Universitätsrechenzentrum

Transkript

1 Friedrich-Schiller-Universität Jena Universitätsrechenzentrum Benutzerinformationen, Februar 2005 FIREWALL-Konzept Sicherheit - Konzept - Virenscanner Wireless Local Area Network Das Andrew File System an der Universität Jena Internationale Videokonferenzstruktur Meta Directory Software Internet: seit 1558 Universitätsrechenzentrum Am Johannisfriedhof 2, D Jena

2 Impressum Herausgeber: Universitätsrechenzentrum der FSU Jena Am Johannisfriedhof Jena Tel.: 03641/ Redaktion: Prof. Dr. Heinz Scheffel Layout: Manfred Petzold

3 URZ - INFORMATIONEN 1 Vorwort Heinz Scheffel, Universitätsrechenzentrum Mit unseren URZ-Informationen versuchen wir vor allem Kenntnisse über wichtige neue Dienste des Universitätsrechenzentrums zu vermitteln, um deren Nutzung anzuregen. Darüber hinaus weisen wir damit jedoch auch auf wichtige aktuelle Probleme und angestrebte Lösungen im Zusammenhang mit der Nutzung unserer informationstechnischen Infrastruktur hin. Weitere aktuelle Informationen zu all unseren Services finden Sie natürlich auf den Web-Seiten des Universitätsrechenzentrums ( Im Folgenden einige kurze Bemerkungen zu den Themen dieser Ausgabe: Sicherheitskonzept / Firewallkonzept Seit dem Zugang des Universitätsnetzes zu internationalen Netzen im Jahr 1991 hat sich die Bandbreite unseres Weitverkehrsnetzanschlusses von 9,6 Kilobit/s auf 622 Megabit/s erhöht. Das bietet nicht nur unseren Wissenschaftlern und Studenten hervorragende Möglichkeiten der Netznutzung sondern weckt auch bei der immer größer werdenden Hackerschar Begehrlichkeiten. Die in den Betriebssystemen der Computer immer wieder neu entdeckten Lücken werden rücksichtslos genutzt, um in die Computer einzudringen, sich festzusetzen und für ihre Zwecke zu missbrauchen. Die allbekannten Viren und Würmer, deren zerstörerische oder lästige Aktivitäten der Nutzer üblicherweise selbst auslöst, sind deshalb nur eine Spielart externer Übeltäter. Der Missbrauch der Rechner durch Eindringlinge für das unrechtmäßige Verteilen von Video- und Audiodokumenten, für Software und andere Zwecke sind Angriffsarten aus dem Internet, die zunehmend Probleme bereiten und vielen Nutzern nicht bewusst sind. Ein ungeschützt am Internet angeschlossener Rechner wird im Durchschnitt alle 17 Minuten angegriffen und erliegt dem Angriff, wenn er Angriffspunkte bietet d. h., wenn sich sein Betriebssystem nicht auf dem neuesten Stand befindet. Nach unseren bisherigen Erfahrungen müssen wir davon ausgehen, dass einerseits viele Rechnerbetriebssysteme an der Universität nicht regelmäßig gewartet werden und andererseits nicht alle Computernutzer ein sicherheitsbewusstes Verhalten zeigen. Aus diesen Gründen muss das URZ geeignete Maßnahmen treffen, um trotzdem einen angemessenen Schutz gegen Hacker, Viren und Würmer aufzubauen. Die Beiträge zum Virenschutz und zum Firewallkonzept erläutern diesbezügliche Verfahrensweisen und Angebote des URZ. Wireless-LAN-Aufbau (WLAN oder Funknetz) an der Universität Die 2003 begonnene Entwicklung und Erprobung eines WLAN-Konzeptes wurde 2004 abgeschlossen. Seitdem erfolgt der schrittweise Ausbau des WLAN der FSU. Der Aufbau eines flächendeckenden Netzes ist nicht beabsichtigt. Allerdings möchte das URZ mit dem WLAN die Bereiche der Universität abdecken, an denen Wissenschaftler und Studenten in größerem Umfang mit Laptops, PDA s oder anderen Geräten mit Funknetzzugang arbeiten und Netzzugang benötigen. Das sind zunächst einmal Standorte wie der Ernst-Abbe-Platz, das Foyer Bau 6/7, Cafeterias, Mensen und Labore mit mobiler Informationstechnik. Größere Hörsäle und Seminarräume werden folgen. Institute und sonstige Einrichtungen erhalten WLAN- Zugang nach gemeinsamer Planung mit dem URZ und bei finanzieller Beteiligung der betreffenden Einrichtungen.

4 URZ - INFORMATIONEN 2 In Vorbereitung ist der Anschluss an den Roaming-Verbund des DFN-Vereins. Dieser gestattet dann den URZ-Nutzern den Zugang zu den WLANs aller Einrichtungen, die sich am DFN-Roaming beteiligen. Wir möchten an dieser Stelle darauf hinweisen, dass der wilde Betrieb von Funknetzen an den Einrichtungen der Universität erhebliche Gefahren und Probleme mit sich bringt und von uns als Netzbetreiber deshalb als nicht erlaubt betrachtet wird. Größere Funknetze können nur nach einem einheitlichen Konzept betrieben werden, einerseits aus technischen Gründen (Frequenzwahl u. ä.), andererseits aber auch aus Sicherheitsgründen. Alle Sicherheitsvorkehrungen im Universitätsnetz nutzen nichts, wenn durch den Betrieb von Funknetzen einfache und ungesicherte Zugangsmöglichkeiten für Fremde geschaffen werden. Andrew-File-System (AFS) Das AFS ist ein universell nutzbarer Fileservice. Er erlaubt den weltweiten Zugriff auf bei uns abgelegten Daten über die wichtigsten Betriebssysteme. Nutzern unserer Dienste, die einerseits von unterschiedlichen Standorten und Computern an der Universität und darüber hinaus auf ihre Daten zugreifen wollen, wird die Nutzung dieses Dienstes sehr empfohlen. Nach Aufrüstung der Speicherressourcen für diesen Service im letzten Jahr sind wir in der Lage, auf begründeten Antrag die derzeitige Beschränkung für die zur Verfügung gestellten Speicherressourcen (sog. Quotas) angemessen zu erhöhen. Internationale Videokonferenzstruktur Nach Einführung des Videokonferenzdienstes an der Universität im Jahr 2002 sowie der Bereitstellung eines zentralen Videokonferenzraumes und von Ausleihgeräten hat sich der Umfang der Nutzung dieses zentralen Dienstes nur sehr langsam erhöht. Derzeit werden etwa 4 Videokonferenzen pro Monat über unseren Gatekeeper, der die Verbindung mit dem Videokonferenzdienst des DFN-Vereins übernimmt, geführt. Die Erläuterung der internationalen Videokonferenzstruktur soll einerseits den derzeitigen Nutzern etwas Hintergrundinformationen vermitteln, andererseits aber alle potentiellen Nutzern zur Nutzung des Videokonferenzdienstes anregen (s. auch Beitrag zum Videokonferenzdienst in unserer letzten URZ-Information -Ausgabe im Archiv). Projekt Meta Directory CODEX Für alle System- und Dienstadministratoren mit einer größeren Anzahl von Nutzern (das URZ hat z. B. mehr als ) ist die Pflege der Nutzerdaten zwecks Authentisierung und Autorisierung eine zeitaufwändige Aufgabe, die vielfach wegen fehlender Informationen nur unbefriedigend gelöst werden kann. Die Thüringer Universitätsrechenzentren arbeiten deshalb im Rahmen eines vom Land geförderten Projektes an der Bereitstellung eines zentralen Verzeichnisdienstes, der entsprechende Informationsdienste bereitstellt. Der Beitrag beschreibt die Motivation, Ziele und bisherige Ergebnisse des Projektes und dessen nutzbaren Ergebnisse.

