Herr Dr. Rygus und Herr Tröger nahmen für das RRZE am Treffen des ZKI Arbeitskreises Verzeichnisdienste in Aachen teil.

Während Herr Rygus über Konzept, Aufbau und erste Erfahrungen des Erlanger Idm-Projekts IDMone berichtete, verschaffte Herr Tröger mit seinem Vortrag "Das Web-Frontend WAID und andere Entwicklungen im Rahmen des Erlanger IdM-Projekts (IDMone)" einen eher praktischen Einblick in die Thematik.

Sowohl am Donnerstag als auch am Freitag gab es interessante Vorträge, auf welche jedoch im Einzelnen hier nicht eingegangen werden soll. Neben zwei Anmerkungen bleibt nur noch ein Lob für den herzlichen Empfang und die gute Organisation an den Gastgeber auszusprechen.

Zum Thema Matching bzw. dessen Vorbereitung konnte Frau Dr. Warren der Universität Würzburg einen interessanten Link zu einem Sourceforge-Projekt beisteuern: DRRE (Data Rules and Routing Engine).
Leider fehlte bisher die Zeit, dieses Vorhaben genauer unter die Lupe zu nehmen. Nochmals vielen Dank an Frau Warren an dieser Stelle!

Hervorzuheben ist ebenfalls ein Gespräch mit Herrn Stefan Zech und Herrn Taito Radtke der FHTW Berlin. Deren Projekt JUDIT ((J)User Directory Information Tree) kann einige Gemeinsamkeiten zu IDMone aufweisen. Angefangen bei den Vorbereitungen (Schemaanalyse), über Aufbau des Meta-Directories (Affiliations) bis hin zur Technologiewahl des Web-Frontends (Tapestry). Nach dem aktuellen Kenntnisstand, könnten beide Projekte von einem größeren Informationsaustausch profitieren.

Herr Dr. Rygus nahm für das RRZE am Arbeitskreis Meta-Directory in Augsburg teil.

Zunächst stellte Frau Maria Schmaus aus Augsburg den aktuellen Stand des IDM-Systems dar. Nach einem Überblick über die bereits früher vorgestellte Gesamtstruktur wurde das Konzept für die Gruppenverwaltung erläutert.

– In Augsburg wird die Gruppenverwaltung dezentral geschehen. In jeder OU der ‘gelebten’ Organisationsstruktur, die keinen offiziellen Status geniesst, gibt es eine Gruppe ‘admins’, die Adminstrationsrechte innerhalb dieser OU hat. Die Gruppe und die OU selbst wird nur zentral von den IDM-Admins verwaltet. Die Berechtigungsverwaltung geschieht über ‘Sets’, was die Funktionalität von ‘nested groups’ bei Novell eDirectory abbildet.
– Das Matching der Datenbestände wurde händisch durchgeführt.
– Self-Service für Studierende oder Mitarbeiter ist nicht geplant.
– Für die Anbindung von SOS ist eine DLL vorhanden, die es erlaubt, die Kennung extern, d.h. im IDM-System zu generieren.
– Die Administration wird via Kommandozeile durchgeführt. Ein Webtool ist in Planung.

Nach dem Vortrag von Frau Schmaus berichtete Herr Rygus vom aktuellen Stand von IDMone.

Herr Hommel vom LRZ referierte im Anschluss über die Fortschritte im Projekt LRZ-SIM, über das DFN-AAI E-Learning-Profil und Shibboleth 2.0

LRZ-SIM konnte ohne Probleme über ein langes Wochende die alte Benutzerverwaltung ablösen und wird sehr gut angenommen. Jetzt werden einige Dienste (z.B. RADIUS, Webmail) über LDAP-Authentifizierung bedient. Das WEb-Frontend wird rege genutzt. Seit der Inbetriebmnahme wurden zusätzliche Authentifizierungsserver zur Lastverteilung in Betrieb genommen und das Web-Frontend verbessert.

Aktuell wird am Merge von Personenobjekten, der Integration von Grid-Kennungen, der Dokumentation via phpMyFAQ und der Bereinigung des eigenen Datenbestands gearbeitet.

Die aktuelle Version des E-Learning-Profils wurde vorgestellt. Inzwischen liegt die aktuelle, aber noch inoffizielle Version auch schriftlich vor, weswegen hier nicht näher darauf eingegangen wird.

Shibbolleth 2.0 in Stichpunkten:
– verschiedene Authentifizierungsmechanismen wurden integriert.
— Der SP kann einen vorgeben oder eine Re-Authentifizierung fordern.
— Passive Authentifizierung möglich, d.h. ohne Interaktion des Benutzers mit dem WAYF/Discovery Service
– Single-Sign-out ist noch nicht verfügbar.
– Die Installation ist ähnlich zu der Version 1.3, allerdings kann die Konfig nicht übernommen werden.
– Der WAYF-Service heisst jetzt Discovery Service.

Das IDM-Projekt aus Passau stellte Herr Absmeier vor.
In Passau wird das IDM-System für eine überschaubare Anzahl an Diensten geplant:
– Ablösung der bisherigen Benutzerverwaltung (Gäste, Mitarbeiter, Studierende)
– Provisionierung von StudIP
– Provisionierung von Groupwise
– Bereitstellung eines IP für DFN-AAI

Es wird eine Kopplung der Datenbestände durch die Duplizierung der Schlüssel in die anderen Datenbanken angestrebt.

Der Aufbau des DIT wird flach sein, wobei statt eigener Objekte für Komplexe, mehrfach, unbestimmt oft vorhandene Objekte Auxiliary-Objektklassen verwendet werden. Es wird je einen Kontainer für Personen, Accounts, Gruppen und die Organisationsstruktur geben. Die Zuordnung wird über Zeiger realisiert.

Diapers wurde triggerless via JDBC direkt (über Views) angebunden. Die Telefondatenbank ist kurz vor fertigstellung. Der SSO-Server ist noch vor der Realisierung, die Implementierung des IP wird gerade begonnen. Die NDS-Anbindung wurde mit Unterstützung von Novell Consulting begonnen. Für Groupwise gilt das gleiche. Die Anbindung von StudIP ist noch in der Planungsphase. Das gleiche gilt für das Self Service Portal. Derzeit werden die Daten aus SOS noch über Access gewonnen. Eine bessere IDM-Anbindung soll erfolgen.

