RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

IDM-Wochen_E-Mail KW 21

In der vergangenen Woche wurde das Web-Frontend in die erste Code-Freeze-Version gebracht. Nun wird Herr Tröger seine Überstunden abbauen und im Juli wieder mit anpacken. Diese Woche müssen noch auftretende Fehler gefixt werden. Das wird Herr Zhelev erledigen, der erst ab nächster Woche Überstunden abbauen wird.

Die Arbeiten am Schema sind vorerst abgeschlossen. Neue Arbeit wird erst erforderlich, wenn erste Entitlements eingetragen werden. Die Treiber für die Anbindung an Diapers und SOS wurden auf das neue Schema angepasst. Ebenso wurden die Treiber zum Generieren der IDs, Kennungen und Gruppen überarbeitet.

Die erste Instanz des Testsystems im geschützten ZUV-Netz ist inzwischen an das Backup-System angeschlossen. Weitere Tests werden folgen, um alle Ausfallszenarien durchzuspielen.

Diese Woche wird die IDM-Logik wieder zur alten Stabilität gebracht und die Anbindung des Altsystems begonnen. Die Stabilitätsprobleme basieren offenbar auf der Java-Speicherverwaltung, die nur im Dauerbetrieb noch ein paar Schwächen zeigt.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

IDM-Wochen_E-Mail KW 20

Leider konnte der etwas zu sportliche Zeitplan in der vergangenen Woche nicht eingehalten werden. Wichtige Weichenstellungen für die Zeit bis August forderten ihren Tribut. So ist das überarbeitete Schema noch immer nicht in die eDirectory-Instanzen des Meta-Directory übernommen. Das muss dringend fertig gestellt werden. Danach können die Treiber finalisiert und das Web-Frontend zum Testen bereit gestellt werden.

Leider werden auch in der kommenden (kurz-)Woche nötige Besprechungen die Arbeiten am Testsystem verzögern.

Herr Zhelev bereitete in der vergangenen Woche den Server idm-sp-test für den Betrieb mit JBoss und dem neuen Web-Frontend vor und führte Integrationstests durch.

Die Arbeiten am Web-Frontend hat Herr Tröger in einem eigenen Blog-Beitrag beschrieben: http://www.blogs.uni-erlangen.de/IDM/stories/1714/

Damit wir im Regelbetrieb ruhig schlafen können hat Herr Singer die Backup-Software installiert und begonnen, sie zu konfigurieren.

Diese Woche wird das Schema fertig überarbeitet und in die Treiber für SOS und Diapers eingearbeitet. Die Arbeiten am Web-Frontend werden abgeschlossen, bis die Entwickler aus ihrem Urlaub zurück sind.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

Endspurt Runde 1

In der vorletzten Woche musste die Entwicklung der neuen Web-Applikation unterbrochen werden, da die Integration der Matching-Regeln in die vorhandene Treiberlogik anstand (mehr dazu siehe IDM-Wochen_E-Mail KW 19).

Diese Woche ging es dann mit neuem Elan an die “alte” Arbeit. Die etwas kürzere Woche wurde dazu genutzt viele Kleinigkeiten auf den Webseiten zu verbessern und damit die erste Version einiger Komponenten fertigzustellen. Neu hinzu kam die Berechtigungs-Seite, auf welcher der angemeldete Benutzer die ihm zugeteilten Accounts, Zugriffsrechte, etc. angezeigt werden.

Der bereits im letzten Beitrag erwähnte PDF-Generator wurde erfolgreich in mehrere Seiten integriert. Damit wurde auch der Grundstein für die Loginbrief-Komponente gelegt. Mit Hilfe dieser Funktion können die erforderlichen Loginbriefe erstellt und gedruckt werden.

An einer ganz anderen Stelle konnten erste Schritte in Richtung Datenmodifikation gemacht werden. Die User-DAO wurde um die ersten schreibenden Zugriffe erweitert. Um den Abschluss der Arbeiten voranzutreiben wurde jedoch auf die eine oder andere Luxuslösung verzichtet – KISS-Prinzip lässt grüßen.

Zum Abschluss der Woche wurden noch diverse Anpassungen vorgenommen um das lokal entwickelte Projekt auf einem Integrationsserver bereitstellen zu können. Im Gegensatz zu dem bei der Entwicklung verwendeten Jetty-Server, läuft die Anwendung auf dem Integrationserver, wie auch im späteren Betrieb, in einem JBoss Application Server. Durchgeführte Integration Tests rundeten dieses Paket ab.

