RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

Von Rollen, Passwörtern und Protokollierung

Die in der Woche zuvor begonnen Arbeiten der Challenge-Response-Anbindung an Novell’s eDirectory wurden weiter voran getrieben. Sowohl die äußere Form als auch die darunter liegenden Schichten wurden verbessert. Abzüge in Sachen Usability werden dennoch nicht ausbleiben, da die von Novell zur Verfügung gestellte Schnittstelle einige Beschränkungen aufweist.

Viel Arbeit wurde in die Passwortverwaltung gesteckt. Sichtbar für den Benutzer ist jedoch lediglich die Vereinheitlichung der Formulare, welche nun nach den aktuellen Vorgaben des Web-Baukastens aufgebaut sind. Unter der Oberfläche konnte die Authentifizierung mittels Challenge & Response, zum Zurücksetzen des eigenen Passworts, gegen das eDirectory erfolgreich implementiert werden.

Um eine Trennung zwischen Berechtigungsrollen und den Zugriff auf geschütze Ressourcen zu erreichen, wurde ein eigens dafür angefertigter “ProofOfAuthority-Service” eingeführt. Dadurch können Änderungen an den Rollen und deren Berechtigungen an einer zentralen Stelle vollzogen werden. Die Verbindung von Spring Security 2.0 (veröffentlicht am 15.04.2008) und Tapestry 5 wurde über eine generische “Access Denied”-Seite weiter verbessert.

Durch den Besuch von Norbert Klasen (Novell) konnte mit der Anbindung des IDM-Service-Portals an das Novell Audit System begonnen werden. Dabei findet das Nsure Audit SDK von Novell Verewendung. Angestrebt wird die Implementierung eines sog. Apache log4j “Appenders”. Wichtige Aktionen der Benutzer (z.B. das Zurücksetzen des Passworts) können dadurch IDMone-einheitlich protokolliert werden.

Zuletzt wurde mit einer der letzten im ersten Release geplanten Funktionen begonnen: den Aktivierungsseiten. Diese Seiten enthalten die erforderlichen Schritte zum Aktivieren eines IDMone-Accounts; also Akzeptieren der Benutzerrichtlinien und setzen des eigenen Passworts.

Of Roles, Passwords and Logging

In the last week the work on a challenge-response-connection to Novell’s eDirectory was pushed forward. Both the outside appearance and the layers below have been improved. Drawbacks in usability won’t be avoidable, because the connection provided by Novell shows some limitations.

A lot of work was put in the password management. Visible for the user however is the unification of forms which are build with current standards of the web model kit. Under the surface the authentification could be successfully implemented via challenge & response, to put back the password, against eDirectory.

To achieve the division between entitlement roles and access to safe resources, a special for this case developed “ProofOfAuthority-Service” was introduced. So changes within roles and their rights can be made at a central point. The connection of Spring Security 2.0 (published 15.04.2008) and Tapestry 5 was further improved with a generic “Access Denied” page.

Due to the try of Norbert Klasen (Novell), the connection of the IDM-Service-Portal with the Novell Audit System started. Therefore Novell’s Nsure Audit SDK is used. The intended aim is the implementation of a so called  Apache log4j “Appenders”. Important actions of users (e.g. to set back the password) can therefore be protocoled IDMone consistent.

Finally one of the latest planned functions for the first release started: the activation pages. These pages contain the needed steps to activate an IDMone account; also to accept the user guidelines and to set a new password.

Kleinvieh macht auch Mist

In der letzten Woche gab es in der Entwicklung des alternativen IDM-Service-Portals keine größeren Schritte zu verzeichnen. Dafür konnten gleich mehrere kleine, aber dennoch wichtige, (Teil-)Schritte abgeschlossen werden.

Der wichtigste Punkt dürfte wohl die Implementierung der Challenge-Response-Anbindung an Novell’s eDirectory sein. Der Novell Modular Authentication Service (kurz NMAS) bietet dazu eine Schnittstelle in Form einer Java-API an. Die Tücken liegen jedoch, wie so oft, im Detail und deshalb stellt die erfolgreiche Anbindung einen wichtigen Schritt im Gesamtprozess dar.

