestellt. Für die Data Plane wird beispielhaft SDH verwendet, da hierfür bislang OIF-Implementierungen zur Verfügung stehen und VIOLA aus diesem Grund SDH verwendet hat. Grundsätzlich kann man als Data Plane aber auch optische Kanäle (Wellenlängenverbindungen) verwenden, wie dies im X-WIN geschieht. An Implementierungen der OIF-Interfaces für die optischen Netzgeräte (z.b. WDM, ROADM) wird derzeit gearbeitet. Endnutzer-zu-Endnutzer-Signalisierung Die oben stehenden Darstellungen betreffen die Signalisierungen zwischen Netzgeräten (Router, Switche, WDM, etc.). Für die Endnutzer ergibt jedoch erst der Zugriff von den Applikationen auf die Netzsignalisierung den gewünschten Komfort einer dynamischen Leitungsschaltung. In VIOLA ist daher das Netzreservierungssystem ARGON entwickelt worden. Zur Nutzerseite existiert ein Interface, auf das die Applikationen zugreifen können; darüber hinaus ist ARGON auch in einen MetaScheduler integrierbar, mit dem sowohl die Nutzung von Rechnerressourcen als auch von Netzressourcen bei verteilten Abbildung 3: Zusammenwirken des MetaSchedulers mit ARGON: Aus Sicht des MetaSchedulers ist ARGON ein weiterer Scheduler, der statt Rechnerressourcen Netzressourcen reserviert und bereitstellt. ARGON bietet außerdem eine Nutzerschnittstelle zur direkten Anbindung von Applikationen. Grid-Anwendungen (z.b. UNICORE) geplant und gesteuert werden kann (siehe Abbildung 3). Netzseitig kann ARGON die Signalisierungsmechanismen aufrufen. Eine lauffähige Version des VIOLA Reservierungssystems AR- GON mit Anbindung an den Meta-Scheduler liegt bereits vor, ebenso wurde die Signalisierungsschnittstelle zwischen dem Alcatel-Proxy-UNI 1.0R2-Client und dem Reservierungssystem ARGON zum Schalten von SDH-Verbindungen durch die Anwender fertiggestellt und beides miteinander integriert. Mit der erfolgreichen Demonstration der Arbeitsfähigkeit des ARGON-Reservierungssystems auf dem VIOLA-Workshop im März diesen Jahres wurde die Möglichkeit demonstriert, Endnutzerzu-Endnutzer-Verbindungen von einer Applikation durch das Datennetz bis zur Applikation auf der Gegenseite in Echtzeit schalten zu können. Abbildung 2: Verwendung der UNI 2.0 Schnittstelle für eine GE-Verbindung über SDH. Oben ist die Netztopologie dargestellt; in der Mitte wird die Control Plane (Signalisierungsebene) gezeigt und unten folgt Data Plane am Beispiel von Next-Generation-SDH.

10 Wissenschaftsnetz DFN Mitteilungen 71 Dezember 2006 Seite 10 Sicherer Umgang mit geschützten Ressourcen DFN-AAI nimmt Gestalt an N eben den frei zugänglichen Informationen des Internet gibt es eine Vielzahl an interessanten Ressourcen, auf die nur nach einer Autorisierung zugegriffen werden kann. Die Anbieter dieser Ressourcen schützen damit z.b. lizenzpflichtige Software bzw. Zeitschriften oder auch den Zugang zu E-Learning Systemen. Es ist dabei sowohl im Interesse der Anbieter dieser Ressourcen als auch der Nutzer (also den Mitarbeitern und Studierenden der Anwender des DFN) mit möglichst geringem Aufwand diese Ressourcen für ihren bestimmungsgemäßen Gebrauch zu öffnen. Für die Anbieter der Ressourcen ist es dabei insbesondere relevant, ob sie sich auf die digitale Authentifizierung der Nutzer verlassen können. Für die Nutzer dieser Ressourcen ist es wichtig, mit möglichst nur einer Identifizierung, z.b. einer Kombination aus Nutzernamen und Passwort oder einem digitalen Zetifikat auf die Ressourcen verschiedener Anbieter zugreifen zu können. Um diese Anforderungen zu erfüllen und die Anbieter und Nutzer von geschützten Ressourcen zusammen zu führen, bereitet der DFN-Verein den neuen Dienst DFN-AAI (AAI steht für Authentifizierungsand Autorisierungs-Infrastruktur) vor. DFN-AAI schafft dabei das dafür notwendige Vertrauensverhältnis und den organisatorischen, technischen Rahmen. Aufgaben des DFN-Vereins Um die notwendigen Voraussetzungen für den Aufbau einer DFN-AAI zu schaffen, müssen allgemein gültige Richtlinien (Policy) für die Teilnahme von Anbietern und Anwendern erarbeitet werden. In Zusammenarbeit mit einer Vielzahl von Interessenten und Experten aus der DFN-Community konnten gemeinsam die organisatorischen und vertraglichen Spielregeln der DFN-AAI festgelegt werden. Um dieses Ziel zu erreichen, mussten stark voneinander abweichende Blickwinkel unter anderem aus den Bereichen E-Learning, D-Grid oder aus den Bibliotheken unter einen Hut gebracht werden. Unter anderem galt es z.b. zu klären, welche Daten bei der Identifizierung eines Nutzers als obligatorisch anzusehen sein sollten. Während Bibliotheken vielfach schon die Information ausreicht, ob ein Nutzer zugriffsberechtigt ist oder nicht, verlangen z.b. E-Learningsysteme häufig eine Vielzahl detaillierte Informationen wie etwa die Studienrichtung, die Semesterzahl oder Nachweise von Prüfungen und Pflichtpraktika. Ulrich Kähler DFN-Verein kaehler@dfn.de Vertragsgestaltung und -abschluss Der DFN-Verein ist zentraler Vertragspartner für alle Teilnehmer der DFN-AAI, also sowohl für Anwender des DFN als auch für Anbieter von Dienstleistungen oder Informationen. Davon werden die bilateralen Lizenzvereinbarungen zwischen Anbietern und Anwendern des DFN nicht berührt; DFN-AAI regelt hier lediglich den Zugang und die Übertragung von z.b. Online-Zeitschriften, tangiert aber nicht Dauer und Art des zwischen dem Verlag und der Bibliothek abgeschlossenen Abonnements. DFN-AAI ersetzt also nicht die Lizenzverträge! Die Dienstevereinbarung für Anwender der DFN-AAI wird in die allgemeine DFN-Vertragsstruktur integriert. Dementsprechend wird DFN-AAI für DFN-Anwender zwar als entgeltfreier Dienst zur Verfügung gestellt werden, jedoch muss für die Nutzung ein Vertrag mit dem DFN-Verein geschlossen werden, ähnlich wie dies z.b. auch für DFN-PKI oder DFNVC der Fall ist. Dabei regelt die Dienstevereinbarung unter anderem die Verwendung von Nutzerdaten, die