5 URZ - INFORMATIONEN 3 FIREWALL-Konzept Gerd Henniger, Gunnar Pfeil, Universitätsrechenzentrum Die Meldungen wie unsicher und anfällig ein Betriebssystem ist, nehmen kein Ende. Trotz intensivster Bemühungen das Betriebssystem im Internet abzusichern, werden immer wieder neue Sicherheitslücken entdeckt, die es Angreifern ermöglichen in den PC des Anwenders einzudringen und diesen zu missbrauchen. Wie kann man sich schützen, um nicht auch Opfer eines Virus oder Trojanischen Pferdes zu werden? Zunächst ist ein Virenscanner sehr wichtig, dessen Versionsstand immer aktuell sein sollte. Doch viele Computerschädlinge kommen nicht mehr auf dem traditionellen Weg via Diskette oder , sondern verbreiten sich selbständig von einem Computer zum nächsten. Ein Computer der mit dem Internet verbunden ist, hat viele Türen (Ports), durch die Daten herrein und heraus gelangen. Werden diese Türen nicht überwacht, können auch ungewollte Daten übertragen werden. Um das zu verhindern setzt man einen Firewall (Brandschutzmauer) ein. Die Firewall überwacht alle Türen und erlaubt nur vorher freigegebenen Programmen und Daten mit dem Internet zu kommunizieren. Alle unerwünschten Zugriffe die vom Internet auf den PC stattfinden, werden abgeblockt. Genauso dürfen nur Programme denen ausdrücklich die Erlaubnis erteilt wurde auf das Internet zugreifen. Regelungen für den Betrieb von Filtern und Firewalls Seit 1997 besteht zur Grundabsicherung des Internet-Zugangs über das Gigabit Wissenschaftsnetz der Einsatz einer Paketfilterlösung für das gesamte Netz der Friedrich-Schiller-Universität Jena (FSU Jena). Diese wurde zwar kontinuierlich ausgebaut und an aktuelle Ereignisse angepasst, entspricht aber nicht mehr den gewachsenen Anforderungen. Zusätzlich bietet der Bereich Netzbetrieb des Universitätsrechenzentrums (URZ) deshalb seit dem Jahr 2003 den Einsatz von zentralen Firewall-Lösungen für Bereichsnetze neben den bereits bestehenden Zugangsfiltern am Netz der FSU Jena an. Dabei sind die Bereichsnetze als eigenständige Einheiten zu betrachten, für die eine Schutzfunktion sowohl gegenüber dem restlichen Netz der FSU Jena als auch dem Internet realisiert wird. Technisch realisiert werden diese Firewalls in Verbindung mit der Gateway-Funktion an der zentralen Übertragungstechnik. Filter- und Firewalllösungen dienen der gezielten Beeinflussung des Datenverkehrs und werden grundsätzlich nach zwei prinzipiellen Verfahren unterschieden: Whitelist-Verfahren: Nur gewünschte Verbindungen werden zugelassen, alles andere wird gesperrt. Blacklist-Verfahren: Nur unerwünschte Verbindungen werden gesperrt, alles andere ist erlaubt. An der FSU-Jena kommt eine Mischvariante aus diesen beiden Verfahren zum Einsatz.

6 URZ - INFORMATIONEN 4 Zugangs-Filter Der Einsatz von Paketfiltern im Rahmen der TCP/IP-Protokollfamilie (Internet-Protokoll) wird realisiert unter Angabe: des IP-Protokolls, der Sendestation (Quell-IP-Adresse und Quellportnummer) und der Zielstation (Ziel-IP-Adresse und Zielportnummer). Unter Zuhilfenahme dieser Angaben können einzelne Verbindungen erlaubt bzw. unerwünschter Zugriffe ausgeschlossen werden. Beispielsweise erfolgt zentral auf dem Anschluss zum Internet der Einsatz von Anti-Spoofing-Filtern (Spoofing = Verschleierung), um den Missbrauch und die Vortäuschung von IP-Adressen weitestgehend zu unterdrücken: Ausgangsfilter: (FSU-Jena-Netz -> Internet) IP-Pakete mit Absende-IP-Adressen ungleich FSU Jena (bzw. mitversorgte Einrichtungen) werden nicht weitergeleitet. Eingangsfilter: (Internet -> FSU-Jena-Netz) Nur IP-Pakete mit Absende-IP-Adressen ungleich FSU Jena (bzw. mitversorgte Einrichtungen) und Zieladresse gleich FSU Jena (bzw. mitversorgte Einrichtungen) werden weitergeleitet. Diese IP-Paketfilter werden aufgrund der Kenntnis von Sicherheitsereignissen (Vorkommnisse) vom URZ zentral und nach Anforderungen der dienstbetreibenden Bereiche (Auftrag durch den zuständigen Anschlussverantwortlichen (AV)) erstellt und erweitert, sind aber insgesamt sehr statisch. Als Nachteile dieser Lösung sind fehlende Reaktionen bei dynamischen Ereignissen, Unübersichtlichkeit sowie der hohe Verwaltungs- und Realisierungsaufwand zu nennen. Notwendig ist in jedem Einzelfall die Kenntnis aller zu einer Applikation gehörenden Datenströme sowohl für Sende- als auch Empfangsrichtung, da IP-Paketfilter zustandslos (stateless) arbeiten und derartige Zusammenhänge nicht bewerten können. Im Gegensatz dazu können moderne Firewalls zu einer erlaubten Verbindung in einer Richtung auch alle damit in Zusammenhang stehenden Verbindungen in der Gegenrichtung (Antwortpakete) erkennen. Sie arbeiten also zustandsgesteuert (stateful). Aus diesen Gründen wird zunehmend auf den Einsatz einer stateful Firewall (s.u.) orientiert. Firewall Alle Endgeräteanschlüsse sind im Normalfall ohne Firewallfunktionalität angeschlossen. Sie befinden sich, abgesehen von den zentralen Zugangsfilterregeln, direkt im Internet mit allen zugehörigen Sicherheitsproblemen. Bei erhöhtem Sicherheitsbedarf besteht deswegen für die Internet-Protokollwelt auf Anforderung durch und in Abstimmung mit den zuständigen Anschlußverantwortlichen die Möglichkeit des Einsatzes einer stateful Firewall-Lösung für das entsprechende Bereichsnetz nach folgendem Regelwerk:

7 URZ - INFORMATIONEN 5 Ausgehend: Aus dem Bereichsnetz in Richtung FSU-Jena-Netz/Internet gibt es keinerlei Beschränkungen für IP- Pakete (ebenfalls nicht für alle zugehörigen Antwortpakete in umgekehrter Richtung (stateful)). Dadurch ist der Firewall für den Benutzer transparent ohne störende Einflüsse. Dies soll den offenen Charakter der Universität unterstützen. Eingehend: Umgekehrt werden aus Richtung FSU-Jena-Netz / Internet in das Bereichsnetz bis auf nachfolgende Ausnahmen keine IP-Pakete zugelassen. Damit werden die Stationen des Bereichsnetzes vor Angriffen und unberechtigtem Zugriff geschützt. Ausnahmeregelungen: Für Steuerungszwecke im Rahmen der TCP/IP-Protokollfamilie wird das InternetControlMessage- Protocol (ICMP) zugelassen (siehe Kommandos wie ping, traceroute,..) Wichtig ist an dieser Stelle der Hinweis, dass das ICMP-Protokoll für diese Steuerungszwecke auch innerhalb der lokalen Firewalleinstellungen auf den Endgeräten (z.b. Windows-XP SP2) freigegeben sein muss. Zentrale Dienste des URZ (z.b. Netzwerkmanagement, Backupdienst) sind erlaubt. Alle berechtigten Nutzer einer Einrichtung dürfen prinzipiell auch Verbindungen von außerhalb des Bereichsnetzes in dieses aufbauen. Für die Gewährleistung des Zugriffs auf Bereichsserver, für die ein öffentlicher Zugriff notwendig erscheint (z.b. WWW-Server), gibt es ein spezielles von allen Bereichen gemeinsam benutzbares Servernetz ohne Firewall-Zugang. Hier ist der Einsatz entsprechend gesicherter Serverbetriebssysteme zwingend erforderlich. Für folgende zentrale Dienste wird der Zugang über einen Firewall realisiert: Telefon-/ISDN-Einwahl über Uni-Rufnummer (auch uniintern): (steht seit 09/2004 wieder zur Verfügung) Festnetzanschlüsse / Laptop-Arbeitsplätze Wireless-LAN (WLAN) Zugang Aufbau Virtueller Privater Netze (VPN)

8 WLAN-Konzept (Wireless Local Area) URZ - INFORMATIONEN 6 Bernd Fankhänel, Gunnar Pfeil, Universitätsrechenzentrum Wireless LAN (WLAN, Funknetz, FunkLAN) ermöglicht den kabellosen Anschluss mobiler Endgeräte an das Computernetz der FSU Jena. Technisch realisiert wird der Funkzugang mit Hilfe so genannter Wireless Access Points (dt.: Drahtloser Zugriffs Punkt). Diese stellen die Verbindung zwischen dem Funknetz und der bereits vorhandenen Festnetz-Infrastruktur her. Die Rechner der Endbenutzer werden mit Funknetzwerkkarten ausgerüstet, die die drahtlose Kommunikation mit den Access Points ermöglichen. WLANs sollen das kabelgebundene Netz nicht ersetzen, sondern dieses ergänzen, um den mobilen Einsatz von Informationstechnik zu unterstützen. WLAN-Zugangsmöglichkeiten: Zur Zeit bestehen HotSpots (AccessPoints, Zugangspunkte) an folgenden Standorten: URZ Am Johannisfriedhof 2 (Flur/R33) URZ Am Johannisfriedhof 2 (Flur/R7) URZ Am Johannisfriedhof 2 (Flur/R43) Ernst-Abbe-Platz 8 (Bau98/MMZ-1 2.OG R203) Ernst-Abbe-Platz 8 (Bau98/MMZ-1 2.0G R206) Ernst-Abbe-Platz 8 (Bau98/MMZ-1 2.OG R217) Ernst-Abbe-Platz 8 (Bau98/MMZ-1 2.OG Teeküche) Ernst-Abbe-Platz 4 Bau10 (MMZ-2 2.OG R1227) Ernst-Abbe-Platz 4 Bau10 (MMZ-2 2.OG R1225) Ernst-Abbe-Platz 4 Bau 13 (Raum 3230) Carl-Zeiss-Str. 2-3 (Bau6/7) Mensa Carl-Zeiss-Str. 2-3 (Bau6/7) Foyer Infoterminal Carl-Zeiss-Str. 2-3 (Bau6/7) Foyer Tagung Physik Max-Wien-Platz 1 R210 Physik Max-Wien-Platz 1 R321A Physik Max-Wien-Platz 1 R340 Physik Max-Wien-Platz 1 Hörsaal UHG / Fürstengraben 1 / R. E42B WLAN-Voraussetzungen: Sie benötigen einen gültigen Account am URZ der FSU und einen Computer mit b/g WLAN Interface, welcher 802.1X mit WPA/EAP-TTLS/PAP oder WPA/EAP-PEAP/MSCHAPv2 beherrscht. Wir orientieren auf die Nutzung von WPA/EAP-TTLS/PAP. Die Interoperabilität von WLAN-Komponenten wird von der WIFI-Alliance zertifiziert. Eine entsprechende Liste dieser zertifizierten Komponenten finden sie unter

9 URZ - INFORMATIONEN 7 certified_products.asp?tid=2. Diverse Hersteller haben sich zudem zur Wireless LAN Association (WLANA) zusammengeschlossen. Für die Nutzung der drahtlosen Vernetzung werden im Netz der FSU-Jena die Standards IEEE802.11b (11 Mbit/s im 2,4 GHz Band) bzw. IEEE g (54 Mbit/s im 2,4 GHz Band) unterstützt. Eine Erweiterung auf den Standard IEEE a (54 Mbit/s im 5 GHz Band) ist z. Zt. und perspektivisch nicht vorgesehen. Die Nutzung des WLAN-Dienstes ist kostenlos. WLAN-Verbindungsaufbau: Die Übertragung zwischen Accesspoint und WLAN Interface des Computers erfolgt verschlüsselt (WPA) und eine Authentifizierung ist mit EAP gegeben. So kann in der Regel auf die Nutzung des VPN-Konzentrators verzichtet werden. Installationshinweise finden Sie unter: Die Netto-Übertragungsrate beträgt entfernungsabhängig in der Praxis bis zu 5 Mbit/s (IEEE b) bzw. 18 Mbit/s (IEEE g) die auf alle gleichzeitig an einem AccessPoint angemeldeten Rechner aufgeteilt wird (Shared Medium). AFS an der Universität Jena Renate Wahl, Universitätsrechenzentrum AFS - Das Andrew File System Das Andrew File System ist ein verteiltes Filesystem, das den Zugriff auf Daten weltweit ermöglicht, vorausgesetzt, sie liegen in einem AFS Filesystem und man hat die entsprechenden Zugriffsrechte. Im Gegensatz zu NFS (Network File System) stellt AFS wesentlich bessere Schutzmechanismen zur Verfügung. Beim erfolgreichen Einloggen erhält der Nutzer ein Token (eine zeitlich begrenzte Authentifizierung zur Nutzung der Zugriffsrechte), welches im Normalfall mit der UNIX Userid verbunden ist und verschlüsselt Informationen enthält, die bei jedem Client Server Kontakt zur gegenseitigen Authentifizierung verwendet werden. Nur wenn der Client ein gültiges Token (vom Server akzeptiert) hat und er die Rückantwort vom Server entschlüsseln kann, wird die Kommunikation fortgesetzt. Ein Token verfällt standardmäßig nach etwa 25 Stunden. Durch das Kommando klog kann ein neues erzeugt werden, wobei die Angabe des Passwortes notwendig ist. Durch Einsatz eines integrierten Logins muss man sich nur einmal einloggen, um sich im UNIX und im AFS anzumelden. Das setzt aber voraus, dass in beiden Fällen das gleiche Passwort verwendet wird. Die Datenübertragung erfolgt verschlüsselt mit Kerberos 4 bzw. 5. Kerberos ist ein Netzwerkprotokoll zur Authentifizierung, das für offene und unsichere Computernetze (z.b. das Internet) entwickelt wurde (Kerberos - Höllenhund in der griechischen Mythologie, der den Eingang zur Unterwelt bewacht). Jeder Nutzer kann seine Files durch sogenannte Access Control Lists (ACL) schützen und auch eigene Benutzergruppen bilden, denen er detaillierte Zugriffsrechte auf seine Files zuordnen kann. So eignet es sich auch gut für Gruppenarbeit.