Desweiteren wurde die Lokalisierung des Web-Baukastens der Friedrich-Alexander-Universität für das IDM-Service-Portal vorerst abgeschlossen. D.h. sämtliche Teile des verwendeten Baukastens wurde mit entsprechenden Platzhaltern versehen und somit für die Verwendung in beliebigen Sprachen vorbereitet. Damit erreicht die entstehende Anwendung einen ersten Vorteil gegenüber der ursprünglich geplanten UserApp.

Neben der Challenge-Response-Anbindung konnte im “Untergrund” eine erste Version der Spring-LDAP-User-DAO-Implementierung gegen das Meta-Directory von IDMone fertiggestellt werden.

Darauf aufbauend wurde die komplette Datenschutzselbstauskunft-Seite der UserApp (eine Eigenentwicklung des RRZEs durch Oleg Britvin) auf Tapestry 5 umgesetzt. Erweitert wurde die Komponente durch die Anzeige von Bild-Attributen (z.B. Benutzerphoto) und eine lokalisierte Version der Datumsanzeige (z.B. Geburtsdatum: Samstag, 28. Mai 1977 gegenüber Date Of Birth: Saturday, May 28, 1977).

Ebenso konnte eine erste Version der Challenge-Response-Administrationsseite entwickelt werden. Sie erlaubt den zukünftigen Nutzern, die Eigenverwaltung der sog. Sicherheitsfragen zur Passwort-Wiederherstellung.

 

A Penny saved is a Penny got

In the last week there haven’t been bigger developments of the alternative IDM-Service-Portal. Therefore several smaller, but yet important steps have been solved.

Der wichtigste Punkt dürfte wohl die Implementierung der Challenge-Response-Anbindung an Novell’s eDirectory sein. Der Novell Modular Authentication Service (kurz NMAS) bietet dazu eine Schnittstelle in Form einer Java-API an. Die Tücken liegen jedoch, wie so oft, im Detail und deshalb stellt die erfolgreiche Anbindung einen wichtigen Schritt im Gesamtprozess dar.

Desweiteren wurde die Lokalisierung des Web-Baukastens der Friedrich-Alexander-Universität für das IDM-Service-Portal vorerst abgeschlossen. D.h. sämtliche Teile des verwendeten Baukastens wurde mit entsprechenden Platzhaltern versehen und somit für die Verwendung in beliebigen Sprachen vorbereitet. Damit erreicht die entstehende Anwendung einen ersten Vorteil gegenüber der ursprünglich geplanten UserApp.

Neben der Challenge-Response-Anbindung konnte im “Untergrund” eine erste Version der Spring-LDAP-User-DAO-Implementierung gegen das Meta-Directory von IDMone fertiggestellt werden.

Darauf aufbauend wurde die komplette Datenschutzselbstauskunft-Seite der UserApp (eine Eigenentwicklung des RRZEs durch Oleg Britvin) auf Tapestry 5 umgesetzt. Erweitert wurde die Komponente durch die Anzeige von Bild-Attributen (z.B. Benutzerphoto) und eine lokalisierte Version der Datumsanzeige (z.B. Geburtsdatum: Samstag, 28. Mai 1977 gegenüber Date Of Birth: Saturday, May 28, 1977).

Ebenso konnte eine erste Version der Challenge-Response-Administrationsseite entwickelt werden. Sie erlaubt den zukünftigen Nutzern, die Eigenverwaltung der sog. Sicherheitsfragen zur Passwort-Wiederherstellung.

Kleines Team, große Schritte

Bereits in der ersten Woche konnte die kleine Gruppe um Krasimir Zhelev (PPSA) wichtige Fragen klären und die ersten Schritte in die richtige Richtung tun.