Frau Warren berichtete im Anschluss vom aktuellen Stand aus Würzburg.
An IDM angebunden sind SOS, VOIP, moodle und ein Adressbuch (LDAP) für E-Mail.
In Vorbereitung sind die Einführung des Universal Password (voraussetzung zur bidirektionalen Anbindung an IDM) und das ‘contextless login’. Eine Dienstvereinbarung und eine Erweiterung der Datenschutzfreigabe sind in Arbeit. Ebenso in Vorbereitung sind die NDS-Anbindung, ein Upgrade auf Shibboleth 2.0 und die Anbindung eines Zutrittskontrollsystems. Evaluiert werden der Access Manager und der Storage Manager von Novell. Man denkt hier inzwischen über ein zentrales Berechtigungskonzept nach.

Matching wurde nur rudimentär betrieben. Bei der Provisionierung von Multi-Value-Feldern im LDAP wird das erste gelieferte genommen. Die anderen Werte werden ignoriert.

Die Universität der Bundeswehr war das erste mal mit einer Präsentation im AK. Herr Dörfler stellte den aktuellen Stand vor.

Hier besteht eine Landschaft aus ca. 20 Datenbanken, die alle personenbezogene Daten halten. Nicht alle dürfen in ein IDM einfliessen, aber die meisten sollen in eine Zentrale DB integriert werden. Verwendet wird PostgreSQL. Das Projekt steht noch am Anfang.

Anschliessend berichtete Herr Zahn über die geplante Anbindung der ADS in Augsburg.

Für die TUM waren Her Pongratz und Herr Pluta beim AK. Herr Pongratz berichtete über die extrem sportlichen Fortschritte von TUM online. Die Zusammenarbeit mit der Uni Graz wurde sehr gelobt. Das Projekt ist von der Auslegung und der Schnelligkeit mit CIT vergleichbar. Leider wurde nicht transparent, wiviel Manpower hineingesteckt wurde.

Herr Pluta stellte die inzwischen dritte Version des IntegraTUM-Schemas vor. Offenbar vereinfachen sich viele Anforderungen an das Projekt durch die Verlagerung einiger Teilaufgaben auf das System aus Graz.

Die VHB war durch Herrn Mller vertreten. Er stellte das neue Portal vor, das im September in Betrieb gehen soll. Ebenso wurde eine Testanwendung für Shibboleth vorgestellt. Offenbar wird dieses Vorhaben jetzt vorangetrieben. Die VHB sucht Testpartner.

Nach den Präsentationen der AK-Mitglieder wurde über die Anbindung der Bibliotheken diskutiert. Es kursierte ein Schreiben aus Berlin, das für Verwirrung gesorgt hatte. Leider konnte keine abschliessende Klarheit geschaffen werden. Das RRZE kündigte an zu prüfen, ob die Bibliothek ohne SISIS-Konnektor via JDBC angebunden werden kann.

Das Thema VIVA beunruhigt die Kollegen aus dem AK. Es kursiert das Gerücht, dass Schnittstellen zu IDM-Systemen nicht vorgesehen sind. Augsburg ist ein Pilot-Kunde von VIVA. Herr Blaschek wird versuchen, mehr herauszufinden.

Termine:

ZKI in München, Termin steht noch nicht fest.
AK Meta-Dir in Würzburg am 18.02.09

In der Zeit vom 17.03. – 21.03.2008 besuchten Herr Rygus und Herr Singer die Hausmesse ?Brainshare? der Firma Novell in Salt Lake City.
Die Messe bot einen Überblick über Neuerungen bestehender Produkte und die Präsentation von Neuentwicklungen.

Herr Singer besuchte folgende Veranstaltungen:

Mo 08:00 ? General Session: Brainshare Kick Off
Mo 12:00 ? Accelerating Your Novell Identity Manager Deployments
Mo 13:30 ? The Future of Linux
Mo 15:00 ? Virtualization and Its Impact on Interoperability between Windows and Linux
Mo 16:30 ? Securing Your Systems with AppArmor

Di 08:30 ? Fault-tolerant Computing with Linux High Availability
Di 10:00 ? Troubleshooting Novell Identity Manager 3.5.x
Di 11:30 ? High Availability and Cluster Solutions for Linux and Windows
Di 13:00 ? Novell Sentinel Collector Development: Beyond Basic Parsing
Di 14:30 ? Optimizing SUSE Linux Enterprise Server File Systems for Maximum Performance

Mi 08:00 ? General Session: Open Platform Solutions Demos
Mi 12:00 ? Event Handling in Workflow Forms with Novell Identity Manager 3.6
Mi 15:00 ? Novell eDirectory 8.8: Advanced Configuration
Mi 16:30 ? Penetration Testing and Protecting Networks Using Novell AppArmor

Do 08:30 ? Advanced Linux BASH Course
Do 11:30 ? Thin Linux – The Benefits of Linux Thin Clients and Terminal Services
Do 13:15 ? Security@Novell: An Overview of Security in SUSE Linux Enterprise Server
Do 14:30 ? Using Novell Sentinel to Understand your Identity Events

Fr 08:00 ? Benchmark Testing for SUSE Linux Enterprise Server and Clustering
Fr 09:30 ? Options for Integrating Novell Identity Manager With Linux and UNIX Systems
Fr 11:00 ? Novell Sentinel Solution Packs

Vor allem durch die Sessions zur Virtualisierung von Systemen, Optimierung von Filesystemen oder Tuningtipps rund um das eDirectory wurde viel Wissen vermittelt, welches im Arbeitsalltag seine praktische Anwendung finden wird.

Neben den Vorträgen fand auch reger Austausch mit Mitarbeitern der Firma Novell und deren Partner, sowie den anderen Besuchern der ?Brainshare? statt.
Unter anderem wurde dabei auf die Auswirkungen eines Restores, der Daten des Meta-Directory, auf die provisionierten Zielsysteme hingewiesen. Das System sieht die zurückgesicherten Daten als neue Personen an. Dadurch werden in den Zielsystemen neue Benutzer mit einer neuen ID erstellt, welche somit nicht mehr auf ihre bestehenden Daten (Home, …) zugreifen können.

Ein weiterer Punkt das Betriebssystem SuSE Linux Enterprise Server 11. Dazu konnten leider noch keine näheren Details gegeben werden außer, dass es neue Features im Bereich Virtualisierung, Hochverfügbarkeit oder Interoperabilität geben wird.

Allgemein zusammenfassend war der Besuch der ?Brainshare? sehr lohnenswert. Das neuerlangte Wissen und die geknüpften Kontakte sind für den weiteren Projektablauf äußerst wichtig. Die vorgetragenen Wünsche an die Entwickler wurden offen entgegengenommen und werden an die Verantwortlichen weitergegeben.
Die Chance mit den Entwicklern direkt kommunizieren zu können und somit wichtige Informationen zu erlangen sollte man auch in Zukunft wahrnehmen.

Dieses Jahr besuchten zwei Mitarbeiter des RRZE, Herr Singer und Herr Dr. Rygus die Brainshare der Firma Novell in Salt Lake City (16.03.08-21.03.08). Der Fokus lag auf den Produkten IDM, SUSE und den damit verbundenen Themen.

Die Veranstaltung war wieder einmal perfekt organisiert. Als neuer IDM-Chef wurde Jim Ebzery vorgestellt. SAP ist als Hauptsponsor und Partner von Novell sehr stark aufgetreten. Die Brainshare hatte mehrere Hauptthemen, wobei Teaming + Conferencing und das Roles Based Module am nähesten an den Themenschwerpunkten von IDMone lagen.

Viel Neues an der IDM-Applikation selbst ist aus IDM-Sicht nicht vorgetragen worden. Man will eine Art Echtzeit-Verhalten erreichen, damit man sich nicht so viele Gedanken um die nicht möglichen Transaktionen machen muss. Des weiteren hat man erkannt, dass man in einem grösseren Projekt schnell mal die Übersicht verlieren kann. Deshalb soll ein grösseres Augenmerk auf das Policy-Management gelegt werden. Einen weiteren Schwerpunkt stellt ‘governance and compliance’ dar. Hier will man sich offenbar gegen alles absichern, was an juristischem Unbill auf einen zukommen kann.

Derzeit gibt es Verbesserungen am Designer, iManager und an der User Application. Das Roles Based Module wurde als das neue goldene Ei vorgestellt.

Künftig (ab Sommer diesen Jahres) soll es noch weitere, ganz nette Features geben:

– Designer:
– er soll einen Team Editor bekommen und Dokumentenverwaltung via svn unterstützen.
– Im Resource-Kit gibt es eine ‘state machine’, mit der man die Reihenfolge sequenziell auszuführender Schritte festlegen kann. IDMone wird das testen.

– iManager:
– Parallelansicht von Treiberübersicht und Details
– Überwachungs-Features (Cache, Status, driver health, …)

– Nested Groups werden künftig voll unterstützt

Als Software Enhancement wurde aufgenommen, dass man künftig (wann wurde nicht gesagt) feststellen und verarbeiten kann, woher ein Event kommt (cache oder direkt). Das kann im Moment zu Fehlern führen.

Zum Thema Rollenmanagement gab es eine sehr gute Präsentation der Firma Eurekify (http:www.eurekify.com). Sie kann offenbar ein gut ausgewogenes Rollen-Management mit Role-Mining, um immer wieder Herr der Lage zu werden. Leider ist die Anbindung noch sehr dürftig. Auf Anfrage wurde eine Anbindung via Treiber in Aussicht gestellt. Derzeit muss man über einen CSV-Treiber kommunizieren. Novell unterstützt diesen Partner und will laut eigener Aussage kein Konkurenzprodukt schaffen. Wenn man das Roles Based Module sinnvoll einsetzen möchte, wird man also um Eurekify nicht herum kommen.

Das Thema Datenanalyse soll der Analyzer oder Enforcer (gleiches Tool, zwei Namen) erleichtern. Leider kann der nicht einmal annähernd das, was von IDMone in sehr viel kürzerer Zeit entwickelt wurde. Bis dieses Tool einsetzbar wird, ist noch viel Arbeit nötig.

Mitarbeiter der Firma Novacost (Novell-Partner) stellten ein paar nette Tools vor, mit denen man Sicherheitslücken aufspüren kann. Mehr gibt’s auf deren Webseite (http://www.novacost.com).

Neue, ungeahnte Probleme zeigte eine Präsentation der Firma Blackbird auf. Offenbar gibt es bei einer IDM-Lösung durchaus andere Problematiken zu berücksichtigen, als beim normalen Backup. Nachdem ein Eintrag versehentlich gelöscht wurde, kann er nicht unbedingt bedenkenlos restauriert werden, da sich in einigen Zielsystemen die interne ID ändert und verbundene Objekte (Homes, Profile, …) ohne Zuordnung verbleiben. Das kann offenbar die Software DeTroubler von Blackbird beheben. Wiederum hat sich Novell dazu bekannt, kein Konkurenzprodukt zu entwickeln. IDMone wird sich das ansehen.

Im Techlab konnte Herr Rygus ausgiebig mit den Entwicklern diskutieren. Leider ergab die Diskussion mit den Entwicklern der User Application, dass diese Anwendung die Anforderungen von IDMone derzeit nicht erfüllt. Deshalb bleibt es in Erlangen beim Entschluss der Neuentwicklung eines Web-Frontends. Die sehr rege Diskussion in einer ‘best practices’ Session hat eindeutig gezeigt, dass es recht viele Kollegen auch in USA gibt, die ähnliche Probleme mit der User Application haben, wie IDMone. Langfristig (!) kann sich hier also durchaus noch etwas verbessern.

eDirectory soll künftig, wie bei OpenLDAP, auch Rechte für Mitglieder einer Gruppe auf Mitglieder einer Gruppe verarbeiten können. Diese Anforderung kam nicht nur aus Erlangen.

Der Sentinel als Ablösung von Audit konnte nur bedingt empfohlen werden, da er zu mächtig ist. Hier will man eine abgespeckte Lösung anbieten. Wann konnte nicht gesagt werden. IDMone wird vorerst mit Novell Audit beginnen.

