RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

IDM-Wochen_E-Mail KW 17

Die vergangene Woche wurde genutzt, um den Projektplan auf den aktuellen Stand zu bringen. Es zeichnet sich ab, dass die Neuentwicklung des Web-Frontends den Termin für die Inbetriebnahme von IDMone etwas verzögert. Die Manpower, die in die Programmierung gesteckt werden muss, fehlt leider an anderer Stelle.

Nichts desto trotz wird weiter zielstrebig am Gesamtsystem gearbeitet.

Herr Tröger hat bereits einen Blog-Beitrag zu den Arbeiten am Web-Frontend veröffentlicht (http://www.blogs.uni-erlangen.de/IDM/stories/1653/). Dem ist nichts hinzuzufügen.

Herr Singer und Herr Rygus kümmerten sich um die Vorbereitung einer Demo der Firma Eurikify. Diese Firma wird am Mittwoch via Telefon, Chat und Webkonferenz-Tools ihre Software (Rollenmanagement) vorstellen.

Des weiteren war letzte Woche Novell Consulting im Haus um die Möglichkeiten von Novell Audit vorzustellen. Herr Singer und Herr Rygus wurden umfassend informiert und konnten die Quellsystemtreiber mit entsprechenden Regeln versorgen. Es gibt also bereits eine laufende Konfiguration, die gemäß den Regeln, die sich aus dem Dienstleistungsportfolio ergeben, angepasst und ergänzt werden können.

Ein Angebot für einen UnivIS-Treiber erfordert noch die Klärung einiger Fragestellungen mit Config. Ein grober Rahmen liegt allerdings vor.

Die Datenbereinigung ist leider noch nicht abgeschlossen, da die letzten Klärfälle offensichtlich überproportional viel Zeit erfordern. Es werden daher nur schnell zu bearbeitende Klärfälle beachtet. Der Rest wird in die Nachklärung durch das Ablaufdatum übertragen.

Diese Woche wird weiter an der Entwicklung der Web-Anwendungen gearbeitet, die Datenbereinigung abgeschlossen und das Rollenmodell für Admins ein letztes Mal überdacht. In der AG IDMone wird der Stand der Dinge dargestellt und offen Punkte geklärt.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

Von Rollen, Passwörtern und Protokollierung

Die in der Woche zuvor begonnen Arbeiten der Challenge-Response-Anbindung an Novell’s eDirectory wurden weiter voran getrieben. Sowohl die äußere Form als auch die darunter liegenden Schichten wurden verbessert. Abzüge in Sachen Usability werden dennoch nicht ausbleiben, da die von Novell zur Verfügung gestellte Schnittstelle einige Beschränkungen aufweist.

Viel Arbeit wurde in die Passwortverwaltung gesteckt. Sichtbar für den Benutzer ist jedoch lediglich die Vereinheitlichung der Formulare, welche nun nach den aktuellen Vorgaben des Web-Baukastens aufgebaut sind. Unter der Oberfläche konnte die Authentifizierung mittels Challenge & Response, zum Zurücksetzen des eigenen Passworts, gegen das eDirectory erfolgreich implementiert werden.

Um eine Trennung zwischen Berechtigungsrollen und den Zugriff auf geschütze Ressourcen zu erreichen, wurde ein eigens dafür angefertigter “ProofOfAuthority-Service” eingeführt. Dadurch können Änderungen an den Rollen und deren Berechtigungen an einer zentralen Stelle vollzogen werden. Die Verbindung von Spring Security 2.0 (veröffentlicht am 15.04.2008) und Tapestry 5 wurde über eine generische “Access Denied”-Seite weiter verbessert.

Durch den Besuch von Norbert Klasen (Novell) konnte mit der Anbindung des IDM-Service-Portals an das Novell Audit System begonnen werden. Dabei findet das Nsure Audit SDK von Novell Verewendung. Angestrebt wird die Implementierung eines sog. Apache log4j “Appenders”. Wichtige Aktionen der Benutzer (z.B. das Zurücksetzen des Passworts) können dadurch IDMone-einheitlich protokolliert werden.