Verwendung von Sicherheitsmechanismen (PKI) und die technischen Voraussetzungen, die das Identity-Management-System eines Anwenders zur Pflege seiner Nutzer mitbringen muss. Aufgabe für den DFN-Verein wird es sein, die Verträge mit den einzelnen Anwendern und Anbietern von Ressourcen abzuschließen. Zentrale betriebliche Aufgaben Für den laufenden Betrieb einer DFN-weiten AAI werden neben vertraglichen Regelungen auch eine Reihe technischer Komponenten benötigt, die im DFN-Verein in den vergangenen Wochen und Monaten installiert wurden. Dazu gehören neben einer Metadatenverwaltung auch ein WAYF-Server als zentraler Lokalisierungsdienst (WAYF = where are you from), ein Testsystem sowie eine Zertifizierungsstelle. Letztere, die DFN-PKI, wurde bereits in den vergangenen Jahren vom DFN-Verein aufgebaut. Ergänzend zu den technischen Betriebsaufgaben wird der DFN- Verein für Interessenten im Laufe des Jahres 2007 auch Beratungsund Schulungsveranstaltungen für AAI-Interessierte durchführen. So wird DFN-AAI auch auf der nächsten Betriebstagung am 27. und 28. Februar 2007 einen thematischen Schwerpunkt bilden. Anwendungsszenarien Der Flickenteppich unterschiedlicher Systeme und Interessengruppen wird durch die DFN-AAI erstmals ersetzt durch ein einheitliches und flächendeckend verfügbares System, welches überall gleichermaßen den Zugriff auf Ressourcen regeln kann. Zu den vier

11 DFN Mitteilungen 71 Dezember 2006 Seite 11 Anwendungsszenarien, die derzeit den größten Benefit einer einheitlichen AAI haben, gehören Grids, E-Learning, Anwendungen im Verlags- und Bibliothekswesen sowie die Distribution von Software. In allen diesen Bereichen sind ganz unterschiedliche Herausforderungen zu bewältigen. Existieren in einigen Bundesländern bereits übergreifende Systeme für den Zugriff auf E-Learning-Software, die wie etwa in Sachsen an allen Hochschulen des Bundeslandes in Einsatz sind und kompatibel zur DFN-AAI arbeiten, müssen andernorts erst die grundlegenden Voraussetzungen, nämlich funktionierende Identity-Management-Systeme in den einzelnen Hochschulen, geschaffen werden. Grid-Communities Für Grid-Communities in Deutschland wiederum ist DFN-AAI eine zentrale Komponente für den Betrieb von Grids. Als besondere Problematik von Grids erweist sich, dass sie über Einrichtungs- und Ländergrenzen hinweg arbeiten und somit virtuelle Organisationen bilden. Aus diesem Grund haben sich für Authentifizierung und Autorisierung in den Grid-Communities in der Vergangenheit zwei Systeme etabliert, nämlich das zur DFN-AAI kompatible Shibboleth sowie VOMS (Virtual Organization Membership Service), das für den Betrieb über Organisations- und Ländergrenzen hinweg besser geeignet schien als Shibboleth, aber bislang inkompatibel zur DFN- AAI ist. Zur Lösung dieses Problems beitragen wird voraussichtlich ein Gateway zwischen VOMS und Shibboleth, dessen Entwicklung im Rahmen von D-Grid2 vom BMBF gefördert wird. Bibliotheken und Verlage Im internationalen Bereich sind die Marktführer wie Elsevier, JSTOR, CSA, EBSCO, ThomsonGale und Proquest bereits ready to go und warten darauf, dass in Deutschland eine allgemein akzeptierte AAI arbeitsfähig wird. Die Firmen OVID, ISI/Thomson und Springer sind dabei, ihre Datenbestände mit Shibboleth-geschützten Zugängen auszustatten. Im Jahre 2007 ist mit der Freigabe der Shibboleth-Zugänge zu deren Systemen im Rahmen der DFN-AAI zu rechnen. Damit sind die wichtigsten Global Player aus dem Bibliotheksbereich über die DFN-AAI erreichbar. Sehr viele Bibliotheken konnten in den letzten Monaten auf das Thema eingeschworen werden und sind dabei, Verpflichtungserklärungen in die neuen Lizenzverträge für 2007 aufzunehmen. Eine Reihe von deutschen Verlagen (insb. diejenigen, die im Rahmen der Nationallizenzen der DFG Aufträge erhalten haben) haben bereits ihr Interesse an der DFN-AAI bekundet. Entgeltfreie Verteilung lizenzpfichtiger Software Es ist geplant, das im Laufe des kommenden Jahres alle Hochschulangehörigen, deren Einrichtungen an der DFN-AAI und der MSDNAA (Microsoft Developer Network Academic Alliance) teilnehmen, kostenlosen Zugriff auf eine breite Palette von Software haben, die die Firma Microsoft den Studierenden und Mitarbeitern an Hochschulen bislang im Rahmen von MSDNAA zur Verfügung stellt. DFN-AAI bietet für Mircosoft die Möglichkeit, den Aufwand für die Versorgung der Studierenden mit der kostenfreien Software und den dazugehörigen offiziellen Lizenzen zu minimieren. Bislang existieren hierfür verschiedene Systeme, die nicht die benötigte Sicherheit gewährleisten und mit vergleichsweise hohem Aufwand betrieben werden müssen. In Zusammenarbeit zwischen der Firma Microsoft, dem DFN- Verein und der FH Würzburg und der Universität Würzburg soll bereits ab Anfang des Jahres zuerst pilotartig für die Hochschulen in Wurzburg und Erlangen dann für alle Hochschulen im Deutschen Forschungsnetz - der neue Weg für die entgeltfreie Verteilung lizenzpflichtiger Software begangen werden. So können die Studenten und andere Hochschulangehörige direkt auf Software wie z.b. Visual Studio Pro, Windows Server, Visio und Sharepoint zugreifen. Blick auf die Online-Kataloge der Universitätsbibliothek Freiburg Bei deutschen Anbietern ist die Situation wie folgt: Der Marktführer bei Wirtschaftsinformationen GENIOS/GBI ist bereits Shibboleth-fähig, FIZ Technik wird Mitte 2007 in Produktion gehen und beim FIZ Karlsruhe wird über Lösungen nachgedacht. Das IZ-Sozialwissenschaften (Bonn) und das Deutsche Institut für internationale pädagogische Forschung (DIPF, Frankfurt) bauen derzeit im Rahmen des vascoda -Projektes die notwendigen Zugänge auf. Last but not least müssen natürlich auch die Wissenschaftsportale ReDI (Baden-Württemberg), SaxIS (Sachsen) und vascoda in die Gruppe der Shib-enabled -Systeme eingereiht werden. Auch diese sind Anbieter.

