Iden%ty Management im Münchner Wissenscha4snetz Aktueller Stand und Ergebnisse des DFG- geförderten Projekts IntegraTUM ZKI Arbeitskreis Verzeichnisdienste HerbsLagung 2009 TU Dresden Dr. Wolfgang Hommel, Leibniz- Rechenzentrum
Überblick Übersicht: IDM- Projekte im Münchner Hochschulumfeld IdenTty Management am LRZ: Erfahrungen nach 1,5 Jahren ProdukTvbetrieb DFG- Projekt IntegraTUM: Ergebnisse des Teilprojekts IdenTty Management Shibboleth und DFN- AAI: AkTvitäten und Pläne an den Münchner Universitäten ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 2
Die Rolle(n) des Leibniz- Rechenzentrums Rechenzentrum für die beiden Münchner Universitäten Höchstleistungsrechenzentrum mit Benutzern aus ganz Deutschland sowie aus europäischen und internatonalen Grid- Projekten WissenschaWliches Rechenzentrum separate Verwaltungs- IT an den Unis ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 3
IDM- Projekte an den Münchner Hochschuleinrichtungen Ludwig- Maximilians- Universität: CampusLMU Technische Universität München: IntegraTUM, TUMonline Hochschule München: Vgl. 10 Jahre IdenTty Management Leibniz- Rechenzentrum (BAdW): LRZ- SIM ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 4
Überblick Übersicht: IDM- Projekte im Münchner Hochschulumfeld IdenTty Management am LRZ: Erfahrungen nach 1,5 Jahren ProdukTvbetrieb DFG- Projekt IntegraTUM: Ergebnisse des Teilprojekts IdenTty Management Shibboleth und DFN- AAI: AkTvitäten und Pläne an den Münchner Universitäten ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 5
LRZ- SIM: Meta- Directory- Architektur DEISA Import- Directory CampusLMU Id-Portal LRZ Personal- Verwaltung IntegraTUM Portal-Directory Meta-Directory VPN/RADIUS Active Directory Mailserver Software- Shop Service Desk Webinterface Webserver Printserver AuthNZ-Directory Shibboleth IDP Linuxcluster und Hochleistungsrechner ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 6
LRZ- SIM: Datenmodell und LDAP- DIT Einrichtung LRZ-Dienste LRZ- Betreuer kommuniziert mit kommuniziert mit erfasst ist zuständig für gehört zu Projekt gehört zu administriert hat verwendet Kennung unterstützt Master User Benutzer ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 7
LRZ- SIM: Datenmodell und LDAP- DIT LDAP Einrichtung DIT LRZ-Dienste erfasst ist zuständig für gehört zu Kennung Einrichtungen Projekte Kennungen Personen LRZ- Betreuer Projekt kommuniziert mit kommuniziert mit gehört zu administriert E E E Pr Pr Pr K K K Pe Pe Pe hat verwendet unterstützt Master User Benutzer ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 8
LRZ- SIM: Web- Frontend Id- Portal LRZ- Betreuer ZKI AK- VD 10/2009 Master User Self Services Service Desk IdenTty Management im Münchner WissenschaWsnetz 9
LRZ- SIM: NutzungsstaTsTk seit Anfang 2009 Über 500 Änderungen an Einrichtungen durch LRZ- Betreuer Ca. 280 neue Master User, ca. 1200 alte Master User gelöscht Über 40.000 Logins für Master User Dienste und Self Services Über 10.000 BerechTgungsänderungen an bestehenden Kennungen durch Master User Rund 2.500 neue Kennungen angelegt, rund 3.500 Kennungen gesperrt, mehr als 6.500 Kennungen gelöscht Self Services: Rund 2.500 Änderungen an Mail- Forwards, rund 4.500 AbwesenheitsnoTzen eingerichtet ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 10