Zuletzt wurde mit einer der letzten im ersten Release geplanten Funktionen begonnen: den Aktivierungsseiten. Diese Seiten enthalten die erforderlichen Schritte zum Aktivieren eines IDMone-Accounts; also Akzeptieren der Benutzerrichtlinien und setzen des eigenen Passworts.

Of Roles, Passwords and Logging

In the last week the work on a challenge-response-connection to Novell’s eDirectory was pushed forward. Both the outside appearance and the layers below have been improved. Drawbacks in usability won’t be avoidable, because the connection provided by Novell shows some limitations.

A lot of work was put in the password management. Visible for the user however is the unification of forms which are build with current standards of the web model kit. Under the surface the authentification could be successfully implemented via challenge & response, to put back the password, against eDirectory.

To achieve the division between entitlement roles and access to safe resources, a special for this case developed “ProofOfAuthority-Service” was introduced. So changes within roles and their rights can be made at a central point. The connection of Spring Security 2.0 (published 15.04.2008) and Tapestry 5 was further improved with a generic “Access Denied” page.

Due to the try of Norbert Klasen (Novell), the connection of the IDM-Service-Portal with the Novell Audit System started. Therefore Novell’s Nsure Audit SDK is used. The intended aim is the implementation of a so called  Apache log4j “Appenders”. Important actions of users (e.g. to set back the password) can therefore be protocoled IDMone consistent.

Finally one of the latest planned functions for the first release started: the activation pages. These pages contain the needed steps to activate an IDMone account; also to accept the user guidelines and to set a new password.

Kleinvieh macht auch Mist

In der letzten Woche gab es in der Entwicklung des alternativen IDM-Service-Portals keine größeren Schritte zu verzeichnen. Dafür konnten gleich mehrere kleine, aber dennoch wichtige, (Teil-)Schritte abgeschlossen werden.

Der wichtigste Punkt dürfte wohl die Implementierung der Challenge-Response-Anbindung an Novell’s eDirectory sein. Der Novell Modular Authentication Service (kurz NMAS) bietet dazu eine Schnittstelle in Form einer Java-API an. Die Tücken liegen jedoch, wie so oft, im Detail und deshalb stellt die erfolgreiche Anbindung einen wichtigen Schritt im Gesamtprozess dar.

Desweiteren wurde die Lokalisierung des Web-Baukastens der Friedrich-Alexander-Universität für das IDM-Service-Portal vorerst abgeschlossen. D.h. sämtliche Teile des verwendeten Baukastens wurde mit entsprechenden Platzhaltern versehen und somit für die Verwendung in beliebigen Sprachen vorbereitet. Damit erreicht die entstehende Anwendung einen ersten Vorteil gegenüber der ursprünglich geplanten UserApp.

Neben der Challenge-Response-Anbindung konnte im “Untergrund” eine erste Version der Spring-LDAP-User-DAO-Implementierung gegen das Meta-Directory von IDMone fertiggestellt werden.

Darauf aufbauend wurde die komplette Datenschutzselbstauskunft-Seite der UserApp (eine Eigenentwicklung des RRZEs durch Oleg Britvin) auf Tapestry 5 umgesetzt. Erweitert wurde die Komponente durch die Anzeige von Bild-Attributen (z.B. Benutzerphoto) und eine lokalisierte Version der Datumsanzeige (z.B. Geburtsdatum: Samstag, 28. Mai 1977 gegenüber Date Of Birth: Saturday, May 28, 1977).

Ebenso konnte eine erste Version der Challenge-Response-Administrationsseite entwickelt werden. Sie erlaubt den zukünftigen Nutzern, die Eigenverwaltung der sog. Sicherheitsfragen zur Passwort-Wiederherstellung.

 

A Penny saved is a Penny got

In the last week there haven’t been bigger developments of the alternative IDM-Service-Portal. Therefore several smaller, but yet important steps have been solved.

