RRZE – Projekte & Prozesse (P&P)

Das Blog der RRZE Stabsstelle "Projekte & Prozesse"

Content

Kleinvieh macht auch Mist

In den letzten beiden Wochen konnten einige kleinere Aufgaben abgeschlossen
werden. So konnte die Nachbereitung der Teststellung, häufig durch wichtigere
Aufgaben unterbrochen, endliche abgehakt werden. Ergebnis ist eine
übersichtliche Zusammenfassung der durchgeführten Diapers-Anbindung und des
eingesetzten ID-Servers von Novell.

Weniger anstrengend, aber genauso zeitaufwendig war die Korrektur des
OID-Eintrags bei der Internet Assigned Numbers Authority (IANA). Seit dieser
Woche sieht der Eintrag von Nummer 693 der sog. “private enterprise numbers”
wie folgt aus:

693
Regionales Rechenzentrum Erlangen
Peter Rygus
verzeichnisdienst@rrze.uni-erlangen.de

Die vom RRZE registrierte OID dient zum Erstellen eines eigenen Schemas für
Verzeichnisdienste.

Als kleinen Programmiereinstand wurde das in C geschriebene pwgen
(http://sourceforge.net/projects/pwgen) in Java implementiert. pwgen dient zur
Generierung von benutzerfreundlichen Passwörtern, welche trotzdem noch einem
gewissen Sicherheitsstandard genuegen.

Desweiteren wurden die Grundsteine für zwei zentrale Dokumente innerhalb des
Projekts gelegt. Eines stellt eine erste Version des aktuellen Attributflusses
zwischen aktuellem Verzeichnisdienst und den daran angeschlossenen Systemen dar
und dient als Ausgangspunkt für die zukünftige Provisionierung. Das zweite
Dokument stellt einen Vergleich der verfügbaren, teilweise standardisierten
Schemas dar. Noch sind nicht alle Schemas eingepflegt, doch der Arbeitstitel
läßt erahnen was darin stectk: “Schlacht um Mittelschema”

4. Shibboleth-Workshop des DFN-AAI am 28.02.2007 in Berlin

Am 28.02.2007 lud das DFN im Anschluss an die DFN Betriebstagung zu einem Workshop zum Thema DFN-AAI ein. Gefolgt waren der Einladung ca. 100 Interessierte. Das RRZE wurde durch F. Hänel und P. Rygus sowie anfangs durch G. Dobler und F. Prester vertreten.

Nach der Begrüßung durch Herrn U. Kähler vom DFN Verein und einleitenden Worten von Herrn Ato Ruppert von der UB Freiburg via live-webcam-Schaltung gab Herr Franck Borel (UB Freiburg) eine techische Übersicht über die grundsätzliche Funktionsweise und den Aufbau des Shibboleth SSO Systems. Er wies nochmals darauf hin, dass personenbezogene Attribute nur mit Zustimmung des Kunden weitergegeben werden dürfen. In diesem Zusammenhang wurden auch die Tools ShARPE (https://wiki.aai.dfn.de/wiki/index.php/ShARPE) und Autograph (http://federation.org.au/twiki/bin/view/Federation/AutographView) erwähnt.

Er wies auch darauf hin, dass es noch keine Werkzeuge für die Verwaltung der Metadaten gibt. Man muss sich also umsehen, ob jemand etwas gebastelt hat, was sich abzukupfern lohnt.

Im Anschluss gab Herr U. Kähler vom DFN eine Übersicht über Organisation, Richtlinien, Attribute, Zertifikate und Zeitplan der DFN-Förderation. Die Dienste des DFN werden folgendes beinhalten:

– Betrieb der Technik (WAYF, Testumgebung, etc.)
– Vertragswesen (KEINE Lizenzverträge, nur Föderationsverträge) -> Diensthandbuch
– Ausbildung und Beratung
– Verteilung der Metadaten an Mitglieder der Föderation

Voraussetzung für die Mitgliedschaft in der DFN-Föderation:

– IDM mit SSO-Schnittstelle
– Einhalten der Qualitätsanforderungen bzgl. Aktualität, Verlässlichkeit, Verfügbarkeit
– Die benötigten Attribute müssen vorhanden sein.
– Zertifikate vom DFN-PKI o.ä. f. WAYF, Pers. Auth., …

Der nächste Vortrag von Herrn R. Borenius vom DFN erläuterte den Stand der Arbeiten an der Technik des DFN-AAI und den angestrebten Endzustand.

Herr Bernd Oberknapp vom AAR-Team erläuterte nach einer kurzen Kaffepause, wie man Anwendungen mit Shibboleth schützen kann.