 

Final Sprint Round 1

The week before last week the deployment of a new web application had to be interrupted, because the integration of the matching rule into the existing driver logik (see further IDM-Wochen_E-Mail KW 19).

This week was all about the “old” work. The slightly shorter week was used to improve many minor things on the website and therefore to complete the first version of some components. Newly added: entitlement page, where sign on users can view his assigned account, access rights, etc.

The allready in the last post mentioned PDF generator was successfully integreted to several pages. Therefore the foundation for the login-letter component was laid. With help of this function the needed login-letters can be created and printed.

On a different place the firts steps towards data modifications have been taken. The user-DAO were extended with first writing accesses. To push the the work to come to an end, one or the other luxury solution were left out of site – KISS-Prinzip says hello.

To the conclusion of this week various adjustments were made to be able to provide the local developed project on an integration server. In comparison the during the development used Jetty-Server the application runs on an integration server, as in the future use, on a JBoss Application Server. Realized integration tests round up the package.

 

IDM-Wochen_E-Mail KW 19

Diese Woche hat mal wieder gezeigt, dass es manchmal anders kommt, als man denkt.

Das Team von IDMone hat die Arbeiten am Web-Frontend kurz unterbrochen, um die Matching Rules, die im Zusammenhang mit der Bereinigung der Datenbestände erarbeitet wurden, in den Diapers-Treiber zu integrieren. Die dafür vorgesehenen Zeiten wurden zwar prinzipiell eingehalten, jedoch bremste ein Ausfall von eDirectory die Arbeiten, sodass wichtige Lasttests am Testsystem noch nicht durchgeführt werden konnten. Prinzipiell stehen jedoch die neuen Matching Rules im Diapers-Treiber zur Verfügung.

Der Ausfall der eDirectory-Datenbank ist bereits zum zweiten mal vorgekommen. Alle Versuche, die DB zu retten, sind fehlgeschlagen. Das Testsystem musste noch einmal neu aufgesetzt werden. Eine Usache konnte nicht gefunden werden, obwohl die letzten Aktionen auf die Datenbank nachgestellt wurden.

Seit heute hängt eine zweite eDirectory-Instanz als Replika auf der idm-sp-test im gleichen Tree, sodass der Ausfall einer DB schneller repariert werden kann.

Auf der idm-sp-test läuft auch bereits eine JBoss-Instanz, die über den Proxy-Server erreicht werden kann. Man kann dadurch kleinere Milestones in der Entwicklung des Web-Frontends einem breiteren Testerfeld zur Verfügung stellen.

Herr Zhelev arbeitete ausser an der Integration der Matching Rules auch an der PDF-Generierung von HTML mit CSS. Das Login-Brief-Template ist fertig.

Obwohl diese Woche viel Zeit für administrative und planerische Arbeiten benötigt wurde, konnte das Konzept für den Umgang mit Änderungen und Löschen im Meta-Directory überarbeitet werden. In der nächsten Woche wird es in die Treiber übernommen.

Das Schema wird derzeit noch überarbeitet. Hier gibt es leichte Verzögerungen. Dennoch soll es in der kommenden Woche in die Treiber übernommen werden.

Leider hängt die Implementierung der Shibboleth 2.0-Instanz noch an dem Zusammenspiel von Shibboleth mit JBoss. Hier konnten bisher leider auch die Spezialisten vom DFN nicht weiter helfen.

Nächste Woche wird das Schema fertig überarbeitet und die Matching-Rules nochmals getestet. Des weitern sollen die Treiber für SOS und Diapers vollumfänglich finalisiert werden. Das ist zwar sportlich, könnte aber klappen. Die Arbeiten am Web-Frontend werden auch wieder aufgenommen.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

Kurze Woche, kurzer Blog

Feiertag und Besprechungen machten die letzte Woche sehr kurz. Zwei Hauptbereiche wurden bearbeitet. Den ersten Bereich füllt der “PDF-Generator”. Stichpunkte wie, Html2PdfConvertor (FOP), CssConvertor und PdfPostprocessor (iText) sollen an dieser Stelle genügen. Der zweite Bereich umfasst die DAO-Schicht von Personen, Gruppen und Berechtigungen. Stichpunkte hier: AOP und Lazy Loading.

 

Short Week, Short Blog

Holiday and meetings made the last week a very short one. Two major areas have been worked on. The first area is the “PDF-Generator”. Bulletpoints like  Html2PdfConvertor (FOP), CssConvertor and PdfPostprocessor (iText) should be enough at this point. The second area concludes the DAO-layer of persons, groups and rights. Bulltepoints hier: AOP and Lazy Loading.