12 Wissenschaftsnetz DFN Mitteilungen 71 Dezember 2006 Seite 12 Auf dem Weg zur DFN-AAI: Identity Management D as Projekt DFN-AAI (Authentifizierungs- und Autorisierungs-Infrastruktur) hat das Ziel, eine Föderation für Einrichtungen im Bereich Forschung und Lehre aufzubauen. Die Föderation schafft einen organisatorischen Rahmen und eine Vertrauensbeziehung zwischen Föderationspartnern (Anbieter von Ressourcen) und Föderationsmitgliedern (Nutzer dieser Ressourcen), die eine gemeinsame Authentifizierungs- und Autorisierungsinfrastruktur nutzen. Als Software wird die im Internet2 entwickelte Open-Source-Software Shibboleth 1 eingesetzt. Im Folgenden werden die Voraussetzungen beschrieben, die Föderationsmitglieder in Bezug auf Identity Management einhalten müssen. Die ersten beiden Kapitel dienen zunächst der Einführung in das Thema Identity Management sowie der Beschreibung der Bedeutung des Identity Management in einer Shibboleth-Föderation. Danach werden die Voraussetzungen zur Teilnahme an der DFN-AAI beschrieben, gefolgt von Empfehlungen zur Umsetzung der Voraussetzungen. Einführung in Identity Management Motivation Einrichtungen betreiben zur Nutzerverwaltung verschiedene Datenbanken und Verzeichnisse (z.b. Mitarbeiter- und Studentendatenbank, Telefondatenbank, -Nutzerverzeichnis), die teilweise sich überschneidende Personendaten enthalten. Diese Vielzahl der Datenbestände führt häufig zu Redundanzen und Inkonsistenzen bei der Datenhaltung einer Einrichtung. Durch verschiedene Zuständigkeiten bei der Administration der Datenbestände fehlt zudem eine übergeordnete Sicht, welchem Nutzer welche Rechte gegeben wurden. Auch die Nutzer wissen nicht immer, in welcher Datenbank sie unter welchem Benutzeraccount eingetragen sind. Unter diesen Voraussetzungen ist z.b. nicht gewährleistet, dass Nutzern, die die Einrichtung verlassen, auch tatsächlich der Zugriff auf alle damit verbundenen Dienste entzogen wird. Solche Probleme werden durch Identity Management gelöst. Mit Identity Management Systemen kann die Vielzahl der Accounts, die ein Nutzer für den Zugriff auf verschiedene Datenbanken und Anwendungen benötigt, in einer einzigen digitalen Identität zusam- mengefasst werden. Es ist abzusehen, dass Identity Management Systeme zukünftig zu einem grundlegenden Bestandteil der Infrastruktur einer Einrichtung werden. Digitale Identität Eine digitale Identität ist ein eindeutiger Name, eine Nummer oder Login-ID, mit der ein Computersystem eine Person identifiziert. Eine digitale Identität (ID) kann auch weitere, mit der ID verbundene Merkmale (auch Attribute genannt) besitzen, z.b. eine -Adresse, Vor- und Nachname, Pseudonyme, akademischer Titel, Telefonnummer. Weitere Merkmale zu der ID können Gruppenzugehörigkeiten wie Mitgliedschaften in Mail-Listen oder Rollen sein, d.h. Funktionen, die die Person innerhalb der Einrichtung ausübt. Komponenten Als Identity Management (IdM) wird die Verwendung neuerer Technologien bezeichnet, die Identitätsinformationen zentral verwalten, sowie den Zugriff identifizierbarer Personen auf Ressourcen kontrollieren. Dadurch werden zwei wesentliche Ziele erreicht: 1. Identity Management erhöht das Sicherheitsniveau einer Einrichtung, indem die Datenbestände zur Nutzerverwaltung konsistent gehalten werden. 2. Identity Management senkt die Kosten für die Verwaltung von Identitätsinformationen. Identity Management Systeme arbeiten mit automatisierten Prozessen, die die Aktualität der Daten in allen Systemen gewährleisten. Sie bestehen hauptsächlich aus folgenden Architekturbausteinen: - Datenquellen, in denen Personendaten eingetragen und gepflegt werden. Dies können z.b. Mitarbeiterdatenbanken, Telefondatenbanken oder -Nutzerverzeichnisse sein. - zentraler Informationsspeicher, der aus den Datenquellen gespeist wird. Dieser kann als LDAP-Server implementiert sein (z.b. Metadirectory) oder als Relationales Datenbank Management System (RDBMS) vorliegen. - Zielsysteme und Anwendungen, die ihre Daten aus dem zentralen Informationsspeicher beziehen. Ein mögliches Zielsystem kann ein Authentifizierungs- und Autorisierungssystem sein. - automatisierte Prozesse, die einen Abgleich der Daten zwischen Datenquellen und zentralem Informationsspeicher bzw. zentralem Informationsspeicher und Zielsystemen vornehmen. Die Einführung eines Identity Management Systems in einer Einrichtung stellt neben den technischen Aspekten auch eine organisatorische Herausforderung dar, da viele verschiedene Abteilungen (Rechenzentrum, Verwaltung, Pressestelle, Personalrat, Datenschutzbeauftragter etc.) mit einbezogen werden müssen. Um eine Zusammenarbeit der Abteilungen zu ermöglichen, ist es notwendig, dass die (Hochschul-)Leitung die Einführung eines IdM aktiv unterstützt.

13 DFN Mitteilungen 71 Dezember 2006 Seite 13 Vorteile von Identity Management Der erhebliche technische und organisatorische Aufwand zur Einführung von Identity Management wird durch eine Reihe von Vorteilen aufgewogen. Dies sind insbesondere: - dauerhafte Kosteneinsparungen in der Administration - Vereinfachung der Datenhaltung - Konsistenz und Aktualität der Datenbestände - höhere Sicherheit - bessere Kontrolle über die Ressourcen - Erleichterung bei der Einführung von neuen Diensten und Methoden (Single Sign On) - optimale Unterstützung von internationalen Projekten, insbesondere im Bereich Gridcomputing Peter Gietz DAASI International GmbH peter.gietz@daasi.de Prof. Dr. Christian Grimm RRZN Hannover grimm@rvs.uni-hannover.de Dr. Hans Pfeiffenberger Alfred Wegener Institut hpfeiffenberger@awi-bremer Dr. Jürgen Rauschenbach DFN-Verein jrau@dfn.de Renate Schroeder DFN-Verein schroeder@dfn.de Bedeutung von Identity Management im Rahmen einer Shibboleth-Föderation Innerhalb einer Shibboleth-Föderation vertraut man darauf, dass die teilnehmenden Föderationspartner und -mitglieder bei der Erbringung der folgenden Funktionen einen gemeinsamen Sicherheitsstandard einhalten: - Authentifizierung und Autorisierung von Nutzern, - Zugriffskontrolle auf Ressourcen, - organisatorische und technische Prozesse, die durchlaufen werden, wenn eine Person in die Einrichtung aufgenommen wird, innerhalb der Einrichtung die Rolle ändert oder die Einrichtung verlässt. Anbieter von Ressourcen wie z.b. einer kommerziellen Datenbank werden in Shibboleth als Service Provider bezeichnet. Service Provider vertrauen darauf, dass die verabredete Lizenzvereinbarung eingehalten wird. Steht eine bestimmte Datenbank z.b. nur Studenten zur Verfügung, ist es wichtig, dass eine Person nach der Exmatrikulation nicht mehr auf diese Datenbank zugreifen darf. Besagt die Lizenzvereinbarung, dass nur Studenten einer bestimmten Fachrichtung auf die Ressource zugreifen dürfen, sind auch diese Attribute (hier: Studienfach) aktuell zu halten