10 URZ - INFORMATIONEN 8 Unter AFS ist es für den Benutzer nicht relevant, den physischen Aufenthaltsort seiner Daten zu kennen. Dateien können mit ihrem regulären UNIX - Pfadnamen angesprochen werden. Durch lokales Caching kann die Netzbelastung deutlich verringert werden. Einsatz an der FSU Lange Zeit wurde AFS bei uns vorwiegend für die Verteilung von Software auf den IBM - Rechnern eingesetzt. Seit August 2003 sind alle Homedirectories im AFS verfügbar. Nach dem Kopieren der Homedirectories in das AFS Filesystem, müssen sich die Nutzer noch im AFS anmelden. Das können sie auf der Seite AFS - Authentifizierung ( tun. Wenn das Verzeichnis kopiert ist, man sich aber noch nicht authentifiziert hat, kann man sich zwar noch einloggen, aber nicht mehr auf seine Files zugreifen. Nach dem August 2003 angemeldete Nutzer werden gleich beim Einrichten im AFS authentifiziert. Seit Herbst 2004 sind auch die Inhalte der WWW-Seiten, die auf dem Rechner susi (fsuj59.rz.uni-jena.de) lagen, in das AFS übernommen. Dabei mußten die Zugriffsrechte der Eigentümer und der UNIX-Nutzergruppen mittels ACL s ins AFS übertragen werden. Die Verantwortlichen können jetzt auf einem beliebigen öffentlichen Rechner (z.b. twin, fsuj50, fsuj60) von uns auf die Files zugreifen und selbst festlegen, wer auf seine Verzeichnisse Schreibzugriff haben soll. Man kann sich die Directories auch mit Hilfe eines AFS- Clienten auf seinen Arbeitsplatz am PC holen. Wer bis jetzt seine Files per ftp übertragen hat, sollte den Clienten oder sftp des Secure Shell Client ( / benutzen. Der Zugang über ftp wird aus Sicherheitsgründen auch auf der susi.rz.uni-jena.de wie auf allen unseren anderen Rechnern geschlossen (spätestens ). Den Rechner fsuj59.rz.uni-jena.de gibt es nicht mehr. Derzeit sind im Rechenzentrum 2 AFS- Fileserver installiert. Auf sämtlichen Rechnern in den Workstationpools und weiteren öffentlichen Rechnern sind AFS - Clients eingerichtet. An diesen Rechnern ist das Verzeichnis /afs verfügbar. Es bildet den Ausgangspunkt für das gesamte AFS - Filesystem. Die Daten unserer Zelle befinden sich im Verzeichnis /afs/rz.uni-jena.de ; der Pfad der Homedirectories ist /afs/ rz.uni-jena.de/home/gruppe/nutzer. Die Installation von AFS - Clients ist sowohl unter UNIX als auch am PC einfach und ist unter beschrieben. In jedem AFS - Homedirectory gibt es ein Verzeichnis.backup, das eine Kopie des Homedirectories enthält. Hat man sich ein File zerstört, kann man sich aus diesem Verzeichnis eine Kopie holen. Dieses Verzeichnis wird montags bis freitags nach 23:00 Uhr überschrieben und 2x wöchentlich von der aktuellen Kopie ein Backup auf Band gemacht. Wenn man also ein älteres File wiederhaben will, muss man sich an den Backupverantwortlichen (Renate Wahl: Renate.Wahl@uni-jena.de) wenden. Die Backups auf den Bändern werden 2 Wochen aufgehoben. Alle Nutzer bekommen im AFS eine Quota für ihr Filesystem gesetzt. Ist diese überschritten, können Sie sich nicht mehr einloggen. Sie können Ihre Quota mit Kommando fs listquota überprüfen, wenn Sie sich in Ihrem Homedirectory befinden. Erhalten Sie eine Warnung, sollten Sie schnellstens Files löschen, archi-

11 URZ - INFORMATIONEN 9 vieren (Verschieben nach /home/archiv/gruppe/nutzer ) oder im Notfall sich an die Systemadministratoren wenden. Zugriffsrechte Da die Zugriffsrechte zu den Dateien unter AFS anders behandelt werden als im UNIX, sollen hier noch ein paar Bemerkungen gemacht werden. Einer der großen Vorteile von AFS liegt für den Benutzer in der Möglichkeit, individuell Zugriffsrechte für seine Directories und die darin enthaltenen Dateien zu vergeben. Unter AFS haben von den Standard -UNIX-Berechtigungen nur die rwx-bits für den Besitzer (owner) einer Datei Bedeutung. Die UNIX-Berechtigungen für die Gruppen und alle anderen sind wirkungslos. Dafür kann man mit den Access Control Lists (ACL s) und Access Rights für Directories die Zugriffsrechte sehr detailliert steuern. ACL s können nur für Directories gesetzt werden. Auf alle Files, die sich in diesem Directory befinden, hat man die gleichen Zugriffsrechte. Standardmäßig vergeben wir beim Anlegen eines Nutzers im AFS folgende Rechte für sein Home - Directory: system:administrators system:anyuser nutzer rlidwka l rlidwka (Erläuterung zu den Rechten finden Sie in der Kommandobeschreibung: Alle Subdirectories erben diese Rechte vom Home - Directory. Wenn Sie Dateien besonders schützen oder zugänglich machen wollen, müssen Sie ein Subdirectory anlegen, diesem die entsprechenden Rechte geben und die Dateien in dieses Directory kopieren. Die Strukturierung des Home - Directories durch Subdirectories sollte also nicht mehr ausschließlich nach Themen, sondern auch nach Zugriffsrechten für die Dateien erfolgen. Überprüfen Sie unbedingt unter diesem Gesichtspunkt die Dateien und Directories Ihres ins AFS übernommenen UNIX Home - Directories. Weitere wichtige Aspekte, Vorteile und Risiken von read/lookup und die Behandlung der UNIX - owner-rwx- Bits können Sie unter _page_6228.html nachlesen. Auf seine Daten greift man mit den üblichen Möglichkeiten zu. Zusätzlich gibt es noch einige AFS-Kommandos. ( html) Dauerhafte Tokens Da Tokens nach 25 Stunden verfallen, gibt es Probleme bei langlaufenden Jobs, die auf Daten im Homedirectory zurückgreifen. Eine Möglichkeit, das Ablaufen von Tokens zu verhindern, ist das Perlscript reauth.pl ( reauth.pl). Die Dokumentation ist in diesem Perlscript enthalten.

12 URZ - INFORMATIONEN 10 Man startet es in der Shell, in der man den langlaufenden Job startet. Das Programm fordert den Benutzernamen und das Passwort an, speichert sie im Arbeitsspeicher und verabschiedet sich dann in den Hintergrund. Der laufende Hintergrundprozess aktualisiert dann automatisch die Tokens (mit Hilfe von klog), bis der reauth.pl - Prozess vom Nutzer gekillt wird. Ausblick Anfang 2005 soll durch Neuanschaffungen die Zugriffsbelastung auf die Fileserver gesenkt werden. 2 AFS Fileservern werden jeweils die Hälfte der Homedirectories zugeordnet. Der jeweils andere Fileserver erhält Replikas der Homedirectories, die nicht auf ihm angelegt wurden. Für diese ist zwar nur read - only Zugriff möglich, jedoch können die Nutzer bei Ausfall eines Fileservers erst einmal auf ihre Daten zugreifen. Ein 3. Fileserver wird über ein SAN auf Replikas zugreifen, die sich auf einem im Mulimediazentrum (MMZ) stationiertem RAID System befinden werden. Dadurch ist auch einem Verlust der Daten durch Natur- oder ähnlichen Katastrophen vorgebeugt. Gleichzeitig wird mit dieser Erweiterung das Datenvolumen für die Homedirectories erhöht ( derzeit insgesamt 160 GByte ). Ansprechpartner: Renate Wahl Tel.: : Renate.Wahl@uni-jena.de Nationale und Internationale Videokonferenzstrukturen Dr. Olaf Götz, Doris Rosifka, Universitätsrechenzentrum Videokonferenzen zu nutzen, das bedeutet Einsparung von knappen Ressourcen, speziell Zeit und Geld. Die Technologie der Videokonferenzen hat sich in den vergangenen zwei Jahren rasant entwickelt. Waren diese Systeme noch vor einigen Jahren eigentlich nur für eingeweihte Spezialisten teilweise sinnvoll nutzbar und war die Qualität der übertragenen Sprache und des Videobildes mehr als dürftig, so haben sich diese Parameter wesentlich geändert. Die Qualität der Videobilder, die von den technischen Möglichkeiten aller Teilnehmer abhängt, ist inzwischen gut bis sehr gut. Die Audioübertragung ist stabil und teilweise wesentlich besser als die bekannte Telefonqualität. Es muss aber immer darauf hingewiesen werden, dass unter Umständen mehr als 2 Teilnehmer eine Konferenz abhalten und damit alle Teilnehmer eine ausgereifte und stabile Technik benötigen. Sind Anwender mit veralteter Technik oder mit experimentellen Versuchsaufbauten an einer Konferenz beteiligt,