Herr W. Hommel vom LRZ München berichtet im Anschluß vom VHB-AAI-Projekt über eLearning + Shibboleth in Bayern und welche Erweiterungen die DFN-AAI-Lösung noch erhalten müsste, um die Anforderungen der VHB zu erfüllen. In diesem Rahmen wurde auf eine Diplomarbeit verwiesen, die einen XACML 2.0-Standard vorschlägt.

Danach erläuterte Herr P. Gietz vom DAASI recht länglich über das voher veröffentlichte DFN-AAI-Schema. Siehe https://wiki.aai.dfn.de/wiki/images/9/98/DFN-AAI-Attribute-V08.doc

Zu guter letzt wurde von Herrn Oberknapp vom AAR-Team ein Ausblick auf Features der ausstehenden Shibboleth Version 2.0 gegeben, auf deren Erscheinen man aufgrund von Verzögerungen der Entwicklung nicht warten sollte. Als zu erwartende Neuerungen wurden u.a. SingleLogOut, ein nicht triviales Problem, sowie andere Methoden des Attributtransfers genannt.

Die Folien der Vorträge werden noch zur Verfügung gestellt werden.

Der anschließend angebotene Frage- und Diskussionsteil wurde wenig genutzt. Einige Teilnehmer verliessen die Veranstaltung aufgrund von ungünstigen Verkehrsverbindungen früher, und zum Abendessen waren die meisten schon auf der Heimreise.

Zum Glück waren die kompetenten AAR-Team Mitglieder und Ingo Müller von der Virtuellen Hochschule Bayern noch bis spät abends zum fachlichen Austausch verfügbar. Sowohl die VHB als auch das AAR-Team zeigt Interesse an einer Zusammenarbeit mit dem RRZE. Das wird sicherlich in Zukunft noch vertieft. So wurde z.B. vereinbart, bei der Anbindung von weiteren Applikationen Erfahrungen auszutauschen.

Herr Oberknapp wird von den entsprechenden Stellen eine Auskunft über die Verträglichkeit der Redirects beim Shibboleth-Procedere mit den Bestimmungen zur Barrierefreiheit von Webseiten einholen. Allgemein fiel mir auf, dass die Problematik der Barrierefreiheit bei keinem der anwesenden Fachleute im Fokus zu sein schien.

Treffen des VHB-AAI-Arbeitskreises am 09.02.2007 am LRZ in München

Am 09.02.2007 trafen sich die Mitglieder des Arbeitskreises, der die technische Zukunft der VHB abstecken sollte, am LRZ in München. Das RRZE wurde von P. Rygus vertreten.

Zunächst gab Herr Ingo Müller von der VHB eine einleitende Übersicht, um die Randbedingungen zu erläutern. Bemerkenswert erschien mir die große Zahl an Anbietern (333 Kurse von 36 Hochschulen pro Jahr) und Konsumenten (44500 Belegungen von 15000 Studenten pro Jahr).

Probleme entstehen durch proprietäre, teilweise noch papiergestütze Verfahren. Die Übermittlung der Leistungsnachweise und deren mangelnde Anerkennung durch die Hochschulen ist verbesserungswürdig.

Im Anschluß gab Herr Wolfgang Hommel vom LRZ eine kurze Einführung in die Software Shibboleth, mit der die VHB künftig die Authentifizierung und evtl. auch die Autorisierung realisieren möchte. Dabei wurde auch schnell klar, dass die vom AAI vorgesehenen Attribute (eduPerson) für die Zwecke der VHB nicht ausreichen werden.

Herr Franck Borell vom AAR-Projekt (UB Freiburg) gab danach einen Erfahrungsbericht über den bisherigen Verlauf des Projekts. Es zeigte sich , dass die Ziele nicht zu hoch gesteckt waren und man genug Zeit für den Support anderer hatte. Die Laufzeit wurde bis Mitte 2008 verlängert. Spätestens dann sollte alles zum DFN-AAI migriert sein, und sowohl der Betrieb, als auch die Beratung von dort aus geleistet werden. Ab Juni 2007 beginnt die Pilotphase des DFN-AAI mit einigen ausgewählten Einrichtungen.

Für uns könnte auch interessant sein, die in Freiburg realisierte Nagios- oder die SOAP-Anbindung abzukupfern.