und bei Fächerwechsel zeitnah zu ändern. Einrichtungen, deren Angehörige Ressourcen nutzen wollen, treten als Identity Provider in einer Shibboleth-Föderation auf und sind für Authentifizierung und Attributierung zuständig. Für Identity Provider wird der Betrieb eines Identity Management Systems, mindestens aber einer vertrauenswürdigen Benutzerverwaltung mit konsistentem und aktuellem Datenbestand vorausgesetzt. Ein Identity Management System muss nicht als kommerzielles Produkt vorliegen, Systeme mit automatisierten Prozessen, die z.b. in Open Source Software implementiert sind, werden als gleichwertig angesehen. Zum Austausch der Attribute muss es ein gemeinsames Datenschema geben. Die obligatorisch und optional zu verwendenden Attribute werden in einem eigenen Dokument [2] spezifiziert. Shibboleth ermöglicht nicht nur den Zugriff auf Ressourcen von Partnern, sondern kann auch für Anwendungen in der eigenen Einrichtung genutzt werden. Wird die in Shibboleth implementierte Single-Sign-On-Lösung auch innerhalb der eigenen Einrichtung eingesetzt, steht nach einmaliger Authentifizierung dem Nutzer jede an Shibboleth angepasste Anwendung innerhalb und außerhalb der Einrichtung- ohne weiteren Login-Prozess zur Verfügung. Voraussetzungen zur Teilnahme an der DFN-AAI Vorausgesetzt wird der Betrieb eines Identity Management Systems oder mindestens einer vertrauenswürdigen Benutzerverwaltung, in denen Identitäten folgendermaßen verwaltet werden: - Personen, die in einer Einrichtung aufgenommen werden, erhalten eine digitale Identität. - Identitäten erhalten Attribute, die der Rolle der Person entsprechen. - Werden Rolle oder Berechtigungen einer Person geändert, werden die Identitätsinformationen spätestens nach zwei Wochen angepasst. - Für Personen, die die Einrichtung verlassen, wird die Identität mit allen in der Föderation relevanten Rechten und Rollen spätestens nach zwei Wochen gelöscht bzw. geändert (z.b. Student -> Alumni). - Das Attributschema der DFN-AAI muss unterstützt werden (s. Dokument in [2]). - Der Ressourcengeber kann sich darauf verlassen, dass alle Änderungen spätestens nach zwei Wochen ausgeführt sind. - Die Prozesse müssen soweit schriftlich dokumentiert werden, dass das Sicherheitsniveau aus der Dokumentation ableitbar ist. Empfehlungen zur Umsetzung der Voraussetzungen Im Folgenden werden organisatorische und technische Maßnahmen zur Umsetzung der Voraussetzungen beschrieben. Auch unabhängig von der Föderation nutzen diese Maßnahmen bei der Integration der IT-Systeme.

14 DFN Mitteilungen 71 Dezember 2006 Seite 14 Organisatorisch - Es müssen definierte Prozesse für die Aufnahme einer Person in die Einrichtung bzw. das Ausscheiden einer Person aus der Einrichtung vorhanden sein. - Die Identität der aufgenommenen Person muss verifiziert werden, mindestens über die postalische Adresse (durch Senden des Eingangspassworts an die gemeldete postalische Adresse), besser durch Vorlage eines Personalausweises oder eines entsprechenden Dokuments bei der registrierenden Stelle. - Identitäten und Berechtigungen müssen spätestens zwei Wochen nach Aufnahme in die Einrichtung eingetragen und aktiv sein und ebenfalls spätestens zwei Wochen nach Ausscheiden wieder gelöscht sein. - Diese Prozesse müssen von allen maßgeblichen Abteilungen der Einrichtung im laufenden Betrieb unterstützt werden. - Diese Prozesse müssen im Einklang mit der Datenschutzgesetzgebung stehen. - Diese Prozesse müssen dokumentiert sein, die Dokumentation sollte enthalten - in welchen Systemen welche Daten vorgehalten werden, - welche Daten von welchen Systemen auf welche Systeme übertragen werden, - welcher Art die Zustimmung der Betroffenen zu diesen Datenübertragungen ist, - wie die Daten vor unberechtigtem Zugriff geschützt werden, - die Maximaldauer, nach der die Daten eingetragen, geändert bzw. gelöscht werden, - in welchen Abständen ein Abgleich der Daten vorgenommen wird. Technisch - Es muss ein Identity Management System oder ein aus der Benutzerverwaltung gespeistes Authentifizierungs-/ Autorisierungssystem existieren, - das Authentifizierungsvorgänge ermöglicht, - das Standardattribute für die Nutzer vorhält, die für Autorisierungsentscheidungen maßgeblich sind, - dessen Daten über wohldefinierte, zumindest teilautomatisierte Prozesse von den Quellsystemen empfangen werden, - das an den Identity Provider eines Shibboleth-Systems angeschlossen werden kann, - das über einen Backup so gesichert ist, dass bei Ausfall eines Systems zeitnah ein neues System aufgesetzt werden kann. Diese verkürzte Beschreibung eines Identity Managements soll den Einstieg der DFN Einrichtungen in dieses Thema unterstützen. Der hier beschriebene vorläufige, minimalistische Ansatz einer vertrauenswürdigen Benutzerverwaltung anstelle eines aufwändigeren Identity Management Systems soll den Einrichtungen im DFN die Möglichkeit geben, schon sehr bald vielleicht sogar schon zum Start der DFN-AAI in in diese viel versprechende Technologie einzusteigen. Links Begriffe: Attributierung Attributierung heißt, die Identität mit Attributen versehen, wie zum Beispiel Art der Zugehörigkeit: Mitarbeiter (oder: Student, Alumni,...). Dieses und andere Attribute können als Grundlage für Autorisierungsentscheidungen herangezogen werden (s. Autorisierung). Authentifizierung Beim Vorgang der Authentifizierung wird eine Überprüfung der Identität durchgeführt. Der Nutzer gibt an, die mit der ID verbundene Person zu sein. Das System führt Tests durch, um diese Behauptung zu beweisen bzw. zu widerlegen. Der einfachste und heute immer noch gebräuchliche Test ist die Abfrage eines Passworts. Hat der Nutzer das der ID zugewiesene Passwort angegeben, wird die Identität bestätigt. Autorisierung Nach erfolgter Authentifizierung des Nutzers kann das System aufgrund vordefinierter Zugriffsregeln (auch Access Control bzw. in ihrer Gesamtheit Policy genannt) entscheiden, welche Ressourcen dem Nutzer zugänglich gemacht werden. Pseudonym Fingierter Name, der anstelle eines realen Personennamen angegeben werden kann. um aus Datenschutzgründen eine gewisse Anonymität zu erreichen. In Shibboleth kann ein persistentes Pseudonym verwendet werden, das nur im Missbrauchsfall aufgelöst wird. Single Sign On (SSO) Eine auf Unified Login aufbauende Funktionalität, bei der sich ein Nutzer nur einmal am zentralen Authentifizierungsserver anmelden muss und danach für eine festgelegte Dauer für verschiedene Rechner und Anwendungen authentifiziert ist. SSO kann durch Nutzung und Implementierung von Shibboleth unterstützt werden. Unified Login Möglichkeit, auf verschiedene Rechner und Anwendungen über einen zentral gespeicherten Account, d.h. über ein einziges Passwort zugreifen zu können. Dies wird durch einen zentralen Authentifizierungsserver erreicht.