13 URZ - INFORMATIONEN 11 so kann sich die Qualität für alle Teilnehmer drastisch verschlechtern. Eine Professionelle Videokonferenztechnik (bedeutet nicht professionell teuer) ist die Voraussetzung für eine qualitativ hochwertige Übertragungen und einen stabilen Konferenzverlauf. Inzwischen ist bei einigen Nutzern die Videokonferenz zu einem täglichen Handwerkszeug, wie Word oder andere Applikationen, geworden. Was sind die Voraussetzungen für eine erfolgreiche Videokonferenz und was muss der Anwender über die eigene Videokonferenzanlage bzw. struktur und über die der anderen Teilnehmer wissen? Voraussetzung für eine erfolgreiche Videokonferenz ist ein professionelles Videokonferenzgerät, welches für den Typ der Veranstaltung geeignet ist. Eine Konferenz am Arbeitsplatz kann mit einem kleineren Desktopsystem realisiert werden. Soll die Konferenz in einem Hörsaal stattfinden, dann muss eine andere Technik benutzt werden. Alle Videokonferenzsysteme benötigt einen Datennetzanschluß und/oder einen oder mehrere ISDN Anschlüsse. Jedes Videokonferenzgerät (VC-Gerät) der FSU Jena sollte in Absprache mit dem Multimediazentrum in die zentrale Videokonferenzstruktur eingebunden werden. Damit können viele zusätzliche Funktionen genutzt und eine uneingeschränkte Kommunikation ermöglicht werden. Anwender, die keine eigenen Systeme besitzen, können einen fertig eingerichteten Raum im Multimediazentrum nutzen. Dort sind bereits alle technischen Voraussetzungen für fast alle Konferenztypen vorhanden. Was muss ich von meinem oder meinen Partnern wissen: Was haben meine Partner für VC-Geräte (Gerätetyp)? Welches Kommunikationsmedium nutzen die Partner (LAN oder ISDN)? Wollen nur 2 Partner eine Konferenz abhalten oder ist eine Multipoint Konferenz geplant? Haben die Partner eine E.164 Nummer (ähnlich wietelefonnummer; dient als Adresse für Paketvermittlung) oder muß die Anwahl über ISDN Nummern oder IP-Adressen efolgen (evtl. im Medienoder Rechenzentrum erfragen)? Diese Informationen sind ausreichend, wenn eine Videokonferenz geplant werden soll. Punkt zu Punkt-Verbindungen Die Punkt zu Punkt-Verbindung ist der einfachste Fall einer Videokonferenz, der in fast allen Fällen problemlos und mit vielen Partnern weltweit funktioniert. Nachdem die grundsätzlichen Parameter abgesprochen wurden (siehe vorheriger Abschnitt) kann sofort eine Anwahl über die IP-Adresse, die ISDN-Nummer oder besser die E.164 Nummer erfolgen. Die Konferenz wird sofort aufgebaut und die Zusammenarbeit kann beginnen.

14 URZ - INFORMATIONEN 12 Die Nutzung der E.164 oder IP-Anwahl ist immer kostengünstiger und qualitativ wesentlich besser als eine ISDN-Verbindung. Jedoch ist in manchen Fällen eine ISDN-Kommunikation zwingend notwendig, wenn dem Partner kein anderes Kommunikationsmedium zur Verfügung steht. Multipoint Konferenzen Nehmen mehr als zwei Partner an einer Videokonferenz teil, dann sind einige Besonderheiten zu beachten. Die wichtigste Voraussetzung ist eine MCU (multipoint control unit), die alle Partner miteinander verbindet und die Datenströme koordiniert. Bei einer Multipoint Videokonferenz nimmt nicht jeder Partner mit jedem Verbindung auf, sondern alle Teilnehmer treffen sich in einem virtuellen Konferenzraum. Dieser wird auf der bereits erwähnten MCU abgebildet. Diese Geräte stehen allen Videokonferenznutzern an den meisten Universitäten kostenfrei zur Verfügung, wenn eine zentrale Anbindung der Geräte in die VC-Struktur realisiert wurde (Auskunft über Multimediazentrum). Soll eine Multipoint-Videokonferenz initiieren werden, dann muss der Nutzer an seinem Gerät eine spezielle E.164 Nummer wählen. Damit wird der virtuelle Konferenzraum aufgebaut. Alle anderen Teilnehmer wählen die gleiche Nummer und gelangen damit in die eingerichtete Konferenz. Dort wird ein den Nutzeranforderungen gerechter Videokonferenztyp bereitgestellt. Nationale Videokonferenzstruktur Um effizient alle Funktionalitäten von Videokonferenzen nutzen zu können müssen die Geräte in spezielle Strukturen eingebracht werden. An der FSU Jena existiert eine eigene Videokonferenzzone, in der alle Geräte in einem Gatekeeper (Komponente, die Funktionen der Verbindungssteuerung übernimmt) eingetragen sind. Dieser FSU Gatekeeper ist in die nationale VC-Struktur des DFN (Deutsches Forschungsnetz) eingebunden. In diese Struktur sind fast alle anderen Universitäten und Fachhochschulen integriert. Durch diesen gemeinsamen Verbund ist die Nutzung der E.164 Nummern zur Anwahl möglich. Beispiel: (1) Herr Müller (FSU Jena) möchte in einer Videokonferenz Herrn Schulze von der Universität Berlin erreichen. Folgende E.164 Nummer ist zu wählen: (2) Herr Müller (FSU Jena), Herr Schulze (Uni Berlin) und das Gerät 1412 der Uni Dresden sollen gemeinsam an einer Multipoint Videokonferenz teilnehmen. Folgende E.164 Nummer ist zu wählen, um im virtuellen Konferenzraum gemeinsam zu arbeiten:

15 URZ - INFORMATIONEN 13 Die am Videokonferenzdienst teilnehmenden Einrichtungen und die Ansprechpartner sind unter folgender URL zu finden: Internationale Videokonferenzstruktur Die nationale Videokonferenzstruktur des DFN-Vereins ist in eine internationale Struktur über das GDS (global dialing scheme) eingebettet. Durch diesen Verbund ist es möglich, dass außländische Partner über die E.164 Anwahl erreichbar sind und auch internationale Multipoint Konferenzen abgehalten werden können. Voraussetzung ist jedoch die Integration über das GDS. Die im GDS eingebunden internationalen Gatekeeper sind aus der nebenstehenden Liste ersichtlich. Damit können Einrichtungen dieses Landes, wenn diese eigene Videokonferenzzonen mit zugeordneten Endgeräten betreiben, über die E.164-Anwahl problemlos erreicht werden und an Point to Point bzw. Multipoint Konferenzen teilnehmen. Land Präfix CH Schweitz 0041 CZ Tschechien DE Deutschland 0049 GR Griechenland 0030 IL Israel IT Italien 0039 IE Irland Nl Niederlande 0031 North American Root 001 PT Portigal UK England 0044 Ansprechpartner Bei Fragen zum Thema Videokonferenzen oder bei aufgetretenen Problemen wenden sie sich bitte an die Mitarbeiter des Multimediazentrums. Dr. Olaf Götz Tel Mail: olaf.goetz@uni-jena.de Doris Rosifka Tel Mail: doris.rosifka@uni-jena.de

16 URZ - INFORMATIONEN 14 Projekt Meta Directory CODEX Integrierende Benutzer-und Ressorcenverwaltung an denthüringer Hochschulen Klaus Rosifka, Universitätsrechenzentrum Im Rahmen eines Kooperationsprojektes, welches seit September 2002 läuft, entsteht ein integrierender Verzeichnisdienst zur Verwaltung von Identitäten. Daran beteiligt sind alle vier Thüringer Universitäten. Auf Grund der enormen Komplexität ist das Projekt bis Ende 2005 geplant und wird auch darüber hinaus bearbeitet werden. Projektziel Die Universitäten in Thüringen werden mit der Einführung eines Meta Directory in den einzelnen Einrichtungen jeweils ein umfassendes, eindeutiges und aktuelles elektronisches Verzeichnis aller Hochschulangehörigen bereitstellen. Zu diesen zählen neben den Studierenden und Mitarbeitern auch die externen Bibliotheksnutzer und Gäste der Hochschulen. An einzelnen Einrichtungen wird überlegt, auch ehemalige Studierende (Alumni) als Identitäten zu führen. Der offene Standard Lightweight Directory Access Protocol (LDAP) und seine breite Unterstützung durch die Hersteller ermöglichen die technische Bereitstellung einer solchen integrierten Quelle, dem Verzeichnis (Directory). Beim Aufbau einer integrierenden Benutzer- und Ressourcenverwaltung gehen die Thüringer Hochschulen weiterhin von der These aus, dass sich LDAP und die damit verbundene Verzeichnistechnologie, ähnlich dem HTTP (Hypertext Transfer Protocol) zur Übertragung von Dokumenten in der Web-Technologie, zum Standard für die Benutzer- und Ressourcenverwaltung entwickeln. Dem Paradigma des Meta Directory, das die Integration unterschiedlicher Verzeichnisse und anderer Informationsressourcen innerhalb einer Organisation, eines Unternehmens oder einer Hochschule zu einem einzelnen globalen Verzeichnis gestattet und unterstützt, kommt dabei eine Schlüsselrolle zu. Ziel ist es, an jeder Thüringer Hochschule ein spezifisches Meta Directory für das Identitätsmanagement auf der Basis der gemeinsam erarbeiteten Lösung zu etablieren. Durch die ständig wachsende Anzahl der benutzerdatenführenden Systeme und die steigende Nutzeranzahl ist die herkömmliche dezentrale Identitätsverwaltung in den einzelnen Anwendungen und Systemen mit den zur Verfügung stehenden Mitarbeitern nicht mehr handhabbar. Gerade durch die hohe Innovationskraft der Hochschulen werden regelmäßig neue Systeme eingeführt, die trotz unterschiedlicher Aufgabenstellung immer wieder die gleichen Grunddaten zur Identität für die verwalteten Nutzer benötigen. Bei der Betreuung dieser Systeme wird immer mehr Arbeitszeit von hoch qualifizierten Mitarbeitern in Rechenzentren, Fakultäten und Verwaltung für wiederkehrende administrative Aufgaben gebunden. Auf der anderen Seite gibt es an den Hochschulen eine hohe Fluktuation unter den Hochschulangehörigen. Durch die Überlastung der Systembetreuer und nicht definierten Informationsprozesse lässt sich kaum

17 URZ - INFORMATIONEN 15 sicherstellen, dass in sicherheitsrelevanten oder kostenverursachenden Systemen der aktuelle Status des Studierenden oder Mitarbeiters bzw. sein Ausscheiden aus der Hochschule bekannt wird. So kann es passieren, dass ein ehemaliger Hochschulangehöriger noch Jahre nach seinem Ausscheiden auf Ressourcen zugreift, zu denen er eigentlich keinen Zugang mehr haben sollte. Mit der Verfügbarkeit eines hochschulweit gültigen und jederzeit aktuellen Verzeichnisses lässt sich die Administration und Berechtigungsvergabe in den weiteren Systemen mit dem aktuellen Bestand an Identitäten an der Hochschule synchronisieren. Die Erstellung von Mailinglisten, Telefon- und -Verzeichnissen wird erleichtert. In den weiteren Entwicklungsschritten ist die automatische Erzeugung von Benutzerkonten und Berechtigungen in den angebunden Zielsystemen möglich. Auch die rechtzeitige Deaktivierung von Berechtigungen kann in den Zielsystemen regelbasiert gesteuert werden. Weiterhin werden Lösungen zur Passwort-Synchronisation oder Einmalanmeldung für mehrere passwortgeschützte Systeme unter Beibehaltung der jeweiligen Passwort-Regelungen etabliert werden. Motivation In allen Bereichen von Forschung, Lehre, Studium und Verwaltung kommt immer häufiger moderne Informationstechnik zum Einsatz. Nur mit diesem Hilfsmittel kann eine moderne Verwaltung der Personengruppen der Hochschule und der notwendigen Betriebsmittel, wie Gebäude, Räume und Geräte erfolgen. Hinzu kommen inzwischen zahlreiche Benutzungsberechtigungen für Dienste der Informationsverarbeitung (electronic mail, internet news, virtual private network usw.) und Dienste, die mit Mitteln der Informationsverarbeitung nutzbar werden (Einschreibung und Zugang zur Prüfungsverwaltung über das Internet, Bibliotheksnutzung, Nutzung von Lehrangeboten über das Netz, Selbstbedienungsfunktionen der Zentralverwaltung, Berechtigungen zur Poolnutzung in einer bestimmten Fakultät, das Bilden von Nutzergruppen von e-learning-anwendungen usw.). Von großer Bedeutung ist in diesem Zusammenhang die Integration bereichsübergreifender Funktionen der zentralen Verwaltung mit den Verwaltungseinheiten der Fakultäten und den Zentralen Einrichtungen als weitgehend zentral administrierte, aber offene, das bedeutet auch dezentral entwickelte und/oder bereitgestellte Architektur von Verfahren der Informationsverarbeitung. Nur so kann die Hochschule in der notwendigen Zusammenarbeit der einzelnen Bereiche mit der eines moder- Meta Directory Szenario an den Thüringer Hochschulen