LRZ- SIM: ImportschniLstellen DEISA-Site 1 Globales Dateisystem DEISA Benutzerverwaltung Höchstleistungsrechner DEISA-Site n wird erfasst in Benutzer nutzt per HTTPS nutzt Grid-Portal mit Grid-Middleware Arbeitsplatz- PC (Partiell dedizierte) Netzinfrastruktur nutzt per SSH Server mit Grid-Middleware und globalem Dateisystem DEISA Benutzerverwaltung Höchstleistungsrechner Globales Dateisystem Grid- Projekt DEISA ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 11
LRZ- SIM: ImportschniLstellen DEISA-Site 1 HIS SOS DIAPERS / VIVA-PSV (SAP HR) (Partiell dedizierte) Netzinfrastruktur CampusLMU- Verzeichnisdienst CampusLMU Webportal wird erfasst in Benutzer nutzt Arbeitsplatz- PC Automatische Kennungs- und Berechtigungsvergabe, abhängig von Rolle(n) und Organisationszugehörigkeit Grid-Portal mit LRZ nutzt Importverzeichnisdienst Grid-Middleware per HTTPS nutzt per SSH Globales Dateisystem Linux-Cluster für LMU-Physiker DEISA Benutzerverwaltung Höchstleistungsrechner Microsoft Exchange für Mitarbeiter der LMU Biologie / Tiermedizin campus.lmu.de Mailbox für alle LMU-Studenten, optional für LMU-Mitarbeiter Server mit lmu.de E-Mail-Weiterleitung Grid-Middleware und für alle LMU-Mitarbeiter globalem Dateisystem Windows Desktop Management für die LMU-Biologie DEISA-Site n DEISA Benutzerverwaltung Höchstleistungsrechner Globales Dateisystem Grid- Projekt DEISA Campus LMU ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 12
LRZ- SIM: ImportschniLstellen Startzustand: CampusLMU aktiviert LRZDienst Mailbox + IIIA Startzustand: CampusLMU sperrt LRZDienst Mailbox + IB Kennung ist gesperrt :: CampusLMU per E-Mail benachrichtigen, keine Änderung Komplexität: DEISA-Site 1 Mapping der LMU- Kostenstellen auf LRZ- Projekte, Linux-Cluster für LMU-Physiker Überlappung mit BerechTgungsverwaltung durch Master User HIS SOS DIAPERS / VIVA-PSV (SAP HR) In Stud-Projekt :: Plattform Studenten-Server sperren In MU-Projekt :: Plattform Studenten-Server sperren (Partiell dedizierte) Netzinfrastruktur CampusLMU- Verzeichnisdienst In Stud-Projekt, Kennung ist aktiv :: Plattform Studenten-Server aktivieren In MU-Projekt, Kennung ist aktiv :: Plattform Studenten-Server aktivieren Kennung bleibt gesperrt, Studenten-Server bleibt gesperrt CampusLMU Webportal IB: Kennung ist aktiv, Studenten-Server aktiv wird erfasst in IA: Kennung ist aktiv, Studenten-Server gesperrt Grid-Portal mit campus.lmu.de Mailbox LRZ nutzt Importverzeichnisdienst Grid-Middleware per HTTPS Start Startzustand: CampusLMU aktiviert CampusLMU sperrt Benutzer Benutzer +IA nutzt + IIA Alle LRZDienste sind gesperrt, in MU-Projekt :: Keine Änderung per SSH Server mit lmu.de E-Mail-Weiterleitung Grid-Middleware und nutzt für alle LMU-Mitarbeiter globalem Dateisystem Benutzer mit oder ohne rel. OU :: Arbeitsplatzkeine Änderung PC Automatische Kennungs- und Berechtigungsvergabe, abhängig von Rolle(n) und Organisationszugehörigkeit In Stud-Projekt, alle LRZDienste sind gesperrt, ohne rel. OU :: alle Plafos sperren In Stud-Projekt, alle LRZDienste sind gesperrt, mit rel. OU :: alle Plafos sperren In Stud-Projekt, nicht alle LRZDienste sind gesperrt, CampusLMU per E-Mail benachrichtigen, Globales Dateisystem