Ein interessantes Tool scheint der Access Manager zu sein. Damit kann man u.a. SSO und Föderation für die gesamte Novell-Palette zzgl. Web-Anwendungen anbieten, und mit Shibboleth koppeln. So kann man einen Schritt weiter gehen, als nur mit Web-SSO.

Herr Singer wird einen ergänzenden Reisebericht im Blog veröffentlichen.

Herr Rygus und Herr Singer besuchten am 13. Dezember einen Workshop zur DFN-PKI in Regensburg.

Themen des Workshops waren
1. Einführung
2. Chancen, Möglichkeiten und Voraussetzungen für die Nutzung der Policy “Global”
3. Allgemeine Diskussion

Tagespunkt 1 und 2 wurden von Herrn Pattloch des DFN-Vereins vorgetragen.
In der Einführung wurden allgemeine Informationen über den Dienst DFN-PKI vorgetragen.
Dieser wird vom Deutschen Forschungsnetz angeboten und umfasst eine Public Key Infrastruktur,
um digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Dabei liegt der Schwerpunkt
auf fortgeschrittenen Zertifikaten auf Basis des X.509 Standards.

Als nächstes wurde die anfang des Jahres neu eingeführte Policy “Global” vorgestellt.
Das Wurzelzertifikat ist bis 30. Juni 2019 gültig.
Im Gegensatz zu den “Classic” und “Basic” Policies, bei denen der öffentliche Schlüssel der
Policy Certification Authority jeweils in einem selbstsignierten Wurzelzertifikat enthalten
sind, ist bei der “Global”-Policy der öffentliche Schlüssel der PCA in einem durch die
Deutsche Telekom Root CA 2 ausgestelltem Zertifikat enthalten.
Somit ist das Wurzelzertifikat der “Global”-Policy in den den meisten Browsern verankert und
als vertrauenswürdig eingstuft. Bei Mozilla gibt es noch kleinere Probleme wie zum Beispiel,
dass das E-Mail-Programm Thunderbird und der Internet-Browser Firefox nicht auf die selben
Zertifikate zurückgreifen können. Diese Probleme sind voraussichtlich bis Frühjahr 2008 behoben.
In Vorbereitung ist außerdem die Implementierung von Java-Keystore, Adobe- und Mac-Zertifikaten.

Als neuer Dienst wurde der Self-Service vorgestellt. Über diese kann u.a. eine große Anzahl
von Zertifikaten auf einmal angefordert werden.

Der DFN-Verein führt eine neue Schnittstelle mit dem Namen SOAP ein welche zum Beispiel die
Verknüpfung mit Chipkarten oder die Integration von Nutzerportalen ermöglicht. Die
Dokumentation der Schnittstelle und Programmierbeispiele in der Programmiersprache Java sind
auf Anfrage beim DFN-Verein erhältlich.

Zum Schluss der Präsentation wurde noch kurz auf DFN-CERT eingegangen, welches mögliche
Sicherheitslücken protokolliert und daraufhin Warnmeldungen mit weiteren Informationen und
Links zu Patches verschickt. DFN-CERT ist im Dienst DFNInternet enthalten und kann ohne
zusätzliches Entgelt genutzt werden.

Bei der allgemeinen Diskussion wurde u.a. geklärt, dass Heirat oder Scheidung das Austellen
eines neuen Zertifikates zur Folge hat. Weiter wurde ausführlich diskutiert, wie mit privaten
Schlüsseln an der Universität umgegangen werden soll. Dabei wurde auf Probleme wie die
Sicherung der privaten Schlüssel, die Einführung von Token oder Smart Cards an der Universität
und datenschutzrechtliche Dinge eingegangen.

Der Workshop erfüllte die Erwartungen und bot einen allgemeinen Überblick über den
Leistungsumfang von DFN-PKI. Auf Grund der großen Teilnehmerzahl ist geplant den Workshop von
nun an jährlich zu veranstalten.

Am 03. und 04.12.2007 luden die Projektverantwortlichen des CampusSource-Projekts an die Universität Dortmund ein. V. Buzek und P. Rygus besuchten gemeinsam den zweiten Tag, an dem die Vorträge eher technischen Charakter hatten.

Eröffnet wurde der Workshop von Herrn M. Postel, der einiges über Hintergründe und Projekthistorie berichtete. So wartet beispielsweise das bewilligte Projekt immer noch auf erste Zahlungen.

Herr Christof Pohl gab anschliessend eine Einführung in die CampusSource Engine (CSE).
Die CSE ist demnach eine Middleware mit Enterprise Service Bus (ESB) Charakter. Sie verhält sich nach dem Grundsatz des ‘Message Based Coupling’, was eine schwache Bindung zwischen den Systemen bedeutet. Die Systeme selbst können dadurch weitestgehend autark bleiben und werden von der Engine nur verwendet. Dabei wird das Prozessmodell von der technischen Umsetzung getrennt. Im Prinzip werden immer jeweils zwei Systeme miteinander verbunden und je nach Anforderungen Daten verschoben. Die Engine selbst kann nur auf Ereignisse reagieren. Eigene Abfragen sind nicht möglich. Das System speichert keine eigenen Daten, hat also auch keine datenschutzrelevanten Probleme, wie sie im Zusammenhang mit Meta-Directories vorkommen. Alle übergreifenden Funktionalitäten sind hier abgebildet und werden zentral umgesetzt. Es geht in die Richtung ‘Virtuelles Directory für Prozesse’. Die CSE ist ein Framework für Kopplungslösungen mit Fokus auf den Bildungsbereich. Guter Ansatz, aber bisher leider nicht sehr weit implementiert.

Bisher gibt es Konnektoren für Web Services, PHP, JAVA, .NET. Clustering der Lösung ist möglich. Die Engine nutzt den Java Messaging Service. Als Voraussetzung muss ein IDM-System mit AAA-Lösung vorhanden sein.

Herr Pohl hält Repositories für die CSE nur bei universitätsübergreifenden Lösungen für nötig. Bei Installationen überschaubarer Größe kommt man ohne aus.