Der wichtigste Punkt dürfte wohl die Implementierung der Challenge-Response-Anbindung an Novell’s eDirectory sein. Der Novell Modular Authentication Service (kurz NMAS) bietet dazu eine Schnittstelle in Form einer Java-API an. Die Tücken liegen jedoch, wie so oft, im Detail und deshalb stellt die erfolgreiche Anbindung einen wichtigen Schritt im Gesamtprozess dar.

Desweiteren wurde die Lokalisierung des Web-Baukastens der Friedrich-Alexander-Universität für das IDM-Service-Portal vorerst abgeschlossen. D.h. sämtliche Teile des verwendeten Baukastens wurde mit entsprechenden Platzhaltern versehen und somit für die Verwendung in beliebigen Sprachen vorbereitet. Damit erreicht die entstehende Anwendung einen ersten Vorteil gegenüber der ursprünglich geplanten UserApp.

Neben der Challenge-Response-Anbindung konnte im “Untergrund” eine erste Version der Spring-LDAP-User-DAO-Implementierung gegen das Meta-Directory von IDMone fertiggestellt werden.

Darauf aufbauend wurde die komplette Datenschutzselbstauskunft-Seite der UserApp (eine Eigenentwicklung des RRZEs durch Oleg Britvin) auf Tapestry 5 umgesetzt. Erweitert wurde die Komponente durch die Anzeige von Bild-Attributen (z.B. Benutzerphoto) und eine lokalisierte Version der Datumsanzeige (z.B. Geburtsdatum: Samstag, 28. Mai 1977 gegenüber Date Of Birth: Saturday, May 28, 1977).

Ebenso konnte eine erste Version der Challenge-Response-Administrationsseite entwickelt werden. Sie erlaubt den zukünftigen Nutzern, die Eigenverwaltung der sog. Sicherheitsfragen zur Passwort-Wiederherstellung.

IDM-Wochen_E-Mail KW 16

Nachdem alle Teammitglieder wieder aus dem Urlaub zurück sind, wird derzeit die Projektplanung unter Berücksichtigung der Fehlzeiten überarbeitet.

Die Datenbereinigung ist durch den Einsatz einiger studentischer Hilfskräfte inzwischen soweit vorangeschritten, dass nur noch ca. 200 Klärfälle behandelt werden müssen. Herr Büttner wird sich darum kümmern.

Der Datenbestand, der nicht zu Personen aus den Quellsystemen SOS und Diapers zugeordnet werden konnte, wird als Neuanlage unter Sonstigen bzw. Gästen eingepflegt. Diese Einträge erhalten ein Ablaufdatum, um passive Einträge eliminieren zu können. Spätestens bei der Rückmeldung der aktiven Gäste kann noch einmal überprüft werden, ob man die Einträge einer bereits vorhandenen Person zuordnen kann.

Die Listen mit fehlerhaften oder nicht eindeutigen Einträgen in den Quellsystemen sind bei den Fachanwendern und werden bearbeitet, sodass die Datenbasis weiter verbessert wird.

Die Arbeiten am Web-Frontend gehen gut voran. Herr Tröger wird dazu einen Artikel für den Blog schreiben.

Herr Singer beschäftigte sich mit der Dokumentation im Wiki und erzeugte ein JBoss-rpm.

Herr Rygus kümmert sich um nötige Anpassungen der Treiber und die endgültige Definition der führenden Systeme pro Attribut. Er vertrat auch das RRZE bei der Vidokonferenz der IDM-interessierten Rechenzentren in Bayern.

Die Anbindung von UnivIS scheitert im Moment an der fehlenden Manpower. Hier denkt IDMone daran, die Entwicklung des nötigen Treibers an Novell Consulting zu vergeben.

Nächste Woche wird an der Entwicklung der Web-Anwendungen gearbeitet, die Datenbereinigung abgeschlossen und die Treiber mit den Regeln zur Berücksichtigung der führenden Systeme pro Attribut versehen. Novell Consulting wird vor Ort Audit einführen und die UnivIS-API sichten, um ein Angebot für die Treiberentwicklung stellen zu können.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Dienstleistungsportfolio
– Anbindung UnivIS

Brainshare 2008 – Part two

In der Zeit vom 17.03. – 21.03.2008 besuchten Herr Rygus und Herr Singer die Hausmesse ?Brainshare? der Firma Novell in Salt Lake City.
Die Messe bot einen Überblick über Neuerungen bestehender Produkte und die Präsentation von Neuentwicklungen.