15 Wissenschaftsnetz DFN Mitteilungen 71 Dezember 2006 Seite 15 DFNNetNews die Welt der schwarzen Bretter D er Betrieb eines gut gepflegten und damit für die Nutzer interessanten Newsservers erfordert neben erheblichen Ressourcen viel Spezialwissen und Erfahrung. Durch DFNNetNews können Einrichtungen neben Rechner- und Netz-Ressourcen wichtige und knappe Personalkapazitäten für den Betrieb eines eigenen Servers, Supportanfragen und Abuse-Handling einsparen, die sie stattdessen an anderer Stelle einsetzen können. Seit mehr als drei Jahren gehört DFNNetNews zu den Diensten des DFN-Vereins. Seit seiner Einführung im Juni 2003 hat sich DFNNetNews als zuverlässige Plattform für alle erwiesen, die in den Newsgruppen verschiedenster Hierarchien mitdiskutieren, ihre Beiträge einbringen oder Informationen abrufen wollen. Dabei zeichnet sich DFNNetNews insbesondere durch hohe Verfügbarkeit, exzellente Vollständigkeit, professionelle Pflege, effektive Spamfilter und lange Vorhaltezeiten für Inhalte aus. Der Zugang zu DFNNetNews kann gemäß den Wünschen und Anforderungen des Anwenders wahlweise über die Freischaltung von IP-Blöcken (Nutzung nur von Maschinen mit den entsprechenden IP-Adressen aus möglich) oder über die Vergabe von individuellen Usernamen und Passwörtern pro User erfolgen (weltweite Nutzung möglich). Die beiden Zugangsarten sind unabhängig voneinander und können ohne Mehrkosten auch zusammen gebucht werden. Natürlich hat sich seit Einführung des Dienstes einiges getan. So wurde die Anzahl der Newsgruppen von auf und die der Hierarchien von 175 auf 230 erweitert. Außerdem wurde der Dienst um eine von vielen Anwendern gewünschte Komponente ergänzt: Lokale Newsgruppen. Damit können auf dem zentralen Server Newsgruppen eingerichtet werden, die über ein spezielles Rechtemanagement nur einem bestimmten Personenkreis lesend und schreibend zur Verfügung stehen. Die dort abgelegten Artikel werden nicht bzw. nur auf Wunsch der jeweiligen Verantwortlichen mit anderen Newsservern ausgetauscht. Für Anwender, die DFNNetNews nutzen möchten, können individuelle Lösungen für die Übernahme bestehender oder die Einrichtung neuer lokaler Newsgruppen in unterschiedlichsten Konstellationen realisiert werden. Die Entgelte für die Nutzung sind in drei Kategorien aufgeteilt, die sich an den Kategorien des Dienstes DFNInternet orientieren: Bandbreite entsprechend DFNInternet-Kategorie < = 10 Mbit/s > 10 Mbit/s und < = 155 Mbit/s > 155 Mbit/s Jahresentgelt netto (ohne MwSt.) 850 Euro/Jahr Euro/Jahr Euro/Jahr Wenn Sie DFNNetNews nutzen möchten, wenden Sie sich bitte an Gerti Foest, foest@dfn.de, Tel.: Weitere Informationen zu DFNNetNews finden Sie unter inside - EIN MAGAZIN ÜBER SUPERCOMPUTING Im Jahr 2003 wurde mit der englischsprachigen Zeitschrift inside eine Initiative der Supercomputing-Zentren LRZ (München), NIC (Jülich) und HLRS (Stuttgart) gestartet, die zum Ziel hat, getreu ihres Titels (innovatives Supercomputing in Deutschland) die Wissenschafts-Gemeinschaft über neue Konzepte und Möglichkeiten des Supercomputing zu informieren. So sind in dem zweimal pro Jahr erscheinenden Heft nicht nur Artikel zu den aktuellen Entwicklungen Deutschland und weltweit zu finden, vielmehr werden bei inside auch Einblicke in die Forschungsarbeit an deutschen Wissenschaftseinrichtungen sowie in Diskussionen über zukünftige Rechnerarchitekturen gewährt. Die Texte sind dabei allgemeinverständlich und interessant geschrieben, so dass auch Leser außerhalb der Wissenschafts-Community in den Bann des Supercomputings geraten können. inside kann kostenlos sowohl als gedruckte Fassung als auch auf elektronischem Weg bezogen werden. Für den Erhalt der Printausgabe benötigt es nur eine kurze unter Angabe der eigenen Adresse an Herrn Klank vom HLRS (klank@hlrs.de). Die Online-Ausgabe - sowohl des aktuellen als auch der vorangegangenen Hefte - kann unter folgender Adresse als HTML-Fassung oder PDF-Dokument abgerufen werden: http: //inside.hlrs.de/ (jn)

16 Wissenschaftsnetz DFN Mitteilungen 71 Dezember 2006 Seite 16 Aktuelles aus dem Wissenschaftsnetz Relaunch der Webseite Recht im DFN Empfehlungen und Stellungnahmen der Forschungsstelle Recht im DFN, die in den vergangenen Jahren herausgegeben wurden, sind neu systematisiert und stehen den Nutzern des DFN im Web in gebündelter Form zur Verfügung. Kernstück der überarbeiteten Seiten ist ein Rechtsguide, der einer ersten Orientierung über wichtige Rechtsfragen dient, die im Betrieb der Rechenzentren eine Rolle spielen. Weitergehende Informationen zu den einzelnen Themen finden sich jeweils in einer mitgelieferten Wissensbasis. Die HTML-Versionen von Rechtsguide und Wissensbasis können über folgende Webadresse abgerufen werden: Pilotdienst zum Webconferencing gestartet Am 14. September 2006 startete der Webconferencing-Pilotbetrieb auf der Basis von Breeze, einer Software aus dem Hause Adobe, die ursprünglich von Macromedia entwickelt wurde. Die derzeitige Lizenz ermöglicht die gleichzeitige Benutzung des Servers durch 40 Teilnehmer. Das Interesse an dem Dienst ist sehr rege. Es haben sich inzwischen 63 Einrichtungen mit insgesamt 111 autorisierten Konferenzveranstaltern bei der Hotline registrieren lassen. Der DFN-Verein plant, die Serverkapazität schrittweise auszubauen. Die nächste Software-Version von Breeze wird Ende des Jahres unter dem veränderten Namen Acrobat Connect Professional auf den Markt kommen. Weitere Informationen unter: Neuer DFN-CERT Dienst Automatische Warnmeldungen im Pilotbetrieb Ab sofort steht DFN-Anwendern im Rahmen von DFN-CERT der Dienst Automatische Warnmeldungen im Pilotbetrieb zur Verfügung. Über diesen Dienst erhalten Sie per automatisch generierte Warnmeldungen, wenn beim DFN-CERT Auffälligkeiten im Zusammenhang mit IP-Adressen Ihrer Einrichtung bekannt geworden sind. Über ein WebPortal können einrichtungsspezifische Einstellungen wie IP-Adressbereich, Kontaktinformationen und Empfangsadressen sowie die Zeitintervalle für die Zustellung der Meldungen konfiguriert werden. Für die Teilnahme am Pilotbetrieb schicken Sie bitte eine an Weitere Informationen zu diesem Dienst finden Sie unter: Neues Heim für Bayerischen Hochleistungsrechner Nach zweieinhalbjähriger Bauzeit wurde im Sommer diesen Jahres der Neubau für das LeibnizRechenzentrum (LRZ) der Bayerischen Akademie der Wissenschaften in Garching bei München eingeweiht. Das baulich hervorstechendste Merkmal bildet ohne Zweifel der Rechnertrakt des Neubaus: erreicht man den Forschungscampus Garching von Südwesten, zieht der mit einem durchscheinenden Metallgewebe verkleidete prominente Kubus mit einer Kantenlänge von 36 Metern die Blicke auf sich und wirkt wie ein Wahrzeichen der Computational Science. Das Gebäude beherbergt den neuen, 38 Mio. Euro teuren nationalen Höchstleistungsrechner in Bayern (HLRB II), ein Vielprozessorsystem aus dem Haus Silicon Graphics Inc. (sgi), das das bisherige Flaggschiff der Compute-Kapazität am LRZ, einen Hitachi SR8000, nach sechsjähriger Betriebszeit abgelöst hat. Mit einer Rechenleistung von 33 Tflop/s gehört HLRB II zu den leistungsstärksten Rechner-Systemen Europas. In seiner zweiten Ausbaustufe soll die Leistung des HLRB II im kommenden Jahr noch einmal auf 70 Tflop/s verdoppelt werden. Neben dem Rechner-Kubus umfasst der Neubau des LRZ auch Institutsgebäude und einen Seminartrakt, die es gemeinsam mit dem Rechnergebäude auf eine Hauptnutzfläche von insgesamt 5600 qm bringen. Im Rechnergebäude stehen auf drei Stockwerken jeweils 550 qm für Server, Archivsysteme und für den Höchstleistungsrechner zur Verfügung. Die Baukosten betrugen rund 42 Mio. Euro.

17 DFN Mitteilungen 71 Dezember 2006 Seite 17 DFN-Verein registriert ab sofort Top-LevelDomains VoIP: Regelbetrieb für SIP-Breakout aufgenommen Der DFN-Verein ist seit kurzem Mitglied beim Council of Registrars - CORE. Somit besteht die Möglichkeit, direkt über den DFN-Verein unter anderem die Top-Level- Domains.com,.net,.org und.info anzumelden. Die Entgelte für Registrierung und Pflege entsprechen denen für DE- und EU-Domains. Anmeldungen und weitere Dokumente finden sich unter domain/ Für Nutzer von VoIP gibt es Erfreuliches zu berichten: Die Kompatibilitätstests für VoIP zeigen gute Fortschritte, so dass nunmehr alle VoIP-Telefonanlagen, die über SIP arbeiten, an den VoIP-Breakout angeschaltet werden können. H.323-basierte VoIPTelefonanlagen befinden sich dagegen noch in der Testphase, die aber Anfang nächsten Jahres in den Regelbetrieb überführt werden soll. Wie beim DFN-Internet-Dienst werden ab sofort auch beim DFN-WiNShuttle zusätzlich zu den.deund.eu-domains die TLDs.biz,.com,.info,.net sowie.org. registriert. WiNShuttle-Kunden nutzen das Auftragsformular für den Domaindienst mit Registrierung: anmeldung/domainauftrag-reg.pdf Inbetriebnahme des neuen Rechnersystems am Leibniz-Rechenzentrum: (v.l.n.r.) Prof. Dr. Heinz-Gerd Hegering, langjähriges Vorstandsmitglied des DFN-Vereins und Leiter des LRZ, Dr. Thomas Goppel, bayerischer Staatsminister für Wissenschaft, Annette Schavan, Bundesministerin für Bildung und Forschung und Prof. Dr. Dietmar Willoweit, Präsident der Bayerischen Akademie der Wissenschaften.

18 International Fasern ohne Grenzen Cross-Border-Fibres als Ergänzung der GÉANT2-Konnektivität DFN Mitteilungen DFN Mitteilungen 71 Dezember 70 Juni 2006 Seite B is vor einigen Jahren war es in vielen europäischen Ländern darunter auch in Deutschland kaum möglich, Angebote für Glasfaserstrecken zu akzeptablen (sprich bezahlbaren) Konditionen zu erhalten. Dies war einer der Gründe dafür, dass es vergleichsweise kostspielig war, große Kapazitäten national, insbesondere aber auch international zu realisieren. Seit noch nicht allzu langer Zeit hat sich die Marktsituation deutlich geändert. Für Glasfasern (Dark Fibre) hat sich in vielen europäischen Ländern ein Markt entwickelt, der den Aufbau von Datennetzen auch für finanziell nicht üppig ausgestattete Forschungsnetz-Organisationen möglich gemacht hat. Beispiele dafür sind das von DANTE betriebene europäische Backbone-Netz GÉANT2 und natürlich das X-WiN. Hat man erst die Faserstruktur und die für die Bereitstellung von Übertragungswegen erforderliche Technik installiert (Wellenlängen-Multiplexer, WDM), dann lassen sich auf einer solchen Infrastruktur zu vergleichsweise geringen Zusatzkosten leicht weitere Verbindungen von derzeit bis zu 10 Gbit/s herstellen. Für den DFN- Internet-Dienst wird es dadurch relativ einfach und kostengünstig möglich, auf ansteigende Verkehrsflüsse zu reagieren. Für Projekte, bei denen der Austausch von hohen Datenmengen zwischen wenigen dedizierten Punkten erforderlich ist, ist es in der Regel nicht sinnvoll, diesen Verkehr über die verhältnismäßig teure Router-Infrastruktur zu führen. Die Möglichkeit, zwischen Knoten des X-WiN preisgünstig Punkt-zu-Punkt-Verbindungen herstellen zu können, erleichtert den Aufbau von optischen Virtual Private Networks (VPNs) erheblich und wird bereits von einer Reihe von Anwendern des X-WiN in Anspruch genommen. Karin Schauerhammer DFN-Verein schau@dfn.de Martin Wilhelm DFN-Verein wilhelm@dfn.de Was im nationalen Umfeld leicht möglich ist (wie der Punktzu-Punkt-Dienst im X-WiN), wird insbesondere auch von internationalen Projekten, die hohe Übertragungskapazitäten zwischen Forschungseinrichtungen benötigen, stark nachgefragt. Im GÉANT2 Netz können Punkt-zu-Punkt-Verbindungen zwischen den GÉANT2-Aufpunkten in den beteiligten nationalen Forschungsnetzen bereitgestellt werden. Die nationalen Forschungsnetze verlängern die über die GÉANT2 Infrastruktur bereitgestellten Verbindungen durch ihre jeweiligen Glasfaser-Netze bis zu den nationalen Forschungseinrichtungen. Dadurch wird auch für internationale Projekte der Aufbau von optischen VPNs ermöglicht. Die bekanntesten Beispiele für solche Projekte sind das Large Hadron Collider Projekt (LHC), DEISA (internationaler Verbund von Supercomputern) und Grid-Anwendungen. Es soll nicht verschwiegen werden, dass den Vorteilen solcher Punkt-zu-Punkt-Verbindungen auch Nachteile entgegenstehen. Fällt z. B. durch einen Kabelschaden (der vielzitierte Bagger trennt eine Glasfaser auf) eine Faserstrecke aus, so hat dies im X-WiN keine Auswirkungen auf die Anwender des DFNInternet-Dienstes, weil auf der IP-Ebene die Datenpakete durch entsprechendes Routing einen anderen Pfad nutzen. Bei Punkt-zu-Punkt-Verbindungen innerhalb des X-WiN ist die dort eingesetzte DWDM-Technik in der Lage, bei einem solchen Ausfall innerhalb von Millisekunden auf einen zuvor festgelegten Ersatzpfad umzuschalten. Leider ist diese Möglichkeit jedoch nicht bei Verbindungen gegeben, die zu anderen Netzen wie z. B. GÉANT2 geschaltet werden. Abhilfe kann hier nur die Bereitstellung alternativer Faser-Routen bieten, die aber in der Regel sehr teuer sein können. Zum Glück gibt es eine Lösung für dieses Problem: Die nationalen Forschungsnetze in den meisten unserer Nachbarländer verfügen wie der DFN-Verein über auf Glasfasern basierende Infrastrukturen. Bei einigen unserer Nachbarn sind die Netzknoten in verhältnismäßig geringer Entfernung von Knoten des X-WiN installiert. Der Gedanke lag nahe, die Knoten beider benachbarter Netze durch verhältnismäßig kurze und damit preisgünstige Glasfaserstrecken auf direktem Wege miteinander zu verbinden. Da diese Faserstrecken grenzüberschreitend sind, werden sie als Cross Border Fibre (CBF) bezeichnet. Während die Glasfaser-Verbindungen, die im GÉANT2 zum Einsatz kommen, die jeweiligen nationalen Dark Fibre im X-WiN. Rot: Cross-Border-Verbindungen nach Basel, Straßburg, Enschede und Slubice.

19 DFN Mitteilungen 71 Dezember 2006 Seite 19 Aufpunkte von GÉANT2 miteinander verbinden (z. B. den GÉANT2Aufpunkt in Frankfurt/Main mit dem GÉANT2-Aufpunkt in Paris) und damit in den meisten Fällen sehr lange Entfernungen überbrücken, sind sie recht teuer. Cross Border Fibres können die direkten Verbindungen zwischen benachbarten Forschungsnetzen erheblich kürzer und damit viel preiswerter realisieren. Solche Cross Border Fibres stellen damit entweder eine Ergänzung der vorhanden Verbindungsmöglichkeiten über GÉANT2 dar (Erhöhung der Verfügbarkeit durch die Bereitstellung alternativer Faserwege) oder können sogar Verbindungen zwischen Aufpunkten von GÉANT2, die bislang über eine (teure) gemanagte Wellenlänge realisiert werden, ersetzen. Die geografische Lage des X-WiN in Europa bringt es mit sich, dass eine verhältnismäßig große Zahl von Verbindungsmöglichkeiten zu benachbarten Forschungsnetzen vorhanden ist. In Gesprächen mit Vertretern von Pionier (polnische ForschungsnetzOrganisation), Renater (französisches Forschungsnetz), SurfNet (Forschungsnetz-Organisation der Niederlande) und Switch (Forschungsnetz der Schweiz) wurden zunächst die beiderseitigen Möglichkeiten und Interessenslagen ausgelotet. Bei den Übergängen nach Polen, Frankreich und in die Niederlande waren die Randbedingungen durch den Zugang zu bereits vorhandenen Faserpaaren für den DFN-Verein besonders günstig. Mittlerweile sind drei der vier geplanten Übergänge bereits realisiert und in die Phase des Pilotbetriebs gegangen: Im September wurde eine Wellenlänge mit einer Kapazität von 10 Gbit/s vom Forschungszentrum Karlsruhe über den X-WiN Knoten in Kehl und eine Glasfaser-Strecke zwischen Kehl und dem Telehaus in Basel geschaltet. Die Kollegen vom Schweizer Forschungsnetz Switch, die im Telehaus Basel einen Knoten ihres Netzes betreiben, führen diese Wellenlänge weiter durch ihr Netz bis zur Grenze nach Italien, wo dann eine Übergabe an das italienische Forschungsnetz GARR erfolgt. die Verbindung zum polnischen Forschungsnetz (Frankfurt/Oder Slubice) wurde am 24. Oktober 2006 im Beisein der Rektorin der Viadrina, Frau Gesine Schwan, feierlich in Betrieb genommen. Eine Woche später konnte dann die Faser-Verbindung zwischen dem X-WiN-Knoten an der Universität Münster und dem SurfNet-Knoten an der Universität Enschede in Betrieb gehen. Hier wurde als erstes eine 10-Gbit/s-Wellenlänge zwischen dem Forschungszentrum Karlsruhe und dem Forschungs-Standort SARA geschaltet. Die noch erforderlichen Baumassnahmen für die Faserstrecke zwischen der Universität Straßburg und dem X-WiN Knoten in Kehl konnten Ende Oktober 2006 abgeschlossen werden; derzeit installieren die Kollegen vom französischen Forschungsnetz Renater ihre DWDM-Geräte in einem Schrank unmittelbar neben den Geräten des X-WiN. Betrieblich stellen Cross Border Verbindungen eine besondere Herausforderung dar. Eine Wellenlänge, die zwei Anwendern im X-WiN als Punkt-zu-Punkt-Verbindung zur Verfügung gestellt wird, ist betrieblich genau einer Management-Domäne zugeordnet. Die Überwachung dieser Wellenlänge und die beim Auftreten einer Störung durchzuführenden Maßnahmen sind in einem Betriebshandbuch für alle beteiligten Betriebsgruppen genau festgehalten. Im Gegensatz dazu umfasst eine Cross Border Verbindung jedoch mindestens zwei Management-Domänen, mitunter auch mehr. Hierzu sind zwischen den beteiligten Forschungsnetzorganisationen und dem Betreiber von GÉANT2 (DANTE) zwar betriebliche Absprachen bezüglich der Überwachung (Monitoring) getroffen und Tools zur Unterstützung entwickelt worden; der Nachweis der Praxistauglichkeit steht aber noch aus. Während der Pilotierung sollen daher insbesondere die betrieblichen Aspekte von Cross Border Verbindungen untersucht werden und die am Grünen Tisch entwickelten Betriebskonzepte für Cross Border Verbindungen im Hinblick auf ihre Eignung im Alltag überprüft werden. Die Monitoring Tools sollen durch Werkzeuge zur