Microsoft Exchange für Mitarbeiter der LMU Biologie / Tiermedizin IIA: Kennung wird/ist gesperrt für alle LMU-Studenten, optional für LMU-Mitarbeiter IIB: Kennung bleibt aktiv In Stud-Projekt, alle LRZDienste sind gesperrt, mit rel. OU :: alle Plafos ausser Studenten-Server aktivieren In MU-Projekt, alle LRZDienste sind gesperrt :: Keine Änderung Windows Desktop Management für die LMU-Biologie DEISA-Site n IIIA: DEISA Benutzerverwaltung Kennung wird/ist aktiv Höchstleistungsrechner In Stud-Projekt, alle LRZDienste sind gesperrt, ohne rel. OU :: alle Plafos ausser Studenten-Server aktivieren Globales Dateisystem DEISA Benutzerverwaltung Höchstleistungsrechner Kennung bleibt gesperrt Grid- Projekt DEISA Campus LMU ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 13
LRZ- SIM: Angebundene Systeme Active Directory BVB-IT Citrix Terminalserver, Desktop Management, Microsoft Exchange, NAS-Filer, Sophos Antivirus, VoIP-Frontend Linux- und Solarisserver, diverse Webanwendungen LRZ-SIM LDAP- Server E-Mail-Server IT Service Management Netzdienste Shibboleth Webserver Text- Steuerdateien Courier (POP3), Dovecot (IMAP), Postfix, BT Syntegra Aphelion und TurboSendmail, Squirrelmail Webtools für Service Desk, Trouble Ticket Webformular, Servermonitoring (Cacti, Nagios), LRZ Netzdoku VPN und WLAN (FreeRADIUS), DocWeb, Kerberos, WebDNS (Nixu NameSurver), TSM-Backup, FTP-Server Identity Provider für Föderationen DEISA und DFN-AAI, Service Provider im Rahmen der DEISA-Föderation Webhosting mit Oracle- und MySQL-DB, CMS Fiona, Learning Management System Moodle, SW-Download Höchstleistungsrechner, Visualisierungscluster ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 14
Überblick Übersicht: IDM- Projekte im Münchner Hochschulumfeld IdenTty Management am LRZ: Erfahrungen nach 1,5 Jahren ProdukTvbetrieb DFG- Projekt IntegraTUM: Ergebnisse des Teilprojekts IdenTty Management Shibboleth und DFN- AAI: AkTvitäten und Pläne an den Münchner Universitäten ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 15
IntegraTUM: IDM- Ausgangsbasis (2004/05) LRZ- SIM Teilziel: Direkte Kopplung mit Universitätsverwaltungen Betrieb von LDAP- Servern für die TUM seit 2003 Gründung des LRZ IdenTty Management Teams Ziel: Ausbau der IDM- Dienstleistungen Gemeinsamer Projektantrag TUM / LRZ im Rahmen des DFG- Förderprogramms Leistungszentren für ForschungsinformaTonen ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 16
IntegraTUM: Projektstruktur Seit 2007 zusätzlich: SERVUS@TUM ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 17
IntegraTUM: IDM- Architektur 2009 Mehr als 50 dezentral betriebe Dienste Auth-VZD DFN-AAI Identity Provider Systemadministration Exchange NetApp Filer Bibliothek Sysadmin-VZD E-Learning Applikations-VZD Active Directory SAP HR TUMonline Meta-Directory HIS SOS ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 18
IntegraTUM: Beispiele für die IDM- ProzessintegraTon Online- Bewerbung mit Accountvergabe (eingeschränkte BerechTgungen) Vermeidung der Mehrfacherfassung von Personen bereits in den Quellsystemen Ausgabe des Bibliotheksausweises im Rahmen der ImmatrikulaTon / des Einstellungsverfahrens Webbasierte Self Services, z.b. zur Änderung der PrivatanschriW (nur bei Studenten) ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 19
IntegraTUM: Angebundene Systeme Zentrale Dienste Bibliothek, E- Learning, Service Desk, TUMonline Fakultätsweite Dienste Webportale, z.b. E- Technik, InformaTk, meditum, Physik, WiWi Poolrechner/Arbeitsplätze, z.b. Chemie, E- Technik, Physik, WZW Dezentrale Dienste Diverse Webserver und Content Management Systeme von Lehrstühlen und FachschaWen, MSDN AA ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 20
IntegraTUM: IDM- Konzepte und - Werkzeuge Schema- Design in MS Excel AutomaTsches Erzeugen von LDIF- und Schema- Files, LaTeX- und HTML- Doku Google: IntegraTUM Schema ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz Tools zum Einspielen in die LDAP- Server, Schema- Diffs, 21
IntegraTUM: IDM- Konzepte und - Werkzeuge IntegraTUM- Gästeverwaltung Gruppenverwaltungs- LDAP- Backend HeurisTsches IdenTty Matching per WS Hochverfügbarkeit und Load Balancing ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 22
Überblick Übersicht: IDM- Projekte im Münchner Hochschulumfeld IdenTty Management am LRZ: Erfahrungen nach 1,5 Jahren ProdukTvbetrieb DFG- Projekt IntegraTUM: Ergebnisse des Teilprojekts IdenTty Management Shibboleth und DFN- AAI: AkTvitäten und Pläne an den Münchner Universitäten ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 23
MoTvaTon für den Shibboleth- Einsatz Am LRZ: Einheitliches Verfahren für völlig verschiedene Dienste De- facto StandardsoWware, sehr guter Support (Community, DFN- AAI, SWITCH- AAI) ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 24
MoTvaTon für den Shibboleth- Einsatz An LMU und TUM: Stark vereinfachte Nutzung externer Dienste Hochschulinternes (campusweites) Single Sign- On Corporate Design + Single Sign- On = Deutlich sichtbares IntegraTonsmerkmal Verbesserte IT- Sicherheit, da RedukTon passwort- verarbeitender Stellen Bei von Externen nutzbaren Diensten nur Anpassung an genau ein SSO- System erforderlich ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 25
Shibboleth- Anpassung der angebotenen Dienste Treibende KraW an LMU und TUM: E- Learning Eingesetzte Shibboleth- fähige Learning Management Systeme: TUM: LMU: im- c CLIX CASUS, Moodle, OLAT, (itunes U) ProdukTve Anwendungsgebiete: Gemeinsame Studiengänge (z.b. Bio- InformaTk, Medizin), KooperaTon LMU / Uni Zürich (Pathologie, Dermatologie) MiLelfrisTge Ziele: Kursabwicklung für Virtuelle Hochschule Bayern über DFN- AAI, direkte Kursverlinkung aus CampusLMU und TUMonline ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 26
Zusammenfassung Projekt LRZ- SIM: Bereits sehr viele LRZ- Dienste integriert, eigenes Webfrontend, automatsierende ImportschniLstellen IntegraTUM IDM: Kopplung von Campus Management und Meta- Directory, IntegraTon in die Hochschulprozesse, diverse Werkzeuge Intensive Zusammenarbeit von LMU, TUM und LRZ (MoTvaTon u.a. zentrale Dienste, gemeinsame Studiengänge) Aktuelle und kommende Baustellen: Direkte Kopplung der TUM- und LRZ- Verzeichnisdienste, Ausbau der automatschen BerechTgungsvergabe für LRZ- Dienste (LMU/TUM), Shibboleth- Anpassung der Webportale Campus LMU und TUMonline, Umsetzung des DFN- AAI E- Learning Profils in der VHB, ZKI AK- VD 10/2009 IdenTty Management im Münchner WissenschaWsnetz 27