Herr Singer besuchte folgende Veranstaltungen:

Mo 08:00 ? General Session: Brainshare Kick Off
Mo 12:00 ? Accelerating Your Novell Identity Manager Deployments
Mo 13:30 ? The Future of Linux
Mo 15:00 ? Virtualization and Its Impact on Interoperability between Windows and Linux
Mo 16:30 ? Securing Your Systems with AppArmor

Di 08:30 ? Fault-tolerant Computing with Linux High Availability
Di 10:00 ? Troubleshooting Novell Identity Manager 3.5.x
Di 11:30 ? High Availability and Cluster Solutions for Linux and Windows
Di 13:00 ? Novell Sentinel Collector Development: Beyond Basic Parsing
Di 14:30 ? Optimizing SUSE Linux Enterprise Server File Systems for Maximum Performance

Mi 08:00 ? General Session: Open Platform Solutions Demos
Mi 12:00 ? Event Handling in Workflow Forms with Novell Identity Manager 3.6
Mi 15:00 ? Novell eDirectory 8.8: Advanced Configuration
Mi 16:30 ? Penetration Testing and Protecting Networks Using Novell AppArmor

Do 08:30 ? Advanced Linux BASH Course
Do 11:30 ? Thin Linux – The Benefits of Linux Thin Clients and Terminal Services
Do 13:15 ? Security@Novell: An Overview of Security in SUSE Linux Enterprise Server
Do 14:30 ? Using Novell Sentinel to Understand your Identity Events

Fr 08:00 ? Benchmark Testing for SUSE Linux Enterprise Server and Clustering
Fr 09:30 ? Options for Integrating Novell Identity Manager With Linux and UNIX Systems
Fr 11:00 ? Novell Sentinel Solution Packs

Vor allem durch die Sessions zur Virtualisierung von Systemen, Optimierung von Filesystemen oder Tuningtipps rund um das eDirectory wurde viel Wissen vermittelt, welches im Arbeitsalltag seine praktische Anwendung finden wird.

Neben den Vorträgen fand auch reger Austausch mit Mitarbeitern der Firma Novell und deren Partner, sowie den anderen Besuchern der ?Brainshare? statt.
Unter anderem wurde dabei auf die Auswirkungen eines Restores, der Daten des Meta-Directory, auf die provisionierten Zielsysteme hingewiesen. Das System sieht die zurückgesicherten Daten als neue Personen an. Dadurch werden in den Zielsystemen neue Benutzer mit einer neuen ID erstellt, welche somit nicht mehr auf ihre bestehenden Daten (Home, …) zugreifen können.

Ein weiterer Punkt das Betriebssystem SuSE Linux Enterprise Server 11. Dazu konnten leider noch keine näheren Details gegeben werden außer, dass es neue Features im Bereich Virtualisierung, Hochverfügbarkeit oder Interoperabilität geben wird.

Allgemein zusammenfassend war der Besuch der ?Brainshare? sehr lohnenswert. Das neuerlangte Wissen und die geknüpften Kontakte sind für den weiteren Projektablauf äußerst wichtig. Die vorgetragenen Wünsche an die Entwickler wurden offen entgegengenommen und werden an die Verantwortlichen weitergegeben.
Die Chance mit den Entwicklern direkt kommunizieren zu können und somit wichtige Informationen zu erlangen sollte man auch in Zukunft wahrnehmen.

Brainshare 2008

Dieses Jahr besuchten zwei Mitarbeiter des RRZE, Herr Singer und Herr Dr. Rygus die Brainshare der Firma Novell in Salt Lake City (16.03.08-21.03.08). Der Fokus lag auf den Produkten IDM, SUSE und den damit verbundenen Themen.

Die Veranstaltung war wieder einmal perfekt organisiert. Als neuer IDM-Chef wurde Jim Ebzery vorgestellt. SAP ist als Hauptsponsor und Partner von Novell sehr stark aufgetreten. Die Brainshare hatte mehrere Hauptthemen, wobei Teaming + Conferencing und das Roles Based Module am nähesten an den Themenschwerpunkten von IDMone lagen.

Viel Neues an der IDM-Applikation selbst ist aus IDM-Sicht nicht vorgetragen worden. Man will eine Art Echtzeit-Verhalten erreichen, damit man sich nicht so viele Gedanken um die nicht möglichen Transaktionen machen muss. Des weiteren hat man erkannt, dass man in einem grösseren Projekt schnell mal die Übersicht verlieren kann. Deshalb soll ein grösseres Augenmerk auf das Policy-Management gelegt werden. Einen weiteren Schwerpunkt stellt ‘governance and compliance’ dar. Hier will man sich offenbar gegen alles absichern, was an juristischem Unbill auf einen zukommen kann.

Derzeit gibt es Verbesserungen am Designer, iManager und an der User Application. Das Roles Based Module wurde als das neue goldene Ei vorgestellt.

Künftig (ab Sommer diesen Jahres) soll es noch weitere, ganz nette Features geben:

– Designer:
– er soll einen Team Editor bekommen und Dokumentenverwaltung via svn unterstützen.
– Im Resource-Kit gibt es eine ‘state machine’, mit der man die Reihenfolge sequenziell auszuführender Schritte festlegen kann. IDMone wird das testen.

– iManager:
– Parallelansicht von Treiberübersicht und Details
– Überwachungs-Features (Cache, Status, driver health, …)

– Nested Groups werden künftig voll unterstützt

Als Software Enhancement wurde aufgenommen, dass man künftig (wann wurde nicht gesagt) feststellen und verarbeiten kann, woher ein Event kommt (cache oder direkt). Das kann im Moment zu Fehlern führen.

Zum Thema Rollenmanagement gab es eine sehr gute Präsentation der Firma Eurekify (http:www.eurekify.com). Sie kann offenbar ein gut ausgewogenes Rollen-Management mit Role-Mining, um immer wieder Herr der Lage zu werden. Leider ist die Anbindung noch sehr dürftig. Auf Anfrage wurde eine Anbindung via Treiber in Aussicht gestellt. Derzeit muss man über einen CSV-Treiber kommunizieren. Novell unterstützt diesen Partner und will laut eigener Aussage kein Konkurenzprodukt schaffen. Wenn man das Roles Based Module sinnvoll einsetzen möchte, wird man also um Eurekify nicht herum kommen.

Das Thema Datenanalyse soll der Analyzer oder Enforcer (gleiches Tool, zwei Namen) erleichtern. Leider kann der nicht einmal annähernd das, was von IDMone in sehr viel kürzerer Zeit entwickelt wurde. Bis dieses Tool einsetzbar wird, ist noch viel Arbeit nötig.

Mitarbeiter der Firma Novacost (Novell-Partner) stellten ein paar nette Tools vor, mit denen man Sicherheitslücken aufspüren kann. Mehr gibt’s auf deren Webseite (http://www.novacost.com).

Neue, ungeahnte Probleme zeigte eine Präsentation der Firma Blackbird auf. Offenbar gibt es bei einer IDM-Lösung durchaus andere Problematiken zu berücksichtigen, als beim normalen Backup. Nachdem ein Eintrag versehentlich gelöscht wurde, kann er nicht unbedingt bedenkenlos restauriert werden, da sich in einigen Zielsystemen die interne ID ändert und verbundene Objekte (Homes, Profile, …) ohne Zuordnung verbleiben. Das kann offenbar die Software DeTroubler von Blackbird beheben. Wiederum hat sich Novell dazu bekannt, kein Konkurenzprodukt zu entwickeln. IDMone wird sich das ansehen.

Im Techlab konnte Herr Rygus ausgiebig mit den Entwicklern diskutieren. Leider ergab die Diskussion mit den Entwicklern der User Application, dass diese Anwendung die Anforderungen von IDMone derzeit nicht erfüllt. Deshalb bleibt es in Erlangen beim Entschluss der Neuentwicklung eines Web-Frontends. Die sehr rege Diskussion in einer ‘best practices’ Session hat eindeutig gezeigt, dass es recht viele Kollegen auch in USA gibt, die ähnliche Probleme mit der User Application haben, wie IDMone. Langfristig (!) kann sich hier also durchaus noch etwas verbessern.

eDirectory soll künftig, wie bei OpenLDAP, auch Rechte für Mitglieder einer Gruppe auf Mitglieder einer Gruppe verarbeiten können. Diese Anforderung kam nicht nur aus Erlangen.

Der Sentinel als Ablösung von Audit konnte nur bedingt empfohlen werden, da er zu mächtig ist. Hier will man eine abgespeckte Lösung anbieten. Wann konnte nicht gesagt werden. IDMone wird vorerst mit Novell Audit beginnen.

Ein interessantes Tool scheint der Access Manager zu sein. Damit kann man u.a. SSO und Föderation für die gesamte Novell-Palette zzgl. Web-Anwendungen anbieten, und mit Shibboleth koppeln. So kann man einen Schritt weiter gehen, als nur mit Web-SSO.

Herr Singer wird einen ergänzenden Reisebericht im Blog veröffentlichen.

Kleines Team, große Schritte

Bereits in der ersten Woche konnte die kleine Gruppe um Krasimir Zhelev (PPSA) wichtige Fragen klären und die ersten Schritte in die richtige Richtung tun.

Das Layout des neuen IDMone-Service-Portals konnte dank des Web-Baukastens der Friedrich-Alexander-Universität beinahe vollständig umgesetzt werden. Da der Web-Baukasten bereits alle notwendigen Eigenschaften bietet, konnten sich die Entwickler auf dessen Integration als Komponente in Tapestry 5 konzentrieren. Dabei wurden gewisse Funktionen des auf Perl-basierende Navigations-Skript in Java und mit Mitteln von Tapestry 5 umgesetzt.

Die Möglichkeiten der Lokalisierung wurden getestet und ein sogenannter Locale-Switcher wurde entwickelt. Dadurch kann die Sprache des gesammten Portals umgestellt werden. Eine zusätzliche Sprache lässt sich ohne großen Aufwand, die eigentliche Übersetzungsarbeit einmal ausgenommmen, hinzufügen.

Die Arbeiten an einem Konzept für die Session-Verwaltung wurden begonnen. Login, Session Timeout und Logout konnten prototypisch umgesetzt werden. Dabei konnte das eigenentwickelte Navigationsmenu durch seine dynamisch anpassbare Menustruktur punkten.

Die Authentifizierung wurde bereits erfolgreich gegen unterschiedliche Datenhaltungen getestet. Unter den getesteten Datenhaltungen befindet sich selbstverständlich auch das Meta-Directory von IDMone. Damit ist eine Anmeldung von Personen wie bei der verworfenen UserApp bereits realisierbar. Eine erfolgreiche Authentifizierung gegen eine Datenbank inkl. hierarchischen Gruppen rundet die positiven Erfahrungen der ersten Woche ab.

 

Small Team Big Steps

Already in the first week the small group around Krasimir Zhelev (PPSA) could resolve important questions and take the first steps into the right direction.

The layout of the new IDMone-Service-Portal could nearly completely be implemented thanks to the Web-Baukastens der Friedrich-Alexander-Universität. Because this web construction kit already offers every necessary properties, the developers could concentrate on its integration as a component in Tapestry 5. In the process special functions of the Perl based navigation script were implemented in java with the help of tools by Tapestry 5.

The possibilities of localisation were tested and a so called locale-switcher was developed. Because of this the language of the whole portal can be changed without much work, apart from the translation work itself.

The work on a concept for the session management started. Login, Session Timeout and Logout could be implemented prototypically. At the same time the self developed navigation menu scored with its dynamic adaptable menu structure.

The authentification has already successfully been tested with different data keepings. Among the tested data keepings there is of course the meta-directory of IDMone. Therefore a registration of persons as for the rejected UserApp can be realised. A successful authentification against a data bank including hierarchical groups rounds up the possible impressions of the first week.

Startschuss für das neue IDMone-Service-Portal

Der Startschuss für die Eigenentwicklung des neuen IDMone-Service-Portals ist gefallen. Betraut mit dieser Aufgabe wurde die innerhalb der Stabsstelle “Projekte & Prozesse” neu gegründete Gruppe “PP Software Architektur” (kurz PPSA). Unter der Leitung von Krasimir Zhelev entsteht eine Web-Applikation, welche die komplexen Anforderungen von IDMone erfüllen wird.

Durch den sehr engen Zeitplan wird die Web-Applikation vorerst nur unbedingt nötige Funktionalitäten enthalten. Ziel für das erste Release ist eine solide Basis, welche mit geringem Aufwand um zusätzliche Funktionalitäten erweitert werden kann. Parallel sollen die Voraussetzungen für eine agile Softwareentwicklung geschaffen werden. Eine integrierte Umgebung für Spezifikation, Entwicklung, Tests und Dokumentation befindet sich im Aufbau.

 

Start of the new IDMone-Service-Portal

The starting signal for the self development of the new IDMone-Servie-Portal is fallen. The new founded group “PP Software Architecture” (PPSA) within the staff unit “Projects and Processes” is in charge of this project. Under the administration of Krasimir Zhelev a web application is developing which fulfills the complex requests of IDMone.

Because of the very tight schedule, the web application will only contain the absolutely neccessary functionalities for now. Goal of this first release is a solid base which can be expanded with further functionalities without much work. Parallel the preconditions for an agile software development should be created. An integrated environment for specifications, development, tests and documentation are work in progress.

IDM-Wochen_E-Mail KW 10

Die lange Stille im Blog heisst nicht, dass das Team von IDMone passiv war. Es wurde intensiv an allen Aufgaben gearbeitet, die als Voraussetzung für ein Roll-Out der ersten Version erledigt sein müssen.

Wie bereits berichtet, soll als erster Schritt die Anbindung der Quellsysteme SOS und Diapers abgelöst werden. Die dafür nötigen Treiber sind bis auf die Berücksichtigung der führenden Systeme pro Attribut fertig, wobei der Treiber für die SOS-Anbindung noch ohne Trigger läuft. Die Trigger sind zwar fertig, der Treiber erkennt sie aber noch nicht. Die erstaunlich gute Performanz beider Treiber erlaubt aber, zur Not auch ohne Trigger online zu gehen.

Um online zu gehen ist es nötig, die Datenqualität der Quellsysteme zu beurteilen und zu optimieren. Ebenso wichtig ist, dass die Einträge im Altsystem den Personen im IDM-Meta-Directory zugeordnet werden. Ansonsten kann das Altsystem nicht sinnvoll provisioniert werden.

Um das zu gewährleisten, wurden verschiedene Tools geschaffen.

Herr Tröger erstellte ein Matching-Framework, um flexibel neue Regelwerke implementieren zu können. Das Tool verfolgt einen generischen Ansatz und wird mit einer CRUD-Weboberfläche konfiguriert. Herr Zhelev fügte ein eingebettetes Regelwerk mit Hilfe von Java Business Rules Engine (drools) hinzu. Als Basis dafür wurde ein wissenschaftliches Fundament geschaffen, in dem erörtert wurde, wie man Personen-Objekte regelbasiert analysieren und matchen kann. Er hielt darüber einen Vortrag im Rahmen des Arbeitskreises Meta-Directory der Bayerischen Rechenzentren.

Daraus resultierten Fehlerlisten, die den Fachanwendern zur Verfügung gestellt wurden.

Ein ebenso wichtiges Ergebnis waren Methoden, mit deren Hilfe Einträge aus den Quellsystemen im Altsystem gefunden und markiert werden konnten. Leider blieben noch ca. 12000 Klärfälle übrig, wo nicht klar ist, ob es sich um ‘Sonstige’ (Gäste etc.) handelt, oder um Einträge mit Schreibfehlern, die nicht automatisch zu Einträgen aus den Zielsystemen zugeordnet werden konnten. Eine Liste mit ca. 5800 Einträgen, die in den Quellsystemen existieren aber nicht im Altsystem gefunden wurden wird derzeit von studentischen Hilfskräften abgearbeitet.

Damit diese Hilfskräfte effizient arbeiten können, wurde von Herrn Tröger ein Tool entwickelt, das einerseits gewährleistet, dass sie nur das sehen, was sie sehen dürfen, und andererseits die Arbeit stark unterstützt. Das Abarbeiten der Listen wird sicher noch einige Zeit in Anspruch nehmen.

Nicht zuletzt konnte aus den Erfahrungen mit den Matching-Algorithmen eine sinnvolle Kombination erarbeitet werden, die zu einem späteren Zeitpunkt in den Quellsystem-Treibern verwendung finden soll.

Das Altsystem wurde inzwischen auch lesend angebunden, wird aber vorerst nicht verwendet, da ein Parallelbetrieb von Alt- und Neusystem auf den gleichen Daten nicht mehr vorgesehen ist.

Die Anbindung von UnivIS steckt noch in den Kinderschuhen. Zwar existiert inzwischen eine Schnittstelle, aber im Moment verfügen wir nicht über die nötige Manpower für die Umsetzung. Erste Tests der API sind aber bereits erfolgt.

Herr Singer ist im Moment dabei, Novell Audit zu testen. Hier werden sich Herr Singer und Herr Rygus in Salt Lake City nähere Informationen holen. Im Moment lauscht ein rudimentär konfiguriertes Audit auf alles, was sich bietet.

Rein administrativ sind auch einige Hausaufgaben fertig gestellt worden. So sind die in der letzten Wochenmail erwähnten Platten im Produktivsystem im Betrieb. Die Nagios-Überwachung läuft. Unser Linux-Terminalserver ist inzwischen auch in Betrieb gegangen. Eine neue VMware für SSO ist auf Basis von Shibboleth 2.0 in Arbeit. Hier ist der Fokus aber noch etwas langfristiger. Vor Mai ist hier nicht mit entscheidendem Fortschritt zu rechnen. Als nächstes werden die Systeme an unser Backup angeschlossen.

Es wurde beschlossen, die bereits funktionsbereite Version des IDM-Systems für die Generierung von Kongress-WLAN-Accounts einzusetzen. Hier wird keine Datenbasis aus unserern Quellsystemen benötigt. Da keine schützenswerten Daten anfallen, kann das System im Wissenschaftsbereich bedenkenlos aufgesetzt werden. Die VMwares hierfür sind fertig. Die aktuellen Treiber müssen noch übertragen werden. Das System soll Ende dieser Woche für letzte Tests übergeben werden.

Zum Schluss muss leider noch angemerkt werden, dass IDMone mit seinen Anforderungen die Fähigkeiten der User Application derartig überfordert, dass beschlossen wurde, hier eine Eigenentwicklung einzusetzen. Das wirft zwar den Zeitplan von IDMone deutlich zurück, verspricht aber langfristig eine bessere, flexiblere, barrierefreie Weboberfläche, die wir besser pflegen können.

Die nächsten Schritte werden sein:

– Roll-Out der Kongress-WLAN-Anwendung
– Konzeption der Neuentwicklung zum Ersatz der User Application
– Herr Dr. Rygus und Herr Singer werden die Brainshare besuchen und dort versuchen, Antworten für eine Reihe von Fragen zu erhalten.

Die Top-Punkte im Risiko-Management sind derzeit:
– Neuentwicklung Web-Front-End
– Abbildung der Organisationsstruktur
– Anbindung RRZE-Abrechnung
– Dienstleistungsportfolio

Quellsystem-Treiber im Dauertest

Seit gestern befinden sich die Treiber zur Anbindung von IDMone an Diapers und HIS SOS im Dauerbetrieb. Dadurch soll die Stabilität getestet werden. Ein rudimentär implementierter Treiber zum Lesen der Daten aus dem Altsystem läuft ebenfalls im Dauerbetrieb. Eine gemeinsame Datenbasis ist in Vorbereitung.