Nach diesen Übersichtsvorträgen begann eine rege Diskussion, welche Ziele der Arbeitskreis wann in Angriff nehmen sollte. Es kristallisierten sich drei Zielrichtungen heraus.
1. Die Authentifizierung via Shibboleth und deren technische Umsetzung.
2. Die Übermittlung von Leistungsnachweisen bzw. die Anerkennung der erbrachten Leistungen durch die Hochschulen.
3. Die Benutzung von Resourcen von Trägerhochschulen

Man hat sich darauf geeinigt, zunächst den ersten Punkt anzugehen. Da das eh ein Thema des AK Meta-Dir ist, wird das nächste Treffen auch gemeinsam statt finden (09.05.2007 am RRZE). Die VHB und das RRZE haben eine Zusammenarbeit vereinbart, die die FH Coburg gerne nutzen würde. Dort gibt es kaum Personalresourcen, um eine eigene Shibboleth-Lösung aufzubauen. Das RRZE wird dabei helfen.

Der Zweite Punkt wird angegangen, wenn der erste gut vorangeschritten ist. Der dritte Punkt, so die Meinung der Mehrheit, ‘ergibt sich von alleine’. Schau mer mal.

IDM-Wochen-E-Mail 014

Es ist wieder mal Freitag und damit Zeit für einen Wochenbericht. Da wir uns diese Woche f2f gesehen haben, fasse ich mich hoffentlich kurz.

Nachdem das Fachkonzept endlich fertiggestellt wurde und die Lenkungsausschussitzung statt fand. Haben wir sofort Kurs auf das Feinkonzept genommen.

Herr Tröger hat dafür die Arbeit an der Liste der benötigten Attribute (Arbeitstitel: “Kampfstern Attributica”), dem Schema-Vergleich (Arbeitstitel: “Schlacht um Mittelschema”) sowie dem Konzept zur Anbindung des E-Mail-Systems fortgesetzt und verstärkt.

Herr Dr. Rygus und err Hänel waren auf dem DFN AAI Workshop in Berlin. Ihr Reisebericht folgt im Blog.

Das Thema Kartensysteme wird wohl nicht weiter zu verfolgen sein. Die technischen Lösungsanbieter der Universität und des Studentenwerks sind nicht kooperationsbereit und Herr Meyer vom Studentenwerk sieht derzeit in dieser Thematik auch keine Veränderung. Sollte die Universität über ein IDM-System verfügen und bereit sein, wie die FH Ingolstadt Geld für einen neuen Studierendenausweis zur Verfügung zustellen, ist er jedoch gesprächsbereit.

Anmerkung am Rande: Das Essen in der Südmensa soll sich bis Sommer bessern. Auch hier sind allerdings Investitionen notwendig.

Das bayernweite IDM-Konzept wurde heute in einer Videokonferenz diskutiert. Dabei zeigt sich, dass nur in Erlangen der Weg einer klaren Dienstleistungsdefinition und eines differenzierten Dienstleistungsportfolios gegangen wird. Da die anderen Rechenzentren dies nicht tun, unterscheiden sich die Anforderungen an das IDM massiv. Es wird sich zeigen, wohin das Konzept sich entwickelt.

Die Top-Punkte im Risiko-Management sind derzeit:
– Personelle Ausstattung
– Barriefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Ablösung der bisherigen Benutzerverwaltung bis Ende 2007
– Neueinführung Novell IDM
– Anbindung RRZE-Abrechnung

In der nächsten Woche gilt es den Feinkonzept Workshop 12. – 14.03. vorzubereiten.
Am Mittwoch und Donnerstag gibt es drei Bewerbungsgespräche, u.a. hoffen wir auf einen Webprogrammierer.
Außerdem findet am Freitag wieder die Videokonferenz Novell.IDM@Bayern statt, die als einzigen Tagesordnungspunkt das gemeinsame Konzept hat.

Protokoll Lenkungsausschusssitzung 02

Am 27.02.2007 fand die zweite Sitzung des IDMone Lenkungsausschusses statt. Hier nun der Bericht:

0. Aktuell
Unter dem Titel Mit IDMone fit für morgen” berichtet die aktuelle Ausgabe des uni kurier aktuell http://www.uni-erlangen.de/infocenter/presse/publikationen/unikurier_aktuell/uka_pdf/UKA_65.pdf auf Seite zwei über das Identity Management Projekt.

1.Status Projekt:
Das Projekt hat sich über die folgenden Meilensteine seit der letzten Sitzung am 12.12.2006 entwickelt.

Die Teststellung vom 15. – 25.01. hat nicht die Erwartungen der Teilnehmer erfüllt. Sie war zu ambitioniert und zu umfangreich angelegt. Allerdings hat sie in einigen technischen Punkten wesentliche Klarheit geschaffen.

Das zusätzlich aufgekommene Thema “Abbildung der Organisationsstruktur” wurde in einem Workshop am 22.01.2007 erstmalig mit einem breiten Kreis von Betroffenen thematisiert. Fest steht, dass es sich hierbei um keine Kernaufgabe von IDMone handelt. Es wurde mit den Ateuren ein gemeinsames Positionspapier entworfen und dem Kanzler übergeben. Die Umsetzung und personelle Ausstattung sind jedoch nach wie vor unklar.

Das Advanced Technical Training für den Novell Identity Manager 3 vom 13. – 15.02. wurde von den Beteiligten als sehr lehrreich gewertet. Im Hinblick auf technische Fragen, hat es Klarheit geschaffen. Allerdings wurden auch bestehende Hürden noch stärker sichtbar als zuvor. Zu nennen sind hier zum Einen die Berücksichtigung von Rollen und zum anderen der Themenkomplex “IDM Service-Portal”.

Insgesamt wurde die Zeit zwischen den zwei Lenkungsausschussitzungen intensiv für die interne Abstimmung der Know-How-Stände sowie die Fertigstellung des Fachkonzepts verwendet.

Zum Fachkonzept ist anzumerken, dass das Ziel das Altsystem abzulösen eine erhebliche Umfangserweiterung mit sich bringt. Herr Eggers hat dies Ziel bereits von August auf Dezember 2007 prolongiert. Der in Kapitel 4.7 des Fachkonzepts beschriebene Arbeitsumfang übersteigt die im Projekt derzeit vorhandenen personellen Ressourcen.
Am besten veranschaulicht dies ein Vergleich von Herrn Tröger, der das Bild des Mikadospiels benutzt. Die Schrittweise Migration ähnelt dem Ziehen von Stäbchen. Auf Grund des hohen Integrationsgrades der existierenden Lösung muss man jeweils schauen was wackelt. Eine genaue Abschätzung lässt sich wegen der fehlenden Prozess-Dokumentation nicht treffen. Auch kann die Migration nicht beschleunigt werden, da nur Gert Büttner und Dr. Peter Rygus hierzu in der Lage sind.
Um die Projektdokumentation zu fördern wir Novell Vorlagen für die Dokumentation der Konnektoren liefern.
Insgesamt liegt also ein Zielkonflikt zwischen der zeitnahen Ablösung des Altsystems und der einschränkungsfreien Migration vor.
Nach intensiver Diskussion sind die Lenkungsausschussmitglieder zu dem Schluss gekommen, dass eine Entscheidung hierzu erst getroffen werden kann, wenn die Arbeitspakete im Umfang und zeitlicher Reihenfolge definiert und der Projektplan aktualisiert wurde. Dies zu leisten wird Aufgabe des Feinkonzept-Monats März sein.
Es wurden noch kleinere Änderungen am Fachkonzept vorgenommen, das dann in der vorgelegten Form akzeptiert wurde.
Das Fachkonzept wird nach der Lenkungsausschussitzung unter http://www.rrze.uni-erlangen.de/forschung/laufende-projekte/20070228_IDMone_Fachkonzept_1.0.pdf online zur Verfügung gestellt.

2. Risiko Management – Review der Top Risiken / offene Punkte
Nach der
intensiven Diskussion zum ersten Tagesordnungspunkt stellt Herr Eggers kurz die aktuellen Projektrisiken vor.
a) Kategorie Blocker:
– Personelle Ausstattung (Zielkonflikt Ablösung vs. Umfang)
– Barriefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT-Struktur
b) Kategorie Critical:
– Ablösung der bisherigen Benutzerverwaltung bis 2007
– Neueinführung Novell IDM
– Anbindung RRZE-Abrechnung

Zum Punkt “Barriefreie Weboberfläche Novell Front-End” ist anzumerken, dass Novell einen aus Ihrer Sicht kompetenten Berater benannt hat, der am Feinkonzept mitarbeiten soll. Auf Grund des wesentlich vergrößerten Funktionsumfanges im Webbereich soll IDMone sofort mit der neusten Version 3.5 des Novell Identity Managers starten.
Wenn fest steht welche Aufwände durch die benötigten Funktionserweiterungen und die Bereitstellung einer barrierefreien Weboberfläche zu erwarten sind, soll bei der nächsten Lenkungsausschussitzung eine Aufgabenverteilung vorgenommen werden.

3.Ausblick bis nächster Termin / Nächster Termin
IDMone bfindet sich derzeit noch im Projektplan allerdings ist – wie oben ausgeführt – eine Planungsüberschreitung absehbar.

Das Projekt wird vom 12. bis 14.03. in einem Feinkonzept-Workshop alle offenen Fragen zusammen tragen, die Arbeitspakete definieren, verteilen und darauf aufbauend einen aktuellen Projektplan erstellen. Danach wird Herr Dr. Rygus versuchen einige offene Punkte auf der Brainshare in Salt Lake City (USA) zu klären.
In einem zweiten Workshop sollen vom 27. bis 29.03. sollen dann evtl. mit den Kollegen aus Würzburg die Detaillierungen zusammengetragen und die Projektplanung finalisiert werden.