IDM-Wochen_E-Mail KW 18

Die vergangene Woche war zwar kurz, aber dennoch nicht ohne Fortschritt.

Im Rahmen der AG IDMone wurden Interessierte über den Stand der Dinge informiert. Einige Punkte wurden danach in die Projektplanung aufgenommen.

Den Status der Entwicklung des Web-Frontends wird Herr Tröger in einem eigenen Blog-Beitrag berichten.

Herr Singer dokumentierte die Audit-Arbeiten von letzter Woche. Der Apache für den IDMone-Proxy, der vor dem Web-Frontend stehen soll, kann nun mit jboss zusammen arbeiten. Die Installation von Shibboleth 2.0 mit jboss ist derzeit in Arbeit.

Die Präsentation der Firma Eurekify liess einige Fragen offen. Die Anbindung an die Novell-Produkte scheint noch sehr in den Kinderschuhen zu stecken. Erfahrung liegt offenbar noch nicht vor. Insgesamt kann die Software zwar sehr viel, aber der Teil, den wir benötigen, rechtfertigt weder den Aufwand für die Anbindung, noch die Software-Kosten. Wir werden das also auch selbst implementieren.

Das Admin-Konzept wurde überarbeitet und das Konzept für die Verwdendung von Rollen erstellt.

Nächste Woche wird das Schema überarbeitet und die Matching-Rules in den Diapers-Treiber übernommen.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

IDM-Wochen_E-Mail KW 17

Die vergangene Woche wurde genutzt, um den Projektplan auf den aktuellen Stand zu bringen. Es zeichnet sich ab, dass die Neuentwicklung des Web-Frontends den Termin für die Inbetriebnahme von IDMone etwas verzögert. Die Manpower, die in die Programmierung gesteckt werden muss, fehlt leider an anderer Stelle.

Nichts desto trotz wird weiter zielstrebig am Gesamtsystem gearbeitet.

Herr Tröger hat bereits einen Blog-Beitrag zu den Arbeiten am Web-Frontend veröffentlicht (http://www.blogs.uni-erlangen.de/IDM/stories/1653/). Dem ist nichts hinzuzufügen.

Herr Singer und Herr Rygus kümmerten sich um die Vorbereitung einer Demo der Firma Eurikify. Diese Firma wird am Mittwoch via Telefon, Chat und Webkonferenz-Tools ihre Software (Rollenmanagement) vorstellen.

Des weiteren war letzte Woche Novell Consulting im Haus um die Möglichkeiten von Novell Audit vorzustellen. Herr Singer und Herr Rygus wurden umfassend informiert und konnten die Quellsystemtreiber mit entsprechenden Regeln versorgen. Es gibt also bereits eine laufende Konfiguration, die gemäß den Regeln, die sich aus dem Dienstleistungsportfolio ergeben, angepasst und ergänzt werden können.

Ein Angebot für einen UnivIS-Treiber erfordert noch die Klärung einiger Fragestellungen mit Config. Ein grober Rahmen liegt allerdings vor.

Die Datenbereinigung ist leider noch nicht abgeschlossen, da die letzten Klärfälle offensichtlich überproportional viel Zeit erfordern. Es werden daher nur schnell zu bearbeitende Klärfälle beachtet. Der Rest wird in die Nachklärung durch das Ablaufdatum übertragen.

Diese Woche wird weiter an der Entwicklung der Web-Anwendungen gearbeitet, die Datenbereinigung abgeschlossen und das Rollenmodell für Admins ein letztes Mal überdacht. In der AG IDMone wird der Stand der Dinge dargestellt und offen Punkte geklärt.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

Von Rollen, Passwörtern und Protokollierung

Die in der Woche zuvor begonnen Arbeiten der Challenge-Response-Anbindung an Novell’s eDirectory wurden weiter voran getrieben. Sowohl die äußere Form als auch die darunter liegenden Schichten wurden verbessert. Abzüge in Sachen Usability werden dennoch nicht ausbleiben, da die von Novell zur Verfügung gestellte Schnittstelle einige Beschränkungen aufweist.

Viel Arbeit wurde in die Passwortverwaltung gesteckt. Sichtbar für den Benutzer ist jedoch lediglich die Vereinheitlichung der Formulare, welche nun nach den aktuellen Vorgaben des Web-Baukastens aufgebaut sind. Unter der Oberfläche konnte die Authentifizierung mittels Challenge & Response, zum Zurücksetzen des eigenen Passworts, gegen das eDirectory erfolgreich implementiert werden.