Im folgenden wurden die Komponenten der CSE beschrieben. Die Adapter für Endsysteme (EWS II, HIS LSF, ILIAS, IMC-Clix) sind bereits fertig. Sie erledigen die Kommunikation auf Protokoll- und Prozessebene. Adapter für Datenbanken, Web Services und LDAP gibt es ebenfalls. Jeder Adapter sucht sich die Daten dort zusammen, wo sie liegen. Die Informationen dafür sind intern abgelegt. Das interne Datenmodell kennt alle Veranstaltungen, Personen, Rollen bzw. Verzeichniselemente, deren Relationen frei wählbar sind. Abgelegt wird alles in XML. Abhängigkeiten werden automatisch aufgelöst und so die Geschäftslogik und die Prozessmodellierung umgesetzt. Eine Routine zur Fehlerbehandlung versucht, Inkonsistenzen aufzudecken und zu beheben. Es gibt aber keine Rollback-Funktion. Die CSE wird derzeit nur mit JBoss entwickelt.

Die nächsten Schritte werden sein, zusammen mit der Uni Cottbus eine Referenzinstallation aufzubauen und die Dokumentation zu erstellen. Derzeit gibt es Dokumentation nur im Quelltext. Konnektoren für Moodle, OpenUSS sind in PLanung, die Anbindung von StudIP und Metacoon ist noch in Diskussion. Die Geschäftslogik wird derzeit noch im Java Quelltext abgelegt. Künftig soll dafür jBPM Verwendung finden.

Der Quelltext wird via CVS unter http://cse.campussource.de verfügbar sein.

Anschliessend trug Herr Jauer von der HIS Zukunftsträume vor. Interessant daran ist aus heutiger IDMone-Sicht eigentlich nur, dass die Module weiterhin weitestgehend autark bleiben sollen. Bei den Schnittstellen, die künftig angeboten werden, ist SOAP die Methode der Wahl. Alles Weitere kann erst in die Diskussion einfließen, wenn die Umsetzung in einem realistischen Zeithorizont erwartet werden kann.

Das Identity Management an der Uni Duisburg-Essen wurde im Anschluss von Herrn Lützenkirchen vorgestellt. Leider ging er nicht ins Detail. In Duisburg arbeitet man weitestgehend mit Rollen, um die Geschäftsregeln abzubilden. SSO via CAS ist dort auch bereits realisiert. Das IDM-System basiert auf IBM Tivoli. Verbunden sind die Systeme HIS SVA und SOS, Aleph für die Bibliothek, das Studentenportal, CAS, BSCW, Moodle, ILIAS, LDAP, Radius, AD, Mail und WLAN. Die Matrix der Dienstleistungen aufgetragen über die Kundengruppen passte auf eine Folie. Das kann man durchaus als gelungene Konzentration auf das Wesentliche bezeichnen. Da die Personensuche nur über LSF erfolgt, scheint es keine Gäste zu geben, die wie Personen behandelt werden. CAS wird für den Zugang zu Diensten und Rechnern verwendet. CAS kann zwar Kerberos und SSOut, ist aber nicht in der Lage, Parameter zu übertragen.

Im folgenden Vortrag stellte Herr Dr. Stüttgen den Sun Identity Manager vor. Die Directory Server Enterprise Edition bietet im Unterschied zu den meisten Mitanbietern kein Meta-Directory, sondern ein Virtuelles Directory an. Wie die Probleme mit nicht aktuellen oder unvollständigen Einträgen durch nicht verfügbare Systeme gelöst wurden, blieb aber offen. Bemerkenswert ist, dass alle Produkte als Open Source angeboten werden. Der Sun Identity Manager arbeitet mit einem flachen Rollenkonzept. Er kommt ohne Agenten auf den Zielsystemen aus. Als SSo-Lösung wurde die Liberty-Lösung gewählt, da hier offenbar bereits der SAML 2.0 Standard implementiert ist. Sobald Shibboleth 2.0 verfügbar ist, soll dies eingesetzt werden.

Herr Jens Schwendel vom Bildungsportal Sachsen stellte den OPAL-Dienst vor, der einrichtungsübergreifend von allen Bildungseinrichtungen Sachsens genutzt werden kann. OPAL arbeitet mit einer Shibboleth-Lösung. Die bekannten Probleme (SSOut, Deprovisionierung, Rollenmanagement) sind auch hier nicht gelöst. Leider wurde nur kurz auf das SaxIS-Projekt verwiesen.

Im Anschluss an diesen Vortrag las Herr Kasparek seine Folien über die Entwicklungs- und Laufzeitumgebung der CSE vor. Da die Folien demnächst online sein werden, wird an dieser Stelle auf eine ausführliche Zusammenfassung verzichtet. Die Folien waren allerdings durchaus interressant.

Ein etwas anderes Thema wurde von Herrn Dr. G. Pfüller von Horvath und Partner geboten. Er beleuchtete die technischen Aspekte von der wirtschaftlichen Seite. Seine Folien verdienen auch Beachtung.

Leider entfiel die Live-Präsentation der Referenzinstallation, da das System nicht lief. Dafür konnten viele Fragen beantwortet werden. Als Abschluss wurde noch über Neuigkeiten der Systeme LON-CAPA, ILIAS, OpenUSS und FuXML berichtet.

Leider konnte der Workshop die in ihn gesetzten Erwartungen nicht voll erfüllen, da das CampusSource-Projekt noch zu sehr in den Kinderschuhen steckt, um uns im laufenden IDMone-Projekt zu helfen.

Sitzung des ZKI Arbeitskreises Verzeichnisdienste (vd-ak) 11. + 12.10.2007 in Hamburg
Am 11. und 12.10.2007 tagte der ZKI Arbeitskreis Verzeichnisdienste (ZKI vd-ak) zu seiner zweiten Sitzung an der Universität Hamburg. Trotz der etwas kurzfristigen Ankündigung fanden 45 Kolleginnen und Kollegen den Weg nach Hamburg um sich über die neuesten Entwicklungen im Umfeld zu informieren.

Das Programm ist dem offiziellen Protokoll http://zki.hrz.uni-dortmund.de/ZKI/Content/Protokoll_vd_ak_2007_10_11.shtml zu entnehmen, weshalb hier nur auf die aus IDMone-Sicht erwähnenswerten Punkte eingegangen werden soll.

Das von Herrn Winnemöller vorgestellte Golem-Projekt vereint Elemente aus IDM, Rollenverwaltung und Portal in einer Lösung. Da es sich um eine Hamburger Eigenentwicklung handelt und sehr auf die speziellen Anforderungen zugeschnitten ist, scheint eine Weiterverwendbarkeit fraglich.

In seinem Vortrag zu HISinOne sprach Herr Dr. Hübner über die Möglichkeit auf alle Daten in HIS per web-service nicht nur lesend sondern auch schreibend zugreifen zu können. Dies lies Herrn Eggers aufmerken, da sich dies für POS als nicht machbar erwiesen hatte. Schnell wurde aber deutlich, dass das gesagte sich auf HIS LSF bezog. Herr Dr. Hübner hat jedoch darum gebeten, die entsprechende Anfrage an ihn und Herrn Dr. Klingspohn zu eskalieren.
Die zweite Neuigkeit war, dass HIS PSV kein eigenes Modul sondern integraler Bestandteil von HISinOne werden wird. Es ist damit nur für HISinOne-Pilothochschulen verfügbar. Außerdem hat es wesentliche Änderungen in der bisher kommunizierten Spezifikation gegeben.
Das Resümee muss lauten: Es tut sich was bei der HIS i.S. HISinOne!

In der kurzen Präsentation von Herrn Eggers wurde sowohl der aktuelle Status von IDMone als auch von Novell.IDM@Bayern resümiert. Die anwesenden Kollegen zeigten sich besonders an letzterem sehr interessiert. Allerdings auf die Freigabe der eigenen Dokumentation angesprochen wurde es ruhig, da diejenigen mit realisierten Projekten in der Minderzahl waren.
Herr Eggers wurde aufgefordert IDMone und ein generelles IDM-Konzept bei der nächsten Sitzung des vd-ak ausführlich vorzustellen.

Herr Dr. Hommel stellte IntegraTUM bzw. LRZ-SIM und damit ein Konzept auf der Basis verschiedener Verzeichnisdienste mit verschiedenen Schemata vor. Er betonte dabei den föderativen Charakter dieses Ansatzes, der aus den verschiedenen Kunden des LRZ mit übergreifender Ressourcennutzung entstand. Die lokale Föderation vernetzt sich nach außen über ein SSO mittels shibboleth und bringt so die angebundenen Dienstleistungen i.S. Verwaltung und Design “auf Linie”.

Am zweiten Tag berichtete Herr Deutschmann JD den verhinderten Herrn Kluge über das SaxIS-Projekt, dass inzwischen beendet ist. Der einzige Wissenträger ist inzwischen mit anderen Aufgaben betraut und hatte daher keine Zeit für den Vortrag. Damit scheint auch die Nachnutzung des Wissens ungeklärt. Die TU Chemnitz hatte die Projektführung und dort scheint auch das Hauptwissen angesiedelt zu sein. Die Projektdokumente sind unter http://saxis.tu-freiberg.de verfügbar.
Ein Kernergebnis des Projekt war die Erkenntnis, dass größere Einrichtungen ein IDM benötigen. Kleinere Organisationen können hingegen ggf. darauf verzichten
.
Die TU Chemnitz bietet diesen daher SSO sowie die sonst notwendigen Dienste als Dienstleistung an.

Herr Prof. Stenzel berichtete von der gemeinsamen Sitzung mit dem ZKI AK E-Learning sowie über die Koordinierungsgruppe Schnittstellen. Der AK E-Learning wird vor allem durch Niedersachsen getrieben. Während sich die Koordinierungsgruppe Schnittstellen mit Schnittstellenprobleme, die in BMBF-Projekten auftauchten, befasst. Da Schnittstellen auch ein großes Thema im Bereich E-Learning ist, gibt es viele Gemeinsamkeiten die nun auch in Richtung vd-ak ausgelotet werden sollen. Primär dient die Arbeit der Suche nach Kontakten für eine nachhaltige Nachnutzung.
Besonders im Bereich E-Learning wird ein Problem mit fremd-geförderten Projekten deutlich: Bisherige Projekte sind nur locker an die jeweiligen Rechenzentren gebunden, aber nach Auslaufen der Föderung ist Übernahme der AUfgaben (Produktivbetrieb) durch die RZ notwendig
! Hierfür soll ebenfalls nach Lösungen gesucht werden.
Am Rande des Berichts wurde bekannt, dass die DINI AG Protale nicht weiter existiert. Es wurde aber betont, dass das Thema nicht tot ist, es aber derzeit keinen dedizierten Ansprechpartner gibt.

Die Vorträge von Herrn Kähler und Herrn Gietz zur DFN-AAI bargen den meisten Zündstoff einer Diskussion die von Herrn Dr. Hommel und Herrn Eggers angeführt wurde. So soll die DFN-AAI zwar zur DFN-Betriebstagung bzw. shibboleth-WS online gehen, jedoch ist der Prozess zur Aufnahme von neuen Attributen in die DFN-AAI noch ungeklärt. Und das Bewusstsein für die Dringleichkeit der Ergänzung entstand erst im Laufe der Diskussion.
Herr Kähler hat daraufhin angekündigt die Betroffenen zu einem Termin einzuladen, der aber wohl erst in 2008 stattfinden wird.
Außerdem hat der die Notwendigkeit eines deutschlandweiten Konsenses ins Feld geführt, der aber wohl realistischer Weise nicht möglich sein wird.

Auch die von Herr Gietz aufgestellten Forderungen nach einer Funktion für Benutzer über die Möglichkeit selbst bestimmen zu können, welche Attribute in der DFN-AAI weiter gegeben werden können, wurde diskutiert. Zumal sich bisher existierende Tools als schlecht bedienbar und damit als Support-Monster erweisen haben.
Äußerungen, dass die bayerische Attributanfrage aus datenschutzgründen kritisch gesehen
wird, dass hisPerson und schacPerson ausreichend sein und es eine fehlende Ontologie für Studiengänge
gibt, wurde ebenfalls auch noch nach dem Vortrag intensiv diskutiert.

Zum Thema Kooperationsbereitschaft mag auch passen, dass auf die Anfrage von Herrn Eggers, ob denn ein größeres deutsches Engagement bei Internet2 geboten sein, keine Reaktion und damit eine ablehnde Haltung eingenommen wurde.

Die nächste Sitzung wird an der FU Berlin stattfinden. Es wurde ein Termin in der KW 11 2008 (11. – 14.03.2008) vorgeschlagen. Neben der ausführlichen Vorstellung von IDMone sollen wieder mehr Firmenpräsentationen eingeladen werden.

Außerdem wird eine gemeinsame Veranstaltung zum Thema Portale mit den anderen betroffenen ZKI AK geplant.

Herr Rygus vertrat das RRZE am 12.07.2007 beim Treffen des AK Meta-Directory bzw. des AK VHB-AAI an der TUM in München.
Zunächst berichtete er über den Fortschritt der Arbeiten an IDMone in Erlangen. Die Resonanz war überdurchschnittlich groß, was sich in einer Reihe von Fragen, die erschöpfend beantwortet werden konnten, wiederspiegelte. Insbesondere erwarten einige Unis die Schnittstelle zu UnivIS mit grossem Interesse.

Im Anschluss daran gab Herr Absmeier von der Uni Passsau Enblick in den aktuellen Stand der Planung. Analog zu IDMone soll die Novell User Application als Service Portal dienen. Im Unterschied zu IDMone werden in Passau auch Raumdaten im IDM-System verarbeitet. Es ist dort auch nicht geplant, Daten in HIS zurück zu schreiben.

Der DIT kennt flache Äste für die Organisationsstruktur, Personenobjekte, Accounts und Gruppen. Die Verknüpfung zwischen Account und Organisationen ist nicht reversibel. Da keine Abrechnung für Dienste geplant ist, bedeutet das aber keinen Nachteil. In Passau wird die Kosten-Leistungs-Rechnung eingeführt. Die Granularität soll aber auf sehr niedrigem Niveau bleiben, so dass pro Organisation nur eine Kostenstelle geplant ist. Deren Nummern richten sich nach einem festen Schema. Beschäftigungsverhältnisse werden durch Aux-Klassen abgebildet. Hier ist eine zweistellige Anzahl möglich. Die Uni Passau plant die Einführung ihres Systems im Frühjahr 2008.

Als nächstes gab Frau Warren von der Uni Würzburg einen Statusbericht. Dort ist das Meta-Directory fertig und in Form eines Telefon- und E-Mail-Verzeichnis seit Juli diesen Jahres im produktiven Einsatz. Hier musste in Abstimmung mit den Datenschützern eine Veto-Möglichkeit für alle Personen via E-Mail propagiert werden. Bisher gab es allerdings keine Rückläufer.

Die Struktur der Organisatorischen Einheiten wird aus SAP exportiert, was aber noch auf recht unbefriedigendem Weg (csv) geschieht. Das LDAP-Schema orientiert sich soweit möglich an Standards (inetOrgPerson, eduPerson) mit lokalen Ergänzungen (wuePerson, wuePersonOEH01, …). Beschäftigungsverhältnisse werden auch hier mit Aux-Klassen abgebildet. Einige Diskussionen gab es um die Verwendung der ‘primaryAffiliation’, die schwierig sinnvoll zu besetzen scheint. Aus diesm Grund wurde ein DFN-weiter Standard gefordert und in Frage gestellt, ob das Attribut für DFN-AAI verwendet werden sollte.

Des weiteren wurde dazu aufgerufen, Frau Prof. Rodriguez aus Brasilien als Diskussionspartner für eine Schemadiskussion im universitären Bereich zur Verfügung zu stehen. Nähere Infos stehen suf den Folien, die ab nächste Woche für Mitglieder des AK Meta-Dir zugänglich sind.

Herr Hübner von der HIS referierte als nächster. Er berichtete über HIS-Möglichkeiten zur hochschulübergreifenden Authentifizierung in Bezug auf Studienortwechsel und Teilstudium an mehreren Universitäten. Auch hier wurde ein Standard für mindestens alle deutschen Hochschulen gefordert.

Die Zugriffmöglichkeiten auf Daten in HIS-Produkten waren das nächste Thema. Hier wurde die Verwendung der Web-Services empfohlen. Leider bieten diese keine Eingriffsmöglichkeiten auf oder in laufende Prozesse.

Das HIS-Portal als zentrale Anlaufstelle für alle wurde als nächstes vorgestellt. HIS bietet ein proprietäres ‘pseudo’- SSO an. Die Anbindung von Shibboleth wurde bisher nicht weiter verfolgt, da HIS darin keinen Vorteil sieht, geschweige denn Anwender, die es brauchen. In diesem Punkt konnte HIS noch vor Ort einen Eindruck gewinnen, dass sich letzteres als Fehleinschätzung erwies. Dennoch bittet HIS darum, dass jeder, der gerne eine Shibboleth-Authentifizierung für HIS-Produkte hätte, eine E-Mail an Herrn Hübner schickt, worin erklärt wird, dass, warum und wofür man Shibboleth einsetzen möchte. Allerdings steht HIS ‘in regem Kontakt mit DFA-AAI’. Es wurde aber gesagt, dass man eigentlich gerne hätte, dass jemand den Shibboleth-Wunsch äussert, es mit HIS realisiert und bezahlt.

Nebenbei wurde erwähnt, dass Moodle (eLearning) angebunden wurde, sodass direkt Daten übernommen werden können. Duisburg-Essen hat’s offenbar gemacht.

Zum Abschluss wurden noch die Möglichkeiten bzgl. Mehrsprachigkeit vorgestellt. Benutzeroberflächen und Dateninhalte sind hier offenbar bereits realisiert. Es fehlt noch die Abstimmung der Begriffswelten, Geschäftsprozesse, Austauschformate, etc.

Herr Hommel (LRZ) berichtete im Anschluss kurz über die Bestrebungen, Shibboleth im Münchner Wissenschaftsnetz in- und extern zu nutzen. So können alle Dienste mit einer Aktion für beide Welten fit gemacht werden. Da es eine entsprechende Beschlussfassung in München gibt, ist die Nachhaltigkeit der Lösung gesichert. Eine Hochverfügbarkeitslösung für Tomcat mit Shibboleth ist in Arbeit. Die Doku darüber und zur allgemeinen Administration von Shibboleth soll anderen Unis zur Verfügung gestellt werden, sobald sie fertig ist.

Der Status des CASUS-Projekts, eine proprietäre eLearning-Plattform, wurde von Herrn Graf (TUM) kurz vorgestellt. Unified Login und Remot Login via DFN-AAI sind realisiert, CLIX soll dem Beispiel folgen. Näheres dazu kann man den Folien entnehmen.

Herr Ebner vom LRZ berichtete danach vom aktuellen Stand der Datenaustauschmöglichkeiten des Integratum- Meta-Directorys mit dem Bibliothekssystem SISIS (alter Name) bzw. OCLC Pica (neuer Name) via von OCLC Pica programmierten Konnektor.

Der Konnektor scheint alles andere als ausgereift und erfordert noch sehr viel Handarbeit via Java. Konfiguriert wird er via XSLT. Den Erstimport hat man in München mit Perl realisiert, da der Konnektor dafür nicht geeignet ist.

Als Codierung wird Base64 verwendet. Die Dokumentation ist unzureichend. Ein Austausch der XSLT-Scripten mit München ist möglich, ohne umfangreiche Anpassung aber nicht einsetzbar.

Es scheint ratsam, den Kontakt mit der Bibliothek frühzeitig vor der Anbindung zu suchen, um bereits im Vorfeld zu klären, was gewünscht ist und das gegen die Möglichkeiten des Treibers zu testen. Nur so kann eine realistische Aufwandsschätzung gelingen.

Die Uni Duisburg-Essen hat den Treiber offenbar bereits im Einsatz. Hier wird aber nur eine Richtung synchronisiert.

Am Ende des Vortrags wurde sehr kurz auf die XML-Schnittstelle von UnivIS eingegangen. Hier hofft aber offenbar jeder, dass die Schnittstelle, die für Erlangen geschaffen wird, bald zur Verfügung steht. Herr Rygus wies darauf hin, dass mit Kosten für diese Schnittstelle zu rechnen ist.

Der folgende Vortrag war ein extremer Kurzvortrag, da alle Teilnehmer sehr stark an einer Pause interessiert waren. Deshalb konnte Herr Pluta vom LRZ nur etwa fünf Minuten über den Unterschied zwischen ACI und ACL reden. Näheres versprechen die Folien.

Nach der Pause lauschten die Teilnehmer den Ausführungen von Herrn Ohlinger (FH Rosenheim). Diese FH ist recht überschaubar mit ca. 3500 Studenten und 400 Mitarbeitern. In Rosenheim ist allerdings einiges bereits realisiert, wovon manche Unis noch träumen. Ein Beispiel ist die flächendeckende Einführung von Kerberos. Allgemein sind die Mechanismen zur Synchronisation und Authentifizierung durchaus vorzeigbar. Auch hier sei auf die Folien verwiesen.

Den Abschluss der Veranstaltung bildete ein Bericht der VHB (Hr. Müller) über die Ergebnisse der Umfrage zu den gewünschten Attributen für Shibboleth. Es zeigte sich, dass die Resonanz eher gering war. Offenbar haben die Anbieter entweder nicht das entsprechende technische Verständnis um die Umfrage zu bewerten, oder sie sind mit den bereits vorgeschlagenen Attributen zufrieden.

Die allgemein etwas zähe Diskussion wurde über den Sinn oder Unsinn von Attributen, wie ‘Sprachkenntnis’, ‘Studiengang-Nummer’ oder ‘primaryAffiliation’ geführt. Nach viel zu langer Zeit hatte Herr Hommel ein Einsehen und erlöste die Menge mit dem Vorschlag, eine Vorlage auszuarbeiten und mit Request of Comment herumzuschicken. Ein gemeinsamer Wunsch für eine Erweiterung des DFN-AAI-Schemas muss noch rechtzeitig vor dem DFN-AAI-Treffen in Berlin eingebracht werden.

SSO via Shibboleth für Anbieter in der VHB wurde noch nicht in Erwägung gezogen, da sie bis dato ein proprietäres Tool mit eigenem Login verwenden müssen, um an die für sie relevanten Daten zu kommen.

Das nächste Treffen wird, sofern Herr Müller geeignete Räumlichkeiten findet, in Bamberg am 20.02.08 statt finden.

Herr Büttner und Herr Tröger besuchten am 06. und 07. September die 1st International Conference on LDAP in Köln. Das Themenspektrum war wie zu erwarten sehr breit gefächert. Aktuelle LDAP-Server wie OpenLDAP, OpenDS (Sun) und ApacheDS, wurden präsentiert und vorgeführt. Einige sehr bekannte Leute der “LDAP-Szene”, wie z.B. Howard Chu und Kurt Zeilenga vom OpenLDAP Projekt, leisteten Ihren Beitrag zu der Veranstaltung.

Frameworks wie Spring LDAP (“Java LDAP Programming Made Simple”) oder das auf Web-Services basierende E-School vom Greek School Network Directory Service zeigten interessante Ansätze. Spring LDAP könnte Gruppen des RRZE den Einstieg in die LDAP-Programmierung mit Java deutlich erleichtern. Eine weitere Auseinandersetzung mit diesem Thema scheint sinnvoll.

Die ApacheDS-Gruppe stellte die neuen Highlights des ApacheDS vor: Stored Procedures und Triggers. Ihr Apache Directory Studio, eine “Open Source LDAP & Directory Tooling Platform”, entwickelt sich zu einem für IDMone durchaus nutzbaren Produkt; dessen LDAP-Browser wird bereits seit einiger Zeit erfolgreich im Projekt eingesetzt.

Highlight für Herrn Tröger war natürlich sein eigener Vortrag über seine Arbeit am Schema-Design-Prozess. Sein Vortrag “A Reference Schema for LDAP-based Identity Management Systems” wurde vor allem von ein paar Interessierten gut angenommen. Die ApacheDS-Gruppe zeigte Interesse an einer Integration von Herrn Tröger’s Ergebnissen in deren Projekt.

Alles in allem verlief der Besuch dieser Veranstaltung überaus erfolgreich. Die im Projekt vorhandenen Themengebiete wurde sehr gut abegedeckt.