Der geplante Entscheidungsworkshop zur IT-Prozessunterstützung wurde nach Rücksprache mit dem Kanzler vertagt, da die Akteure bisher kein entscheidungsförderndes Problembewusstsein entwickelt haben. Es wurde ein neuer Termin Mitte Mai ins Auge gefasst, zu dem ein Blick in das neue IDM-System Fragen aufwerfen und zur Beantwortung drängen soll.
Dieses Entwicklungssystem muss ausdrücklich noch nicht dem CD der FAU entsprechen.
Bis August und damit zum Berichtszeitpunkt an das StMWK wird nur Teilproduktivsystem online sein. Der bisherige Verzeichnisdienst wird parallel laufen müssen.

Der nächster Termin der Lekungsausschussitzung wurde auf den 04.04.2007 von 15 bis 17 Uhr im RRZE festgelegt.

4. Scope-Veränderung
Herr Lippert weist daruafhin, dass bei dem Start des Projekts davon ausgegangen wurde, dass der damals noch nicht eingestellte Projektleiter exklusiv für das Projekt arbeiten würde.
Er sieht derzeit Beeinträchtigungen für IDMone zum Einen im Projektmanagement, da Herr Eggers mit Campus Management, der Arbeit in Arbeitskreisen sowie der Koordination des bayernweiten IDM-Konzepts umfangreiche neue Aufgaben übernommen hat. Dadurch steht Herr Eggers zwangsläufig weniger für inhaltliche Arbeit zur Verfügung, was spürbare Auswirkungen im Projekt zeigt.
Zum Zweiten sieht Herr Lippert durch die im Laufe der Fachkonzeptphase neu hinzugekommenen Projektaufgaben, wie der Anbindung des RRZE-Rechnungswesens und der Abbildung Organisationsstruktur, eine Gefahr für die planungsgemäße Umsetzung des Projekt,

5.Verschiedenes:
Herr Eggers erläutert die Idee eines Sammelbandes IDM. Die Teammitglieder arbeiten derzeit soviele Themen auf, die so oder in ähnlicher Form auch von anderen Projekten geleistet werden müssen. Dies legt die Idee nahe, solche Informationen in einer Form zu dokumentieren, dass diese in einem Sammelband veröffentlicht werden können.
Der Lenkungsausschuss nimmt diese Idee zur Kenntnis allerdings unter der Auflage, dass die Arbeit im Projekt davon nicht beeinträchtigt werden darf.

Nach Ansicht von Herrn Eggers bietet das bayernweite IDM-Konzept für Novell Consulting Deutschland die Chance eine IDM Branchenlösung Universitäten zu entwickeln. Herr Adam ist zwar skeptisch aber durchaus aufgeschlossen und sieht drei alternative
Lösungsansätze:

5.1 Novell Consulting entwickelt generische Produkte stellt diese aber nicht mehr kostenfrei zukünftigen Kunden zur Verfügung, sondern verkauft Consulting Pakete. Dies wird für Novell aus bilanzieller Sicht problematisch.

5.2.
Die Hochschulen mit Consultingverträgen investieren einen gewissen Teil in einen gemeinsamen Pool und lassen Novell Consulting eine generalisierte Lösung entwickeln. Alle investierenden Hochschulen dürfen diese Gemeinschaftsentwicklungen nutzen. Neu hinzukommende Hochschulen müssen Fortentwicklungen finanzieren.

5.3. Es entsteht ein Bundlingprodukt von Hochschulen, dass ein Kernsystem und vorkonfektionierte Treiber samt Dokumentation umfasst und ohne Consulting erworben werden kann. Dies ist mit dem Produktmanagement in Provo zu diskutieren.

Herr Adam hat zugesagt, das Thema aufzugreifen und Novell intern zu kommunizieren.

Nachtrag: Service Provider

Seit etwa zwei Wochen haben wir einen exemplarischen Service Provider laufen, der in der TestFörderation mit unserem Identity Provider kommuniziert und bereits einen einfachen Zugriffsschutz auf Verzeichnisse anbieten kann (zB. für fauXpas o.ä.).
Seit etwa einer Woche schraubt Steffen Büttner an der Einbindung des RRZE News Systems.
Mit Wolfgang Wiese vom Webteam habe ich Kontakt aufgenommen und ihn zur Einbindung des RRZE-Wikis befragt. Er sieht noch grundlegende Probleme, wie etwa zusätzlicher Supportaufwand, Irritation der Benutzer durch Phishing Filter in neueren Browsern, etc. Abgesehen davon möchte er warten, bis das wiki auf leistungsfähigere Server umgezogen ist, die jetzigen scheinen ihm nicht ausreichend zu sein.
Morgen früh gehts nach Berlin, ich bin mal gespannt was der Tag bringt.