Um eine Trennung zwischen Berechtigungsrollen und den Zugriff auf geschütze Ressourcen zu erreichen, wurde ein eigens dafür angefertigter “ProofOfAuthority-Service” eingeführt. Dadurch können Änderungen an den Rollen und deren Berechtigungen an einer zentralen Stelle vollzogen werden. Die Verbindung von Spring Security 2.0 (veröffentlicht am 15.04.2008) und Tapestry 5 wurde über eine generische “Access Denied”-Seite weiter verbessert.

Durch den Besuch von Norbert Klasen (Novell) konnte mit der Anbindung des IDM-Service-Portals an das Novell Audit System begonnen werden. Dabei findet das Nsure Audit SDK von Novell Verewendung. Angestrebt wird die Implementierung eines sog. Apache log4j “Appenders”. Wichtige Aktionen der Benutzer (z.B. das Zurücksetzen des Passworts) können dadurch IDMone-einheitlich protokolliert werden.

Zuletzt wurde mit einer der letzten im ersten Release geplanten Funktionen begonnen: den Aktivierungsseiten. Diese Seiten enthalten die erforderlichen Schritte zum Aktivieren eines IDMone-Accounts; also Akzeptieren der Benutzerrichtlinien und setzen des eigenen Passworts.

Of Roles, Passwords and Logging

In the last week the work on a challenge-response-connection to Novell’s eDirectory was pushed forward. Both the outside appearance and the layers below have been improved. Drawbacks in usability won’t be avoidable, because the connection provided by Novell shows some limitations.

A lot of work was put in the password management. Visible for the user however is the unification of forms which are build with current standards of the web model kit. Under the surface the authentification could be successfully implemented via challenge & response, to put back the password, against eDirectory.

To achieve the division between entitlement roles and access to safe resources, a special for this case developed “ProofOfAuthority-Service” was introduced. So changes within roles and their rights can be made at a central point. The connection of Spring Security 2.0 (published 15.04.2008) and Tapestry 5 was further improved with a generic “Access Denied” page.

Due to the try of Norbert Klasen (Novell), the connection of the IDM-Service-Portal with the Novell Audit System started. Therefore Novell’s Nsure Audit SDK is used. The intended aim is the implementation of a so called  Apache log4j “Appenders”. Important actions of users (e.g. to set back the password) can therefore be protocoled IDMone consistent.

Finally one of the latest planned functions for the first release started: the activation pages. These pages contain the needed steps to activate an IDMone account; also to accept the user guidelines and to set a new password.

Kleinvieh macht auch Mist

In der letzten Woche gab es in der Entwicklung des alternativen IDM-Service-Portals keine größeren Schritte zu verzeichnen. Dafür konnten gleich mehrere kleine, aber dennoch wichtige, (Teil-)Schritte abgeschlossen werden.

Der wichtigste Punkt dürfte wohl die Implementierung der Challenge-Response-Anbindung an Novell’s eDirectory sein. Der Novell Modular Authentication Service (kurz NMAS) bietet dazu eine Schnittstelle in Form einer Java-API an. Die Tücken liegen jedoch, wie so oft, im Detail und deshalb stellt die erfolgreiche Anbindung einen wichtigen Schritt im Gesamtprozess dar.

Desweiteren wurde die Lokalisierung des Web-Baukastens der Friedrich-Alexander-Universität für das IDM-Service-Portal vorerst abgeschlossen. D.h. sämtliche Teile des verwendeten Baukastens wurde mit entsprechenden Platzhaltern versehen und somit für die Verwendung in beliebigen Sprachen vorbereitet. Damit erreicht die entstehende Anwendung einen ersten Vorteil gegenüber der ursprünglich geplanten UserApp.

Neben der Challenge-Response-Anbindung konnte im “Untergrund” eine erste Version der Spring-LDAP-User-DAO-Implementierung gegen das Meta-Directory von IDMone fertiggestellt werden.

Darauf aufbauend wurde die komplette Datenschutzselbstauskunft-Seite der UserApp (eine Eigenentwicklung des RRZEs durch Oleg Britvin) auf Tapestry 5 umgesetzt. Erweitert wurde die Komponente durch die Anzeige von Bild-Attributen (z.B. Benutzerphoto) und eine lokalisierte Version der Datumsanzeige (z.B. Geburtsdatum: Samstag, 28. Mai 1977 gegenüber Date Of Birth: Saturday, May 28, 1977).