Das Layout des neuen IDMone-Service-Portals konnte dank des Web-Baukastens der Friedrich-Alexander-Universität beinahe vollständig umgesetzt werden. Da der Web-Baukasten bereits alle notwendigen Eigenschaften bietet, konnten sich die Entwickler auf dessen Integration als Komponente in Tapestry 5 konzentrieren. Dabei wurden gewisse Funktionen des auf Perl-basierende Navigations-Skript in Java und mit Mitteln von Tapestry 5 umgesetzt.

Die Möglichkeiten der Lokalisierung wurden getestet und ein sogenannter Locale-Switcher wurde entwickelt. Dadurch kann die Sprache des gesammten Portals umgestellt werden. Eine zusätzliche Sprache lässt sich ohne großen Aufwand, die eigentliche Übersetzungsarbeit einmal ausgenommmen, hinzufügen.

Die Arbeiten an einem Konzept für die Session-Verwaltung wurden begonnen. Login, Session Timeout und Logout konnten prototypisch umgesetzt werden. Dabei konnte das eigenentwickelte Navigationsmenu durch seine dynamisch anpassbare Menustruktur punkten.

Die Authentifizierung wurde bereits erfolgreich gegen unterschiedliche Datenhaltungen getestet. Unter den getesteten Datenhaltungen befindet sich selbstverständlich auch das Meta-Directory von IDMone. Damit ist eine Anmeldung von Personen wie bei der verworfenen UserApp bereits realisierbar. Eine erfolgreiche Authentifizierung gegen eine Datenbank inkl. hierarchischen Gruppen rundet die positiven Erfahrungen der ersten Woche ab.

 

Small Team Big Steps

Already in the first week the small group around Krasimir Zhelev (PPSA) could resolve important questions and take the first steps into the right direction.

The layout of the new IDMone-Service-Portal could nearly completely be implemented thanks to the Web-Baukastens der Friedrich-Alexander-Universität. Because this web construction kit already offers every necessary properties, the developers could concentrate on its integration as a component in Tapestry 5. In the process special functions of the Perl based navigation script were implemented in java with the help of tools by Tapestry 5.

The possibilities of localisation were tested and a so called locale-switcher was developed. Because of this the language of the whole portal can be changed without much work, apart from the translation work itself.

The work on a concept for the session management started. Login, Session Timeout and Logout could be implemented prototypically. At the same time the self developed navigation menu scored with its dynamic adaptable menu structure.

The authentification has already successfully been tested with different data keepings. Among the tested data keepings there is of course the meta-directory of IDMone. Therefore a registration of persons as for the rejected UserApp can be realised. A successful authentification against a data bank including hierarchical groups rounds up the possible impressions of the first week.

Startschuss für das neue IDMone-Service-Portal

Der Startschuss für die Eigenentwicklung des neuen IDMone-Service-Portals ist gefallen. Betraut mit dieser Aufgabe wurde die innerhalb der Stabsstelle “Projekte & Prozesse” neu gegründete Gruppe “PP Software Architektur” (kurz PPSA). Unter der Leitung von Krasimir Zhelev entsteht eine Web-Applikation, welche die komplexen Anforderungen von IDMone erfüllen wird.

Durch den sehr engen Zeitplan wird die Web-Applikation vorerst nur unbedingt nötige Funktionalitäten enthalten. Ziel für das erste Release ist eine solide Basis, welche mit geringem Aufwand um zusätzliche Funktionalitäten erweitert werden kann. Parallel sollen die Voraussetzungen für eine agile Softwareentwicklung geschaffen werden. Eine integrierte Umgebung für Spezifikation, Entwicklung, Tests und Dokumentation befindet sich im Aufbau.

 

Start of the new IDMone-Service-Portal

The starting signal for the self development of the new IDMone-Servie-Portal is fallen. The new founded group “PP Software Architecture” (PPSA) within the staff unit “Projects and Processes” is in charge of this project. Under the administration of Krasimir Zhelev a web application is developing which fulfills the complex requests of IDMone.

Because of the very tight schedule, the web application will only contain the absolutely neccessary functionalities for now. Goal of this first release is a solid base which can be expanded with further functionalities without much work. Parallel the preconditions for an agile software development should be created. An integrated environment for specifications, development, tests and documentation are work in progress.