IDM-Wochen-E-Mail 013

Der 13. (in Worten: dreizehnte!) Wochenbericht von IDMone.

Die Woche stand komplett im Zeichen des Fachkonzepts.
Der Dienstag wurde dazu verwendet die von Gert Büttner zusammen gefassten Anmerkungen ausführlich zu diskutieren und weitestgehend abschließend zu beantworten.
Am Mittwoch hat das Team mit Jürgen Orschiedt von Novell das Fachkonzept finalisiert.
Das heute von Herrn Dr. Rygus den letzten Schliff erhält.

In einem Telefonat mit Herrn Kanzler Schöck wurde am Mittwoch beschlossen, dass der für den 12.03. terminierte Entscheidungsworkshop IT-Prozessunterstützung wegen fehlendem Problembewusstsein bei den Akteueren auf Mai vertagt wird. Bis dahin soll ein “IDM-System zum Anfassen” vorliegen, dass die Probleme wesentlich anschaulicher macht und offen zu Tage treten läßt.

Am Donnerstag wurde mit Jürgen Orschiedt die Feinkonzeption besprochen. Hierbei wurde der komplette Umfang des Release 1 durch gegangen und die vielen offenen Fragen zusammen getragen. Am Rande konnten wesentliche Begrifflichkeiten geklärt und definiert werden.
Fest steht nun, dass wir von Novell verbindliche Aussagen zum Leistungsspektrum der UserApp benötigen. Derzeit ist nicht klar, wer der Experte auf Seiten von Novell ist und ob sich die Anforderungen des Projekts mit diesem Produkt überhaupt umsetzen lassen.
Die Frage nach der Verantwortlichkeit für die Umsetzung verschärft der folgende Absatz.

Ausgerechnet heute musste eine Riskowarnung versendet werden:
http://www.blogs.uni-erlangen.de/IDM/stories/751/
Mit der derzeitigen personellen Ausstattung des Projektes wird der Termin August 2007 für das Release 1 in dem notwendigen Umfang, um das Altsystem komplett abschalten zu können, NICHT zu halten sein!

Das bayernweite IDM-Konzept nimmt weiter Formen an. Heute wurde die Version 0.3 kommuniziert. Außerdem hat auch die LMU ein reges Interesse an einer Mitarbeit bekundet.

Die Top-Punkte im Risiko-Management sind derzeit:
– Personelle Ausstattung
– Barriefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Neueinführung Novell IDM
– Anbindung RRZE-Abrechnung

Die kommende Woche wollen die Teammitglieder nutzen um den Feinkonzept-Workshop vorzubereiten. Am Dienstag wird der IDMone Lenkungsausschuss tagen, dem das Fachkonzept vorzulegen sein wird.
Herr Dr. Rygus wird in Berlin an der DFN-Betriebstagung i.S. DFN-AAI teilnehmen und aktuellste Informationen einholen.
Außerdem findet am Freitag wieder die monatliche Videokonferenz Novell.IDM@Bayern statt, die als einzigen Tagesordnungspunkt das gemeinsame Konzept hat.

RISIKO: Der IDM-Bewerber hat abgesagt

Leider ist es wieder mal Zeit für eine Risikowarnung bei IDMone.
Der einzige Bewerber, der für die Realisierung der Weboberfläche in Frage gekommen wäre, hat heute um 14:47 Uhr abgesagt!

Damit ist ein wesentlicher Teil der Arbeitspakete für das Release 1 ohne Bearbeiter.
Daraus folgt, dass das Release 1 in seinem geplanten Umfang gefährdet ist.

IDM-Wochen-E-Mail 012

Leider etwas spät, aber nun doch der Wochenbericht der vergangenen Woche, die ganz und gar vom Advanced Technical Training (ATT) bestimmt wurde:

Das ATT begann am 12.02.07 mit der Besichtigung des ATT-Raumes. Nach
kleineren Ergänzungen konnten der Raum als nutzbar definiert werden.
Herr Krause kam um ca. 12:00 Uhr und wurde von mir empfangen. Wir
sprachen das Programm nochmal durch und besichtigten nochmal den
ATT-Raum, wo doch noch ein paar Kleinigkeiten fehlten. Das konnte der
Christoph aber bereinigen.

Das ATT selbst begann am Dienstag. Teilnehmer waren 5 Beschäftigte des
RRZE und 3 externe Gäste.