Ebenso konnte eine erste Version der Challenge-Response-Administrationsseite entwickelt werden. Sie erlaubt den zukünftigen Nutzern, die Eigenverwaltung der sog. Sicherheitsfragen zur Passwort-Wiederherstellung.

 

A Penny saved is a Penny got

In the last week there haven’t been bigger developments of the alternative IDM-Service-Portal. Therefore several smaller, but yet important steps have been solved.

Der wichtigste Punkt dürfte wohl die Implementierung der Challenge-Response-Anbindung an Novell’s eDirectory sein. Der Novell Modular Authentication Service (kurz NMAS) bietet dazu eine Schnittstelle in Form einer Java-API an. Die Tücken liegen jedoch, wie so oft, im Detail und deshalb stellt die erfolgreiche Anbindung einen wichtigen Schritt im Gesamtprozess dar.

Desweiteren wurde die Lokalisierung des Web-Baukastens der Friedrich-Alexander-Universität für das IDM-Service-Portal vorerst abgeschlossen. D.h. sämtliche Teile des verwendeten Baukastens wurde mit entsprechenden Platzhaltern versehen und somit für die Verwendung in beliebigen Sprachen vorbereitet. Damit erreicht die entstehende Anwendung einen ersten Vorteil gegenüber der ursprünglich geplanten UserApp.

Neben der Challenge-Response-Anbindung konnte im “Untergrund” eine erste Version der Spring-LDAP-User-DAO-Implementierung gegen das Meta-Directory von IDMone fertiggestellt werden.

Darauf aufbauend wurde die komplette Datenschutzselbstauskunft-Seite der UserApp (eine Eigenentwicklung des RRZEs durch Oleg Britvin) auf Tapestry 5 umgesetzt. Erweitert wurde die Komponente durch die Anzeige von Bild-Attributen (z.B. Benutzerphoto) und eine lokalisierte Version der Datumsanzeige (z.B. Geburtsdatum: Samstag, 28. Mai 1977 gegenüber Date Of Birth: Saturday, May 28, 1977).

Ebenso konnte eine erste Version der Challenge-Response-Administrationsseite entwickelt werden. Sie erlaubt den zukünftigen Nutzern, die Eigenverwaltung der sog. Sicherheitsfragen zur Passwort-Wiederherstellung.

IDM-Wochen_E-Mail KW 16

Nachdem alle Teammitglieder wieder aus dem Urlaub zurück sind, wird derzeit die Projektplanung unter Berücksichtigung der Fehlzeiten überarbeitet.

Die Datenbereinigung ist durch den Einsatz einiger studentischer Hilfskräfte inzwischen soweit vorangeschritten, dass nur noch ca. 200 Klärfälle behandelt werden müssen. Herr Büttner wird sich darum kümmern.

Der Datenbestand, der nicht zu Personen aus den Quellsystemen SOS und Diapers zugeordnet werden konnte, wird als Neuanlage unter Sonstigen bzw. Gästen eingepflegt. Diese Einträge erhalten ein Ablaufdatum, um passive Einträge eliminieren zu können. Spätestens bei der Rückmeldung der aktiven Gäste kann noch einmal überprüft werden, ob man die Einträge einer bereits vorhandenen Person zuordnen kann.

Die Listen mit fehlerhaften oder nicht eindeutigen Einträgen in den Quellsystemen sind bei den Fachanwendern und werden bearbeitet, sodass die Datenbasis weiter verbessert wird.

Die Arbeiten am Web-Frontend gehen gut voran. Herr Tröger wird dazu einen Artikel für den Blog schreiben.

Herr Singer beschäftigte sich mit der Dokumentation im Wiki und erzeugte ein JBoss-rpm.

Herr Rygus kümmert sich um nötige Anpassungen der Treiber und die endgültige Definition der führenden Systeme pro Attribut. Er vertrat auch das RRZE bei der Vidokonferenz der IDM-interessierten Rechenzentren in Bayern.

Die Anbindung von UnivIS scheitert im Moment an der fehlenden Manpower. Hier denkt IDMone daran, die Entwicklung des nötigen Treibers an Novell Consulting zu vergeben.

Nächste Woche wird an der Entwicklung der Web-Anwendungen gearbeitet, die Datenbereinigung abgeschlossen und die Treiber mit den Regeln zur Berücksichtigung der führenden Systeme pro Attribut versehen. Novell Consulting wird vor Ort Audit einführen und die UnivIS-API sichten, um ein Angebot für die Treiberentwicklung stellen zu können.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS