RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

Videokonferenz IDM@Bayern

An der heutigen Videokonferenz nahmen die Kollegen aus Augsburg, Erlangen, Passau, Würzburg und vom LRZ teil. Eichstätt konnte aus technischen Gründen nicht dabei sein.

Im folgenden werden einige Stichpunkte aus der Konferenz wiedergegeben. Zunächst berichtete jeder seinen aktuellen Stand:

Die Kollegen in Passau sind gerade dabei, ihr VoIP-Sysytem anzubinden und die Datenschutzfreigaben zu erhalten.

In Augsburg beschäftigt man sich gerade mit dem Druck der Studentenausweise. Hier soll das initiale Passwort und die Kennung aufgedruckt werden. Die Daten werden nicht im HIS erzeugt und müssen deshalb während der Einschreibung nach HIS gelangen, um gedruckt zu werden. Hier gibt es Probleme. Verwendet wird nicht SOS, sondern LSF (Web-Service), da der Anstoss der Bereitstellung
sonst nicht klappt.

Am LRZ hat man gerade die OpenLDAP- und Exchange-Anbindung fertig. Auf dem Admin-Satelliten war eine Schema-Erweiterung nötig, um Probleme bei der Autorisierung zu beheben. Aktive Beschäftigungsverhältnisse werden in MA-StatusDetails abgelegt. für ausgelaufene Beschäftigungsverhältnisse wurde das Attribut MA-StatusAlumnus erzeugt. Beide Attribute sind multi-valued. Für Studenten gibt es analoge Attribute. Getestet wird das in kürze. Denmächst sollen Rollen anhand von der Organisationsstruktur gebildet werden. Das LRZ ist an einem Erfahrungsaustausch zu diesem Punkt interessiert.

Das RRZE berichtete kurz seinen Stand der Dinge. Eine ausführlichere Vorstellung wurde gewünscht und zugesagt, sobald die Treiber fertig sind und Novell die Skalierbarkeit bestätigt hat.

Als letzter der Runde berichtete Würzburg. Dort wird Mitte November der File- und Print-Service auf eDir 8.8 upgedatet, damit Universal Password eingeführt werden kann.
Die Wiederspruchsfrist für die Veröffentlichung im Adressbuch läuft demnächst aus, sodass dieses Verzeichnis in Kürze mit Daten gefüllt werden kann.
In Sachen SSO ist man noch im Kampf mit dem Shibboleth Identity-Provider.
Die SOS-Anbindung erfolgt im Moment noch mit Hilfe von csv-Dateien, soll aber auf JDBC-Treiber umgestellt werden. Eine Anbindung mittels Views ohne Trigger wurde getestet, ist aber viel zu langsam. Staging-Tabellen mit Triggern funktionieren deutlich performanter.

Nachdem alle Teilnehmer ihren Status berichtet haben, wurde die Diskussion der verschiedenen Schemata begonnen. Zunächst gab Herr Pluta vom LRZ die Möglichkeit, fragen zum IntegraTUM-Schema zu stellen. Dieses Schema mit flachen Objekten und durchnummerierten Objektklassen ist in Betrieb, er ist damit
aber nicht glücklich (warum, wurde nicht näher ausgeführt).

Eine Frage betraf ein Attibut, in dem die SVN-Version der Schema-Datei gespeichert werden soll. Durch die häufigen Schemaänderungen befürchtet man sonst, den Überblick zu verlieren. Das ist zwar geplant, aber noch nicht in Betrieb.
Die Frage nach den Erfahrungen beim Anlegen von Objektklassen (OC) mit einem IDM-Treiber förderte zu Tage, dass es nicht ratsam ist, mit Hilfe des Schemas eine hohe Datenqualität zu erzwingen. Dadurch kann man leicht bei implizit gesetzten OCs ein ‘must’-Attribut vergessen und deshalb in ein Treiber-‘Veto’ laufen.
Ein sehr interessanter Aspekt wurde im folgenden diskutiert: Wie werden 1:n und n:1-Beziehungen mit der dirXML-Engine realisiert. Hier ist ein Austausch geplant, um zu einer ‘best practice’ zu gelangen. Herr Hommel vom LRZ wies darauf hin, dass ein Konsultant von Novell erst kürzlich genau so eine Beziehung bei ihnen implementiert hat. Er sagte zu, dass die E-Mail-Adresse der betreffenden Kollegin an die Anwesenden geschickt wird, damit die Informationen eingeholt werden können.
Das LRZ pflegt eine OID-DB zum Verwalten ihres komplexen Schemas.
Am LRZ werden derzeit Daten gelöschter Objekte 10 Jahre aufgehoben. Es ist angedacht, künftig nie mehr zu löschen um die Anforderungen der Verwaltung und der Alumnibetreuung zu erfüllen. Das gilt aber nicht für die Systeme, die nur zur Provisionuierung dienen. Hier werden alle Daten sofort gelöscht.

Im Würzburg basiert im Gegensatz zum IntegraTUM das ID-Objekt (Person) auf die OC inetOrgPerson. Die anderen OCs werden als aux-Klassen hinzugefügt.
Es wurde kurz angesprochen, dass man das Quota-Attribut als Multi-Valued Attribut auch dafür nutzen könnte, um Teil-Quota zu addieren, ein echter Vorteil wurde aber nicht erkannt.
Es wird nicht erzwungen, dass eine Person ihr Anfangspasswort neu setzt. Es ändern nur ca. 10% der Nutzer. Dadurch kann man Kunden, die ihr Passwort vergessen haben, gut helfen.
Auch in Würzburg benötigt man Attribute zum Erkennen von aktiven oder passiven Einträgen. Hier ist das allerdings vor allem für das Adressbuch relevant.

Als Termin für das nächste Treffen wurde der Freitag, 30.11.2007 10:00 Uhr vereinbart.

 

Videoconference IDM@Bavaria

At today’s video conference the colleagues from Augsburg, Erlangen, Passau, Würzburg and from the LRZ took part. Eichstätt couldn’t take part because of technical difficulties.

In the following some bullet points of the conference will be displayed. At first everybody told something about the current status:

At the moment the colleagues in Passau are integrating their VoIP-system and are trying to keep the data privacy clearance.

In Augsburg student IDs are printed. Here the initial password and ID are supposed to be printed on. The data are not created in HIS and therefore have to be delivered to HIS during the enrollment to be printed. But here are some problems. SOS is not used but LSF (Web Service), because the kick-off for provision would not work in another way.

At LRZ the OpenLDAP- and Exchange integration is finished at the moment. A pattern enhancement was needed on the admin satellite to solve problems with the authorization. Active employments are filed in MA-StatusDetails. For expired employments the attribute MA-StatusAlumnus was created. Both attributes are multi-valued. There are analogue attributes for students. They will be tested soon. Soon roles will be displayed on the basis of an organizational structure. The LRZ is interested at this point in an exchange of experiences.

The RRZE briefly told its current state of affairs. A more detailed presentation was wished for and permitted, as soon as the driver is finished and Novell confirms the scalability.

In the last round Würzburg reported in full. The file- and print-service will be updated to eDir 8.8 in the middle of November so that Universal Password can be introduced.
The opposition period for publication in the address book will expire soon so that this account can be filled with data soon.

In case of SSO there is still a fight with the Shibboleth Identity-Provider.
The SOS connection works at the moment with the help of csv data, but should be transferred to JDBC drivers. A connection via views without trigger has been tested but is way to slow. Staging-tables with triggers clearly work with more performance.

After all the participants reported their status the discussion of the different patterns started. At first Mr. Pluta of LRZ offered the opportunity to ask question to the IntegraTUM-pattern. This pattern with flat objects and numbered object classes is running, but he is not satisfied with it (it was not told in details why this is so).

One question was on an attribute in which the SVN version of a pattern file should be saved. Because of repeated pattern changes, losing track is likely to happen. This was planned but is not running yet.
The question about experience with creating object classes (OC) with an IDM-driver showed that it is not advisable to force high data quality with a pattern. Through this it is likely to miss a ‘must’-attribute and therefore run into a driver-‘Veto’.
A very interesting aspect was discussed in the following: How are 1:n and n:1 relationships realized. An exchange was planned here to reach ‘best  practice’. Mr. Hommel of the LRZ indicated that a consultant of Novell recently implemented a relationship like this. He said that the e-mail address of said colleague will be sent to the attendees for further information.

The LRZ uses a OID-DB to supervise their complex pattern.
At the moment at the LRZ data of deleted objects are saved for 10 years. It is thought of never deleting at all to fulfill the requirements of the management and alumni supervision. This does not only apply to the systems but also to provisioning. Here, all data are deleted immediately.

In opposite to the IntegraTUM, in Würzburg the ID-object is based on OC inetOrgPerson. The other OCs are added as aux-classes.
It was shortly brought up that the Quota-Attribute as Multi-Valued attribute can be used for this case, to add a Part-Quota. A real advantage could not be recognized.
It is not forced that a person has to reset his/her password from the beginning. Only ca. 10% of the user change it. Therefore you can easily help costumers who forgot their password.
Also in Würzburg attributes to recognize activated or passive entries are needed. Here an address book seems relevant.

The next meeting is set for Friday, 30.11.2007, 10 am.

 

Treffen der kooperationsbereiten Novell IDM Hochschulen

Im Nachgang zur Sitzung des ZKI vd-ak haben sich auf Veranlassung von Frau Winklmeier (MMKH) die Vertreter der Hochschulen die Novell einsetzen und die an einem Austausch interessiert sind kurz zusammen gesetzt. Konkret waren dies:

  • CODEX Thüringen
  • Bayern (LRZ, Passau, Würzburg, RRZE)
  • FH Niederrhein

Dabei wurden folgende Informationen gesammelt:

  • Codex setzt noch Novell IDM 2.0.2 ein.
  • Jede Individuallösung und damit alle bsiherigen Vorschläge von Novell Consulting sind sehr beratungs- und damit kostenintensiv.
  • Die Individuallösungen machen die Wartung der Implementationen aufwendig, wodurch weitere Kosten entstehen.
  • Eine TCO-Betrachtung hat noch keine Hochschule durchgeführt, wobei der Sinn auch in Frage gestellt wird.
  • Die meisten Module basieren auf Novell Extend und sind damit nicht auf neuere Versionen des Novell IDM übertragbar.
  • Die Thüringer Kollegen weisen darauf hin, dass darauf geachtet werden muss, dass auch externe Tools auf dem MD arbeiten können. Auch die Novell Tools “vertragen” nur einen bestimmten Grad der Komplexität.
  • Die Novell Landesverträge in Thüringen und Bayern laufen Mitte 2008 ab.
  • Der Konsortialführer für Thüringen ist Herr Springer von der TU Illmenau.
  • Die FH Niederrhein (Dieter Roemgens) hat nicht die Ressourcen für eine eigene Novell IDM Implementation, stellt sich aber gerne als Tester der Branchenlösung zur Verfügung.
  • Die Uni Halle ist an einer Mitarbeit an einem generellen IDM-Konzept interessiert.

Darauf aufbauend wurde folgendes vereinbart:

  • Das RRZE (Herr Eggers) und das MMKH (Frau Winklmeier) übernehmen die Koordinierung der Initiative.
  • Die Kommunikation erfolgt vorzugweise über den ZKI ak-vd Verteiler.
  • Die Bayern konkretisieren ihr generelles IDM-Konzept.
  • Die Architekturalternativen, der schema-Vergleich sowie die Überlegungen zur DIT-Struktur müssen in das Konzeptpapier aufgenommen werden.
  • Eine Referenzimplementierung kann eine Novell IDM Branchenlösung sein.
  • Das RRZE führt diesbezüglich die Sondierungsgespräche mit Novell.
  • Codex und LRZ fungieren als Reviewpartner für das Konzept.
  • Das NRW Papier ist auf eine Verwendbarkeit zu prüfen.
  • Herr Roemgens wird versuchen Details zur Implementation an der Uni Dortmund in Erfahrung zu bringen.
  • Ende März bekommt das eCampus II Teilprojekt IDM die Möglichkeit an der Videokonferenz Novell.IDM@Bayern teilzunehmen.
  • Frau Winklmeier koordiniert von Hamburger Seite.
  • Thüringen und Bayern sollten versuchen die Verhandlungen für die Landesverträge zu koordinieren. Hamburg denkt darüber nach sich zu beteiligen.
  • Sobald ein einigermaßen stabiles Dokument vorliegt sollen die Mitglieder des ak-vd zur Mitarbeit aufgerufen werden.
  • Komponenten (uid, Datenbereinigung) sollen Wiederverwendbar, z.B. als Java-Klassen, implementiert werden und langfristig in eine Code-Repository der Hochschulgemeinde zur Verfügung gestellt werden.
  • Auf der nächsten ZKI vd-ak Sitzung (40. KW 2007) soll die Arbeit vorgestellt werden.