Nach einer kurzen Einführung mit Überblick über die Komponenten von
Novell Identity Manager 3 führte Herr Krause den Designer vor.
Anschliessend wurden alle für uns interessanten Treiber und ihre
Eigenheiten kurz besprochen. Das ganze wurde immer wieder mit viel
Hintergrundwissen bereichert und auf Fragen jederzeit eingegangen.

Am zweiten Tag stand der Policy Builder im Vordergrund. Auch hier wurde
wieder auf Fragen ausführlich eingegangen. Besprochen wurde i.d.R. am
Beispiel des AD-Treibers u.A. die Einbindung von XML, Java und andere
Kniffe.

Am Donnerstag wurde in praktischen Übungen vertieft, was vorher
theoretisch gelehrt wurde.

Zum Abschluß wurden noch die User Application, Password Synchronisation,
Role Based Entitlements und Workflows mit Approval besprochen.

Das gesamte Training war beherrscht von einer atemberaubenden
Geschwindigkeit. Jede Menge Informationen in kürzester Zeit
beanspruchten die Aufmerksamkeit bis an die Grenzen. Herr Krause
verstand es aber, sich immer wieder bei Bedarf zu bremsen und dadurch
niemanden abzuhängen.

Es zeigte sich, dass unsere zwei technischen Consultants und Herr Krause
durchaus drei unterschiedliche Sichten für Lösungen unserer Aufgaben
haben und wir uns nochmal Gedanken machen müssen, wie wir die Software
optimal nutzen und trotzdem noch genug Transparenz für die Abläufe behalten.

Bleibt noch ein Dank an den Christoph Singer, der sich um das Setup des Raumes
gekümmert hat und an den Frank Tröger, der den Kaffee für die Koffein-Junkies
besorgt hat.

Außerdem war Herr Eggers am Montag und Dienstag auf der Sitzung des ZKI Arbeitskreises Verzeichnisdienste in Halle. Die Details entnehmen Sie bitte dem Reisebericht unter http://www.blogs.uni-erlangen.de/IDM/stories/731/.

Die Top-Punkte im Risiko-Management sind derzeit:
– Personelle Ausstattung
– Barriefreie Weboberfläche Novell Front-End
– Konsensverfahren
– Abbildung der Organisationsstruktur
– DIT -Struktur
– Neueinführung Novell IDM
– Anbindung RRZE-Abrechnung

Diese Woche sollen die Arbeiten am Fachkonzept abgeschlossen werden, wozu auch Herr Orschiedt vor Ort sein wird.

Treffen der kooperationsbereiten Novell IDM Hochschulen

Im Nachgang zur Sitzung des ZKI vd-ak haben sich auf Veranlassung von Frau Winklmeier (MMKH) die Vertreter der Hochschulen die Novell einsetzen und die an einem Austausch interessiert sind kurz zusammen gesetzt. Konkret waren dies:

  • CODEX Thüringen
  • Bayern (LRZ, Passau, Würzburg, RRZE)
  • FH Niederrhein

Dabei wurden folgende Informationen gesammelt:

  • Codex setzt noch Novell IDM 2.0.2 ein.
  • Jede Individuallösung und damit alle bsiherigen Vorschläge von Novell Consulting sind sehr beratungs- und damit kostenintensiv.
  • Die Individuallösungen machen die Wartung der Implementationen aufwendig, wodurch weitere Kosten entstehen.
  • Eine TCO-Betrachtung hat noch keine Hochschule durchgeführt, wobei der Sinn auch in Frage gestellt wird.
  • Die meisten Module basieren auf Novell Extend und sind damit nicht auf neuere Versionen des Novell IDM übertragbar.
  • Die Thüringer Kollegen weisen darauf hin, dass darauf geachtet werden muss, dass auch externe Tools auf dem MD arbeiten können. Auch die Novell Tools “vertragen” nur einen bestimmten Grad der Komplexität.
  • Die Novell Landesverträge in Thüringen und Bayern laufen Mitte 2008 ab.
  • Der Konsortialführer für Thüringen ist Herr Springer von der TU Illmenau.
  • Die FH Niederrhein (Dieter Roemgens) hat nicht die Ressourcen für eine eigene Novell IDM Implementation, stellt sich aber gerne als Tester der Branchenlösung zur Verfügung.
  • Die Uni Halle ist an einer Mitarbeit an einem generellen IDM-Konzept interessiert.

