ZKI Workshop Verzeichnisdienste

Transkript

1 ZKI Workshop Verzeichnisdienste Fachhochschule Köln 10. Juli 2003 Dr. Werner Degenhardt, Armin Prosch LMU München, Referat Internet,

2 Ludwig-Maximilians-Universität München Themen Meta-Directory, warum? Directory Design Roadmap Anforderungsanalyse Datendesign Schemata Datenschutz und Datensicherheit

3 Ludwig-Maximilians-Universität München Nutzen Directory Backbone MUDS? Status-Quo gemeinsame Personen gemeinsame Prozesse gemeinsame Aufgaben gemeinsamer IT Provider Konsequenz Überschneidung in Kunden und Technik

4 Ludwig-Maximilians-Universität München MUDS 1.0 schematischer Aufbau FH München IT Serviceprovider Organisatorische Struktur Gruppen Personen IT-Objekte Organisatorische Struktur Gruppen Personen IT-Objekte LRZ Directory Backbone GUIDs Zertifikate Organisatorische Struktur Gruppen Personen IT-Objekte LMU München Personen, Gruppen, Objekte für gemeinsame Aufgaben und Prozesse TU München Personen, Gruppen, Objekte für gemeinsame Aufgaben und Prozesse Uni Regensburg

5 Ludwig-Maximilians-Universität München Identity Management what actions are permitted for object A on object B telephone application frontend edirectory interface a defined set of data on objects referenced by backend databases and application databases are synchronized into the directory backbone backend databases database 1 [1...1] legacy database Custom Modules DirXML LDIF Export/Import Corporate Directory LDIF Export/Import DirXML Custom Modules database 3 [3.. HR.. 3] application Y frontend edirectory interface database 4 [4.. PBX.. 4] Web Single Sign-On application databases application databases store extended information on objects stored in the directory authentication and authorization is done via front end interfaces that extract attribute and rights information from the directory Read and write on objects The directory stores information on objects pertaining to various object classes like persons groups roles organizations locations things attributes and rights relationships between objects are stored in the directory and can be used by application programs database 5 [5... 5] LAN... Legacy [Single Sign-On] , dir functions

6 Ludwig-Maximilians-Universität München Directory Design Roadmap Phasen Phasen im Design eines Directory-Service Anforderungsanalyse Datendesign Data Policy Statement Datenaustauschbeziehungen Schema Design Replikation Sicherheit

7 Ludwig-Maximilians-Universität München Anforderungsanalyse Weshalb ein Directory? Authentisierung Authentisierung Portal Single Sign-On Autorisierung Single Sign-On Autorisierung Portal Administration Outsourcing Mail zum IT-Provider Organisationsübergreifende Benutzerverwaltung Adressbuch

8 Ludwig-Maximilians-Universität München Anforderung: Authentisierung Authentisierung am Portal

9 Anforderung: Autorisierung Ludwig-Maximilians-Universität München

10 Ludwig-Maximilians-Universität München Anforderung: Single Sign-On 1 SSO Jura berechtigter Benutzer führt Erstanmeldung aus Benutzer wird im edirectory Jura erstellt 2 LMU Directory berechtigter Benutzer NDS2NDS DirXML berechtigter Benutzer Juristische Fakultät Flatfile DirXML 3 Betriebsdaten werden übermittelt 4 Betriebsdaten werden dem Benutzer hinzugefügt secure file transfer Datei-Austausch-Server Jura Skript-Server

11 Ludwig-Maximilians-Universität München Datendesign: Datensammlung Datenquelle Directory Datenziel Aufstellen der Erzeuger / der Verbraucher für jedes Objekt Attribut Datenelement

12 Ludwig-Maximilians-Universität München Datendesign: Data Policy Statement Data Policy Statement Dateneigner, Einpflegeprozesse bei der Datenquelle Welche Formate können auftreten? Welche Konflikte können auftreten? Lösungsansätze für diese Konflikte

13 Ludwig-Maximilians-Universität München Datendesign: Parallelwelten LMU Metaverse Studentenkanzlei - Zentrale Daten-Verarbeitung - - Zero Day Start - Self Provisioning - Web Studentenausweis - Prüfungsanmeldung - Zeugnis - Bibliotheksausweis - - Ausleihbereich - Universitätsbibliothek