18 URZ - INFORMATIONEN 16 nen Unternehmens Schritt halten. Gleichzeitig kann die Nachhaltigkeit von Investitionen besser gesichert werden. Voraussetzung für das sinnvolle Zusammenwirken der großen Vielfalt der an der Hochschule eingesetzten Dienste auf der Grundlage der elektronischen Informationsverarbeitung ist eine zentrale, elektronische Verwaltung aller Nutzer dieser Dienste. Ein Meta Directory besitzt das notwendige Potential dafür, indem es mit einem integrierenden Verzeichnisdienst die hochschulweite Verwaltung der Identität von Personen, das so genannte Identity Management, sicherstellt. Durch Synchronisationsmechanismen zwischen den zentral verwalteten operationellen Datenbanken und dem Meta Directory können Arbeitsvorgänge, die an der Hochschule massenhaft auftreten, weitgehend automatisiert werden. Die Vorgänge der Administration von Nutzerverwaltungen oder der allgemeinen Authentifizierung benötigen einen Verzeichnisdienst mit konsolidierten Benutzerdaten. Derzeit werden an zahlreichen Stellen Nutzerverzeichnisse mit erheblichem Aufwand verwaltet und/oder an der Hochschule existieren weitgehend unkontrollierte Zugriffsberechtigungen zu Ressourcen der Informationstechnik und damit Diensten. Dies ist nicht nur ein Problem der Hochschulen. Große Teile der Industrie haben deshalb bereits ein Identity Management eingeführt. Das Problem nimmt an Hochschulen, besonders an Universitäten, wegen der Heterogenität der eingesetzten Informationsverarbeitungsverfahren, an Komplexität zu. Die Verwirklichung dieser Integration entscheidet mit über die zukünftige Wettbewerbsfähigkeit unserer Hochschule. Integrationspotenziale Während der Projektarbeit haben sich die Integration von Ressourcen fördernde Effekte heraus kristallisiert. Das Verständnis der Rechenzentren für klassische Verwaltungsprozesse wurde durch den Prozess der Änderungsanalyse und den Aufbau der Testsysteme weiter befördert. Durch das Projekt etablierte sich eine stärkere Kommunikation und Zusammenarbeit auf dem Gebiet der Arbeit mit modernen Informations- und Kommunikationsinfrastrukturen. Das gewählte Modell für die Entwicklung, Anpassung und Implementierung der Software mit einer hochschulübergreifenden Entwicklungsgruppe fördert nicht nur die Zusammenarbeit zwischen den Einrichtungen, sondern dient auch dem Investitionsschutz. Die Integration der elearning-plattform metacoon ist vorbereitet. Auf der Grundlage intensiver Gespräche mit der Weimarer Firma metacoon GbR wurde ein Konzept für die Provisionierung potentieller Benutzer von metacoon aus dem Meta Directory heraus entwickelt. Hierbei handelt es sich zunächst um Lehrende und Studenten der beteiligten Einrichtungen. Derzeit befindet sich der benötigte Konnektor zwischen metacoon und Meta Directory in der Phase der Entwicklung. Ähnliche Ansätze finden sich inzwischen auch in Verbindung mit anderern Projekten im Land Thüringen. Inzwischen wird auch der Einstieg der Fachhochschulen in das Projekt diskutiert und vorbereitet.

19 URZ - INFORMATIONEN 17 Im Rahmen der Entwicklungsarbeiten entstanden Schnittstellen zu den operationellen Datenbanken der Verwaltung und der Bibliothek. Diese Schnittstellen besitzen einen allgemeinen Charakter und wurden gemeinsam mit der Hochschulinformationssystem (HIS) GmbH und dem Gemeinsamen Bibliotheksverbund (GBV) realisiert. Jede Hochschule, die diese operationellen Datenbanken einsetzt, kann die Schnittstellen nutzen. Die Spezifikation der Schnittstellen und die Möglichkeiten ihrer Verwendung wurden bundesweit durch Vertreter des Thüringer Meta Directory Projekts vorgestellt. Insgesamt hat das Projekt einen enorm außenwirksamen Charakter. Zahlreiche Vorträge und Präsentationen haben das Projekt, die Verfahren und Schnittstellen an anderen Hochschulen sowie im Industriebereich bekannt gemacht. Daraus resultieren inzwischen zahlreiche Kooperationen mit Einrichtungen und Projekten. Prozessbeschreibung Die Arbeitsabläufe bei der Erstellung und Bearbeitung von Daten zu Identitäten in den Verwaltungen und Bibliotheken sind sehr komplex. Um sie zu verstehen und entsprechend in den Konnektoren des Meta Directory zu berücksichtigen, wurden gemeinsam mit der Firma CTP Workshops in allen beteiligten Bereichen durchgeführt. Im Ergebnis entstanden Dokumente, in denen die Abläufe als erweiterte ereignisorientierte Prozessketten dargestellt werden. Eingearbeitet in die Feinspezifikation bildeten sie die Grundlage für die Entwicklungsphase. Mehr als 100 solcher Prozesse wurden bisher analysiert und dokumentiert. Im Anschluß an die Prozesse in der Verwaltung und der Bibliothek verarbeiten die Konnektoren zu den Quell- und Zielsystemen die Daten ebenfalls nach festgelegten Abläufen. Zu den Quellsystemen hin sind diese in der Feinspezifikation definiert und programmtechnisch in den Konnektoren umgesetzt. Zum Anschluss von Zielsystemen muss ein noch festzulegendes Genehmigungsverfahren durchlaufen werden, in dem neben der Zweckbestimmung, den zu übertragenen Daten Fiktives Beispiel einer Prozessdarstellung Bewerbungen für zulassungsbeschränkte Studiengänge

20 URZ - INFORMATIONEN 18 auch die Prozesse definiert werden. Daraufhin kann dann ein entsprechender Konnektor entwickelt werden. Technik Neben einer Vielzahl zu lösender organisatorischer Probleme sowie dem von einer technischen Lösung unabhängig zu entwerfenden Grobkonzept musste im Jahr 2003 die Entscheidung für eine technische Meta Directory Lösung, ein Softwareprodukt, getroffen werden. Dieser Entscheidung gingen eine ausführliche Evaluierungsphase sowie zähe Lizenzverhandlungen voraus. Letztendlich fiel im Herbst 2003 die Entscheidung auf das Produkt DirXML der Firma Novell. Inzwischen ist es in die Softwarelösung Novell Nsure Indentity Manager übergegangen. Herzstück dieser Meta Directory Lösung ist der Verzeichnisdienst edirectory, umgeben von der Möglichkeit, komplexe Datensynchronisationsprozesse zu angeschlossenen Quell- und Zielsystemen zu beschreiben, zu beeinflussen und kontrolliert ablaufen zu lassen. Das Meta Directory hat im Gesamtszenario zu jedem angeschlossenen System oben gezeigte Konnektivität über die zwei Kanäle (Subscriber und Nsure Identity Manager Architektur Publisher). Die Daten, welche über diese Kanäle fließen, können mittels der oben schematisch gezeigten Regeln (Rules) und Programmteile (Stylesheets, Java Code, C++ Code) entsprechend der Spezifikation des Projektes transformiert werden. Genau die Entwicklung dieser oft komplexen Programmteile hat im Endergebnis die laut Spezifikation geforderten Konnektoren. Basis der gesamten Bearbeitung der Datenprozesse im Meta Directory bildet die standardisierte Beschreibungssprache XML (extensible Markup Language). Diese eignet sich hervorragend zur Beschreibung von Datenaustauschbeziehungen unterschiedlicher Systeme. Interner XML Datenfluss

21 URZ - INFORMATIONEN 19 Die Verarbeitung der Daten im Meta Directory geschieht fast ausnahmslos auf der Basis von Ereignissen (Events). Ein einfaches Beispiel: Im Studentensekretariat wird ein Student immatrikuliert. Seine Daten werden in die Anwendung HIS-SOS eingegeben. Dieser Vorgang erzeugt für das Meta Directory ein Ereignis, welches den Datentransport initiiert. Auch die Synchronisation der Daten aus dem Meta Directory in eine Zielanwendung wird damit automatisiert aublaufen. Prozessablauf Neuer Student Als Systemplattform ist Novell NetWare 6.5 geplant, wobei sich damit das Meta Directory in die Systemlandschaft des Universitätsrechenzentrums nahtlos einfügt. An anderen beteiligten Hochschulen werden Implementationen auf Basis SUN Solaris angestrebt. Sicherheit An unserer Hochschule teilen sich Wissenschafts- und Verwaltungsbereiche ein Netzwerk. Der Teil des Verwaltungsnetzes stellt einen Bereich mit erhöhtem Sicherheitsniveau dar. Ebenso ist das Meta Directory eine zu schützende Anwendung. Im Ergebnis der Konsultation von Vertretern der Thüringer Landesdatenschutzbeauftragten sowie der Verantwortlichen für die Rechnersicherheit an unserer Einrichtung entstand ein Sicherheitskonzept für den Test und Betrieb des Meta Directory. Eine zentrale Aufgabe des Meta Directory besteht unter anderem darin, applikationsspezifische Daten über Konnektoren zur Verfügung zu stellen bzw. zu generieren. Keine Applikation erhält direkten Zugriff, d.h. ohne Konnektor, auf das Meta Directory. So wird zum Beispiel die Authentifizierung als Anwendung über ein Authentifizierungssystem realisiert. Dieses erhält Daten ausschließlich über einen entsprechenden Konnektor vom Meta Directory. Die Verbindung zwischen Konnektoren auf entfernten Rechnersystemen und dem Meta Directory wird durch TLS (Transport Layer Security) mit Clientzertifizierung realisiert. Nur in Ausnahmefällen (keine Unterstützung von diesem Rechnersystem) wird auf Paketfilterung auf der Basis von IP-Adressen und Ports übergegangen. Für den Transport vom und zum Meta Directory werden Daten grundsätzlich per SSL (Secure Socket Layer) verschlüsselt. Das Meta Directory Server-System befindet sich in einem dafür vorgesehenen Server-Netz, welches durch eine Firewall vom Universitätsnetz getrennt ist.

22 URZ - INFORMATIONEN 20 Betriebstechnischer Schutz wird beispielsweise über Replikationsstrukturen bezüglich des edirectory, mittels Standby-Server-Systemen, Hot-Plug RAID-Systemen (Redundant Arrays of Inexpensive Disks), also die Integration in betriebstechnische Konzepte des Universitätsrechenzentrums realisiert. Netzwerkstruktur mit Einordnung des Meta Directory Systems Aktueller Stand und Zeitplan Das Projekt Meta Directory hat im Jahr 2004 inhaltlich eine enorme Entwicklung genommen. Nachdem die Arbeiten im Jahr davor vor allem durch die Erarbeitung zahlreicher Konzeptionen, eine ausführliche Produktevaluierung, schwierige Lizenzverhandlungen, Schulungen sowie erste Verhandlungen mit den Herstellern der Quellsystem-Anwendungen (HIS GmbH und GBV), dem Hauptpersonalrat und der Landesdatenschutzbeauftragten geprägt waren, begann das Jahr mit der Verabschiedung der Feinspezifikation Stufe 1. Diese basierte auf den Ergebnissen einer aufwendigen Vor-Ort-Analyse in den vier Thüringer Universitäten und bildete den Startpunkt für die Software-Entwicklung. Dazu bildete sich eine Entwicklergruppe, welche unter dem Coaching der Firma CTP an der Umsetzung der Feinspezifikation, in erster Linie an der Programmierung der Konnektoren arbeitete. Im zweiten Quartal wurde die Feinspezifikation ergänzt durch die Ergebnisse der Änderungsanalysen mit der Erfassung der Spezifika in allen vier Universitäten. Wichtige Ergebnisse wurden in den Verhandlungen mit der HIS-GmbH und dem GBV erreicht. Beide Partner unterstützen das Projekt mit der gemeinsamen Erarbeitung einer generischen Schnittstelle und deren Implementierung im der darauffolgenden Produkt-Version. Damit war eine wichtige Hürde für die Produktionseinführung im Jahr 2005 genommen. Aufwendig war die Erarbeitung von Strategien und Programmen zur so genannten Schnittstellenkonsolidierung. Am Meta Directory werden drei unterschiedliche Quellsysteme für Identitäten angeschlossen sein.

23 URZ - INFORMATIONEN 21 Ein und dieselbe Identität kann aber in mehr als einer Quelle auftreten. Deshalb waren Algorithmen zu entwickeln, die das Matching (Zusammenführen) im Meta Directory sicher gewährleisten. Genauso war die Datenqualität in den Quellsystemen im Abgleich mit der Spezifikation als enorm wichtige Grundlage für die Erstbefüllung zu bewerten. Ab Mitte des Jahres 2004 wurden die Fachhochschulen Thüringens aktiv in die Arbeiten einbezogen. Das umfasste: Infoveranstaltung für die Kanzler der FHs Integration in das Videokonferenzsystem Kickoff-Veranstaltungen mit den Fachbereichen Analyse zur Erfassung der Spezifika und zur Aufwandsabschätzung bei der dortigen Einführung von Meta Directory Die geplanten Testssysteme wurden inzwischen unter Beachtung der Sicherheitsvorgaben des Projektes aufgebaut. Das erforderte eine enge Zusammenarbeit mit den EDV-Bereichen der Verwaltung und der ThULB. Nur mit deren Fachkenntnissen ließ sich eine der Produktionsumgebung ähnliche Abbildung der Quell- Systeme HIS-SOS/SVA und PICA für einen umfangreichen Integrationstest herstellen. Dieser wird sich unmittelbar an die zahlreichen Testszenarien der Einzelsysteme im ersten Quartal 2005 anschließen. Letztendlich wird der Integrationstest die Gesamtfunktionalität des Meta Directory Systems mit den angeschlossenen Quell-Systemen nachweisen. Dieser Nachweis ist die Voraussetzung für die Produktionseinführung, welche sich dann unmittelbar an die notwendigen Versions-Upgrades für die HIS-Systeme in der Verwaltungs-EDV anschließen soll. An unserer Hochschule sind die Meta Directory Projektverlauf technischen Weichen dafür schon gestellt. Parallel dazu gibt es vielfältige Arbeiten zur Vorbereitung der kommenden Projektstufen. Diese beinhalten hauptsächlich die Konnektivität zu den zahlreichen Zielsystemen. Dabei gilt die sichere Authentifizierung von Benutzern als eine der wichtigsten Aufgaben. Eine Steuerung des Zugriffs auf die zahlreichen elektronischen Dienste an der Hochschule ist für die vielen unterschiedlichen Benutzer ohne automatische Abläufe und eine integrierende Instanz zu ihrer Anmeldung nicht mehr zu gewährleisten. Ein durch das Meta Directory synchronisiertes Authentifizierungssystem unterstützt die Anmeldung der Benutzer im Virtual Private Network (VPN), zur entfernten Einwahl (Dial-In) sowie an Portalen, beispielsweise für das elearning, die zentralen -boxen oder die egroup-anwendungen. Obwohl dies für spätere Projektphasen vorgesehen ist, existieren für den Anschluss weiterer Zielsysteme an das Meta Directory bereits erste Überlegungen. Das Authentifizierungssystem muss zu einem Authentifizierungs- und Autorisierungssystem erweitert werden. Die Vergabe von Berechtigungen für einen Benutzer hängt von seinen Rollen innerhalb der Hochschule ab und ist sehr eng mit der jeweiligen Anwendung verknüpft. Für die Etablierung eines Autorisierungssystems zeichnet sich inzwischen eine hohe Komplexität ab.