Herr Dr. Rygus nahm für das RRZE am Arbeitskreis Meta-Directory in Augsburg teil.
Zunächst stellte Frau Maria Schmaus aus Augsburg den aktuellen Stand des IDM-Systems dar. Nach einem Überblick über die bereits früher vorgestellte Gesamtstruktur wurde das Konzept für die Gruppenverwaltung erläutert.
– In Augsburg wird die Gruppenverwaltung dezentral geschehen. In jeder OU der ‘gelebten’ Organisationsstruktur, die keinen offiziellen Status geniesst, gibt es eine Gruppe ‘admins’, die Adminstrationsrechte innerhalb dieser OU hat. Die Gruppe und die OU selbst wird nur zentral von den IDM-Admins verwaltet. Die Berechtigungsverwaltung geschieht über ‘Sets’, was die Funktionalität von ‘nested groups’ bei Novell eDirectory abbildet.
– Das Matching der Datenbestände wurde händisch durchgeführt.
– Self-Service für Studierende oder Mitarbeiter ist nicht geplant.
– Für die Anbindung von SOS ist eine DLL vorhanden, die es erlaubt, die Kennung extern, d.h. im IDM-System zu generieren.
– Die Administration wird via Kommandozeile durchgeführt. Ein Webtool ist in Planung.
Nach dem Vortrag von Frau Schmaus berichtete Herr Rygus vom aktuellen Stand von IDMone.
Herr Hommel vom LRZ referierte im Anschluss über die Fortschritte im Projekt LRZ-SIM, über das DFN-AAI E-Learning-Profil und Shibboleth 2.0
LRZ-SIM konnte ohne Probleme über ein langes Wochende die alte Benutzerverwaltung ablösen und wird sehr gut angenommen. Jetzt werden einige Dienste (z.B. RADIUS, Webmail) über LDAP-Authentifizierung bedient. Das WEb-Frontend wird rege genutzt. Seit der Inbetriebmnahme wurden zusätzliche Authentifizierungsserver zur Lastverteilung in Betrieb genommen und das Web-Frontend verbessert.
Aktuell wird am Merge von Personenobjekten, der Integration von Grid-Kennungen, der Dokumentation via phpMyFAQ und der Bereinigung des eigenen Datenbestands gearbeitet.
Die aktuelle Version des E-Learning-Profils wurde vorgestellt. Inzwischen liegt die aktuelle, aber noch inoffizielle Version auch schriftlich vor, weswegen hier nicht näher darauf eingegangen wird.
Shibbolleth 2.0 in Stichpunkten:
– verschiedene Authentifizierungsmechanismen wurden integriert.
— Der SP kann einen vorgeben oder eine Re-Authentifizierung fordern.
— Passive Authentifizierung möglich, d.h. ohne Interaktion des Benutzers mit dem WAYF/Discovery Service
– Single-Sign-out ist noch nicht verfügbar.
– Die Installation ist ähnlich zu der Version 1.3, allerdings kann die Konfig nicht übernommen werden.
– Der WAYF-Service heisst jetzt Discovery Service.
Das IDM-Projekt aus Passau stellte Herr Absmeier vor.
In Passau wird das IDM-System für eine überschaubare Anzahl an Diensten geplant:
– Ablösung der bisherigen Benutzerverwaltung (Gäste, Mitarbeiter, Studierende)
– Provisionierung von StudIP
– Provisionierung von Groupwise
– Bereitstellung eines IP für DFN-AAI
Es wird eine Kopplung der Datenbestände durch die Duplizierung der Schlüssel in die anderen Datenbanken angestrebt.
Der Aufbau des DIT wird flach sein, wobei statt eigener Objekte für Komplexe, mehrfach, unbestimmt oft vorhandene Objekte Auxiliary-Objektklassen verwendet werden. Es wird je einen Kontainer für Personen, Accounts, Gruppen und die Organisationsstruktur geben. Die Zuordnung wird über Zeiger realisiert.
Diapers wurde triggerless via JDBC direkt (über Views) angebunden. Die Telefondatenbank ist kurz vor fertigstellung. Der SSO-Server ist noch vor der Realisierung, die Implementierung des IP wird gerade begonnen. Die NDS-Anbindung wurde mit Unterstützung von Novell Consulting begonnen. Für Groupwise gilt das gleiche. Die Anbindung von StudIP ist noch in der Planungsphase. Das gleiche gilt für das Self Service Portal. Derzeit werden die Daten aus SOS noch über Access gewonnen. Eine bessere IDM-Anbindung soll erfolgen.
Frau Warren berichtete im Anschluss vom aktuellen Stand aus Würzburg.
An IDM angebunden sind SOS, VOIP, moodle und ein Adressbuch (LDAP) für E-Mail.
In Vorbereitung sind die Einführung des Universal Password (voraussetzung zur bidirektionalen Anbindung an IDM) und das ‘contextless login’. Eine Dienstvereinbarung und eine Erweiterung der Datenschutzfreigabe sind in Arbeit. Ebenso in Vorbereitung sind die NDS-Anbindung, ein Upgrade auf Shibboleth 2.0 und die Anbindung eines Zutrittskontrollsystems. Evaluiert werden der Access Manager und der Storage Manager von Novell. Man denkt hier inzwischen über ein zentrales Berechtigungskonzept nach.
Matching wurde nur rudimentär betrieben. Bei der Provisionierung von Multi-Value-Feldern im LDAP wird das erste gelieferte genommen. Die anderen Werte werden ignoriert.
Die Universität der Bundeswehr war das erste mal mit einer Präsentation im AK. Herr Dörfler stellte den aktuellen Stand vor.
Hier besteht eine Landschaft aus ca. 20 Datenbanken, die alle personenbezogene Daten halten. Nicht alle dürfen in ein IDM einfliessen, aber die meisten sollen in eine Zentrale DB integriert werden. Verwendet wird PostgreSQL. Das Projekt steht noch am Anfang.
Anschliessend berichtete Herr Zahn über die geplante Anbindung der ADS in Augsburg.
Für die TUM waren Her Pongratz und Herr Pluta beim AK. Herr Pongratz berichtete über die extrem sportlichen Fortschritte von TUM online. Die Zusammenarbeit mit der Uni Graz wurde sehr gelobt. Das Projekt ist von der Auslegung und der Schnelligkeit mit CIT vergleichbar. Leider wurde nicht transparent, wiviel Manpower hineingesteckt wurde.
Herr Pluta stellte die inzwischen dritte Version des IntegraTUM-Schemas vor. Offenbar vereinfachen sich viele Anforderungen an das Projekt durch die Verlagerung einiger Teilaufgaben auf das System aus Graz.
Die VHB war durch Herrn Mller vertreten. Er stellte das neue Portal vor, das im September in Betrieb gehen soll. Ebenso wurde eine Testanwendung für Shibboleth vorgestellt. Offenbar wird dieses Vorhaben jetzt vorangetrieben. Die VHB sucht Testpartner.
Nach den Präsentationen der AK-Mitglieder wurde über die Anbindung der Bibliotheken diskutiert. Es kursierte ein Schreiben aus Berlin, das für Verwirrung gesorgt hatte. Leider konnte keine abschliessende Klarheit geschaffen werden. Das RRZE kündigte an zu prüfen, ob die Bibliothek ohne SISIS-Konnektor via JDBC angebunden werden kann.
Das Thema VIVA beunruhigt die Kollegen aus dem AK. Es kursiert das Gerücht, dass Schnittstellen zu IDM-Systemen nicht vorgesehen sind. Augsburg ist ein Pilot-Kunde von VIVA. Herr Blaschek wird versuchen, mehr herauszufinden.
Termine:
ZKI in München, Termin steht noch nicht fest.
AK Meta-Dir in Würzburg am 18.02.09