14 Ludwig-Maximilians-Universität München Schema: Directory vs relationale Datenbank Directory Datenbank objektorientiert-hierarchisch mehr lesen als schreiben loosely consistent Relationale Datenbank Datenbank (objekt)relational mehr schreiben als lesen Transaktionssicherheit

15 Ludwig-Maximilians-Universität München Schema: Objektorientierung Objektorientierung im X.500 Directory Jedes Objekt im Directory ist Instanz einer Klasse Die Klasse beschreibt die für ein Objekt verfügbaren Attribute Klassen erben ihre Eigenschaft von Super-Klassen Objekte Container (O, OU, C, T, Group) Leaf

16 Ludwig-Maximilians-Universität München Schema: Rechteverwaltung Rechteverwaltung im edirectory ACLs bis auf Attributebene Trustee Security Equals to Inherited Rights Filter Object Rights Browse Create Rename Supervisor Attribute Rights Compare Read Write Add-Self Supervisor

17 Ludwig-Maximilians-Universität München Schema: Komponenten Schema Komponenten Object Class Attribute Type Attribute Syntax Boolean Case Exact String Case Ignore String Class Name Integer Timestamp [...]

18 Ludwig-Maximilians-Universität München Schema: Klassen Schema Klassen Name lmuperson ASN.1 (Abstract Syntax Notation) Typ effective abstract auxiliary Merkmale mandatory optional naming

19 Ludwig-Maximilians-Universität München Schema: Datenbank Design Datenbank Struktur Strukturregeln z.b. Verwendung von Auxiliary Classes einheitliche Namensgebung für Attribute Container Leaf Flacher Namensraum vs. Hierarchie Gruppen für die Zuordnung von Ressourcen für die Zuordnung von ACLs für die Abbildung von Hierarchien

20 Ludwig-Maximilians-Universität München Datenhaltung vs Datenaustausch Jeder soll sein eigenes Süppchen kochen! Datenaustausch Konsequenz Datenaustausch Zugriff über LDAP / NAM Keine föderierten Bäume

21 Ludwig-Maximilians-Universität München Datenhaltung vs Datenaustausch Diskussion Datenhaltung: eduperson (ineffektiv, politisch schwierig) Datenaustausch: DirXML (elegant, service level agreement) Welche Strategie für welchen Zweck?

22 Ludwig-Maximilians-Universität München Datenschutz und Datensicherheit Herstellen von Vertrauen Personen (Zugriff Dritter auf Personendaten) Daten Richtigkeit und Aktualität Sicherheit Certificate Authority dezentrale Datenpflege Datenschutz heißt auch: Datensicherheit beim Austauschpartner fordern

23 Ludwig-Maximilians-Universität München Datenschutz: Herstellen von Vertrauen Dienstvereinbarung mit dem Personalrat Informationelle Selbstbestimmung gespeicherte Daten einsehen (Speicherung) Freigabe zur Einsicht aktivieren und deaktivieren (Verwendung) Übertragung in andere Datenbanken aktivieren und deaktivieren (Weitergabe)

24 Ludwig-Maximilians-Universität München Datenschutz: Informationelle Selbstbestimmung Profile, Gruppen, Freigaben

25 Ludwig-Maximilians-Universität München Datensicherung Backup dsrepair.dib bzw. DSDUMP Replikation LDIF Datenaustausch normales Backup TSA-NDS imanager emtool (Backup edirectory Management Tool) seit v. 8.7

26 Ludwig-Maximilians-Universität München Datensicherheit sensible Daten physikalisch Nutzergemeinde Zugang zu dem Directory Netzwerkumgebung, Netzwerktopologie technisch Zugriffskontrolle / Authentisierung ACLs Anonymous Simple password Simple password over SSL certificate authentication over SSL SASL (Simple Authentication and Security Layer)

27 Ludwig-Maximilians-Universität München Verschlüsselung Problematik Datenschutz Sicherheit Schutz vor Sniffern Datenaustausch PGP SSL Daten Secret Store Eigene Verschlüsselungsverfahren

28 Ludwig-Maximilians-Universität München Q & A Referat Internet Oettingenstrasse München Tel. +49 (0) Fax: +49 (0) Questions & Answers helpdesk@campus.lmu.de Questions & Answers Questions & Answers