graphischen Darstellung der Verbindungen ( Weathermap ) ergänzt werden. Damit soll für unterschiedliche Nutzergruppen eine spezifische Sicht auf ihre Verbindungen ermöglicht werden. Die Behebung eventuell auftretender Störungen muss in der jeweils verantwortlichen Betriebsdomaine erfolgen. Fazit: Cross Border Fibres stellen eine kostengünstige Ergänzung des europäischen Backbone-Netzes GÉANT2 dar. Die Verfügbarkeit von europaweiten Punkt-zu-Punkt-Verbindungen kann durch die über Cross Border Fibres mögliche kostengünstige alternative Wegeführung deutlich verbessert werden. In einigen Fällen können durch die Nutzung von Cross Border Fibres vorhandene teure Verbindungen zwischen GÉANT2-Knoten durch preiswerte Cross Border Verbindungen ersetzt und damit erhebliche Einsparungen erzielt werden. Betrieblich stellen Cross Border Verbindungen eine besondere Herausforderung dar, da sich die Zuständigkeit für Entstörungsarbeiten über mehrere Management-Domains erstreckt. Prozess-Modelle sind in Kooperation zwischen Forschungsnetz-Organisationen und DANTE entwickelt worden, die jetzt bei den eingerichteten Cross Border Verbindungen in einer Pilotphase erprobt und falls erforderlich modifiziert werden. Dark Fibre europaweit auf dem Vormarsch Wie sich nicht nur an der zunehmenden Anzahl von Cross-Border-Verbindungen zeigt, bauen auch viele andere Forschungsnetze in Europa ihre Infrastrukturen verstärkt mit Dark Fibre aus. Neben dem DFN-Verein besetzen die Forschungsnetze unter anderem in Polen (PIONIER), Niederlande (SURFnet), Schweiz (SWITCH) und Tschechien (CESNET) eine Vorreiterrolle bei der Verwendung von Dark Fibre. Ebenso wie das Kernnetz des schweizer Wissenschaftsnetzes wurden auch die Backbones von CESNET2 und SURFnet7 auf Basis von Dark-Fibre-Verbindungen realisiert. Auch Polen verfügt über einen weitgehend mit Dark Fibre ausgestattetes Kernnetz, der sich als erster europäisches WissenschaftsBackbone ausschließlich im eigenen Besitz des Betreiberkonsortiums befindet.

20 International Deutschlands und Polens Wissenschaftler rücken näher zusammen DFN Mitteilungen 71 Dezember 2006 Seite 20 I n einer feierlichen Zeremonie wurde am 24. Oktober 2006 im polnischen Grenzort Slubice die erste direkte Hochleistungs-Datenverbindung zwischen dem Deutschen Forschungsnetz und dem polnischen Forschungsbackbone PIONIER eröffnet. Grzegorz Zbikowski, Direktor für Informationstechnologie im polnischen Wissenschaftsministerium, und Dr. Johann Komusiewicz, Staatssekretär im brandenburgischen Wissenschaftsministerium, weihten gemeinsam mit den Vorsitzenden von PIONIER und DFN, Prof. Dr. Jan Weglarz und Prof. Dr. Wilfried Juling in einer feierlichen Zeremonie die Glasfaserverbindung zwischen den Forschungsnetzen beider Länder ein, die nun über den Kernnetzknoten des DFN an der Europa-Universität Viadrina in Frankfurt/Oder mit dem Collegium Polonicum im benachbarten Slubice miteinander verbunden sind. Als physikalische Verbindung der Kernnetze von PIONIER und DFN ermöglicht die Cross-Border-Fibre auch direkte Punkt-zu- Punkt Verbindungen zwischen Wissenschaftseinrichtungen in Polen und Deutschland. Die Glasfaser, wird den Forschungsnetzen von der Europa-Universität Viadrina zur Verfügung gestellt und gehört zu einem Faserbündel, mit dem sich die Viadrina mit dem im polnischen Slubice befindlichen Collegium Polonicum verbunden hat. Im direkt an der Grenzbrücke gelegenen Collegium Polonicum studieren und forschen neben 1600 Polen auch 400 Deutsche mit einem Schwerpunkt auf den verschiedenen Aspekten der deutschpolnischen Beziehungen etwa im Rechtswesen, in der Wirtschaft oder im Naturschutz. Die grenzüberschreitende Hochleistungs-Datenverbindung eröffnet den Wissenschaftlern beider Länder eine Vielzahl neuer Kooperationsmöglichkeiten und wird insbesondere die wissenschaftliche Zusammenarbeit im Grand-Challenge-Bereich forcieren. Durch die direkte Verbindung zwischen PIONIER und dem Deutschen Forschungsnetz können beispielsweise Teilchenphysiker in Posen unmittelbar mit dem Forschungszentrum Karlsruhe (Grid- Ka) oder dem CERN in Genf verbunden werden und damit besser als bisher an internationalen Hochenergiephysik-Grids teilnehmen. Diese Verbindung stellt deshalb eine wertvolle Ergänzung zu dem bereits existierenden Anschluss des polnischen Forschgungsnetzes an GÉANT2 dar. Das polnische PIONIER verfügt ebenso wie das DFN über ein flächendeckend ausgebautes Glasfasernetz, über das neben dem normalen Internet-Verkehr auch Punkt-zu-Punkt-Verbindungen bzw. Optische Private Netze geschaltet werden können. Bislang war PIONIER ausschließlich über eine Wellenlänge an den europäischen Forschungsbackbone GÉANT2 angeschlossen. Durch die zusätzliche Cross-Border-Verbindung nach Deutschland können sich polnische Wissenschaftler nun leichter über Ländergrenzen hinweg mit europäischen Kollegen zu virtuellen Organisationen zusammenschließen und ihre Arbeits- und Rechenressourcen mit den Partnern in anderen europäischen Staaten bündeln. Die durch GÉANT2 bereitgestellte internationale Netzinfrastruktur wird durch derartige Cross-Border-Verbindungen sinnvoll und wirtschaftlich ergänzt. Prof. Gesine Schwan, Präsidentin der Europa-Universität Viadrina während Ihrer Grußansprache v.l.n.r,: Prof. Wilfried Juling, Prof. Stanislaw Lorenc, Rektor der Adam-Mickiewicz-Universität, Poznan, Grzegorz Zbikowski, Direktor für das Ressort Informationstechnologie im polnischen Ministerium für Bildung und Wissenschaft, Dr. Krzysztof Woyciechowski, Direktor des Collegium Polonicum und Prof. Dr. Jan Weglarz, Vorsitzender der polnischen Forschungsnetzinitiative PIONIER, bei der symbolischen Inbetriebnahme der Cross-Border-Fibre. Dr. Johann Komusiewicz, Staatssekretär im brandenburgischen Wissenschaftsministerium, würdigt die Bedeutung der CBF für die Deutsch-Polnische Zusammenarbeit in der Wissenschaft.