Darauf aufbauend wurde folgendes vereinbart:

  • Das RRZE (Herr Eggers) und das MMKH (Frau Winklmeier) übernehmen die Koordinierung der Initiative.
  • Die Kommunikation erfolgt vorzugweise über den ZKI ak-vd Verteiler.
  • Die Bayern konkretisieren ihr generelles IDM-Konzept.
  • Die Architekturalternativen, der schema-Vergleich sowie die Überlegungen zur DIT-Struktur müssen in das Konzeptpapier aufgenommen werden.
  • Eine Referenzimplementierung kann eine Novell IDM Branchenlösung sein.
  • Das RRZE führt diesbezüglich die Sondierungsgespräche mit Novell.
  • Codex und LRZ fungieren als Reviewpartner für das Konzept.
  • Das NRW Papier ist auf eine Verwendbarkeit zu prüfen.
  • Herr Roemgens wird versuchen Details zur Implementation an der Uni Dortmund in Erfahrung zu bringen.
  • Ende März bekommt das eCampus II Teilprojekt IDM die Möglichkeit an der Videokonferenz Novell.IDM@Bayern teilzunehmen.
  • Frau Winklmeier koordiniert von Hamburger Seite.
  • Thüringen und Bayern sollten versuchen die Verhandlungen für die Landesverträge zu koordinieren. Hamburg denkt darüber nach sich zu beteiligen.
  • Sobald ein einigermaßen stabiles Dokument vorliegt sollen die Mitglieder des ak-vd zur Mitarbeit aufgerufen werden.
  • Komponenten (uid, Datenbereinigung) sollen Wiederverwendbar, z.B. als Java-Klassen, implementiert werden und langfristig in eine Code-Repository der Hochschulgemeinde zur Verfügung gestellt werden.
  • Auf der nächsten ZKI vd-ak Sitzung (40. KW 2007) soll die Arbeit vorgestellt werden.

Den Beteiligten ist bewusst, dass es sich um ein ambitioniertes Vorhaben handelt. Bisher wurden jedoch sehr viele Steuergelder in individuelle Standortlösungen investiert, die nicht für ressourcen-schwächere Hochschulen verwendbar sind. Dies sollte sich ändern. Dabei muss darauf geachtet werden, dass ein gewisser Ausgleich zwischen den Hochschulen die investieren und denen die nutzen geschaffen wird.

 

Meeting of Novell IDM Universities ready for Cooperation

Subsequently to the meeting of the ZKI vd-ak the representatives of the universities which use Novell met according to Ms Winklmeier (MMKH). Those were:

  • CODEX Thuringia
  • Bavaria (LRZ, Passau, Würzburg, RRZE)
  • FH Niederrhein

The following information was collected:

  • Codex is still using Novell IDM 2.0.2.
  • Every individual solution and therefore every suggestions of Novell Consulting are consultation-intensive and expensive.
  • The individual solutions are intense in maintaining of the implementations, which causes further expenses.
  • A TCO-view hasn’t been done by any university, of which the sense is still questioned.
  • Most of the modules base on Novell Extend and are therefore not transmittable to the latest version of Novell IDM.
  • The Thuringian colleagues point out that also external tools must be running on the MD. Also Novell tools can only “handle” a certain amount of complexity.
  • The novel state contracts in Thuringia and Bavaria expire in the middle of 2008.
  • The consortial leader for Thuringia is Mr. Springer of the TU Illmenau.
  • The FH Niederrhein (Dieter Roemgens) doesn’t have the ressources for a own Novell IDM implementation, but offers itself as a test university for the branch solution.
  • The university Halle is interested in a collaboration at a general IDM-concept.

Based on this, the following was agreed:

  • The RRZE (Mr. Eggers) and the MMKH (Ms Winklmeier) coordinate the initiative.
  • Communication preferably takes place via the ZKI ak-vd divider.
  • The Bavarian colleagues concretize their general IDM-concept.
  • The architecture alternative, the pattern-comparison as well as the ideas for DIT structure have to be added to the concept paper.
  • A reference implementation can be a Novell IDM branch solution.
  • The RRZE is therefore having probing meetings with Novell.
  • Codex and LRZ function as review partners for this concept.
  • The NRW paper must be proven for its usability.
  • Mr. Roemgens will try to find out details on implementation at the university Dortmund.
  • At the end of March the eCampus II part project IDM  will have the opportunity to take part at the video conference Novell.IDM@Bavaria.
  • Ms Winklmeier coordinates the site of Hamburg.
  • Thuringia and Bavaria should try to coordinate the negotiations for the state agreements. Hamburg is thinking about joining in.
  • As soon as a stable document is on hand, the ak-vd members are supposed to be called in for work.
  • Components (uid, data cleaning) should be reusable, e.g. as java classes implemented and be long term available in a code-repository of the university corporation.
  • In the next ZKI vd-ak meeting 40. CW 2007) the work should be presented.

The participants know that they are dealing with an ambitious plan. So far a lot of public money has been invested in individual position solutions, which are not usable by universities with lower resources. This is supposed to change. Therefore it has to be kept in mind that a certain balance between the universities, which are investing and using, is created.