Den Beteiligten ist bewusst, dass es sich um ein ambitioniertes Vorhaben handelt. Bisher wurden jedoch sehr viele Steuergelder in individuelle Standortlösungen investiert, die nicht für ressourcen-schwächere Hochschulen verwendbar sind. Dies sollte sich ändern. Dabei muss darauf geachtet werden, dass ein gewisser Ausgleich zwischen den Hochschulen die investieren und denen die nutzen geschaffen wird.

 

Meeting of Novell IDM Universities ready for Cooperation

Subsequently to the meeting of the ZKI vd-ak the representatives of the universities which use Novell met according to Ms Winklmeier (MMKH). Those were:

  • CODEX Thuringia
  • Bavaria (LRZ, Passau, Würzburg, RRZE)
  • FH Niederrhein

The following information was collected:

  • Codex is still using Novell IDM 2.0.2.
  • Every individual solution and therefore every suggestions of Novell Consulting are consultation-intensive and expensive.
  • The individual solutions are intense in maintaining of the implementations, which causes further expenses.
  • A TCO-view hasn’t been done by any university, of which the sense is still questioned.
  • Most of the modules base on Novell Extend and are therefore not transmittable to the latest version of Novell IDM.
  • The Thuringian colleagues point out that also external tools must be running on the MD. Also Novell tools can only “handle” a certain amount of complexity.
  • The novel state contracts in Thuringia and Bavaria expire in the middle of 2008.
  • The consortial leader for Thuringia is Mr. Springer of the TU Illmenau.
  • The FH Niederrhein (Dieter Roemgens) doesn’t have the ressources for a own Novell IDM implementation, but offers itself as a test university for the branch solution.
  • The university Halle is interested in a collaboration at a general IDM-concept.

Based on this, the following was agreed:

  • The RRZE (Mr. Eggers) and the MMKH (Ms Winklmeier) coordinate the initiative.
  • Communication preferably takes place via the ZKI ak-vd divider.
  • The Bavarian colleagues concretize their general IDM-concept.
  • The architecture alternative, the pattern-comparison as well as the ideas for DIT structure have to be added to the concept paper.
  • A reference implementation can be a Novell IDM branch solution.
  • The RRZE is therefore having probing meetings with Novell.
  • Codex and LRZ function as review partners for this concept.
  • The NRW paper must be proven for its usability.
  • Mr. Roemgens will try to find out details on implementation at the university Dortmund.
  • At the end of March the eCampus II part project IDM  will have the opportunity to take part at the video conference Novell.IDM@Bavaria.
  • Ms Winklmeier coordinates the site of Hamburg.
  • Thuringia and Bavaria should try to coordinate the negotiations for the state agreements. Hamburg is thinking about joining in.
  • As soon as a stable document is on hand, the ak-vd members are supposed to be called in for work.
  • Components (uid, data cleaning) should be reusable, e.g. as java classes implemented and be long term available in a code-repository of the university corporation.
  • In the next ZKI vd-ak meeting 40. CW 2007) the work should be presented.

The participants know that they are dealing with an ambitious plan. So far a lot of public money has been invested in individual position solutions, which are not usable by universities with lower resources. This is supposed to change. Therefore it has to be kept in mind that a certain balance between the universities, which are investing and using, is created.